ちま夫@IT屋おじさん

ピーク過ぎた感のあるIT屋のおじさんです。IT関係や節約関係などを、のんびりと書いてみたいと思います。

Fortigate SSL-VPN 日本のみ許可する

f:id:chima_chimao:20190926121359j:plain

 

こんばんわ、ちま夫です。

 

FortigateのVPNイベントログ(SSL-VPN)を見ていたら、海外から接続未遂があるじゃありませんか・・・

そこで、日本のグローバルIPアドレス(IPv4アドレス)のみSSL-VPN接続を許可できないかと調べましたので、備忘録として記載します。

 

ニュースでSSL-VPN製品の脆弱性に関する注意喚起を見たので、早速Fortigateのバージョンを確認したところ、こちらは対象外でした。その後ログを確認したら海外からのSSL-VPN接続未遂が沢山見つかったと言う流れです。 

www.jpcert.or.jp

 

 

Fortigateのバージョン

 

Ver5.6.9での記事になります。

 

Geography Based Addressing(Geo-IP)

 

Fortigateで日本のグローバルIPアドレスをアドレスオブジェクトとして登録することができ、Geography Based Addressing機能(Geo-IP、ジオグラフィックアドレス)と呼ばれています。

 

このGeography Based Addressing機能はUTM License不要で利用できるようです。また、Geo-IP Databaseは随時自動的に更新されているようです。(代理店に聞いてみました)

 

FortigateのGeo-IP登録方法ですが、このように「タイプをジオグラフィ」にすると、国を選べるようになります。

f:id:chima_chimao:20190926112910j:plain

 

SSL-VPNのアクセス制御

 

SSL-VPNのアクセス制御 (日本からのみ接続許可)の手順を書きます。

 

【手順-1】

Geo-IP機能を使用して「日本」と言うアドレスオブジェクトを作成する。

 

【手順-2】

「VPN」→「SSL-VPN設定」に進み

アクセスを制限:特定ホストへアクセス制限

ホスト:日本

を選択して適用。

f:id:chima_chimao:20190926113646j:plain


これで設定完了です。 

 

 

その他

 

Geo-IP関係のコマンドを記載しておきます。

 

■Geo-IP更新コマンド
# execute update-geo-ip

 

■Geo-IPのバージョン確認コマンド
# diagnose autoupdate versions

IP Geography DB
---------
Version: 2.00039
Contract Expiry Date: n/a
Last Updated using scheduled update on Wed Sep 11 02:03:39 2019
Last Update Attempt: Thu Sep 26 11:46:27 2019
Result: No Updates

 

こちらを参考にさせていただきました。

kb.fortinet.com

 

 

国別グローバルIPアドレス(IPv4アドレス)一覧

 

参考までに、各国に割り当てられているグローバルIPアドレス(IPv4アドレス)の一覧は下記で確認することができます。

ipv4.fetus.jp