FortiGate652 HA에서 펌웨어 업그레이드 또는 리부팅 한 경우 IPsec Tunnel down 현상 FortiGate HA 상황에서 펌웨어를 업그레이드 하거나 장비를 리부팅 했을 때 IPsec VPN Tunnel이 다운 되는 경우가 있다. HA의 FortiGate는 Virtual MAC Address를 이용하여 통신하게 되는데, 상단의 스위치에서 FortiGate의 Virtual MAC이 아닌 물리적인 MAC address를 이용하여 응답을 주기 때문이다. HA 상태에서 인터페이스의 MAC Address를 확인하면 아래와 같이 Virtual MAC과 Physical MAC을 확인 할 수 있다. VPN 연결요청은 Virtual MAC(00:09:0F:09:00:00)을 통해서 보내졌는데, 상단 스위치로부터의 응답이 Physical MAC(00:09:0F:85:AD:8B)로 오면서 Phase1 단계에서 M.. 2022. 12. 15. 정책에 설정하지 않았지만 RADIUS 인증을 받는 경우 인증 정책에 설정하지 않은 사용자가 인증에 성공하는 경우가 있다. 아래와 같이 SSLVPN에서 사용자 인증은 FortiGate의 Local 사용자인 "jim", "willy"에 대해서만 인증 설정을 하였다. 하지만 위에 설정되지 않은 사용자인 "ethan"이 인증되어 SSLVPN 접속에 성공하였다. 이는 RADIUS 연동설정에서 "Include in every user group" 설정이 enable 되었기 때문이다. 이 옵션은 방화벽의 모든 User Group에 RADIUS 서버의 사용자를 포함시키는 설정이다. 그렇기 때문에 인증에 설정하지 않은 사용자가 인증 되게 된다. 2022. 12. 14. CVE-2022-42475 : heap 기반 buffer overflow 취약점 대응 최근 알려진 sslvpnd에서 heap 기반 buffer overflow 취약점(CVE-2022-42475)대한 대응 방법이다. 이는 원격의 공격자가 취약점을 이용하여 임의의 코드 또는 명령을 실행할 수 있다. SSLVPN을 사용하지 않을 경우 상관없지만, SSLVPN을 사용한다면 아래의 해결방안의 펌웨어로 즉시 업그레이드 해야 한다. 공격의 경우 다음과 같은 로그가 있거나, Logdesc="Application crashed" and msg="[...] application:sslvpnd,[...], Signal 11 received, Backtrace: [...]“ FortiGate로 부터 아래의 의심되는 IP로의 연결이 발생한다. 또는 "diagnose debug crashlog read" 명령어도.. 2022. 12. 13. scanunit 데몬의 디버그 명령어 scanunit 프로세스의 디버그 명령어가 펌웨어 버전에 따라 조금 다르다. ◉ FortiOS v6.2 이하 diagnose debug application scanunit -1 diagnose debug enable ◉ FortiOS v6.4 이상 diagnose sys scanunit debug all diagnose debug enable 2022. 12. 13. SSLVPN 사용자에게 고정 IP 할당하는 방법 SSLVPN 터널모드로 접속시 IP를 할당 받게 되는데, 이 때 특정 사용자에게 고정된 IP를 할당 하는 방식이다. 현재 FortiGate 자체적으로는 불가능하며, RADIUS 서버를 이용하여 사용자 인증을 하는 경우 RADIUS Attribute를 이용하여 고정 IP 할당이 가능하다. 고정 IP를 할당하기 위해서는 먼저 FortiGate에서 사용자에게 적용할 Portal의 ip-mode 설정을 아래와 같이 변경해야 한다. ip-pools 의 설정된 ip 영역에서 고정된 IP를 할당 해야 한다. 각 사용자별로 RADIUS Attribute중 "Framed-IP-Address" 값을 할당하려는 고정 IP로 설정 하면 된다. 아래의 예는 FortiAuthentocator의 사용자별 RADIUS Attribu.. 2022. 12. 5. 이전 1 ··· 56 57 58 59 60 61 62 ··· 131 다음
