-
通信技術
-
Fortigateについて語ろう6
-
UPLIFTで広告なしで体験しましょう!快適な閲覧ライフをお約束します!
FortiGateシリーズは、ネットワーク全体を総合的に保護するハードウェアベースの
ネットワーク・プロテクション・ゲートウェイ(NPG)です。
Fortinet社独自開発のABACASTM(Accelerated Behavior and Content Analysis System)
テクノロジと独自のASIC(FortiAsic)ベースアーキテクチャを採用した、次世代
ネットワークプロテクション・アプライアンスです。
ファイアウォール、不正侵入、VPN、トラフィックシェーピングなどネットワークレベル
のサービスに加え、ウィルスプロテクションやコンテンツフィルタリングなどの
アプリケーションレベルのサービス機能も搭載しており、効果的にネットワークを保護します。
FortiGateは、4種類のICSA認定取得をしています。
アンチウイルス、ファイアウォール、IPSec、IDS
セールスポイントは非常に魅力的ですばらしいのですが、
非常に個性的な製品ですので、皆さん助け合って安定稼働に努めましょう。
フォーティネットジャパン
http://www.fortinet.co.jp/
FortiProtect Center
http://www.fortinet..../FortiProtectCenter/
質問する際には必ずFortiGateの機種、FortiOSのバージョン、 ネットワーク構成・環境を報告してください。
Fortigateについて語ろう5
https://mao.5ch.net/.../network/1593878325/ - コメントを投稿する
-
アラートメールってSQLインジェクション検知とかDDos攻撃検知とかも知らせてくれるの?
-
PaloAlto PA-220の電源なし動作未確認を買いました。
PA-220が一台あったので電源アダプタをつなぎました。
背面のランプはつきました。でも、全面のPWRも何も、何も。
待てど暮せどランプも点かず…ジャンク品として流すことにしました (T_T) -
>>2
よく思うんだけど、Dos攻撃知ってどーするの?サービス再開出来る手段とかある? -
Dosポリシーで落ちる前にしきい値で遮断するのでは?
だだ、全ポリシー有効にしてログを出すようにするとアラートメールが止まらなくなる。 -
FortiCloudの無償版提供もそろそろ部分的に終わる兆しがあるなぁ。
FortiOSも最新にすれば良い訳ではない。
そもそも定義体があがってなんぼだから。
なので、Upするとベース定義体のタイムスタンプがやばいのよね。
V7.2.x V7.0.xはその辺改善してるけど。 -
OSも定義も最新にしないと
OSバグやセキュリティホールは定義では治らない -
>7
まぁいまだに5.4がいるわけですよ。
6.x系も多いけど。 -
ランサムウエアの餌食
-
今安心なのは6.4と7だけだな
セキュリティ対策製品で1部のセキュリティホールにしか対応できないバージョンに意味なし
https://csps.hitachi.../end_of_support.html -
FortiSwitchのFortilinkが、いまいちしっくりこない。。。
なんだろう、スタンドアロンで動かせばいいんじゃないかと思ってしまう自分がいる。 -
最新と言っても7.2系入れちゃう奴はバグに苦しんでも自業自得だと思う
-
最新のメジャーバージョンは、修正されるまでしばらくお試しですよね。
-
心配しなくても日本の代理店は古くさいバージョンしかサポートしない
-
7.2でmaturity firmware levels入ったから
メインツリーで実験すんのやめたw -
おいおいおいおい?!!!!!
cve-2022-42475 -
―――こうしてForigateを使用している百数十社の会社の顧客データは盗まれ、
社長は株価ダウンを恐れて隠蔽をし、顧客データは全て密かに中◯に高値で独占売買され、
サイバー部隊の日本人対策用データベースに保存されていくのだった。おわり -
不具合多くね?
-
公式でSSLVPN機能使ってなければ大丈夫ってアナウンスして欲しいな
-
実は設定をoffにしてもポートが開いていて攻撃を受けるというオチだったりして
-
>>19
ソレは書き加えられた -
60Dは解決不能?
-
こんな危なっかしいVPNじゃなくてIPA純正のシン・テレワークシステムでも使っとけ
-
そだねー
-
ユーザー向けにFORTIGATEのSSLVPN使ってる会社は無いだろうけど
管理者とか保守会社がメンテナンス用とかバックアップ用とかで結構使ってたりするんだよな~ -
>>19
公式に対策としてDisable SSL-VPNとあるけど -
>>26
接続元絞るだけじゃ駄目なのかな? -
バグ情報見てないからしらんけどEAP-TLSみたいなんて出来ないん?
それでダメならforti自体がアカンことになると思うんだけど -
>>22
バージョン6.0系の修正が出る可能性あるみたいです。 -
CVE-2022-42475関連。参考まで
SSL-VPNの無効化方法。
https://community.fo...ality-on/ta-p/230801
怪しいログの確認コマンド。
https://community.fo...rflow-in/ta-p/239420
攻撃を受けたかファイルの確認方法。
作成されてると不味いやつ。
https://community.fo...FG-IR-22/td-p/239477
https://community.fo...e-system/td-p/239622 -
>>25
使ってるわヤバ -
6.0.16出たね
-
>>34
認証無しでも不正操作される問題に認証で対策するのか? -
アクセス元制限では対応できないのだろうか?
-
SD-WAN機能触ってみたけどSD-WANとは名ばかりだな
-
そもそもファイアウォール自体がSDと言えなくもない。
-
普通のSD-WANベンダ製品が売れてるって話もあんまり聞かない
ブレイクアウト需要は多いけど -
PaloaltoVM試用版って30日となっているけどいつから30日ですか?
インストールし直せば何度も使えますか? -
FortiGateで0% nice ってなっているんですけど、ここのniceはシステム以外の優先度の
低いプロセスで使っているCPU使用率を表示させているのでしょうか?
# get system performance status
CPU states: 0% user 0% system 0% nice 100% idle 0% iowait 0% irq 0% softirq -
nice値によって優先度が変わるというのは理解したように思えるのですが、
よく分からない。。。。 -
基本的に0%じゃないのかね
-
>>41
おそらくその認識かと思います。
公式見るとnice100%だけだとFortiGateの動作が停止してるようです。
https://docs.fortine...nd-network-resources
Troubleshooting CPU and network resources
FortiGate has stopped working
If the FortiGate has stopped working, the first line of the output will look similar to this:
CPU states: 0% user 0% system 0% nice 100% idle -
idleが100%かと思いましたが
-
niceじゃないす
-
niceのパーセントが上がってる時って、ナイスじゃない事が
起きてるってことでOK?
優先度が何かしらで変わるって事は、優先度があがるようにCPU割り当ててる
感じか。 -
Fortinet JapanのSEさんって、めっちゃメール回答とか安心感ありますわ。
なんだろう、努力した時間の違いなのか?
ああいう、カッコいいSEになりたい。 -
代理店に問い合わせろ
という回答に安心感? -
保守対応に該当する問い合わせは保守契約(保守体制フロー)に基づいて代理店に問い合わせてもらうしか無い
これはどこのメーカーも基本的には同じ -
>>52
ほとんどのメーカーは直接やってるイメージ -
エンドユーザとメーカーで直接保守契約を結ぶことってダイレクトサポート(有償サポート)くらいかなぁ
-
>>53
どこのメーカー? -
>>56
コンシューマー向けw -
コンシューマ向けとかスレチもいいとこ
-
視野が狭い
-
例の病院のVPNでのランサムウェア被害って
使ってるの知ってて連絡の無い保守契約してる業者
イー加減にしろ -
保守業者から?なんの連絡が来るの?
-
保守ベンダから連絡しないでしよう。
保守ベンダは、故障や技術サポートの窓口だから脆弱性情報は聞かれない限り、情報提供もしない。
構築ベンダにセキュリティサポート費用とか払って脆弱性情報貰うか、機器導入してる組織のセキュリティ担当かCERT担当がアンテナたて日々脆弱性情報集めるしかない。
と言っても、IPAのサイトかJPCERTのサイトか、メーカーサイト位しか確認しないけどね。 -
確認して対処できる人がいるならそもそもそんなことになってないねんな
ファルコンとかガチのハッカー雇ってるとこのサービス使えばええんや
じぇーくらーととかいううんちに頼るのは悪手 -
test
-
RSSとかでPSIRT情報来るからそういうのをIT/セキュリティ管理者は見ておかないといけないよねってだけの話なんだけど
全部丸投げしてるからねぇ -
自分の仕事と契約内容がわかってないんだろう
-
保守ベンダーだって普通に連絡取る所多いだろ
ここで連絡取れないとような所は切られるからな
但し、ベンダーとの関係が悪かったり担当者に問題があったりすると別だが
病院系はヤバい担当者も居ると聞くからどっちが問題かはわからん -
影響のデカいセキュリティホールなんかは
メールで連絡してくれてもいいんしゃね?
とは思う。
ベストエフォートで。 -
fortiguard PSIRTアドバイザリを見ないの?
-
>>68
Fortinet PSIRT notification mailで検索 -
情シスがそんなん見るかよ
インフラなんて業者任せや -
あなた、怠惰ですねぇ
-
騒ぐだけしかできない管理者様ばかり
-
複数拠点でipsecVPN(アグレッシブモード)を行う時の設定をしてみたけど、このサイトでいうB拠点とC拠点の通信ができない(pingが通らない)のは仕様なんだろうか
scskのサポート担当に尋ねたらハブアンドスポークでやってくれと言われたが…
私はできるか出来ないかを聞いたんだがなぁ
普通のciscoルータやアライドルータだとできるのに
https://tec-world.ne...co.jp/faq/show/10151 -
debug flow取って調査すればいい
-
>>74
A拠点でB、C向けのIPSEC張れてるなら、B-C間ポリシーをA拠点に入れれば通信通りません? -
>>76
ポリシーもあるけどB,C拠点のIPSecVPN Phase2設定内の送信先アドレスに双方拠点のアドレス入れる必要もあるね
自分の組んだ環境だと拠点間通信も問題ないわ
A拠点もBとの接続設定の送信元アドレスにCのアドレスを含める必要はある -
ちなみに同じ設定で、どこの拠点もグローバルIPが固定だと通信できちゃいました 同じようにメッシュ型じゃなくA拠点中心のスター型で
後出しになって素人丸出しだけれどFortigate60f ファーム7.2.3です -
fortigateのddns設定つかえば良かったかもしれんが、これはやってないです
-
ddns使わずに動的グローバルアドレス間のIPSECは出来ないのでは?
-
導入業者がコレかよ
-
そうだよ震えろ
日本のIT業界なんてこのレベルのが設計構築してんだ -
動的グローバルアドレス間って書いてあるから
-
v7.2系使ってる時点でFortigate素人感漂うな
質問してるNetWorldはまだサポートしてないんだからまともな技術サポートを受ける権利が無くなるから本番環境で使うとかアカン -
逆にCiscoやアライドでどうやったら出来たんだろう
-
>「私はできるか出来ないかを聞いたんだがなぁ」
このくらいのことを構築担当してる業者が訊くとかほんと終わってるのと
理解してない人って整理されて無くて何言ってるかわかんない質問投げてくるから回答する方も大変なんだよね -
>>74
おまえこの構築でおいくら貰ってんの? -
動的IP-動的IPでのIPsecVPN接続は可能だけど、1から説明しないと行けなさそうな感じなんで
おとなしくハブ&スポークでやってって提案されたってとこかな -
S○SKの技術サポートって他社と比べてどんな感じなんでしょうか?
以前問い合わせしたときに技術レベルに疑問を感じることがあって… -
>>93
このシリーズには弱い印象 -
どこの業者も構築や設定差ボートはしません
故障時のサポートです
って言われた経験ある
そう言わんと設定をサポート二丸投げする奴らが居るんだろうな -
「DDNS使えばいいですよ」って案内しても「DDNSってなんですか?」「どうやって設定するんですか?」ってくるのが見えてるからね
-
プロフェッショナルサービス契約すれば
-
だいたいはお金(有償サポート or スキルのある人を雇う)で解決するんだよね
↑今すぐ読める無料コミック大量配信中!↑