こんばんわ、ちま夫です。
FortigateのVPNイベントログ(SSL-VPN)を見ていたら、海外から接続未遂があるじゃありませんか・・・
そこで、日本のグローバルIPアドレス(IPv4アドレス)のみSSL-VPN接続を許可できないかと調べましたので、備忘録として記載します。
ニュースでSSL-VPN製品の脆弱性に関する注意喚起を見たので、早速Fortigateのバージョンを確認したところ、こちらは対象外でした。その後ログを確認したら海外からのSSL-VPN接続未遂が沢山見つかったと言う流れです。
Fortigateのバージョン
Ver5.6.9での記事になります。
Geography Based Addressing(Geo-IP)
Fortigateで日本のグローバルIPアドレスをアドレスオブジェクトとして登録することができ、Geography Based Addressing機能(Geo-IP、ジオグラフィックアドレス)と呼ばれています。
このGeography Based Addressing機能はUTM License不要で利用できるようです。また、Geo-IP Databaseは随時自動的に更新されているようです。(代理店に聞いてみました)
FortigateのGeo-IP登録方法ですが、このように「タイプをジオグラフィ」にすると、国を選べるようになります。
SSL-VPNのアクセス制御
SSL-VPNのアクセス制御 (日本からのみ接続許可)の手順を書きます。
【手順-1】
Geo-IP機能を使用して「日本」と言うアドレスオブジェクトを作成する。
【手順-2】
「VPN」→「SSL-VPN設定」に進み
アクセスを制限:特定ホストへアクセス制限
ホスト:日本
を選択して適用。
これで設定完了です。
その他
Geo-IP関係のコマンドを記載しておきます。
■Geo-IP更新コマンド
# execute update-geo-ip
■Geo-IPのバージョン確認コマンド
# diagnose autoupdate versions
IP Geography DB
---------
Version: 2.00039
Contract Expiry Date: n/a
Last Updated using scheduled update on Wed Sep 11 02:03:39 2019
Last Update Attempt: Thu Sep 26 11:46:27 2019
Result: No Updates
こちらを参考にさせていただきました。
国別グローバルIPアドレス(IPv4アドレス)一覧
参考までに、各国に割り当てられているグローバルIPアドレス(IPv4アドレス)の一覧は下記で確認することができます。