【Fortigate】SSLインスペクション（deep-inspection）設定と動作確認 FortiOS6.2.4

2020.10.032023.11.18

現在のWeb通信の大半がhttps:// で始まるURLであり、SSLで暗号化されています。通信自体のセキュリティは確保されますが、FW等でアプリケーション制御やUTM（アンチウイルスなど）を実行する場合、データが暗号化されていることより、制御に支障をきたします。

そのため、制御装置を経由するときに、一旦、通信データを復号化し、データを確認後、再暗号化する機能が実装されています。FortigateではSSLインスペクション（deep-inspection）と呼ばれます。

スポンサーリンク

目次

SSLインスペクションを使用しない場合の動作
SSLインスペクションを設定し、アプリケーションを可視化

SSLインスペクションを使用しない場合の動作

内部から外部へすべての通信をポリシー許可し、SSLインスペクションを無効化（デフォルト動作）にします。

GUIで【ポリシー＆オブジェクト】-【ファイアウォールポリシー】-【新規作成】より以下の通り設定します。

端末からGoogleへアクセスし、トラフィックログを確認します。トラフィックログは、【ログ＆レポート】-【転送トラフィック】で確認します。

IPアドレスの宛先はGoogleのグローバルアドレスであることが確認できます。サービスとしてHTTPS通信であることはわかりますが、アプリケーションなど、それ以上の情報はわかりません。

スポンサーリンク

SSLインスペクションを設定し、アプリケーションを可視化

内部→外部で設定したポリシーにて、SSLインスペクションを deep-inspection にして、アプリケーションコントロールを有効にします。

端末からGoogleへアクセスすると、ブラウザーで証明書のエラーが出力されます。

サーバ証明書を確認すると、発行者がFortigate（図はデフォルトで割り当てたホスト名）であり、発行者のルート証明書がインストールされていないことがわかります。

このエラーは、端末に、Fortigateのルート証明書をインポートすることで解決します。

GUIで、【セキュリティプロファイル】-【SSL/SSHインスペクション】へ移動し、deep-inspection をダブルクリックします。

以下、CA証明書より、ルート証明書をダウンロードできます。ダウンロードをクリックします。

ダウンロードした証明書を「信頼されたルート証明機関」へインポート後、Googleへアクセスすると、証明書エラーが出力されなくなります。

ブラウザで証明書を確認すると、Fortigate自身が www.google.co.jp に対してのサーバ証明書を生成していることがわかります。また、サーバ証明書と先ほどインストールしたルート証明書がチェーンされていることも確認できます。

トラフィックログを確認すると、Googleへのアクセスに対して、アプリケーション名Google.Serviceが表示されています。これは、SSLインスペクションによりデータ通信を復号した後、UTMの一つであるアプリケーションコントロール機能によりアプリケーションを識別しています。

【ログ＆レポート】-【アプリケーションコントロール】では、アプリケーションコントロールに特化したログが出力されます。

>> 参考記事 : 【初心者】公開鍵暗号、認証局、デジタル署名をイメージで解説

ルート証明書のイメージが難しい方は参照してください。

　

>> 参考記事 : SSLインスペクション除外の設定 FortiOS6.2.4

SSLインスペクションから除外する接続先を設定するには、この記事を参考にしてください。

>> 参考記事 : SSLインスペクション（certificate-inspection）設定と動作確認 FortiOS6.2.4

deep-inspectionでは、データを復号化しましたが、別の方式として、証明書インスペクション（certificate-inspection）という方式もあります。

>> 参考記事 : SSL復号化（SSL Forward Proxy）の設定と動作確認

PaloaltoでSSL復号化するには、この記事を参考にしてください。

コメント

anonymous より:

2021年12月12日 6:34 PM

ビルトイン証明書は機器交換時にコンフィグでレストアできないとこは注意必要ですね

返信
- 博田登より:
  
  2021年12月12日 8:32 PM
  
  コメントありがとうございます。
  おっしゃるとおりで、コンフィグとは別に証明書のバックアップ・リストアが必要となります。
  注意しないといけないですね。
  
  Configuration backups
  https://docs2.fortinet.com/document/fortigate/6.2.0/cookbook/702257/configuration-backups
  
  Technical Tip: How to take a backup and restore the local certificates of the firewall
  https://community.fortinet.com/t5/FortiGate/Technical-Tip-How-to-take-a-backup-and-restore-the-local/ta-p/190406?externalID=FD48830
  
  機会があれば、バックアップ・リストアについても検証してみようかと思います。
  
  返信
  - anonymous より:
    
    2021年12月15日 3:04 AM
    
    ビルトインのFortinet_CA_SSLはexport出来なかった記憶です
    
    返信
    - 博田登より:
      
      2021年12月16日 1:35 AM
      
      コメントありがとうございます。
      おっしゃるとおり、ビルドイン証明書のエクスポートは制限がありそうです。
      
      商用環境では、OpenSSLなどで発行した証明書を用いて実装した方がよろしいですね。
      今後、SSLインスペクションを使用する環境での証明書の発行、バックアップ、リストアの観点も含めた実機検証の記事をシェアできればと考えております。
      
      有益な情報いただき、ありがとうございました。
      
      返信