FortiGate 6.4 リモートアクセス 二要素認証 設定ガイド

Deployment Guide

FortiGate/FortiClient VPN

/FortiToken Mobile

リモートアクセス 二要素認証 設定ガイド

免責事項

本ドキュメントに関する著作権は、フォーティネットジャパン株式会社へ帰属します。 フォーティネットジャパン株式会社が事前に承諾している場合を除き、形態及び手段を 問わず本ドキュメントまたはその一部を複製する事は禁じられています。 また本内容は参考例となります。個別のセキュリティ対策に関する要件を満たすには、 ご利用者様ごとにプランニングおよび設定の調整が必要となりますので、予めご了承 下さい。尚、本ドキュメントの作成にあたっては細心の注意を払っておりますが、その 記述内容は予告なしに変更される事があります。

目次

第１章： はじめに P 4 第 2 章： FortiGate の設定 P 6 第 3 章： FortiToken Mobile の設定 P 12 第４章： 接続・確認 P 14 改訂履歴 P 17

1. はじめに

このドキュメントはテレワークで利用が増えているリモートアクセス、いわゆる VPN 接続に二要素認証 (FortiToken)を用いたリモートアクセス環境を構築する設定ガイドです。 働き方改革、新型コロナウイルス対策の一貫として、テレワークの範囲拡大やリモートアクセス環境の 構築が急速に進んでいます。自宅や外出先から企業ネットワークへアクセスするための VPN 環境設定 と、なりすまし防止のためのワンタイムパスワードによる二要素認証の設定方法について本設定ガイド で説明します。フォーティネットはワンタイムパスワードトークンとして、専用ハードウェアの FortiToken の他、スマートフォンにインストール可能な FortiToken Mobile を提供しています。 FortiToken Mobile をお使いの場合、FortiToken Mobile Push 機能(*)を使用することで、そのやり取 りはフィッシングサイトを経由しないため、外部からの盗聴を未然に防ぐことが可能です。

(*) VPN 接続時にログインに必要なクレデンシャル情報を入力すると FortiToken Mobile 端末へログインリ クエストが配信され、Approve をタップするだけで VPN 接続が完了する機能）

なお、本設定ガイドの環境はリモートアクセス環境構築のための最小構成で作成をしています。VPN の 設 定 を集 中 管理 した い 、 FortiClient で VPN 以 外の セ キュ リ ティ 機能 な どを 利用 し たい 場合 は FortiClient EMS もしくは FortiClient Cloud をご用意ください。本設定ガイドでは FortiClient EMS 環境は含んでいないため、無償版の FortiClient VPN アプリを利用しています。また、FortiToken を管 理する場合には、FortiAuthenticator や FortiToken Cloud を利用するという選択肢もあります。各企業 で必要なセキュリティポリシーや機能に合わせてフォーティネット製品を組み合わせて利用することで、 セキュアなリモートアクセス環境の構築が可能となります。 前提条件として、FortGate の基本的な設定と、別の手順書「FortiGate/FortiClient VPN リモートアクセス（IPsec VPN）設定ガイド」*に基づいた設定が完了している必要があります。 *https://www.fortinet.com/content/dam/fortinet/assets/deployment-guides/ja_jp/fg-6.4_ipsecvpn.pdf

1-1. 利用機器と OS バージョン

機器 バージョン FortiGate 100F 6.4.3 FortiClient VPN 6.4.2 FortiToken Mobile 5.2.0.0112

1-2. 構成

検証環境のため WAN1 とクライアントを同一ネットワークアドレスで設定していますが、IP 到達 可能であればネットワークアドレスは問いません。

1-3. 参考資料

本設定ガイドで紹介している設定は公式な設定ガイドに基づいています。より詳細な情報が必要な場合 は以下も合わせてご参照ください。

Administration Guide Add FortiToken multi-factor authentication

https://docs.fortinet.com/document/fortigate/6.4.3/administration-guide/332870/add-fortitoken-multi-factor-authentication WAN1 LAN 10.130.234.0/24 .103 .202 .99 192.168.100.0/24

FortiGate100F

FortiClient

FortiTokenMobile

2. FortiGate の設定

2-1. 二要素認証の有効化

以下の手順で二要素認証を有効化します。なお下図中 4 項の「アクティベーションコードを通知」 は 3 つの方法があり、本ガイドは「CLI で確認した文字列を転記」を選択しています。 図 2-1. 二要素認証を有効化するプロセス ライセンスの登録 左メニュー「ユーザ＆認証」→「FortiToken」を選択し、「＋新規作成」をクリックし、購入した ライセンス登録を行います。なお、FortiGate には FortiToken トライアルライセンス(2 ユーザ分) が用意されています。

図 2-2. FortiToken 表示画面 タイプ：「モバイルトークン」を選択します。 アクティベーションコード：購入したアクティベーションコードを入力します。 「OK」をクリックし、ライセンスを登録します。 図 2-3. 新規 FortiToken ライセンス登録画面 二要素認証を有効化するユーザの編集 左メニュー「ユーザ＆認証」→「ユーザ定義」を選択し、リストから対象ユーザを選択のうえ、編集 をクリックします。

図 2-4. ユーザ選択画面 ユーザの編集 二要素認証トグルスイッチ： 有効 トークン： プルダウンからいずれかを選択（文字列を控えておく） 図 2-5. ユーザ編集画面（二要素認証・トークン選択） メールアドレス入力 E メールアドレス： 有効なメールアドレスを入力 ※ライセンス毎にユニークメールアドレスであること。ユーザと紐付ける必要はありません。

図 2-6. ユーザ編集画面（E メールアドレス入力） トークン配布方法

メールアドレスを入力すると「アクティベーションコードを送信」トグルスイッチが表示されるの で、「オフ」に設定し、OK をクリックします。

図 2-7. ユーザ編集画面（アクティベーションコード送信選択） 設定完了

「二要素認証カラム」に選択したトークンが表示されます。

図 2-8. ユーザ定義画面 アクティベーションコードの確認

FortiGate の CLI でアクティベーションコードを確認します。FortiGate の GUI 右上にある「>_」 をクリックし、CLI コンソールを開きます。

図 2-9. CLI コンソールアクセスボタン

Marketing_FG-100F # config user fortitoken

Marketing_FG-100F (fortitoken) # show config user fortitoken

edit "FTK*************"

set license "FTM*************" next

edit "FTK*************"

set license "FTM*************"

set activation-code "EE**************" set activation-expire 1611297162 next end Marketing_FG-100F (fortitoken) # FortiToken 設定画面に遷移します FortiToken 設定内容を表示します 未使用トークン 選択したトークン アクティベーションコード 選択したトークンに紐づくアクティベーションコードを控えます。

3. FortiTokenMobile の設定

3-1. FortiTokenMobile のダウンロード・インストール

以下は二要素認証を実行するユーザにて実施する手順で、スマートフォンで設定等を行います。 使用するモバイルデバイスのアプリ提供サイトより適宜入手します。 ios 版 https://apps.apple.com/jp/app/fortitoken-mobile/id500007723 Android 版 https://play.google.com/store/apps/details?id=com.fortinet.android.ftm 図 3-1. FortiToken アイコン

3-2. FortiToken のアクティベーション

アプリを開き、右上の「＋」をタップ、画面下の「Enter Manually」をタップします。 図 3-2. FortiToken Mobile 設定の流れ 「Fortinet」を選択、以下情報を入力します。 Name： わかりやすい名前 Key： 2-1 で控えたアクティベーションコード

図 3-2（続き）. FortiToken Mobile 設定の流れ アクティベーションが完了すると右図のように表示されます。

4. VPN 接続・確認

4-1. 接続手順

FortiClient VPN を起動、ユーザ名／パスワードを入力し、「接続」をクリックします。 図 4-1-1. FortiClient VPN の VPN 接続画面 トークンの入力エリアが表示されるので、FortiToken Mobile に表示されるワンタイムパスワード を入力し、OK をクリックします。 図 4-1-2. FortiClient VPN のトークン入力画面

図 4-1-3. VPN 接続が成功した画面

切断手順

4-2. FortiGate での接続確認

左メニュー「ログ＆レポート」→「イベント」をクリック、右メニュー「VPN イベント」をクリッ クします。

図 4-2-1. ログイベント選択画面

図 4-2-2. VPN ログ画面

日付/時刻で最新の「progress IPsec phase 2」の行をクリックし、詳細を右に表示されるログ詳細 ページで確認します。

改定履歴

バージョン リリース日 改定履歴