はじめに
前回、FortiGate と AD の連携を通してユーザー情報をログに含める方法をご紹介しました。これはネットワークのログ追跡において「誰が」何を行ったのかを特定する方法の 1 つです。
今回は、同じくユーザー認証を中心とした内容ですが、FortiGate の Explicit Proxy 認証という異なる手段を紹介します。
はじめに ネットワークのログを追跡することは多くの組織で行われていますが、その中の「誰が」何を行ったのか、具体的なユーザー情報が不明瞭であることが課題となっています。Active Directory(以下 AD)と FortiGa[…]
Explicit Proxy について
- AD 連携と Explicit Proxy 認証の違い:
前回紹介した AD 連携は、ユーザーが AD でログインした際の情報を FortiGate が取得し、その情報を基にアクセス制御やログ取得を行います。
一方、Explicit Proxy 認証は、ユーザーがインターネットにアクセスする際に、Proxy サーバーを経由して認証を行う方式です。この認証は、独立して行われ、AD のユーザーログインとは関係ありません。
- SWG との関連性:
Security Web Gateway(SWG)は、企業のネットワークとインターネットの間に位置し、ユーザーの Web アクセスをセキュアに保つためのソリューションです。
Explicit Proxy 認証は、SWG の一部として実装されることも多く、Web トラフィックを中心に、特定のコンテンツやアプリケーションへのアクセス制御やマルウェア対策などの機能を提供します。
- Proxy認証が有効なシチュエーション:
Explicit Proxy 認証は、特定のアプリケーションやサービスへのアクセスを制御する際や、AD を使用していない環境でのユーザー認証を行いたい場合に有効です。また、外部からのアクセスやゲストユーザーへの一時的なインターネットアクセスの制御にも適しています。
Explicit Proxy 認証の設定手順
ローカルユーザーの作成
- FortiGate の Web UI にログインします。
- 左側のメニューから「ユーザー&認証」>「ユーザー定義」 へ移動します。
- 「新規作成」をクリックして新しいユーザを作成します。
- 必要な情報(例:ユーザー名、パスワード)を入力し、「サブミット」をクリックします。
Explicit Proxy の設定
Fortigate の CLI にログインして、以下を実行します。
config vdom
edit root
config system settings
set gui-explicit-proxy
end
- 左側のメニューから「システム」>「表示機能設定」へ移動します。
- 「Explicit プロキシ」のオプションを有効化します。
- 左側のメニューから「ネットワーク」>「Explicit プロキシ」へ移動します。
- 「Explicit Web プロキシ」のオプションを有効化します。
- 適切な設定を入力して「適用」をクリックします。
認証ルールの設定
- 左側のメニューから「ポリシー&オブジェクト」>「認証ルール」 へ移動します。
- 「新規作成」>「認証方式」をクリックして認証方式を作成します。
- 必要な情報(例:名前、方式)を入力し、「OK」をクリックします。
- 次に「新規作成」>「認証ルール」をクリックして認証ルールを作成します。
- 必要な情報(例:名前、送信元アドレス)を入力し、作成した認証方式を指定して「OK」をクリックします。
プロキシポリシーの設定
- 左側のメニューから「ポリシー&オブジェクト」 > 「プロキシポリシー」へ移動します。
- 「新規作成」をクリックしてプロキシポリシーを作成します。
- 送信元に作成したユーザー(例:user01,user02)を指定し、「OK」をクリックします。
クライアントのブラウザ設定
- クライアントの Web ブラウザを開き、プロキシの設定を行います。
- プロキシサーバーのアドレスとして FortiGate の IP アドレスを入力し、上記で設定した HTTP/HTTPS のポート番号を指定します。
- これで、クライアントが Web サイトにアクセスしようとすると、FortiGate は Basic 認証のポップアップを表示し、ユーザーに認証情報の入力を求めます。
Explicit Proxy 認証の設定手順は以上になります。
動作確認
「user01」で「https://google.com」にアクセスしてみます。
「転送トラフィック」を見ると、送信元にユーザー情報「user01」が表示されています。
まとめ
FortiGate を使用したユーザー認証の方法は、様々なアプローチや設定が存在します。この記事では、Explicit Proxy 認証を中心に設定手順を詳細に解説しましたが、前回の記事で触れた AD との連携など、別の方法も考えられます。
AD 連携:
特定の組織内で一元管理されているユーザー情報を活用し、ログにユーザー情報を含めることで、誰が何を行ったのかを特定しやすくなる方法です。
Explicit Proxy 認証:
ユーザー毎のアクセス制御やログ取得の精度を上げるために、Proxy 認証を利用する方法です。特にゲストや一時的なユーザーへのアクセス制御に有効です。
それぞれの方法は、状況や要件によって最適な選択が異なるため、適切な認証手段を選択することが重要です。
以上