FortiGate TCPタイムスタンプ、暗号化方式TLSv1.1無効化

FortiGate TCPタイムスタンプ、暗号化方式TLSv1.1無効化方法を解説

Fortinet社の次世代ファイアウォール機器「FortiGate」は型番、設定可能な内容の多さが特徴で、小規模から大規模のネットワークで利用することができます。

用途はファイアウォール機能はもちろん、PPPoEなどでのインターネット接続、ルーティング、SD-WANやAPの管理(無線コントローラー)までもが可能です。中でも、SSL-VPNサーバとして外部からの接続を可能にする機能はテレワークが増加した近年の企業から需要が高まっています。

SSL-VPNではインターネット側からのアクセスを許可し、通信を行う機器のため、セキュリティを強化する設定を行っておく必要があります。

FortiGateでSSL-VPNを利用時に必要なセキュリティ

今回はかなり限定的な設定方法の紹介となりますが、SSL-VPNを利用する際、デフォルトで有効化されてしまうにもかかわらず、あまり無効にする方法の知られていない、セキュリティを強化するコマンドについて解説してきます。 　 　

　　※今回はFortiOS 6.2でのコマンドを紹介しています、6.2以前のバージョンを利用している場合はコマンドが入らない場合があります。

　　※SSL-VPNを有効化していない場合、この設定は無効のままなので不要となります。

FortiGateゼロデイ脆弱性-対象OS一覧 ログからの侵入確認方法

2022年12月12日-SSL-VPNにおける脆弱性 2022年の12月12日にFortiGateを販売しているFortinet社は、OSの脆弱性(SSL-VPNにおけるヒープベースのバッファーオーバーフローの脆弱性)に関するPSIRTアド...

invisibletechnology.jp

2022.12.19

※SSL-VPNを有効化している場合は2022年12月に公開されたOS脆弱性の対象となりますのでご利用のファームウェアバージョンの確認が必要です。[FortiGate-cve-2022-42475の対象OS]

TCPタイムスタンプの無効化方法

[Prevent FortiGate from responding with TCP timestamp]
　　※Fortinet公式 Technical Note

デフォルトのFortiGateの状態だと、TCPタイムスタンプの応答が有効化されており、外部からの脆弱性スキャンなどで検出される場合があります。

こちらはよくポートスキャンなどのセキュリティの脆弱性を確認するソフトなどで引っかかることもあり、有効化しておくメリットもないため、無効に設定変更を行っておくことをお勧めします。

TCPタイムスタンプの設定は下記のコマンドで行います。

TEST-FW-01# config global
TEST-FW-01 (global)# config system global
TEST-FW-01 (global)# set tcp-option disable
TEST-FW-01 (global)# end

設定はグローバルモードに入力します。[set tcp-option disable]という一行のみで設定が可能です。
もし有効にしたい場合は[set tcp-option enable]と入力します。

暗号化方式 TLSv1.1の無効化方法

[How to control the SSL version and cipher suite for SSL VPN]
　　※Fortinet公式 Technical Note

SSL-VPNの設定を行った際に、暗号化方式TLSのver1.1が自動で有効化されてしまいます。

TLSver1.1はセキュリティはが低く、様々なブラウザやサービスで推奨されていないため無効化することをお勧めします。

少ないかとは思いますがTLSv1.1を利用したソフトなどがあった場合、正常に動作しなくなる場合があります。

TLSv1.1の無効化は下記のコマンドで行います。

TEST-FW-01 (root)# config vpn ssl settings
TEST-FW-01 (settings)# set ssl-min-proto-ver tls1-2
TEST-FW-01 (settings)# end

Warning: You are using one of the factory default certificates.
For better security, please use a proper signed certificate.

TLSv1.1を指定して無効にする、という方法ではなく最小バージョン[min]を1.2と設定することで1.1を利用しないように設定します。
1.1、1.2を無効化したい場合は[set ssl-minproto-ver tls1-3]となります

こちらのコマンドを入力すると、FortiGateの自己証明書に関する警告文が表示される場合があります。

詳しくはFortinet公式サイト内のドキュメント「Fortinet Document Library」をご確認ください。

なおこちらの警告文は「公的証明書」ではなく、FortiGateが発行した「自己証明書」を利用しているので、セキュリティを強化するためには「公的証明書」を利用してくださいといった意味の文言です。

公的証明書か自己証明書を利用するかはその導入要件によるので、警告文が出ているから対応しなくてはいけないということではありません。ただ、セキュリティの低い「自己証明書」を使用しているという意識を持っておき理解しておくことをお勧めします。

【書籍レビュー】『FortiGateで始める企業ネットワークセキュリティ』

【書籍紹介・レビュー】『FortiGateで始める 企業ネットワークセキュリティ』 この記事では書籍『FortiGateで始める 企業ネットワークセキュリティ』を購入を検討している方向けの書籍紹介・レビューを行います。 はじめに 現代の企業...

invisibletechnology.jp

2023.04.23

その他のネットワークに関する技術

OSアップグレードパスとは？FortiGate確認方法 脆弱性対策

ネットワーク機器のOSアップグレードについて ネットワーク機器の運用、保守の作業範囲でファームウェアのアップグレードを行う必要がある場合があります。アップデートを行う理由は様々ですが、一番多いかつ重要で早急に対応する必要がある状況が「OSに...

invisibletechnology.jp

2022.12.21

ゼロトラストとは？考え方と導入例、メリット・デメリットを解説

ネットワークにおけるセキュリティの考え方 ネットワークのセキュリティといわれて、一番に思い浮かぶものはなんでしょうか？ ファイアウォールやウイルス対策ソフト、などが一般的によく知られており、システムエンジニアでなくともご存じの方は多いのでは...

invisibletechnology.jp

2022.02.04

マルウェアとは？感染経路と対策方法を解説-C&Cサーバーの脅威

コンピュータウイルスへの感染やハッキング、それによる情報漏洩などインターネットに接続している限り、中小企業から大企業までサイバーセキュリティを強化することは大切といえます。 その中でコンピュータウイルスは「マルウェア」という悪意あるソフトウ...

invisibletechnology.jp

2022.04.26

リンクアグリゲーション LACPの設定方法コマンドと利用メリット

リンクアグリゲーション の用語の意味とLAGに関係するプロトコルの解説、利用場面と機種ごとのコマンド事例紹介。 ※インフラエンジニア向けの記事になります。記事のリストはこちら。 リンクアグリゲーション とは リンクアグリゲーション LAG ...

invisibletechnology.jp

2022.01.31