Deployment Guide
FortiGate/FortiClient VPN
/FortiToken Mobile
リモートアクセス 二要素認証 設定ガイド
Version 1.0.0 2021 年 6 月A
2
– リモートアクセス 二要素認証設定ガイド – Ver1.00 Presented by Fortinet Technical Marketing Engineer
免責事項
本ドキュメントに関する著作権は、フォーティネットジャパン株式会社へ帰属します。 フォーティネットジャパン株式会社が事前に承諾している場合を除き、形態及び手段を 問わず本ドキュメントまたはその一部を複製する事は禁じられています。 また本内容は参考例となります。個別のセキュリティ対策に関する要件を満たすには、 ご利用者様ごとにプランニングおよび設定の調整が必要となりますので、予めご了承 下さい。尚、本ドキュメントの作成にあたっては細心の注意を払っておりますが、その 記述内容は予告なしに変更される事があります。3
– リモートアクセス 二要素認証設定ガイド – Ver1.00 Presented by Fortinet Technical Marketing Engineer
目次
第1章: はじめに P 4 第 2 章: FortiGate の設定 P 6 第 3 章: FortiToken Mobile の設定 P 11 第4章: 接続・確認 P 13 改訂履歴 P 164
– リモートアクセス 二要素認証設定ガイド – Ver1.00 Presented by Fortinet Technical Marketing Engineer
1. はじめに
このドキュメントはテレワークで利用が増えているリモートアクセス、いわゆる VPN 接続に二要素認証 (FortiToken)を用いたリモートアクセス環境を構築する設定ガイドです。 働き方改革、新型コロナウイルス対策の一貫として、テレワークの範囲拡大やリモートアクセス環境の 構築が急速に進んでいます。自宅や外出先から企業ネットワークへアクセスするための VPN 環境設定 と、なりすまし防止のためのワンタイムパスワードによる二要素認証の設定方法について本設定ガイド で説明します。フォーティネットはワンタイムパスワードトークンとして、専用ハードウェアの FortiToken の他、スマートフォンにインストール可能な FortiToken Mobile を提供しています。 FortiToken Mobile をお使いの場合、FortiToken Mobile Push 機能(*)を使用することで、そのやり取 りはフィッシングサイトを経由しないため、外部からの盗聴を未然に防ぐことが可能です。(*) VPN 接続時にログインに必要なクレデンシャル情報を入力すると FortiToken Mobile 端末へログインリ クエストが配信され、Approve をタップすることで二要素認証を実行する機能
なお、本設定ガイドの環境はリモートアクセス環境構築のための最小構成で作成をしています。VPN の 設定を集中管理したい、 FortiClient で VPN 以外のセキュリティ機能などを利用したい場合は FortiClient EMS もしくは FortiClient Cloud をご用意ください。本設定ガイドでは FortiClient EMS 環境は含んでいないため、無償版の FortiClient VPN アプリを利用しています。また、FortiToken を管 理する場合には、FortiAuthenticator や FortiToken Cloud を利用するという選択肢もあります。各企業 で必要なセキュリティポリシーや機能に合わせてフォーティネット製品を組み合わせて利用することで、 セキュアなリモートアクセス環境の構築が可能となります。 前提条件として、FortiGate の基本的な設定と、別の手順書「FortiGate/FortiClient VPN リモートアクセス(IPsec VPN)設定ガイド」*に基づいた設定が完了している必要があります。 * https://www.fortinet.com/content/dam/fortinet/assets/deployment-guides/ja_jp/fg-7-0-ipsecvpn.pdf
1-1. 利用機器と OS バージョン
機器 バージョン FortiGate 100F 7.0.0 FortiClient VPN 7.0.0 FortiToken Mobile 5.3.0.01145
– リモートアクセス 二要素認証設定ガイド – Ver1.00 Presented by Fortinet Technical Marketing Engineer
1-2. 構成
検証環境のため WAN1 とクライアントを同一ネットワークアドレスで設定していますが、IP 到達 可能であればネットワークアドレスは問いません。1-3. 参考資料
本設定ガイドで紹介している設定は公式な設定ガイドに基づいています。より詳細な情報が必要な場合 は以下も合わせてご参照ください。Administration GuideAdd FortiToken multi-factor authentication
https://docs.fortinet.com/document/fortigate/7.0.0/administration-guide/332870/add-fortitoken-multi-factor-authentication WAN1 LAN 10.130.234.0/24 .103 .202 .99 192.168.100.0/24
FortiGate 100F
FortiClient
FortiToken Mobile
6
– リモートアクセス 二要素認証設定ガイド – Ver1.00 Presented by Fortinet Technical Marketing Engineer
2. FortiGate の設定
2-1. 二要素認証の有効化
以下の手順で二要素認証を有効化します。なお下図中 4 項の「アクティベーションコードを通知」 は 3 つの方法があり、本ガイドは「CLI で確認した文字列を転記」を選択しています。 図 2-1. 二要素認証を有効化するプロセス ライセンスの登録 左メニュー「ユーザ&認証」→「FortiToken」を選択し、「+新規作成」をクリックし、購入した ライセンス登録を行います。なお、FortiGate には 2 ユーザ分の FortiToken トライアルライセンス が用意されています。 図 2-2. FortiToken 表示画面7
– リモートアクセス 二要素認証設定ガイド – Ver1.00 Presented by Fortinet Technical Marketing Engineer
タイプ:「モバイルトークン」を選択します。 アクティベーションコード:購入したアクティベーションコードを入力します。 「OK」をクリックし、ライセンスを登録します。 図 2-3. 新規 FortiToken ライセンス登録画面 二要素認証を有効化するユーザの編集 左メニュー「ユーザ&認証」→「ユーザ定義」を選択し、リストから対象ユーザを選択のうえ、編集 をクリックします。 図 2-4. ユーザ選択画面 ユーザの編集 二要素認証トグルスイッチ: 有効 トークン: プルダウンからいずれかを選択(文字列を控えておく)
8
– リモートアクセス 二要素認証設定ガイド – Ver1.00 Presented by Fortinet Technical Marketing Engineer
図 2-5. ユーザ編集画面(二要素認証・トークン選択) メールアドレス入力 E メールアドレス: 有効なメールアドレスを入力 ※ライセンス毎にユニークなメールアドレスであればよく、ユーザと紐付ける必要はありません。 図 2-6. ユーザ編集画面(E メールアドレス入力) トークン配布方法 メールアドレスを入力すると「アクティベーションコードを送信」トグルスイッチが表示されるの で、「オフ」に設定し、OK をクリックします。
9
– リモートアクセス 二要素認証設定ガイド – Ver1.00 Presented by Fortinet Technical Marketing Engineer
図 2-7. ユーザ編集画面(アクティベーションコード送信選択) 設定完了
「二要素認証カラム」に選択したトークンが表示されます。
図 2-8. ユーザ定義画面 アクティベーションコードの確認
FortiGate の CLI でアクティベーションコードを確認します。FortiGate の GUI 右上にある「>_」 をクリックし、CLI コンソールを開きます。
図 2-9. CLI コンソールアクセスボタン
10
– リモートアクセス 二要素認証設定ガイド – Ver1.00 Presented by Fortinet Technical Marketing Engineer
Marketing_FG-100F # config user fortitoken
Marketing_FG-100F (fortitoken) # show
config user fortitoken
edit "FTK*************"
set license "FTM*************" next
edit "FTK*************"
set license "FTM*************"
set activation-code "EE**************" set activation-expire 1611297162 next end Marketing_FG-100F (fortitoken) # FortiToken 設定画面に遷移します FortiToken 設定内容を表示します 未使用トークン 選択したトークン アクティベーションコード 選択したトークンに紐づくアクティベーションコードを控えます。
11
– リモートアクセス 二要素認証設定ガイド – Ver1.00 Presented by Fortinet Technical Marketing Engineer
3. FortiToken Mobile の設定
3-1. FortiToken Mobile のダウンロード・インストール
以下は二要素認証を実行するユーザにて実施する手順で、スマートフォンで設定等を行います。 使用するモバイルデバイスのアプリ提供サイトより適宜入手します。 ios 版 https://apps.apple.com/jp/app/fortitoken-mobile/id500007723 Android 版 https://play.google.com/store/apps/details?id=com.fortinet.android.ftm 図 3-1. FortiToken アイコン3-2. FortiToken のアクティベーション
アプリを開き、右上の「+」をタップ、画面下の「Enter Manually」をタップします。 図 3-2. FortiToken Mobile 設定の流れ 「Fortinet」を選択、以下情報を入力します。 Name: わかりやすい名前 Key: 2-1 で控えたアクティベーションコード12
– リモートアクセス 二要素認証設定ガイド – Ver1.00 Presented by Fortinet Technical Marketing Engineer
図 3-2(続き). FortiToken Mobile 設定の流れ アクティベーションが完了すると右図のように表示されます。
13
– リモートアクセス 二要素認証設定ガイド – Ver1.00 Presented by Fortinet Technical Marketing Engineer
4. VPN 接続・確認
4-1. 接続手順
FortiClient VPN を起動、ユーザ名/パスワードを入力し、「接続」をクリックします。 図 4-1-1. FortiClient VPN の VPN 接続画面 トークンの入力エリアが表示されるので、FortiToken Mobile に表示されるワンタイムパスワード を入力し、OK をクリックします。 図 4-1-2. FortiClient VPN のトークン入力画面14
– リモートアクセス 二要素認証設定ガイド – Ver1.00 Presented by Fortinet Technical Marketing Engineer
図 4-1-3. VPN 接続が成功した画面
切断手順
15
– リモートアクセス 二要素認証設定ガイド – Ver1.00 Presented by Fortinet Technical Marketing Engineer
4-2. FortiGate での接続確認
左メニュー「ログ&レポート」→「イベント」をクリック、右メニュー「VPN イベント」をクリッ クします。
図 4-2-1. ログイベント選択画面
図 4-2-2. VPN ログ画面
日付/時刻で最新の「progress IPsec phase 2」の行をクリックし、詳細を右に表示されるログ詳細 ページで確認します。
16
– リモートアクセス 二要素認証設定ガイド – Ver1.00 Presented by Fortinet Technical Marketing Engineer
改定履歴
バージョン リリース日 改定履歴
