皆さん、こんにちは。
ネットワールドSE 西日本技術部の廣澤です。
今回はFortiClient/FortiClientEMSを「便利に使う」ことを目的に、
「On-fabric Detection Rule」
についてご紹介します。
是非、最後までお読みいただければ幸いです。
FortiClientを「社内」でも利用する
FortiClientと聞くと多くの方は、
「VPNソフトウェア」
と思われるかもしれませんが、FortiClientEMSと連携したFortiClientは、
「社内でも社外でも便利なソフトウェア」
に変わります。
FortiClientEMSは各機能を「プロファイル」というテンプレートで管理・配布し、
FortiClientで利用可能にしています。
社内と社外を判別するルール「On-fabric Detection Rule」
FortiClientの社内利用について説明する際に頻繁にいただく質問があります。
Q.社内に持ち帰ったPCも強制的にVPN/ZTNA接続されてしまうのではないか
Q.社内のゲートウェイでスキャンしているからPCでの一部スキャンを無効に出来るか
「社内」と「社外」ではネットワーク環境が大きく異なります。
それに伴い、求められる機能にも違いが出てきます。
このように「社内」と「社外」で求められる機能を切り替えるために、
「On-fabric Detection Rule」
が存在します。
オンとオフを識別する仕組み
FortiClientEMSではクライアントを2つのステータスに分けて管理しています。
「オンファブリック」
主に社内。FortiGateや他Fortinet製品によって構築・監視・制御されたネットワーク。
「オフファブリック」
主に社外。監視・制御がされていないオープンなネットワーク。
この2つを識別するためのルールを「On-fabric Detection Rule」と言います。
以下は識別ルールの一部です。
● PCにIPを付与したDHCPサーバのIP/MACは指定されたもの?
あるいは「DHCP option 224」に指定した値は含まれている?
● 指定のHTTPSサーバは、指定するCN/SNIを含むサーバ証明書を返す?
● PCのIPが指定範囲内のアドレスで、デフォルトゲートウェイのMACも指定されたもの?
● 指定のサーバにPing通信は届く?
● ネットワークに接続していて、無線は指定の暗号化方式/SSID名に接続している?
上記のようなルールを組み合わせて「オン」と「オフ」を識別します。
動作確認
以下の条件で「オン」と「オフ」の識別を行います。
作成した「On-fabric Detection Rule」はポリシーに追加設定が可能です。
クライアントがオフファブリックの場合
FortiClientEMSのクライアント一覧からオフファブリックであることが確認出来ます。
「オフファブリック」の場合に配布されるプロファイルがFortiClientに適用されています。
【VPNプロファイル】
【ZTNA Destinationプロファイル】
【脆弱性スキャンプロファイル】
クライアントがオンファブリックの場合
FortiClientEMSのクライアント一覧からオンファブリックであることが確認出来ます。
「オンファブリック」の場合に配布されるプロファイルがFortiClientに適用されています。
【VPNプロファイル】※オフファブリック時に表示されていたVPN設定が無くなっている
【脆弱性スキャン】
最後に
FortiClientEMSと連携したFortiClientには様々な機能が実装されています。
せっかく「有償版」を導入するなら「リモート専用」ではなく、
「社内外問わず便利なアプリ」としてご利用を検討してみてはいかがでしょうか?
免責事項
- 本書は、株式会社ネットワールド(以下 弊社)が作成・管理します。
- 本書の記載内容の一部または全部を弊社に無断で改変・転載することを禁じます。
- 本書の記載内容は、一部または全部が将来予告無く変更されることがあります。
- 本書の利用は、利用者様の責任において行われるものとします。
- 本書の記載内容には、最善の注意を払っておりますが、正確性・完全性を保証するものではありません。
従いまして、本書の利用によって生じたあらゆる損害に関して、弊社は一切の責任を負いません。
