[FortiGate] SSL VPN MacOS Host Check 설정 방법

Host Check 기능

FortiGate는 디바이스가 SSL VPN으로 연결을 시도하는 경우 Host Check 기능을 통해 더욱 안전한 연결 환경을 구성합니다.

Realtime AntiVirus는 현재 디바이스에서 동작중인 백신을 탐지하여 허용된 백신일 경우에만 접근을 허용 및 차단합니다.
Firewall은 디바이스에서 방화벽 기능이 켜져 있는지 꺼져 있는지를 기준으로 접근을 허용 및 차단합니다.
  - Windows 방화벽 활성화 여부 확인하기
  - FortiOS7.2.4-HostCheck-Guide

해당 기능은 Windows OS에서만 제공되며, Only VPN버전을 사용하는 경우에는 7.0.3이상으로 시도해야합니다.
MacOS에서는 Guid를 제외한 Process와 File 필터만 적용 가능합니다.
   *MacOS 13, FortiOS 7.2.3에서 테스트를 진행하였으며 FortiOS 7.0.9에서는 정상적으로 동작하지 않았습니다.
 - [FortiGate] SSL VPN WindowsOS Host Check 설정 방법

Host Check 활성화 - host-check-software

MacOS에서 활성 상태 보기(Activity monitor)를 키면 현재 활성화 되어 있는 프로세스를 확인할 수 있습니다.
Guid값으로 필터가 불가능하기 때문에 백신 프로그램에서 사용하는 프로세스나 파일 주소를 확인할 필요가 있습니다.

 

User 혹은 User Group으로 Portal를 매핑합니다.
해당 Portal에서는 Host Check 항목을 활성화하고 Realtime AntiVirus를 체크합니다.
(Tunnel Mode가 비활성화 되어 있는 경우 Host Check 항목이 나타나지 않습니다.)

config vpn ssl web host-check-software 메뉴에서 새로운 항목을 생성합니다.
기본값으로 os-type이 windows로 되어 있기 때문에 mac으로 설정한 다음 프로세스 혹은 파일 정보를 추가합니다.

check-item-list 하위 메뉴를 통해 세부 설정이 가능합니다.
action은 target이 일치할 경우 SSL VPN 연결을 허용할 것인지(require) 거부할 것인지(deny) 결정합니다. 

SSL VPN 연결 시도

FortiClient Agent에서 접근을 시도하는 경우 위와 같이 error code 455가 발생하며 접근이 허용되지 않습니다.
VPN Events에서 해당 내용을 확인할 수 있습니다.

내용에 대한 자세한 확인은 아래 접은 글을 참고해주세요.

A user has logged in but host check AV/FW/file/process/registry failed. Hostcheck data:
0010,13.0.0,8c:85:90:b1:0d:40

[0010]
Host에 대한 확인 결과를 나타내며 0~3까지 내용을 2진수로 표기합니다.
0000-third party firewall, 0100-third party antivirus, 0010-Forticlient firewall, 0001-FortiClient antivirus
(0010은 Forticlient firewall만 확인되었기 때문에 OnlyVPN 버전을 의미합니다.)

[13.0.0]
Mac OS 소프트웨어 버전 정보를 표기합니다.

[8c:85:90:b1:0d:40]
해당 디바이스가 갖고 있는 모든 네트워크 어댑터 정보를 나타냅니다.
Terminal에서 ifconfig를 통해 어댑터마다 물리적 주소를 확인할 수 있습니다.

👍🏻 Made by NODELINE (ssotok12@naver.com)
      Thank you for reading it.