네트워크(Network)/Fortinet

[FortiGate] SSL VPN WindowsOS Host Check 설정 방법

_톡톡_ 2023. 3. 9. 13:15
Host Check 기능

FortiGate는 디바이스가 SSL VPN으로 연결을 시도하는 경우 Host Check 기능을 통해 더욱 안전한 연결 환경을 구성합니다.

Realtime AntiVirus는 현재 디바이스에서 동작중인 백신을 탐지하여 허용된 백신일 경우에만 접근을 허용 및 차단합니다.
Firewall은 디바이스에서 방화벽 기능이 켜져 있는지 꺼져 있는지를 기준으로 접근을 허용 및 차단합니다.
  - Windows 방화벽 활성화 여부 확인하기
  - FortiOS7.2.4-HostCheck-Guide

해당 기능은 Windows OS에서만 제공되며, Only VPN버전을 사용하는 경우에는 7.0.3이상으로 시도해야합니다.
MacOS에서는 Guid를 제외한 Process와 File 필터만 적용 가능합니다.
 - [FortiGate] SSL VPN MacOS Host Check 설정 방법

Host Check 활성화 - Realtime AntiVirus

FortiGate에서 AntiVirus정보를 가지고 통제하기 위해서는 InstanceGuid를 파악해야합니다.
Windows는 Powershell에서 "Get-CimInstance -namespace root/SecurityCenter2 -ClassName AntivirusProduct를 입력합니다.
(CMD에서는 해당 명령어가 동작하지 않습니다.)

디바이스마다 AntivirusProduct 정보를 확인하여 FortiGate에서 Guid값을 추가할 수 있습니다.
이번 포스팅에서는 2대의 PC를 가지고 테스트할 예정입니다.
 *1대는 SentinelOne Agent가 설치되어 있고 다른 1대는 FortiClient Agent가 설치되어 있습니다.

User 혹은 User Group으로 Portal를 매핑합니다.
해당 Portal에서는 Host Check 항목을 활성화하고 Realtime AntiVirus를 체크합니다.
(Tunnel Mode가 비활성화 되어 있는 경우 Host Check 항목이 나타나지 않습니다.)

config vpn ssl web host-check-software 메뉴를 들어가면 기본값으로 생성되어 있는 Antivirus들의 Guid값이 나옵니다.
정확한 테스트를 위해 기존에 생성되어 있는 항목들을 전부 삭제하고 FortiClient-Allow라는 항목을 만듭니다.

지금은 테스트를 위해 1가지의 Guid만 남겨 놓았지만 실제로는 FortiClient, ESET, AVG등 여러개의 데이터가 존재합니다.
Host Check에서 단순히 Realtime Antivirus로 체크하면 Guid값이 추가된 모든 항목이 허용 대상입니다.
(특정한 Guid로만 필터링을 하고 싶은 경우엔 아래 절차를 따라해주세요)

config vpn ssl web portal 메뉴에서 자신이 적용하고 싶은 portal로 접근합니다.
여기서 중요한 점은 Host Check의 타입을 custom으로 설정하고나서 자신이 host-check-software에서 추가했던 항목을 선택하는것입니다.
(그러면 오른쪽 사진처럼 기능은 활성화되어 있지만 아무 항목에도 체크가 되지 않는 모습이 됩니다.)

SSL VPN 연결 시도

FortiClient Agent에서 접근을 시도하는 경우 위와 같이 error code 455가 발생하며 접근이 허용되지 않습니다.
VPN Events에서 해당 내용을 확인할 수 있습니다.

내용에 대한 자세한 확인은 아래 접은 글을 참고해주세요.

더보기

A user has logged in but host check AV/FW/file/process/registry failed. Hostcheck data:
0011,10.0.19044,8c:8d:28:e1:bc:9c|00:ff:f5:59:00:86|00:00:00:00:02:20|8c:8d:28:e1:bc:98|8c:8d:28:e1:bc:99|8e:8d:28:e1:bc:98

[0011]
Host에 대한 확인 결과를 나타내며 0~3까지 내용을 2진수로 표기합니다.
0000-third party firewall, 0100-third party antivirus, 0010-Forticlient firewall, 0001-FortiClient antivirus
(0011은 Forticlient firewall, FortiClient antivirus 동시 확인을 의미합니다.)

[10.0.19044]
Windows OS 소프트웨어 버전 정보를 표기합니다.
CMD를 키게되면 맨 처음에 Version 정보를 확인할 수 있습니다.


[8c:8d:28:e1:bc:9c|00:ff:f5:59:00:86|00:00:00:00:02:20|8c:8d:28:e1:bc:98|8c:8d:28:e1:bc:99|8e:8d:28:e1:bc:98]
해당 디바이스가 갖고 있는 모든 네트워크 어댑터 정보를 나타냅니다.
CMD에서 ipconfig /all를 통해 어댑터마다 물리적 주소를 확인할 수 있습니다.

 

👍🏻 Made by NODELINE (ssotok12@naver.com)
      Thank you for reading it.

저작자표시 비영리 동일조건