FC2ブログ

下流ネットワークエンジニアの生活

上流工程を夢見る下流工程のネットワークエンジニアがネットワーク技術や資格、身の回りのことを情報発信! Juniper Cisco YAMAHA DELL D-Link AlaxalA F5 CCNA CCNP CCIE ネットワークスペシャリスト

無償版FortiClient6.4、6.2系ではSSLVPNのではMACアドレス制限やOSチェック機能が非対応

2020.09.29 (Tue)

テレワーク需要でFortiGateによるSSLVPN構築案件が非常に多くなっている。

だいたいは、クライアント証明書+Eメールベースの
二要素認証を実装してセキュリティを強化しているが、
一部の顧客よりMACアドレス制限やOSチェック機能を
使用したいとの要望を受け、簡単な動作確認を行った。












◆結果

無償版
FortiClient VPN 6.4.x
FortiClient VPN 6.2.x

では、MACアドレス制限やOSチェック機能は使えないことが判明


無償版
FortiClient 6.0.xだとMACアドレス制限やOSチェック機能が使えました。




◆ MACアドレスフィルタの設定例

※ホワイトリスト方式
 (記述したMACアドレスをもつ端末のみが接続可)

conf vpn ssl web portal
edit Portal1
set mac-addr-check enable
set mac-addr-action allow
config mac-addr-check-rule
edit "test"
set mac-addr-list D8:9E:F3:xx:xx:x1 D8:9E:F3:xx:xx:x2
set mac-addr-mask 48
end
end



◆ OSチェックの設定例

※Windows10のみ許可

config vpn ssl web portal
edit Portal1
set os-check enable

config os-check-list macos-high-sierra-10.13
set action deny
end

config os-check-list macos-sierra-10.12
set action deny
end

config os-check-list os-x-el-capitan-10.11
set action deny
end

config os-check-list os-x-mavericks-10.9
set action deny
end

config os-check-list os-x-yosemite-10.10
set action deny
end

config os-check-list windows-7
set action deny
end

config os-check-list windows-8
set action deny
end

config os-check-list windows-2000
set action deny
end
end



[商品価格に関しましては、リンクが作成された時点と現時点で情報が変更されている場合がございます。]

【中古】Fortinet FortiGate 50E
価格:31900円(税込、送料別) (2020/9/29時点)





関連記事
スポンサーサイト



コメント


管理者のみに表示

トラックバック