본문 바로가기

FortiGate631

인증서(Certificates) 인증서는 세 가지 주요 목적을 갖는다. 1. 인증Common Name(CN) 또는 주체 대체 이름(SAN) 필드의 값으로 인증서가 나타내는 장치를 식별하는 데 사용. 2. 암호화 및 복호화개인키(private key) 와 공개키(public key)의 쌍으로 트래픽을 암호화하고 복호화하는 데 사용. 3. 무결성(Integrity)트래픽은 발신자와 수신자가 모두 알고 있는 비밀키를 이용하여 해시됨.수신자는 비밀키를 사용하여 해시 값을 확인하고 메시지의 데이터 무결성 및 진위성을 확인. 암호 기반 인증은 사용자가 정의하고 관리에 의존하는 반면, 인증서 기반 인증은 인증 기관에서 발급하고 관리하기 때문에 비교적 암호화 강도가 높고 안전하다. CA(인증서 발급 기관)는 인증서를 발급(sign)하고 이를 보증한다.. 2024. 6. 5.
WIndows에서 사용하는 TSL 암호화 제품군(cipher suites) 확인 FortiGate에서 Https GUI 접속히나 SSLVPN을 접속할 경우, PC에서 사용하는 TSL 암호화 제품군(cipher suites)과 FortiGate에서 사용하는 TSL 암호화 제품군에서 일치하는 항목이 있어야 한다. FortiGate에서 사용 하는 HTTPS GUI 접근 암호화 알고리즘FortiGate에서 사용하는  SSLVPN 암호화 알고리즘 FortiGate의 경우 v6.4 부터 보안을 목적으로 tlsv1-0을 지원하지 않는데, PC에서 tlsv1-0를 사용하면 연결이 불가능하다. Windows PC의 경우 SSL/TLS 버전은 인터넷 속 -> 고급 -> 보안에서 확인 가능하다. PowerShell을 이용하여 Windows 기기에서 제공하는 TLS 암호화 제품군을 확인하는 명령어는 다음.. 2024. 6. 5.
FGCP로 구성된 HA Cluster의 config restore 방법 HA 클러스터에서 백업 받은 config를 Resotre 할때는 primary 장치에서만 Restore를 수행한다.그러면 2 장치 모두 리부팅을 하고 secondary 장비eh 설정이 동기화 된다.active-active, active-passive 2가지 방식 모두 절차는 동일하다. 2024. 5. 29.
Wildcard IP address 사용 방법 Wildcard IP address는 Subnet 달리 짝수 IP address 같은 반복적인 IP 또는 범위를 지정할 수 있다.FortiGate에서는 CLI를 통해 설정 가능하다.Wildcard address의 계산법은 subnet mask와 동일하다.mask bit가 1이면 변하지않는 고정값이고, 0일 경우 어떤 값이든지 올수 있다.위 그림의 예의 경우는 10.0.X.27의 의미로, mask bit가 1인 파란색 숫자는 고정이고, mask bit가 0인 붉은색 X는 어떤 값이든 올 수있다.즉 10.0.0.27, 10.0.1.27, 10.0.2.27, • • • • • •, 10.0.255.27의 의미가 된다. 예를 들어 10.1.1.1/255.255.255.1 의 경우 마스크 비트가 1인(255)  .. 2024. 5. 29.
v7.4.0 : AC, DC 전원이 다른 동일한 모델에 대해 FGCP HA 지원 FortiOS v7.4.0에서 동일한 모델이지만 AC PSU 와 DC PSU로 전원 공급 장치가 서로 다른 장치 간의 FGCP HA를 지원한다.이를 통해 AC에서 전원이 완전히 손실되더라도, AC와는 독립적으로 구성된  DC 전원을 통해 HA 장애 조치가 가능하다. 클러스터 구성원은 동일한 펌웨어,  동일한 모델이어야 하며, AC/DC 전원이외의 하드웨어 구성도 동일해야 한다. 2024. 5. 24.