Fortigate Firewallを使用したセキュアアクセスの設定

はじめに

このドキュメントでは、Fortigate Firewallを使用してセキュアアクセスを設定する方法について説明します。

前提条件

• ユーザプロビジョニングの設定
• ZTNA SSO認証設定
• リモートアクセスVPNセキュアアクセスの設定

要件

次の項目に関する知識があることが推奨されます。

• Fortigate 7.4.xバージョンのファイアウォール
• セキュアなアクセス
• Cisco Secure Client:VPN（トンネルモード）
• Cisco Secureクライアント – ZTNA
• クライアントレスZTNA

使用するコンポーネント

このドキュメントの情報は、次のハードウェアに基づくものです。 

• Fortigate 7.4.xバージョンのファイアウォール
• セキュアなアクセス
• Cisco Secure Client:VPN（トンネルモード）
• Cisco Secureクライアント – ZTNA

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

背景説明

シスコは、プライベートアプリケーション（オンプレミスとクラウドベースの両方）を保護し、アクセスを提供するセキュアなアクセスを設計しました。また、ネットワークからインターネットへの接続も保護します。これは、複数のセキュリティ方式とレイヤの実装によって実現されます。すべての目的は、クラウド経由でアクセスする情報を保持することです。

設定

セキュアアクセスでのVPNの設定

Secure Accessの管理パネルに移動します。

• Connect > Network Connections > Network Tunnels Groupsの順にクリックします。

• Network Tunnel Groupsの下で、+ Addをクリックします。

• トンネルグループ名、リージョン、およびデバイスタイプの設定
• [Next] をクリックします。

注：ファイアウォールの場所に最も近い地域を選択してください。

• トンネルIDの形式とパスフレーズの設定
• 次をクリック

• ネットワーク上で設定したIPアドレス範囲またはホストを設定し、トラフィックをセキュアアクセス経由で通過させる
• 保存をクリック

Saveをクリックした後、トンネルに関する情報が表示されます。この情報を保存して、次のステップ「FortigateでのVPNサイト間の設定」に進んでください。

トンネルデータ

FortigateでのVPNサイト間の設定

Fortigateダッシュボードに移動します。

• VPN > IPsec Tunnelsの順にクリックします。

• Create New > IPsec Tunnelsの順にクリックします。

• Customをクリックし、Nameを設定して、Nextをクリックします。

次の図では、Network部品の設定の構成方法を示します。

Network

• Network
  • IPバージョン:IPv4
  • リモートゲートウェイ：固定IPアドレス
  • IP Address:ステップTunnel Dataに記載されたプライマリIPデータセンターIPアドレスを使用します。
  • Interface：トンネルの確立に使用する予定のWANインターフェイスを選択します
  • ローカルゲートウェイ：デフォルトでは無効
  • Mode Config：デフォルトではディセーブル
  • NATトラバーサル：有効
  • キープアライブ周波数:10
  • デッドピア検出：アイドル時
  • DPD再試行回数:3
  • DPD再試行間隔:10
  • Forward Error Correction（FEC；前方誤り訂正）：どのボックスもオンにしないでください。 
  • Advanced...：イメージとして設定します。

ここで、IKE 認証を設定します。

認証

• 認証 
  • 方式：デフォルトとしての事前共有キー
  • 事前共有キー(PSK):ステップ「トンネルデータ」で指定したパスフレーズを使用します。
• IKE 
  • Version：バージョン2を選択します。

注：セキュアアクセスはIKEv2のみをサポートします

ここで、Phase 1 Proposalを設定します。

フェーズ1提案

• フェーズ1提案
  • Encryption:AES256を選択します。
  • Authentication:SHA256を選択
  • Diffie-Hellman Groups:20のみを選択します。複数を選択した場合は、後で問題が発生する可能性があります
  • Key Lifetime (seconds) ：デフォルトで86400
  • ローカルID:プライマリトンネルIDを使用します。これは、ステップ「トンネルデータ

ここで、Phase 2 Proposalを設定します。

フェーズ2の提案

• 新しいフェーズ2
  • Name：デフォルトのままにします（VPNの名前から取得されます）。
  • ローカルアドレス：デフォルト(0.0.0.0/0.0.0.0)にする
  • リモートアドレス：デフォルト(0.0.0.0/0.0.0.0)にする
• 詳細
  • Encryption:AES128を選択します。
  • Authentication:SHA256を選択
  • リプレイ検出の有効化：デフォルトとして設定（有効化）
  • Perfect Forward Secrecy(PFS)を有効にする：チェックボックスをオフにします。
  • ローカルポート：デフォルトにする（有効）
  • リモートポート：デフォルトにする（有効）
  • Protocol：デフォルトにする（有効）
  • 自動ネゴシエート：デフォルトにする（マーキングなし）
  • Autokey Keep Alive：デフォルトにする（マーキングなし）
  • Key Lifetime：デフォルト（秒）
  • Seconds：デフォルト(43200)

その後、[OK]をクリックします。数分後に、セキュアアクセスを使用してVPNが確立されたことが表示され、次のステップ「トンネルインターフェイスの設定」に進むことができます。

トンネルインターフェイスの設定

トンネルが作成された後、セキュアアクセスと通信するためのWANインターフェイスとして使用しているポートの背後に、新しいインターフェイスがあることに気付きます。 

これを確認するには、Network > Interfacesの順に移動します。

Secure Accessとの通信に使用するポートを展開します。この場合はWANインターフェイスです。

• Tunnel Interfaceをクリックし、Editをクリックします。

• 次に設定する必要があるイメージがあります

• インターフェイス設定 
• IP：ネットワークに存在しないルーティング不能IP(169.254.0.1)を設定します。
• リモートIP/ネットマスク ：リモートIPをインターフェイスIPの次のIPとして設定し、ネットマスクを30に設定します(169.254.0.2 255.255.255.252)。

その後、OKをクリックして設定を保存し、次のステップ「ポリシールートの設定（発信元ベースルーティング）」に進みます。

警告：このパートの後、デバイスからのトラフィックのセキュアアクセスおよびセキュアアクセスから、トラフィックをルーティングするネットワークへのトラフィックを許可または許可するために、FortiGateでファイアウォールポリシーを設定する必要があります。

ポリシールートの設定

この時点で、VPNを設定し、セキュアアクセスを確立しました。トラフィックをセキュアアクセスに再ルーティングして、トラフィックまたはFortiGateファイアウォールの背後にあるプライベートアプリケーションへのアクセスを保護する必要があります。

• Network > Policy Routesの順に移動します。

• ポリシーの設定

• 着信トラフィックが
  • Incoming Interface：トラフィックをセキュアアクセス（トラフィックの発信元）に再ルーティングする予定だったインターフェイスを選択します
• 送信元アドレス
  • IP/ネットマスク：インターフェイスのサブネットだけをルーティングする場合にこのオプションを使用します
  • アドレス：オブジェクトが作成されていて、トラフィックの送信元が複数のインターフェイスと複数のサブネットにある場合に、このオプションを使用します
• 宛先アドレス 
  • アドレス：インターネットトラフィックを保護したい場合はアクセスリストを選択します。プライベートアクセスだけが必要な場合は、VPN Profile IP PoolとCGNAT Range 100.64.0.0/10を追加する必要があります。
  • Protocol:ANYを選択します
• Then 
  • アクション:転送トラフィックの選択
• Outgoing Interface：ステップ「Configure Tunnel Interface」で変更したトンネルインターフェイスを選択します。
• ゲートウェイアドレス：ステップで設定したリモートIP(RemoteIPNetmask)を設定します。
• ステータス:Enabledの選択

OKをクリックして設定を保存します。これで、デバイストラフィックがセキュアアクセスに再ルーティングされたかどうかを確認する準備が整いました。 

確認

マシンのトラフィックがセキュアアクセスに再ルーティングされたかどうかを確認するには、2つのオプションがあります。インターネット上で確認し、パブリックIPを確認するか、curlで次のコマンドを実行します。 

C:\Windows\system32>curl ipinfo.io
{
  "ip": "151.186.197.1",
  "city": "Frankfurt am Main",
  "region": "Hesse",
  "country": "DE",
  "loc": "50.1112,8.6831",
  "org": "AS16509 Amazon.com, Inc.",
  "postal": "60311",
  "timezone": "Europe/Berlin",
  "readme": "https://ipinfo.io/missingauth"
}

トラフィックを確認できるパブリック範囲は次のとおりです。

最小ホスト:151.186.176.1

最大ホスト:151.186.207.254

注：これらのIPは変更される可能性があり、シスコが将来的にこの範囲を拡張する可能性があることを意味します。

パブリックIPアドレスが変更された場合は、セキュアアクセスによって保護されていることを意味し、セキュアアクセスダッシュボードでプライベートアプリケーションを設定して、VPNaaSまたはZTNAからアプリケーションにアクセスできます。