sidetech

インフラエンジニアの寄り道メモ。

FortiGateお試し中~その3

今日も引き続きです。
そういえば、検証構成をだしていませんでした。
Fortigatenetwork
高負荷評価まではたぶん出来まいと思って、結構手抜きな構成にしてしまいました[E:coldsweats01]
セグメントはダミーで実際のアドレスとは違います。機器構成間はだいたいこんな感じで、一部抜けてますが・・・こんなもんです。
構成の通り、試験環境ではなく実環境に投入しています。インターネット回線を廻すのがめんどくなっちゃって・・・[E:coldsweats01] あとMyPCを舞台に繰り広げるとなるとこうするしかなかった・・・。

その為、Fortigate100DのDefaultGWはwan側ではなくlan側になってます。
昔社内の0.0.0.0/0の行先を完全に殺していたのですが、現在はPaloaltoで受け止める様にしています。基本やり場のないデータが向かうので破棄される前提としてます。
今回の為に、Fortigateの通信はスルーの扱いにしました。
そして、FortigateのPROXY機能を確認する為、私のPCのPROXY設定をForti側にセット。

え~、抜け道工作ではないです・・・検証です・・・[E:coldsweats02]
人にはセキュリティだのあーだのこーだの言うくせにね・・・。
だって、Fortigateがインターネットと通信したいってうるさいから・・・(汗

そしてMyNotePCからは仮想外部アドレスとしてFortigateにアタックしたり、サービスアクセスしたりする用にしています。サービスアクセスにはMyPCにサービス起動して待ち受けてやります。実環境といえど、なるべく周りに影響を与えない様に?してます。
まぁあとは、SystemAnswerG2でSNMP取得したかったのもあるし(あ、図にプロットするの忘れた)。
ちなみのちなみにMyPCからMyNotePCまではRDP使ってアクセスもできるようにしてます。

特権ぽいレベルであれこれやっていますが・・・社内で勝手にこれに近い環境をやられたら・・・この図の場合で言うとMyNotePCの存在消えるからなぁ・・・厄介よねぇ。

と、そんなところでFortigateの話題にもどりますと、触り慣れてくるとNetscreenを彷彿するような感覚がありました。ポリシー廻りの操作やインターフェースの操作とか似ているかな?!うーん。それいっちゃうとPaloにも似てなくもないとなるけど・・・。
そういえば、今回触っていて、「ああっ、これはイイなぁ」というのがやっとありました!

Fortigate0301
オブジェクトの登録は必要なのですが、オブジェクト内にですね「地域」ってのがあります。これが国を選べるようになっているんですよ。
そしてその中に「anonymousPROXY」という地域があるのですが、これは地域というよりもPROXYに対してというオブジェクトになるんですかね。
Fortigate0302
こんなかんじで、送信元に地域(国)を選ぶことが出来るので、そもそも日本向けにしかサービスしないよっていうのに便利ですね。それ以外の国からは全てDropみたいにしちゃえばいいんだもんね。
Paloaltoでも国の識別はできるけど、オブジェクト定義出来たっけかなぁ…やったことないだけかな・・・。
実際に地域(国)の保有IP情報ってネットを探せばわかるっちゃわかるんだけど、とてもじゃないけど自分でコントロールするのは大変です。この地域IPの情報がFortigateが常に更新されていると考えたらよいですね・・・。それともバージョンアップのタイミングじゃないと更新されないかな?今度聞いてみましょう(GeoIPはちゃんと随時アップデートされるらしい)。

最近はIoTとかいうバズワードのお蔭で、色々な国からのアタックが多くてさ。なんでも無防備でインターネットに接続したら4秒でヤられる時代だそうです。
(大昔ですが、社内LANも無防備で10秒つなぐと感染するという暗黒期がありました・・・Pen3程度の1台のマシンに社内ネットワークをかなり虐められた思い出があります。)

さて、Fortigate完全攻略をチラ見しながら、基本的には野生の感でいじってきましたが・・・全くどうでもいいんですが、記事中に「2009年の新型インフルエンザの流行以降にリモートアクセスVPNとして主流になった」みたいに書かれているのですが、私の記憶では2002年頃にNeoterisなんていう会社が出てきて、2003年頃SARSがあった頃にSSL-VPNの話題が出てきて2009年頃は既にオマケな存在だったような・・・。BYODが騒がれたのは2012年頃だしなぁ・・・。個人的にはConfickerワームに苦しめられた年だったように覚えているのでインフルエンザどころではなかったかもだけど(汗)
てかタイトルと内容がズレ過ぎ脱線しすぎね(苦笑)

てことで、今回の構成はここぐらいまでで、あとはVDOM化してみまっす?(この扱いやすさがどうかが知りたかっただけなんだけど・・・やっとここまできた)。