【Fortigate】SSLインスペクション(deep-inspection)設定と動作確認 FortiOS6.2.4

Fortigate
2020.10.03

現在のWeb通信の大半がhttps:// で始まるURLであり、SSLで暗号化されています。通信自体のセキュリティは確保されますが、FW等でアプリケーション制御やUTM(アンチウイルスなど)を実行する場合、データが暗号化されていることより、制御に支障をきたします。

そのため、制御装置を経由するときに、一旦、通信データを復号化し、データを確認後、再暗号化する機能が実装されています。FortigateではSSLインスペクションdeep-inspection)と呼ばれます。

スポンサーリンク

SSLインスペクションを使用しない場合の動作

内部から外部へすべての通信をポリシー許可し、SSLインスペクションを無効化(デフォルト動作)にします。

GUIで【ポリシー&オブジェクト】-【ファイアウォールポリシー】-【新規作成】より以下の通り設定します。

端末からGoogleへアクセスし、トラフィックログを確認します。トラフィックログは、【ログ&レポート】-【転送トラフィック】で確認します。

IPアドレスの宛先はGoogleのグローバルアドレスであることが確認できます。サービスとしてHTTPS通信であることはわかりますが、アプリケーションなど、それ以上の情報はわかりません。

スポンサーリンク

SSLインスペクションを設定し、アプリケーションを可視化

内部→外部で設定したポリシーにて、SSLインスペクションを deep-inspection にして、アプリケーションコントロールを有効にします。

端末からGoogleへアクセスすると、ブラウザーで証明書のエラーが出力されます。

サーバ証明書を確認すると、発行者がFortigate(図はデフォルトで割り当てたホスト名)であり、 発行者のルート証明書がインストールされていないことがわかります。

このエラーは、端末に、Fortigateのルート証明書をインポートすることで解決します。

GUIで、【セキュリティプロファイル】-【SSL/SSHインスペクション】へ移動し、deep-inspection をダブルクリックします。

以下、CA証明書より、ルート証明書をダウンロードできます。ダウンロードをクリックします。

ダウンロードした証明書を「信頼されたルート証明機関」へインポート後、Googleへアクセスすると、証明書エラーが出力されなくなります。

ブラウザで証明書を確認すると、Fortigate自身が www.google.co.jp に対してのサーバ証明書を生成していることがわかります。また、サーバ証明書と先ほどインストールしたルート証明書がチェーンされていることも確認できます。

トラフィックログを確認すると、Googleへのアクセスに対して、アプリケーション名Google.Serviceが表示されています。これは、SSLインスペクションによりデータ通信を復号した後、UTMの一つであるアプリケーションコントロール機能によりアプリケーションを識別しています。

【ログ&レポート】-【アプリケーションコントロール】では、アプリケーションコントロールに特化したログが出力されます。

>> 参考記事 : 【初心者】公開鍵暗号、認証局、デジタル署名をイメージで解説

ルート証明書のイメージが難しい方は参照してください。

【初心者】公開鍵暗号、認証局、デジタル署名をイメージで解説
SSL/TLS、電子商取引、本人認証などで、公開鍵暗号化方式、証明書や認証局などの用語が出てきます。ただし、これらは処理が複雑に見え、イメージが湧きにくいことがよくあります。ここで、公開鍵暗号方式、認証局、デジタル署名の理解を助ける私のイメ...
hirotanoblog.com
2021.01.05

 

>> 参考記事 : SSLインスペクション除外の設定 FortiOS6.2.4

SSLインスペクションから除外する接続先を設定するには、この記事を参考にしてください。

【Fortigate】SSLインスペクション除外の設定 FortiOS6.2.4
この記事は以下の内容の続きになります。>>参考記事:SSLインスペクション(deep-inspection)設定と動作確認FortiOS6.2.4SSLインスペクションは、SSLの暗号化を解いて、データの中身を検査できるため、脅威防御を目的...
hirotanoblog.com
2020.10.04

>> 参考記事 : SSLインスペクション(certificate-inspection)設定と動作確認 FortiOS6.2.4

deep-inspectionでは、データを復号化しましたが、別の方式として、証明書インスペクションcertificate-inspection)という方式もあります。

【Fortigate】SSLインスペクション(certificate-inspection)設定と動作確認 FortiOS6.2.4
現在のWeb通信の大半がhttps://で始まるURLであり、SSLで暗号化されています。Fortigateでは、この暗号化された通信に対して、アンチウイルスや侵入検知を行うには、SSLインスペクション(deep-inspection)を使...
hirotanoblog.com
2020.10.11

>> 参考記事 : SSL復号化(SSL Forward Proxy)の設定と動作確認

PaloaltoでSSL復号化するには、この記事を参考にしてください。

【Paloalto】SSL復号化(SSL Forward Proxy)の設定と動作確認 PANOS 10.0.8
現在のWeb通信の大半がhttps://で始まるURLであり、SSLで暗号化されています。通信自体のセキュリティは確保されますが、FW等でアプリケーション制御やUTM(アンチウイルスなど)を実行する場合、データが暗号化されていることより、制...
hirotanoblog.com
2020.11.03

スポンサーリンク
Fortigate
博田 登
hirota.noの技術ブログ〜 It's all over the network.

コメント

  1. anonymous より:
    2021年12月12日 6:34 PM

    ビルトイン証明書は機器交換時にコンフィグでレストアできないとこは注意必要ですね

    返信