FortiGate での SSL/TLS インスペクションについて

近年、インターネット上の通信はますます複雑化しており、その中でもセキュリティの確保が急募の課題となっています。HTTPS というセキュアな通信手段が普及してきた一方で、攻撃者もこれを利用し、暗号化されたトラフィック内に悪意のあるコンテンツを隠蔽する手法を取るようになりました。こういった背景から、SSL/TLS インスペクションの重要性が高まってきています。

SSL/TLS インスペクションとは

SSL/TLS インスペクションは、暗号化された通信を透明にすることで、その内容を検査・分析する技術です。一般的に、HTTPS の通信は第三者からの傍受を防ぐ目的で暗号化されていますが、一方で、例えば、暗号化されたトラフィック内にマルウェアや悪意のあるコンテンツが含まれている場合、(暗号化されているため)その内容を検知することができません。SSL/TLS インスペクションを行うことで、これらの暗号化された通信も適切に検査し、セキュリティの確保を図ることができます。

関連記事

FortiGate は、フォーティネット(Fortinet,Inc.)が開発した統合脅威管理(UTM)アプライアンスです。次のような非常に多様な防御機能を持ち、単体で多層防御に対応します。 ステートフルインスペクションファイアウ[…]

FortiGate の設定例

この記事では、上記のような背景を踏まえ、FortiGate を利用して SSL/TLS インスペクションを実現する方法について詳しく解説していきます。

前提条件

以下の環境を前提として進めます。
FortiGate の port1 を使ってインターネット接続ができる状態になっている前提です。

SSL/TLS インスペクションの設定

GUI での設定方法
  1. 左側のメニューから「セキュリティプロファイル」を選択し、「SSL/SSH インスペクション」をクリックします。
  2. 「deep-inspection」を選択し、編集モードにします。
必要な証明書の選択・設定
  1. 「CA 証明書」で FortiGate が生成した証明書「Fortinet_CA_SSL」を選択します。
  2. 設定を保存します。

セキュリティポリシーの設定

インターネットアクセスを想定したポリシーの作成
  1. 左側のメニューから「ポリシー & オブジェクト」を選択し、「ファイアウォールポリシー」をクリックします。
  2. 「新規作成」をクリックして新しいポリシーを作成します
  3. 必要な情報を入力します(着信インターフェース: port2, 発信インターフェース: port1 など)。
  4. 「セキュリティプロファイル」セクションで「SSL インスペクション」を有効化し、「deep-inspection」を選択します。
アンチウィルスや他のセキュリティ機能の統合
  1. 同じ「セキュリティプロファイル」セクションで、「アンチウィルス」を有効化し、適切なプロファイルを選択します。
  2. 他のセキュリティ機能も必要に応じて有効化し、適切なプロファイルを選択します。

動作確認

Windows10からのアクセステスト
  1. Windows10 から、テストのため Web サイト(https://www.fortinet.com/)にアクセスします。
  2. ブラウザのアドレスバーにある鍵のアイコンや証明書のアイコンをクリックして、SSL 証明書の詳細を確認します。
  3. 発行者が「Fortinet」であることを確認します。

初回アクセス時にブラウザからの警告が表示される場合、これは FortiGate が中間者としてSSL 接続を解読し再暗号化しているためです。信頼されていない証明書に関する警告を理解し、必要に応じて例外として証明書をブラウザに追加します。
FortiGate での確認
  1. FortiGate の GUI にログインします。
  2. 左側のナビゲーションパネルで「ログ&レポート」をクリックします。
  3. セキュリティイベントを選択し、イベント状況を確認します。
  4. SSL/TLS インスペクションが適切に動作している場合、イベントに関連するエントリが表示されます。

以上

参考書籍

created by Rinker
¥3,080 (2024/03/02 22:38:18時点 楽天市場調べ-詳細)
この記事を読んで、質問やご意見がある方は、ぜひフォーラムにご投稿ください。
皆さまからの貴重なご意見を心よりお待ちしております。