FortiGate/SSLVPN70 Android에서 SSLVPN 2-factor 인증이 안되는 경우 안드로이드에서 FortiToken등을 이용하여 2-factor 인증을 할때 접속이 실패하는 경우가 있다. 여러가지 이유가 있겠지만 SSLVPN의 하드웨어 가속으로 인하여 문제가 발생할 수도 있다. 이런경우 아래의 명령어를 이용하여 SSLVPN 가속을 비활성화 하여 해결 가능하다. config system global set sslvpn-kxp-hardware-acceleration disable set sslvpn-cipher-hardware-acceleration disable end FortiOS v7.2이상에서는 하드웨어 가속이 제거되어 하드웨어 가속으로 인한 문제는 발생하지 않을 것이다. 2023. 1. 12. SSLVPN Web Mode에서 내부 DNS가 동작하지 않는 경우 SSLVPN은 내부 DNS를 설정하여 SSLVPN 접속시 내부 DNS로 query 할 수 있다. 하지만 Web mode에서는 제대로 동작하지 않는다. 아래의 설정 처럼 SSLVPN 내부 DNS 설정은 Tunnel Mode 접속에 대한 설정이기 때문에 Web Mode에서는 동작하지 않는다. SSLVPN Web mode는 Proxy로 동작하는 방식으로 client ↔ SSVPN 장비, SSVPN 장비 ↔ 접속 server 으로 2개의 세션이 생성된다. 실제 접속 서버로의 접근이 SSLVPN 장비(FortiGate)에서 시작하므로 DNS query를 FortiGate에 설정된 DNS 서버를 사용하게되어 아래와 값이 DNS resolve faild 가 발생한다. 이를 해결하기 위해서는 FortiGate의 DNS.. 2022. 12. 20. CVE-2022-42475 : heap 기반 buffer overflow 취약점 대응 최근 알려진 sslvpnd에서 heap 기반 buffer overflow 취약점(CVE-2022-42475)대한 대응 방법이다. 이는 원격의 공격자가 취약점을 이용하여 임의의 코드 또는 명령을 실행할 수 있다. SSLVPN을 사용하지 않을 경우 상관없지만, SSLVPN을 사용한다면 아래의 해결방안의 펌웨어로 즉시 업그레이드 해야 한다. 공격의 경우 다음과 같은 로그가 있거나, Logdesc="Application crashed" and msg="[...] application:sslvpnd,[...], Signal 11 received, Backtrace: [...]“ FortiGate로 부터 아래의 의심되는 IP로의 연결이 발생한다. 또는 "diagnose debug crashlog read" 명령어도.. 2022. 12. 13. SSLVPN 사용자에게 고정 IP 할당하는 방법 SSLVPN 터널모드로 접속시 IP를 할당 받게 되는데, 이 때 특정 사용자에게 고정된 IP를 할당 하는 방식이다. 현재 FortiGate 자체적으로는 불가능하며, RADIUS 서버를 이용하여 사용자 인증을 하는 경우 RADIUS Attribute를 이용하여 고정 IP 할당이 가능하다. 고정 IP를 할당하기 위해서는 먼저 FortiGate에서 사용자에게 적용할 Portal의 ip-mode 설정을 아래와 같이 변경해야 한다. ip-pools 의 설정된 ip 영역에서 고정된 IP를 할당 해야 한다. 각 사용자별로 RADIUS Attribute중 "Framed-IP-Address" 값을 할당하려는 고정 IP로 설정 하면 된다. 아래의 예는 FortiAuthentocator의 사용자별 RADIUS Attribu.. 2022. 12. 5. SSLVPN disable 하는 방법 SSLVPN을 enable 해서 사용하다가 disable하면, 아래와 같이 "Listen on Interface" 항목을 삭제 할수 없으며 여전히 " "ssl.root" 인터페이스는 남아 있게 된다. GUI에서 불가능 하지만 CLI 명령어를 통해 disable 가능하다. CLI 명령어 실행전에 "ssl.root" 인터페이스에 설정된 모든 방화벽 정책 및 다른 reference들은 삭제 되어야 한다. vdom에 구성된 경우 'ssl.'을 포함하는 정책을 삭제해야 한다. 명령어를 실행하고 나면 아래와 같이 ssl.root 인터페이스가 삭제된다. VOM 구성이라면 아래의 명령어로 disable 한다. 2022. 11. 25. 이전 1 ··· 3 4 5 6 7 8 9 ··· 14 다음
