サイバーセキュリティプラットフォーム

Fortinet










~FortiNAC 技術ブログ~
【第1回】 製品概要とVMwareへのデプロイ

FortiNACの概要

FortiNAC(フォーティナック)はネットワークアクセスコントロール(NAC)ソリューションです。エンドポイントデバイスの検出、認証、セキュリティポリシーの適用を通じて、ネットワークに接続する全てのデバイスを可視化して、アクセス制御を実現します。

筐体写真

特長

FortiNACには次のような特長があります。より詳細な情報はFortiNACの製品ページをご参照ください。

特長 解説
エージェントレス/
センサーレスでの
情報収集		 パケットキャプチャではなく、ネットワーク中を流れる様々な通信からエンドポイントデバイスの情報を収集します。(SNMP、DHCP、Syslog、Radius、API、SSH/Telnetなど)
センサーと呼ばれる筐体を、各セグメントに配布する必要が無いため、設置の手間がかかりません。
3rdパーティ製品との連携 CiscoやArubaを始めとする様々なメーカーの製品と連携が可能です。FortiNACからネットワークスイッチや無線アクセスポイントに対して、ポートVLAN変更のコマンドやVLANアトリビュートを返すことでアクセス制御を実現します。Fortinet製品に統一せずに(既存のネットワーク環境のまま)、動的なアクセス制御を可能にします。
IPS機能への拡張 FortiDeceptor(フォーティディセプター)やOT-IDSなどの、アラートや異常検知を行う製品と、FortiNACのアクセス制御技術を組み合わせることで、IPS機能へ拡張することが可能です。

VMwareへのデプロイ

FortiNAC-OS Ver7.4.0を、ESXiサーバVer 8.0.1にデプロイした手順を掲載します。各種の仮想基盤へのデプロイ方法は公式ドキュメントにも記載されていますので、ご参照ください。

※ESXiサーバのバージョンによって、GUIや手順が異なる場合があります。

1.仮想マシンの新規作成をします。

画面キャプチャ

2.「OVAファイルから仮想マシンをデプロイする」を選択します。

画面キャプチャ

3.デプロイするOVAファイルを選択します。

OVAファイルは、SCSKが購入者(販売店)向けに配付します。
VMware上で管理する際のホスト名の名前を定義します。 SCSK環境では「FNC-F_VM」

画面キャプチャ

4.ストレージを選択します

画面キャプチャ

5.デプロイのオプションを選択します

  • ポート 1: 管理インターフェイス (ポート1) に使用される IP アドレスを含むネットワークを選択する。
  • ポート 2: 分離インターフェイス (ポート 2) に使用される IP アドレスを含むネットワークを選択する。
  • ポート 3 から ポート6 は後ほど削除するため、設定内容はデフォルトで問題ありません。
  • ディスクプロビジョニングを選択します。SCSK環境では「シック」を選択。
画面キャプチャ

6.設定内容の確認と確定

[完了の準備完了] ページで [完了] をクリックします。

画面キャプチャ

7.仮想マシンの設定の変更を行います。

  1. CPU: [仮想プロセッサの数] フィールドを変更します。 SCSK環境では「4」
  2. メモリ: [メモリ サイズ] フィールドを変更します。 SCSK環境では「4GB」
  3. ネットワーク アダプター 1 (管理インターフェイス (ポート 1)):
    [ネットワーク ラベル] ドロップダウンから VLAN/ネットワークを選択します。
    ※このとき、MAC アドレスが静的に設定されていることを確認します。
  4. ネットワーク アダプター 2 (分離インターフェイス (ポート 2)):
    [ネットワーク ラベル] ドロップダウンから VLAN/ネットワークを選択します。
    ※このとき、MAC アドレスが静的に設定されていることを確認します。
  5. ネットワーク アダプター 3 から 6 は、削除します。
  6. 「保存」をクリックします。
画面キャプチャ

8.ポート1のIPアドレスを変更します。

コンソールを開き、FortiNACにアクセスします。

ID:admin
PW:パスワード無し

IP アドレスとデフォルト ゲートウェイを設定するには、次のコマンドを入力します。

>config system interface
>edit port1
>set ip <port1 ip addr>/<mask>  例: >set ip 192.168.100.5/24
>set allowaccess https-adminui ssh
> next
> end
> config system route
> edit 1
> set device port1
> set gateway <default gateway>  例: >set gateway 192.168.100.254
> next
> end

ポート 1に設定した IP アドレスへの SSH アクセスが機能することを確認します。

画面キャプチャ

9.WebGUIでFortiNACにアクセス

Webブラウザを立ち上げ、https://<FortiNAC-IP>:8443 にアクセスをします。
具体例:「https://192.168.100.5:8443

ID:root
PW:YAMS

画面キャプチャ

10.使用許諾に同意します。

画面キャプチャ

11.ライセンスファイルをアップロードします

ライセンスファイルは、SCSKが購入者(販売店)向けに配付します。
+Browseをクリックし、ライセンスファイルを選択します。

画面キャプチャ

12.root(admin)アカウントのPWを変更します。

「Duplicate Password to CLI User:admin」にチェックを入れることで、rootアカウントだけでなく、adminアカウントのパスワードも同時に変更できます。
画面キャプチャ

13.インストレーションの方法を選択します。

ガイドに従うか、手動で設定を行うか、任意の選択をします。
新規ユーザーは、ガイド付きインストールを使用することをお勧めします。
ガイド付きインストールでは、製品のセットアップを順に説明し、一連のタスクを表示します。

画面キャプチャ

14.オプション設定を行います。

DHCP Helpers 任意 SCSK環境では「有効」
FortiGuard IoT Serviceへの接続 任意 SCSK環境では「許可」
NMAP利用 任意 SCSK環境では「有効」
画面キャプチャ

15.FortiNAC本体のネットワーク設定を入力します。

  • FortiNACのホスト名
  • ポート1のIPアドレス
  • ポート1のサブネットマスク
  • ポート1のデフォルトゲートウェイ
  • DNSサーバ(プライマリ/セカンダリ)
  • NTPサーバ
  • タイムゾーン
  • 分離インターフェイスのポート2を利用する場合は、レイヤー3を選択
画面キャプチャ
画面キャプチャ
画面キャプチャ

16.設定反映のために、再起動を行います。

  • Rebootを選択します。
  • 再起動が完了すれば、デプロイは完了です。
画面キャプチャ

さいごに

SCSKではデプロイ手順書や運用手順書を独自に作成・改版して、購入者向けに配布を行っています。FortiGate操作手順書のサンプルを公開していますので、興味のある方は資料ダウンロードにてご確認をお願いします。

著者

著者イメージ
寳代 貴文
Fortinet Certified Solution Specialist, OT Security
SCSK株式会社 セキュリティプロダクト第一部
Non FortiGate製品の検証結果などを紹介していきます。

お問い合わせ

Fortinet製品に関する
問い合わせはこちらから

お問い合わせ

お役立ち資料

各種お役立ち資料も
取り揃えております

お役立ち資料

関連ブログ