FortiGate TCPタイムスタンプ、暗号化方式TLSv1.1無効化

IT技術解説

FortiGate TCPタイムスタンプ、暗号化方式TLSv1.1無効化方法を解説

Fortinet社の次世代ファイアウォール機器「FortiGate」は型番、設定可能な内容の多さが特徴で、小規模から大規模のネットワークで利用することができます。

用途はファイアウォール機能はもちろん、PPPoEなどでのインターネット接続、ルーティング、SD-WANやAPの管理(無線コントローラー)までもが可能です。中でも、SSL-VPNサーバとして外部からの接続を可能にする機能はテレワークが増加した近年の企業から需要が高まっています。

SSL-VPNではインターネット側からのアクセスを許可し、通信を行う機器のため、セキュリティを強化する設定を行っておく必要があります。

FortiGateでSSL-VPNを利用時に必要なセキュリティ

今回はかなり限定的な設定方法の紹介となりますが、SSL-VPNを利用する際、デフォルトで有効化されてしまうにもかかわらず、あまり無効にする方法の知られていない、セキュリティを強化するコマンドについて解説してきます。    

  ※今回はFortiOS 6.2でのコマンドを紹介しています、6.2以前のバージョンを利用している場合はコマンドが入らない場合があります。

  ※SSL-VPNを有効化していない場合、この設定は無効のままなので不要となります。

※SSL-VPNを有効化している場合は2022年12月に公開されたOS脆弱性の対象となりますのでご利用のファームウェアバージョンの確認が必要です。[FortiGate-cve-2022-42475の対象OS]

TCPタイムスタンプの無効化方法

[Prevent FortiGate from responding with TCP timestamp]
  ※Fortinet公式 Technical Note

デフォルトのFortiGateの状態だと、TCPタイムスタンプの応答が有効化されており、外部からの脆弱性スキャンなどで検出される場合があります。

こちらはよくポートスキャンなどのセキュリティの脆弱性を確認するソフトなどで引っかかることもあり、有効化しておくメリットもないため、無効に設定変更を行っておくことをお勧めします。

TCPタイムスタンプの設定は下記のコマンドで行います。

TEST-FW-01# config global
TEST-FW-01 (global)# config system global
TEST-FW-01 (global)# set tcp-option disable
TEST-FW-01 (global)# end
設定はグローバルモードに入力します。[set tcp-option disable]という一行のみで設定が可能です。
もし有効にしたい場合は[set tcp-option enable]と入力します。

暗号化方式 TLSv1.1の無効化方法

[How to control the SSL version and cipher suite for SSL VPN]
  ※Fortinet公式 Technical Note

SSL-VPNの設定を行った際に、暗号化方式TLSのver1.1が自動で有効化されてしまいます。

TLSver1.1はセキュリティはが低く、様々なブラウザやサービスで推奨されていないため無効化することをお勧めします。

少ないかとは思いますがTLSv1.1を利用したソフトなどがあった場合、正常に動作しなくなる場合があります。

TLSv1.1の無効化は下記のコマンドで行います。

TEST-FW-01 (root)# config vpn ssl settings
TEST-FW-01 (settings)# set ssl-min-proto-ver tls1-2
TEST-FW-01 (settings)# end

Warning: You are using one of the factory default certificates.
For better security, please use a proper signed certificate.
TLSv1.1を指定して無効にする、という方法ではなく最小バージョン[min]を1.2と設定することで1.1を利用しないように設定します。
1.1、1.2を無効化したい場合は[set ssl-minproto-ver tls1-3]となります

こちらのコマンドを入力すると、FortiGateの自己証明書に関する警告文が表示される場合があります。

詳しくはFortinet公式サイト内のドキュメント「Fortinet Document Library」をご確認ください。

なおこちらの警告文は「公的証明書」ではなく、FortiGateが発行した「自己証明書」を利用しているので、セキュリティを強化するためには「公的証明書」を利用してくださいといった意味の文言です。

公的証明書か自己証明書を利用するかはその導入要件によるので、警告文が出ているから対応しなくてはいけないということではありません。ただ、セキュリティの低い「自己証明書」を使用しているという意識を持っておき理解しておくことをお勧めします。

その他のネットワークに関する技術