FortiGate SSL-VPN 사용시, OS Check 기능 사용방법

 

 

Product :

    FortiGate

    FortiClient

 

Detail : FortiGate를 통한 SSL-VPN 사용시, Client User의 OS를 체크하는 방법

    1. 기능 설정 방법

    2. 주의사항

 

---

 

Solution :

    FortiGate를 통한 SSL-VPN 기능을 사용시, FortiClient를 통하여 접속하는 각 유저들의 OS를 확인하고

    특정 OS 버전(혹은 업데이트) 이하의 유저에 대한 접속을 제한할 수 있음.

 

    FortiOS 5.6.0~6.2.0 미만  version 에서는 OS Check는 CLI에서만 적용 가능.

    FortiOS 6.2.0~6.2.2         제한적으로 GUI에서도 적용 가능

    FortiOS 6.2.3 이후           GUI상에서도 정상적으로 적용 가능

     

 

    -1. 기능 설정 방법

        SSL-VPN 설정 중, Portal 설정의 [Restrict to Specific OS Versions] 를 통해 OS별 동작설정 가능.

 

FortiOS 6.2.3 기준 OS Check 설정화면 (GUI)

FortiOS 6.2.3 기준 OS Check 설정화면 (CLI)

 

        -Action : 해당하는 OS 버전이 들어왔을때의 동작 설정

            =Allow : SSL-VPN 접속 허용

            =Deny : SSL-VPN 접속 거부

            =Check up to date : OS 업데이트 version 확인 (ex. Windows의 경우 서비스팩 등)

                * Latest patch level: 가장 최신의 업데이트 버전 명시

                * Tolerance: OS 업데이트 레벨 허용 범위값 (0 ~ 65535)

 

            Check-up-to-date 적용 = latest-patch-level – tolerance

            Ex) Windows 7의 latest-patch-level: 3 / tolerance: 1일 때,

                 Window ServicePack3와 ServicePack2까지는 허용되지만, 그 밑의 서비스팩 버전은 접속 거부됨

 

     

OS check Fail로 인해 Client가 받게되는 오류코드

SSL-VPN User가 OS Check에 실패했을시, FortiGate에서 확인되는 VPN Evnet Log

 

 

 

    -2. 주의사항

        =접속할 Client가 Mac OS일 경우...

        FortiGate의 펌웨어 버젼을 꼭 확인해야함.

        각 FortiOS 버전별로 최대 제한 가능한 MacOS 버전이 틀림.

 

        =FortiClient VPN Only일 경우...

        FortiClient v6.2 이상의 VPN Only 버전에서는, 위의 OS Check기능 사용불가.

        이상의 기능을 사용하고 싶을시, Full Version Client 사용 필요.

        

 

Link : Fortinet Docs