FortiGate SSL-VPN脆弱性対応(無効化手順)

概要

FortiGateでSSL-VPNの脆弱性が見つかった

→SSL-VPNは業務で使用していない、今後使用する予定もないのでいっそSSL-VPNを無効化してしまえ

 という内容です

対応手順

googleで「fortigate ssl-vpn無効化」などと検索しても公式サイトのURLが出てきませんが、「fortigate ssl-vpn disable」で検索すると以下URLが出てきます。

Technical Tip: How to disable SSL VPN functionality on FortiGate

CLI手順の抜粋です

ファームウェアのバージョンによって手順が異なります

CLI で SSL VPN 設定を構成します (7.2.x、7.0.x、6.4.9 以降の場合)

VDOM(※)未使用の場合

config vpn ssl settings
set status disable
show
end

CLIで1行ずつ実行します

2行目でvpn ssl のステータスを無効化し、3行目で結果を確認します

CLI で ssl.<vdom> を設定します (6.4.8 以前、6.2.x、および 6.0.x の場合)

VDOM(※)未使用の場合

config system interface
edit ssl.root
set status down
show
end

CLIで1行ずつ実行します 

3行目でssl.rootのステータスを無効化し、4行目で結果を確認します

SSL VPN サービス無効化確認

SSL VPN サービスが無効になっていることを確認するにはCLIで以下を実行します

diagnose sys process pidof sslvpnd

何も表示されなければ、無効化されています

※Virtual Domains(VDOM)

仮想ドメイン (VDOM) は、FortiGate を独立して機能する 2 つ以上の仮想ユニットに分割するために使用されます。VDOM は個別のセキュリティ ポリシーを提供でき、NAT モードでは、接続されたネットワークごとにルーティングと VPN サービスの完全に個別の構成を提供できます。

https://docs.fortinet.com/document/fortigate/7.2.4/administration-guide/109991/virtual-domains

コメント

タイトルとURLをコピーしました