본문 바로가기

FortiGate/ZTNA7

ZTNA tagging 이슈에 대한 디버그 명령어 FortiGate에서 Debug 명령어.. get system status get system performance status di sys session stat get system ha diag debug console timestamp enable diag endpoint filter show-large-data yes diag debug app fcnacd -1 diagnose debug duration 120 diag debug enable diagnose firewall dynamic list diag test app fcnacd 2 diag test app fcnacd 7 diag endpoint record list diag test app wad 2200 diag test app wad .. 2023. 11. 30.
'Denied: cert auth failed,....cert-status:untrusted fail-reason:(null)' 로그와 함께 ZTNA 사용자가 차단되는 경우 FortiGate에 인증서가 인증되지 않았거나 잘못된 인증서가 설치되어 있어 'Denied: cert auth failed, cert-status:untrusted failure-reason:(null)' 오류가 발생하는 경우가 있다. ZTNA Rule과 ZTNA 서버 설정은 올바르게 되어 있지만, FortiGate에서 인증서가 인증되지 않았거나 잘못된 인증서가 설치되어 있어 발생하는 문제이다. FortiGate와 EMS 연결에 문제가 있어, EMS가 클라이언트에 발급한 인증서에 대한 정보가 서로 동기화 되지 않아 발생한다. 해결하기 위해서는 FortiGate와 EMS 연결을 삭제했다가 다시 연결해야 한다. 1. FortiGate의 Security Fabric -> Fabric connectors 메뉴에.. 2023. 9. 6.
v7.4.0 : IP/MAC Based Access Control 에서 tag에 대한 AND 조건 추가 IP/MAC Based Access Control에서 여러개의 ZTNA Tag를 AND/OR 조건으로 적용하는 기능이 v7.4.0에서 추가 되었다. Tag는 Primary 와 Secondary 로 구분되며, 서로 AND 조건으로 적용된다. 아래 예의 경우 (win_10 OR win_11) AND Windows_AV 이다. 클라이언트가 win_10 또는 win_11 중 하나의 Tag와 함께 Windows_AV Tag를 가지고 있으면 아래 정책이 적용된다. 2023. 5. 17.
ZTNA : 인증 순서 ZTNA를 접속할 때 여러단계의 인증을 거치게 된다. 순서는 다음과 같다. 1. 디바이스 인증 FortiClient가 EMS에 Telemetry로 연결되면, EMS로 부터 인증서를 발급 반게 된다. 발급 받은 인증서 정보는 FortiGate와 공유된다. ZTNA 접속시 제일 먼저 디바이스 인증서를 검증하게 된다. 이 인증서는 FortiClient가 EMS와 연결이 끊어지거나, Clent 등록이 해지되면 EMS에서 발급된 인증서는 삭제된다. FortiClient가 뜬에 다시 연결되면 새로운 인증서를 다시 발급 받게되고 변경된 정보는 FortiGate와 공유하게 된다. 2. 사용자 인증 Authetication Rule과 ZTNA Rule에서 사용자 인증을 사용하게 되면, 디바이스인증을 통과한 연결에 대해 .. 2023. 5. 15.
ZTNA 디바이스 인증서 확인 FortiClient ZTNA 에이전트가 FortiClient EMS에 등록하면, 클라이언트는 ZTNA 인증 기관(CA) 역할을 하는 EMS에서 클라이언트 인증서를 얻기 위해 인증서 서명 요청(CSR : Certificate Signing Request)을 하게된다. 이렇게 발급 받은 클라이언트 디바이스 인증서 정보는 FortiCLient EMS가 FortiGate와 동기화 하여, ZTNA 클라이언트가 ZTNA 연결을 할때 디바이스를 인증하는 역할을 하게된다. 클라이언트 디바이스에서 인증서를 확인하는 방법 은 다음과 같다. ① 윈도우즈 task bar 검색창에서 '사용자 인증서' 라고 검색해서, '사용자 인증서 관리'를 실행한다. ② '개인용 > 인증서' 화면에서 FCTEMSxxxxxxx 가 발급한 인증.. 2022. 7. 7.

티스토리툴바