본문 바로가기

FortiGate/ZTNA13

ZTNA Server 설정시 Virtual Host(Any Host / Specify) 기능 설명 ZTNA Server 설정시 Virtual Host를 Any Host 또는 Specify 로 설정 할 수 있다. 이는 엔드포인트 사용자가 목적지 host 주소를 무엇으로 하느냐에 대한 설정이다.  Any Host의 경우, 엔드포인트 사용자 목적지 host 주소를 IP로 하거나 FQDN으로 하거나 상관없이 FortiGate에 설정한 외부 IP 주소(액세스 프록시 VIP)와 일치하는 경우 ZTNA 요청을 실제 서버에 매핑한다. Specify 의 경우는 아래의 예와 같이, 외부 IP 주소는 1개인데 실제 서버는 여러개이고 FQDN을 따로 사용하는 경우이다.이럴경우 엔드포인트 사용자 목적지 host 주소를 특정 FQDN으로 하는 경우를 구분하여 매칭하기 위해 Specify를 사용한다.Web Server FQDN.. 2024. 6. 25.
ZTNA tagging 이슈에 대한 디버그 명령어 FortiGate에서 Debug 명령어.. get system status get system performance status di sys session stat get system ha diag debug console timestamp enable diag endpoint filter show-large-data yes diag debug app fcnacd -1 diagnose debug duration 120 diag debug enable diagnose firewall dynamic list diag test app fcnacd 2 diag test app fcnacd 7 diag endpoint record list diag test app wad 2200 diag test app wad .. 2023. 11. 30.
'Denied: cert auth failed,....cert-status:untrusted fail-reason:(null)' 로그와 함께 ZTNA 사용자가 차단되는 경우 FortiGate에 인증서가 인증되지 않았거나 잘못된 인증서가 설치되어 있어 'Denied: cert auth failed, cert-status:untrusted failure-reason:(null)' 오류가 발생하는 경우가 있다. ZTNA Rule과 ZTNA 서버 설정은 올바르게 되어 있지만, FortiGate에서 인증서가 인증되지 않았거나 잘못된 인증서가 설치되어 있어 발생하는 문제이다. FortiGate와 EMS 연결에 문제가 있어, EMS가 클라이언트에 발급한 인증서에 대한 정보가 서로 동기화 되지 않아 발생한다. 해결하기 위해서는 FortiGate와 EMS 연결을 삭제했다가 다시 연결해야 한다. 1. FortiGate의 Security Fabric -> Fabric connectors 메뉴에.. 2023. 9. 6.
v7.4.0 : IP/MAC Based Access Control 에서 tag에 대한 AND 조건 추가 IP/MAC Based Access Control에서 여러개의 ZTNA Tag를 AND/OR 조건으로 적용하는 기능이 v7.4.0에서 추가 되었다. Tag는 Primary 와 Secondary 로 구분되며, 서로 AND 조건으로 적용된다. 아래 예의 경우 (win_10 OR win_11) AND Windows_AV 이다. 클라이언트가 win_10 또는 win_11 중 하나의 Tag와 함께 Windows_AV Tag를 가지고 있으면 아래 정책이 적용된다. 2023. 5. 17.
ZTNA : 인증 순서 ZTNA를 접속할 때 여러단계의 인증을 거치게 된다. 순서는 다음과 같다. 1. 디바이스 인증 FortiClient가 EMS에 Telemetry로 연결되면, EMS로 부터 인증서를 발급 반게 된다. 발급 받은 인증서 정보는 FortiGate와 공유된다. ZTNA 접속시 제일 먼저 디바이스 인증서를 검증하게 된다. 이 인증서는 FortiClient가 EMS와 연결이 끊어지거나, Clent 등록이 해지되면 EMS에서 발급된 인증서는 삭제된다. FortiClient가 뜬에 다시 연결되면 새로운 인증서를 다시 발급 받게되고 변경된 정보는 FortiGate와 공유하게 된다. 2. 사용자 인증 Authetication Rule과 ZTNA Rule에서 사용자 인증을 사용하게 되면, 디바이스인증을 통과한 연결에 대해 .. 2023. 5. 15.

티스토리툴바