皆さん、こんにちは。
ネットワールドSE 　西日本技術部の廣澤です。

 

今回は、「ZTNAアクセスプロキシ」の第2回目として、

｢TCPフォワードアクセスプロキシ｣をご紹介します。

是非、最後までお読みいただければ幸いです。

• TCPフォワードアクセスプロキシについて
  • 概要
  • ZTNA Destinationとは
  • 設定方法
    • FortiGate
    • FortiClientEMS(ZTNA Destination)
  • 動作確認
    • セキュリティ条件を満たす端末からの接続
    • セキュリティ条件を満たさない端末からの接続
• ※おまけ「TCP(HTTP)サーバにFQDNで接続すると？」
• 最後に

TCPフォワードアクセスプロキシについて

概要

リモート環境に存在するTCPで動作するサーバへのアクセスには、

「TCPフォワードアクセスプロキシ」

を使用します。

サーバへ接続するまでの流れは「HTTP/HTTPSアクセスプロキシ」とほぼ同じですが、

「TCPフォワードアクセスプロキシ」にはFortiClientの「ZTNA Destination」機能が必須となります。

※「HTTP/HTTPSアクセスプロキシ」についてはこちらをご参照ください。

blogs.networld.co.jp

ZTNA Destinationとは

「ZTNA Destination」はFortiClientEMSと連携したFortiClientで利用できる機能の１つです。

この機能は、

『アプリケーションで指定した宛先』と

『FortiClientに設定された宛先情報』を比較して、

一致したトラフィックをカプセル化して送信します。

上図はFQDNを利用していますがIPアドレスを直接指定する通信の場合は下図のように、

「社外からプライベートIPを指定して社内のサーバにアクセス出来る」ようになります。

※下記の設定はリモートデスクトップの利用を想定した設定になっています。

設定方法

FortiGate

1．ZTNAメニューの表示

※設定箇所は「HTTP/HTTPSアクセスプロキシ」と同様となるため割愛します。

2．ZTNAサーバの作成

ZTNAサーバから「TCPフォワードアクセスプロキシ」を作成します。

2-1．外部からの待ち受け設定

端末の通信を待ち受けるインターフェース/アドレス/ポート番号/証明書を設定します。

2-2．リモートTCP(RDP)サーバの指定

FortiGateが受け取った通信を転送する先のTCP(RDP)サーバを設定します。

3．FWポリシーの作成

ZTNAサーバを使ったFWポリシーを作成します。

以上でFortiGateの設定は完了です。

FortiClientEMS(ZTNA Destination)

1．アプリケーションカタログの確認

FortiClientEMSには「ZTNA Application Catalog」という便利な機能があります。

FortiGateで作成した「TCPフォワードアクセスプロキシ」の設定は、

この機能で自動的に「ZTNA Destination」の宛先として登録されます。

※手動登録も可能ですが、自動登録の方が効率的です。

2．ZTNA Destinationプロファイルの作成

VPN設定等と同様に「ZTNA Destination」もプロファイルとしてFortiClientへ配布されます。

3．配布ポリシーの作成

プロファイルを配布するためのポリシーを作成します。

以上でZTNA Destinationの設定は完了です。

動作確認

セキュリティ条件を満たす端末からの接続

以下は接続時に端末で取得したパケットキャプチャです。

セキュリティ条件を満たさない端末からの接続

※おまけ「TCP(HTTP)サーバにFQDNで接続すると？」

上記ではIPアドレスの変遷を分かりやすくするためにFQDNを使いませんでしたが、

FQDNを使う場合はどんな設定になるか簡単にご紹介します。

【TCPフォワードアクセスプロキの設定】

※FWポリシー設定は上記と同様の為、割愛します。

【ZTNA Destinationの設定】

【動作確認】

なお、「ZTNA Destination」で「Encryption」を有効にしていなかった場合、

以下のような結果になります。

最後に

HTTP/HTTPSアクセスプロキシと比較すると「ZTNA Destination」の設定が必要ですが、

「ZTNA Application Catalog」の自動登録により設定量はそこまで多くありません。

さらに、この機能は「UDPにも対応」しています。

絶賛検証中ですが、TCPとUDPの両方に対応出来るならいよいよ、

VPNに頼らない新しいリモート接続

として強力な選択肢となるかもしれません。

免責事項

• 本書は、株式会社ネットワールド（以下 弊社）が作成・管理します。
• 本書の記載内容の一部または全部を弊社に無断で改変・転載することを禁じます。
• 本書の記載内容は、一部または全部が将来予告無く変更されることがあります。
• 本書の利用は、利用者様の責任において行われるものとします。
• 本書の記載内容には、最善の注意を払っておりますが、正確性・完全性を保証するものではありません。
  従いまして、本書の利用によって生じたあらゆる損害に関して、弊社は一切の責任を負いません。