概要
FortiGateでSSL-VPNの脆弱性が見つかった
→SSL-VPNは業務で使用していない、今後使用する予定もないのでいっそSSL-VPNを無効化してしまえ
という内容です
対応手順
googleで「fortigate ssl-vpn無効化」などと検索しても公式サイトのURLが出てきませんが、「fortigate ssl-vpn disable」で検索すると以下URLが出てきます。
Technical Tip: How to disable SSL VPN functionality on FortiGate
CLI手順の抜粋です
ファームウェアのバージョンによって手順が異なります
CLI で SSL VPN 設定を構成します (7.2.x、7.0.x、6.4.9 以降の場合)
VDOM(※)未使用の場合
config vpn ssl settings
set status disable
show
end
CLIで1行ずつ実行します
2行目でvpn ssl のステータスを無効化し、3行目で結果を確認します
CLI で ssl.<vdom> を設定します (6.4.8 以前、6.2.x、および 6.0.x の場合)
VDOM(※)未使用の場合
config system interface
edit ssl.root
set status down
show
end
CLIで1行ずつ実行します
3行目でssl.rootのステータスを無効化し、4行目で結果を確認します
SSL VPN サービス無効化確認
SSL VPN サービスが無効になっていることを確認するにはCLIで以下を実行します
diagnose sys process pidof sslvpnd
何も表示されなければ、無効化されています
※Virtual Domains(VDOM)
仮想ドメイン (VDOM) は、FortiGate を独立して機能する 2 つ以上の仮想ユニットに分割するために使用されます。VDOM は個別のセキュリティ ポリシーを提供でき、NAT モードでは、接続されたネットワークごとにルーティングと VPN サービスの完全に個別の構成を提供できます。
https://docs.fortinet.com/document/fortigate/7.2.4/administration-guide/109991/virtual-domains
コメント