MY TECH BLOG

FortiGate の Explicit Proxy を用いたユーザー認証について

技術ブログ

前回、FortiGate と AD の連携を通してユーザー情報をログに含める方法をご紹介しました。これはネットワークのログ追跡において「誰が」何を行ったのかを特定する方法の 1 つです。
今回は、同じくユーザー認証を中心とした内容ですが、FortiGate の Explicit Proxy 認証という異なる手段を紹介します。

関連記事
FortiGate と AD の連携:ユーザー情報をログに含める方法

ネットワークのログを追跡することは多くの組織で行われていますが、その中の「誰が」何を行ったのか、具体的なユーザー情報が不明瞭であることが課題となっています。Active Directory(以下 AD)と FortiGate の連携を行[…]

目次

Explicit Proxy について

AD 連携と Explicit Proxy 認証の違い

前回紹介した AD 連携は、主に Active Directory 上のユーザー情報と FortiGate を連携させる手法です。この連携を行うことで、ユーザーが AD でログインした際の情報を FortiGate が取得し、その情報を基にアクセス制御やログ取得を行います。一方、Explicit Proxy 認証は、ユーザーがインターネットにアクセスする際に、Proxy サーバーを経由して認証を行う方式です。この認証は、独立して行われ、AD のユーザーログインとは関係ありません。

SWG との関連性

Security Web Gateway(SWG)は、企業のネットワークとインターネットの間に位置し、ユーザーの Web アクセスをセキュアに保つためのソリューションです。Explicit Proxy 認証は、SWG の一部として実装されることも多く、Web トラフィックを中心に、特定のコンテンツやアプリケーションへのアクセス制御、マルウェア対策、データ漏洩防止などの機能を提供します。

Proxy認証が有効なシチュエーション

Explicit Proxy 認証は、特定のアプリケーションやサービスへのアクセスを制御するシチュエーションや、AD を使用していない環境でのユーザー認証を行いたい場合に有効です。また、外部からのアクセスやゲストユーザーへの一時的なインターネットアクセスの制御にも適しています。Explicit Proxy を使用することで、中央でアクセス制御を行い、同時にユーザーアクティビティのログを取得することが可能となります。

Explicit Proxy 認証の設定手順

ローカルユーザーの作成

  1. FortiGate の Web UI にログインします。
  2. 左側のメニューから「ユーザー&認証」>「ユーザー定義」 へ移動します。
  3. 「新規作成」をクリックして新しいユーザを作成します。
  4. 必要な情報(例:ユーザー名、パスワード)を入力し、「サブミット」をクリックします。

Explicit Proxy の設定

Fortigate の CLI にログインして、以下を実行します。

config vdom
edit root
config system settings
set gui-explicit-proxy
end
  1. 左側のメニューから「システム」>「表示機能設定」へ移動します。
  2. 「Explicit プロキシ」のオプションを有効化します。
  3. 左側のメニューから「ネットワーク」>「Explicit プロキシ」へ移動します。
  4. 「Explicit Web プロキシ」のオプションを有効化します。
  5. 適切な設定を入力して「適用」をクリックします。

認証ルールの設定

  1. 左側のメニューから「ポリシー&オブジェクト」>「認証ルール」 へ移動します。
  2. 「新規作成」>「認証方式」をクリックして認証方式を作成します。
  3. 必要な情報(例:名前、方式)を入力し、「OK」をクリックします。
  4. 次に「新規作成」>「認証ルール」をクリックして認証ルールを作成します。
  5. 必要な情報(例:名前、送信元アドレス)を入力し、作成した認証方式を指定して「OK」をクリックします。

プロキシポリシーの設定

  1. 左側のメニューから「ポリシー&オブジェクト」 > 「プロキシポリシー」へ移動します。
  2. 「新規作成」をクリックしてプロキシポリシーを作成します。
  3. 送信元に作成したユーザー(例:user01,user02)を指定し、「OK」をクリックします。

クライアントのブラウザ設定

  1. クライアントの Web ブラウザを開き、プロキシの設定を行います。
  2. プロキシサーバーのアドレスとして FortiGate の IP アドレスを入力し、上記で設定した HTTP/HTTPS のポート番号を指定します。
  3. これで、クライアントが Web サイトにアクセスしようとすると、FortiGate は Basic 認証のポップアップを表示し、ユーザーに認証情報の入力を求めます。

Explicit Proxy 認証の設定手順は以上になります。

動作確認

「user01」で「https://google.com」にアクセスしてみます。

「転送トラフィック」を見ると、送信元にユーザー情報「user01」が表示されています。

まとめ

FortiGate を使用したユーザー認証の方法は、様々なアプローチや設定が存在します。この記事では、Explicit Proxy 認証を中心に設定手順を詳細に解説しましたが、前回の記事で触れた AD との連携など、別の方法も考えられます。

  • AD 連携特定の組織内で一元管理されているユーザー情報を活用し、ログにユーザー情報を含めることで、誰が何を行ったのかを特定しやすくなる方法です。

  • Explicit Proxy 認証:ユーザー毎のアクセス制御やログ取得の精度を上げるために、Proxy 認証を利用する方法です。特にゲストや一時的なユーザーへのアクセス制御に有効です。

それぞれの方法は、状況や要件によって最適な選択が異なるため、適切な認証手段を選択することが重要です。

以上

FortiGate完全攻略 [ 椎屋淳伸 ]
created by Rinker
¥3,080 (2024/05/03 00:08:41時点 楽天市場調べ-詳細)