FortiClient について
FortiGate のSSL-VPNはリモートワークで非常によく利用いただいている機能です。
SSL-VPNでは、FortiClient というエージェントソフトを端末にインストールして利用する
「トンネルモード」と、Webブラウザからリバースプロキシ方式で接続する「Webモード」
二種類の接続形式が提供されています。
主に使われるのはトンネルモードですが、FortiClient には無償版と有償版があり、
利用できる機能に違いがあります。
↓
※v6.0~ホストチェックは有償機能でしたが、FortiClient VPN v7.0.3~無償版で利用可能となっています。
SSL-VPN ホストチェック
▼アンチウイルス/ファイアウォール/OSバージョン
▼MAC アドレス
MACアドレスを事前に登録し、SSL-VPN接続の認証で「許可」「拒否」を制御できる機能です。
※CLIからのみ設定可能です。
動作確認
▼SSL-VPNの設定方法はこちら
一通りのSSL-VPNの設定を完了し、FortiClient VPNで接続ができている状態を確認します。
一旦、VPN接続を切断し、FortiGate側でホストチェックの設定を有効にします。
動作確認①
アンチウイルスが入っていることを認証の条件に設定
GUIより、ホストチェックのリアルタイムアンチウイルスを有効化します。
まず、アンチウイルスがONの状態であることを確認します。
FortiClient VPNから接続してみると、問題なく接続ができました。
続いて、アンチウイルスをOFFにして再度接続を試みます。
エラーメッセージが出て接続が失敗します。
エラーメッセージ詳細 ↓ (カスタマイズも可能です。)
FortiGate側のログを見るとホストチェックによりトンネルが張れなかったと確認できます。
※GUIでの設定は、Windows 標準のアンチウイルス/ファイアーウォールのチェックです。
特定のソフトを検知したい場合はCLIからのカスタム設定が必要です。
例)
動作確認②
指定したMACアドレスの端末からのみ認証許可
CLIよりMACアドレスチェックを有効にします。
※接続する端末のMACアドレスを定義(アドレス表記は 「:」コロン)
※アクションは「許可」
FortiClient VPNから接続を試みます。無事、トンネル接続ができました。
GUI上の「ログ&レポート」>「システムイベント」>「VPNイベント」より
ログイン認証が成功してトンネルがアップしたログが確認できます。
debugで詳細を確認すると、ホストチェック/MACアドレスの情報を見ていることも分かります。
続いて、MACアドレスの設定を変更してから再度接続を試みますと
AVチェック時と同様にエラーメッセージが出て接続できません。
FortiGate側のログを見るとMACアドレスチェックの結果、トンネルが張れなかったと確認できます。
終わりに
SSL-VPN利用時には、接続認証時のセキュリティ対策を様々考慮されることと思います。
ホストチェックの機能のみでセキュリティを完全に担保できるとは言い切れませんが、
実際に検討されるケースも多い機能のためブログにて紹介させていただきました。
その他、SSL-VPNでのセキュリティ対策としては、ワンタイムパスワードを生成する
FortiToken などの二要素認証ソリューションもございますし、
EMSサーバを立てて管理する FortiClient有償版を使えば、より詳細な制御も可能になります。
ぜひご導入時の参考にしていただければ幸いです。
※本ブログの内容は投稿時点での情報となります。今後アップデートが重なるにつれ
正確性、最新性、完全性は保証できませんのでご了承ください。
他のおすすめ記事はこちら
著者紹介
SB C&S株式会社
技術本部 技術統括部 第4技術部 2課
小野 詩織
