月別アーカイブ: 2018年6月

リモートワーク対応 Fortigate でSSL VPN & SSL クライアント認証

Fortigate は、標準でSSL VPNの機能を有しています。SSL VPNへのアクセス時に、ブラウザからSSLクライアント認証を利用してセキュアにアクセスさせることが出来ます

リモートワークやテレワークなどで外出先から、スマフォやモバイル端末、ノートPCなどのブラウザを利用して社内の

  • ファイルサーバー
  • グループウエア
  • 業務サーバー

などに、SSL VPN &  SSLクライアント証明書を利用して安全にアクセスさせることが出来ます。

SSL VPNを利用したSSLクライアント認証では、ユーザー端末には

  • ブラウザ
  • SSLクライアント証明書

で利用が出来ます。

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2016/08/Sonic-SSL-VPN-3-1.png

SSLクライアント認証を利用することで

  • パスワード漏洩時のなりすましの防止
  • 端末ごとのアクセスコントロール(例  紛失したスマフォからのアクセス禁止)

などで運用が出来ます。

Powered BLUE Private CA  や Powered BLUE Web for SSO/IDaaS にPrivate CA機能を追加したモデルなどと FortiGate のSSL VPN 機能 を利用して

  • SSL-VPアクセス時のSSLクライアント端末認証
  • SSL-VPN経由で社内の RDP Sever へアクセス
  • SSL-VPN経由で社内の Web Server へアクセス
  • SSL-VPN経由で社内の File Server へアクセス

などが出来ます。

Powered BLUE Private CA で必要な証明書を発行します

  • CA 証明書
  • SSLサーバー証明書
  • SSLクライアント証明書

Powered BLUE Private CAの画面

Fortigateの設定例 (FortiGate VM01を利用)

証明書を有効にします

SSLサーバー証明書を登録

CA証明書を登録

PKI ユーザーを作成(最初の1名はコマンドラインから登録)

ユーザー名 rdiaz の場合 コマンドラインから以下の設定をします

2名以降は、GUIから登録出来ます

登録したユーザーのパスワードと2要素認証を有効にします

新規のユーザー登録も同様にします

SSLクライアント認証でアクセス出来る、グループとユーザーを登録


SSL VPN 設定

IPV4 ポリシー設定

ブラウザへのSSLクライアント証明書のインストール

  • IE /  Google Chromeなど

 

SSL VPN でのアクセス

  • 名前でのアクセスが必須です (IPアドレスでアクセスすると失敗します)
  • https://gate.mubit.com:11443/

IEでのアクセス例

 

アクセス認証後、クイック接続をクリック

rdpでのアクセスの場合

rdpでの認証画面

 

ログイン後の画面

 

Fortigate以外にも、 SionicWall を使ってSSL VPN & SSLクライアント認証を行なうことも出来ます。

SonicWall の SSL-VPN の方が設定や運用が簡単で、「ひとり情シス」環境に向いています。

ローエンドからの製品ラインアップもあるので、小規模な事業所などでも、リモートワークやテレワークでのアクセスに利用できます。

VPNの遅延など

VPNへのアクセス集中などによる、遅延などが発生するケースがあります

回避策としては

  • VPN回線の多重化による負荷分散
  • リバースプロキシ経由でのアクセスによる負荷の低減

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2020/06/vpn-1.png
*リバースプロキシは、Webアクセスなのでアクセスの集中時でもVPNのような回線や機器に負荷をかけず、ストレスなく社内Webへのアクセスができます。

 

リバースプロキシでの運用構成

Powered BLUE Private CAを利用するとSSLクライアント認証&リバースプロキシ機能を利用して、別サーバーで運用中のWebへリダイレクトさせることが出来ます。

プライベートCAは、運用者側の管理での独自運用のため

  • SSLクライアント証明書の発行・失効・更新などの管理
  • リバースプロキシの接続先Webサーバー指定 (複数のWeb接続先の指定も対応)

などを、運用者側のポリシーに即して運用が出来ます。

 

 

多要素認証

ワンタイムパスワード認証&SSLクライアント認証の併用時のWebサイトの構築・運用例です。多要素認証でさらに高い安全性を確保したい場合に有効です

https://www.mubit.co.jp/sub/products/blue/img2/web-station-rev-1.png

 

デモサイト

Powered BLUE のデモサイトを用意しています

https://www.mubit.co.jp/sub/products/blue/img2/saml-demo-login.png

各種操作やSSLクライアント認証、ワンタイムパスワード認証、SAML認証やリバースプロキシなどの動作を確認することが出来ます

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif デモサイト

 

終わりに

SSLクライアント認証でWebサイトの認証を強化したい方。テレワークなどでSSL-VPNの導入を検討している方や詳しい話を聞いてみたい方などは、ムービットの https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif お問い合わせフォーム からご連絡ください。