FortiGate のキャプティブポータル認証について

前回、FortiGate の Explicit Proxy 認証の設定方法についてご紹介しました。今回は、キャプティブポータル認証に焦点を当て、これを使用したアクセス制御の方法について詳しく説明します。

関連記事

前回、FortiGate と AD の連携を通してユーザー情報をログに含める方法をご紹介しました。これはネットワークのログ追跡において「誰が」何を行ったのかを特定する方法の 1 つです。今回は、同じくユーザー認証を中心とした内容ですが、Fo[…]

キャプティブポータルとは

  • ゲストユーザーや一時的なアクセス制御を行うための技術
  • 主に公衆無線 LAN サービスなどでよく利用される。
  • 初回アクセス時に認証ページが表示され、認証後に通常のインターネットアクセスが可能となる。

プロキシ認証との違い

キャプティブポータル認証とプロキシ認証の違いは以下のとおりです。

キャプティブポータルプロキシ認証
主な用途Web トラフィックの認証と制御ネットワークアクセスの初回認証
動作原理ユーザが Web サイトにアクセスする際に認証を要求ネットワークへのアクセス時に認証ページにリダイレクト
設定の複雑さ中程度(ブラウザのプロキシ設定が必要な場合も)比較的シンプル(ネットワーク設定のみ)
ユーザーエクスペリエンスWeb ブラウジング時に認証ポップアップが表示されるネットワーク接続後、ブラウザで認証ページが表示される
適用シナリオ組織内の Web トラフィックの管理と監視公共 Wi-Fi、一時的なゲストアクセスなど
クライアントの要件プロキシ設定が必要な場合も特別なクライアントソフトウェアや設定は不要
カスタマイズ限定的(認証ダイアログなど)豊富(ログインページのデザインやメッセージ等)

キャプティブポータル認証の設定手順

ローカルユーザーの作成

  1. FortiGate の Web UI にログインします。
  2. 左側のメニューから「ユーザー&認証」>「ユーザー定義」 へ移動します。
  3. 「新規作成」をクリックして新しいユーザを作成します。
  4. 必要な情報(例:ユーザー名、パスワード)を入力し、「サブミット」をクリックします。
  5. ユーザグループ(例:Internet)を作成して作成したユーザーをメンバーに登録します。

ファイアウォールポリシーの設定

  1. 左側のメニューから「ポリシー&オブジェクト」>「ファイアウォールポリシー」へ移動します。
  2. 適切な設定を入力して「OK」をクリックします。本例では全ての通信を許可します。

キャプティブポータルの設定

  1. 左側のメニューから「ネットワーク」>「インターフェース」 へ移動します。
  2. LAN 側のインターフェース(例では「internal1」)をクリックします。
  3. ネットワークのセキュリティモードを有効にして、「キャプティブポータル」を選択します。
  4. 認証ポータルを指定します。「ローカル」を指定すると FortiGate のデフォルトのポータルページを使用します。
  5. ユーザグループに作成したグループ(例:Internet)を指定します。
  6. その他必要な情報を設定して「OK」をクリックします。

Fortigate の CLI にログインして、以下を実行します。

config user setting
    set auth-cert "Fortinet_Factory"
    set auth-timeout 1
    set auth-timeout-type hard-timeout
end

各設定値の意味は以下のとおりです。

  • set auth-timeout 1
    • 認証のタイムアウトを1分に設定(デフォルトは5分)
  • set auth-timeout-type
    • Idle timeout(デフォルト):特定のアイドル時間が経過するとユーザーのエントリが削除されます。デフォルトの設定では5分です。アイドル時間はクライアントのサインアウト等によりカウントされます。
    • Hard timeout設定した認証タイムアウト時間が経過すると、ユーザーのエントリが削除されます。この操作はユーザーからのトラフィックの有無に関わらず強制的に行われます。
    • New-session timeout:設定した認証タイムアウト時間後に新しいセッションの際に認証が要求されますが、既存のセッションは継続されます。

キャプティブポータル認証の設定手順は以上になります。

動作確認

「userA」で Web サイト(例:https://eicar.org)にアクセスすると、認証ポータルサイトにリダイレクトされます。

認証後、Web サイトにアクセスできます。

同時に diagnose firewall auth list コマンドで、認証状況を確認できます。

FortiGate-80F (root) #  diagnose firewall auth list
 
192.168.101.200, userA
        src_mac: e8:d8:d1:3f:99:e5
        type: fw, id: 0, duration: 3, idled: 0
        expire: 57
        flag(804): hard no_idle
        packets: in 209 out 254, bytes: in 82756 out 36422
        user_id: 16777219
        group_id: 3
        group_name: Internet

次に eicar のサイトから Anti Malware Testfile をダウンロードを試行すると、以下のようにブロックされます。[1]ポリシーでアンチウィルスを有効にしている前提です。

「ログ&レポート」の「セキュリティイベント」に記録され、ユーザー情報(userA)も表示されます。

まとめ

キャプティブポータル認証は、公衆 Wi-Fi や組織内ゲスト Wi-Fi での安全なインターネットアクセスを実現します。FortiGate を使用することで、この認証を簡単に導入・運用できます。さらに、セキュリティポリシーにより、Web の脅威から保護しつつ、認証時のユーザー詳細がログに記録されるため、管理者の監視・追跡が容易になります。

以上

created by Rinker
¥3,080 (2024/05/27 00:34:19時点 楽天市場調べ-詳細)

脚注

脚注
1ポリシーでアンチウィルスを有効にしている前提です。