FortiGate는 FortiOS 7.0 버전 이후부터 ACME (Automated Certificate Management Environment) 를 이용하여 Let's Encrypt와 연동 후 SSL 인증서를 무료로 사용할 수 있는 기능을 제공하고 있습니다. 인증서는 90일 단위로 갱신이 필요하며 FortiGate는 자동으로 갱신 처리를 진행하기에 계속 인증서를 사용할 수 있습니다.
Let's Encrypt란?
무료 인증서 보급을 통해 HTTPS를 확산시키겠다는 취지로 시작된 비영리 프로젝트입니다.
사용하기 위한 제약조건은 아래와 같습니다.
FortiGate는 공인 IP를 가지고 있어야 하며, 그 공인 IP와 매핑된 도메인이 필요합니다. (A 레코드)
ACME 인터페이스는 인터넷 구간과 연동이 될수 있어야 하며, 80 (HTTP) 또는 443 (HTTPS) 포트에 대한 VIP 설정 (NAT, 포트포워딩) 이 없어야 합니다.
SAN 필드가 매핑된 도메인으로 자동으로 설정되어 편집이 불가하기에 와일드카드도 사용 불가하며 여러 개의 SAN을 따로 추가할 수 없습니다.
Let's Encrypt를 통해 인증서를 발급받고 나면 할 수 있는 내용은 아래와 같습니다.
방화벽의 웹 인증서를 사설 인증서 -> Let's Encrypt로 발급받은 공인 인증서로 변경함으로서 웹 UI 접근 시 발생되는 보안 경고창 제거 가능
FortiClient를 통한 SSL VPN 접속 시, 사설 인증서 사용으로 인해 사용자 연결 단계 40%에서 표출되는 신뢰할 수 없는 인증서 팝업 제거 가능
HTTPS -> HTTP 리버스 프록시 구성을 통해 내부 서버에 대한 HTTP (비암호화) 통신을 HTTPS로 암호화 가능
그럼, 아래 과정을 통해 Let's Encrypt를 통해 인증서를 발급받고, 실제로 활용하는 방법에 대해서 다루도록 하겠습니다.
1. Let's Encrypt를 통해 FortiGate에서 인증서 발급
A. GUI에서 인증서 창 활성화를 위해 System -> Feature Visibility -> Certificates, Load Balance 활성화 후 "Apply' 클릭
B. System -> Certificates -> Create/Import -> Certificate 클릭
C. Use Let's Encrypt 클릭
D. 아래 정보들을 적당히 입력한 후, Create 버튼을 클릭합니다.
1) Certificate name: 인증서 이름을 자유롭게 입력
2) Domain: 도메인 주소 입력 (A 레코드 등록 필요) ex) abc.co.kr
3) Email: 관리 이메일 입력 필요 (적당히 입력)
E. ACME 인터페이스는 외부 인터페이스 (wan) 으로 설정한 뒤 대기
F. 문제가 없을 경우 시간이 흐른 뒤 정상적으로 생성되었다는 메세지 표출
2. 발급받은 인증서를 FortiGate에 적용
1) SSL VPN에 적용
VPN -> SSL-VPN Settings -> Server Certificate를 발급받은 인증서로 변경 -> Apply 버튼을 눌러 적용
2) 웹 GUI에 적용
System -> Settings -> HTTPS server certificate를 발급받은 인증서로 변경 -> Apply 버튼을 눌러 적용
3. 적용 테스트
1) SSL VPN
FortiClient의 연결 설정 창에서 IP 대신 방화벽과 매핑한 도메인 정보를 입력한 뒤, 40%에서 보안 경고창이 표출되는지 확인
2) 관리 웹 UI 접속
매핑한 도메인을 통해 ex)https://abc.co.kr 접속 시도한 후 보안 경고창이 표출되는지 확인
*** HTTPS (443) 포트를 포트포워딩으로 사용하고 있을 경우
HTTP (80) 또는 HTTPS (443) 포트를 ACME 데몬이 사용하는데, 외부 HTTPS (443) 포트에 대한 VIP 객체가 있을 경우 즉시 HTTP (80) 포트로 ACME 데몬이 시도하게 하기 위해 아래 설정을 진행합니다.
A. System -> Settings -> Telnet port를 443으로 변경
위 과정을 거치게 되면 ACME 데몬은 HTTPS (443) 포트 대신 HTTP (80) 포트로 즉시 시도하게 됩니다.
참고로 텔넷 포트로 설정한 이유는 보안 상의 이유로 잘 쓰지 않는 프로토콜이기 때문입니다.
SAML을 이용해 FortiGate를 SP(Service Provider) 로 하고, keycloak을 idP로 하여 keycloak의 계정을 통해 FortiClient SSO로 SSL VPN을 연결하는 방법에 대해서 다루겠습니다.
이를 위해서 저의 경우에는 1. 쿠버네티스에서 keycloak을 배포하고 2. Let's Encrypt를 통해 인증서를 발급받고 3. Load Balance 기능을 통해 https 통신을 리버스 프록시 구성으로 keycloak 서버에 http로 전달하고 4. SAML SSO 연동 설정을 통해 keycloak에 생성된 계정으로 SSL VPN 연결하는 과정까지 진행하도록 하겠습니다.
1. 쿠버네티스에서 keycloak 배포
A. yaml 파일 작성
저의 경우 Ingress를 사용하지 않고 간단하게 nodePort 설정을 통해 구성하였습니다.
최초 접속 포트: http://쿠버네티스 서버 IP:[노드 포트] yaml 파일 상 30082 포트
# 배포 진행 (service, deployment 생성 확인)
kubectl apply -f dep.yaml -n keycloak
service/keycloak created
deployment.apps/keycloak created
# pod 상태 확인
kubectl get pods -n keycloak
NAME READY STATUS RESTARTS AGE
keycloak-5bb4bd5c44-wh9w9 1/1 Running 0 107s
D. http://[쿠버네티스 서버 IP]:[노드 포트] 로 접속
yaml 파일 기준
접속정보: http://[쿠버네티스 서버 IP]:30082
계정: admin / admin
여기까지 했으면 keycloak은 우선 접어두고, 방화벽에서의 설정을 진행하겠습니다.
24.10.30 추가
만약 keycloak을 접속하시는 IP가 사설 IP가 아니실 경우, (즉 쿠버네티스의 IP가 사설 IP가 아닐 경우) https로의 로그인이 강제됩니다.
해당 사유는 HTTPS required 설정 때문인데 Default는 External requests 설정이기 때문입니다.
(localhost 또는 사설 IP는 http로 접속 허용 / 이외 통신은 https 강제)
위 상황에서는 해당 설정을 직접 pod으로 접속하여 수정이 필요합니다. (또는 yaml 파일 수정하여 https 포트 설정 추가)
# pod 이름 확인
$ kubectl get pod -n keycloak
NAME READY STATUS RESTARTS AGE
keycloak-849cc54dcd-ppnnx 1/1 Running 0 3d5h
# pod bash shell 접속
kubectl exec keycloak-849cc54dcd-ppnnx -n keycloak -it -- bash
# /opt/keycloak/bin/ 경로로 이동 (26 버전 기준)
cd /opt/keycloak/bin
# 로그인 진행, 패스워드 입력
$ ./kcadm.sh config credentials --server http://localhost:8080 --realm master --user admin (계정명)
Logging into http://localhost:8080 as user admin of realm master
# Required SSL 설정 변경
./kcadm.sh update realms/master -s sslRequired=NONE
Valid post logout redirect URIs: https://[도메인]:[ssl vpn 포트]/remote/saml/logout
D. FortiGate의 Attribute와 연동하기 위해 Client scopes -> URI-dedicated 를 클릭합니다.
E. Configure a new mapper 버튼을 클릭합니다.
F. User Attribute를 선택합니다.
G. 아래 이미지와 같이 설정 후 Save 버튼을 클릭합니다.
H. 다시 창으로 돌아와서, Add mapper -> By configuration 버튼을 클릭합니다.
I. Group list를 선택합니다.
J. 아래와 같이 입력한 후 Save 버튼을 클릭합니다.
K. Keys 탭을 클릭한 뒤 Client signature required를 비활성화 합니다.
5. Keycloak의 그룹 및 계정 생성
A. 좌측 탭의 Groups를 클릭한 후 Create Group을 클릭합니다.
B. 그룹 이름을 적당히 입력한 뒤 Create 버튼을 클릭합니다.
C. 좌측 탭의 Users 클릭 -> Create new user 버튼을 클릭합니다.
D. 적당한 username을 입력하고 B의 과정에서 생성한 그룹에 적용시킨 후 Create 버튼을 클릭하여 사용자를 생성합니다.
E. Credentials 탭을 누른 뒤 Set password 버튼을 클릭합니다.
F. 패스워드와 패스워드 확인 란을 반복 입력합니다. Temporary의 경우 임시 패스워드로 지정할 지 여부인데, 활성화되어 있을 경우 사용자가 패스워드를 재설정하게 합니다. 현재 테스트 중이므로 해당 기능은 Off 하였습니다.
6. 새로 생성한 realm에 대하여 Load Balance 설정을 통해 외부 접속 허용
3에서 이미 다뤘던 내용입니다. 로드 밸런싱 객체의 Virutal Server Port (외부 포트)에 대한 설정만 다르므로, 새로 생성한 sslvpn realm에 대한 Frontend URL 정보를 참조하여 해당 과정을 따라 객체를 생성하고 정책에 적용합니다.
7. SAML 연동 group 생성 및 SSL VPN 연관 설정
A. CLI로 접속한 뒤 아래 명령어를 입력합니다.
# con user group
(group) # edit techteam [생성할 그룹 명]
new entry 'techteam' added
(techteam) # set member keycloak [생성 SSO 객체명]
(techteam) # con match
(match) # edit 1
new entry '1' added
(1) # set server-name keycloak [생성 SSO 객체명]
(1) # set group-name techteam [keycloak에서 생성한 그룹명]
(1) # end
(techteam) # end
B. VPN -> SSL-VPN Settings -> Portal에 생성한 그룹 추가 -> Apply를 클릭합니다.
C. 기존에 적용되어 있는 SSL VPN 정책에 새로 생성한 그룹을 추가합니다.
8. 접속 테스트
A. FortiClient의 설정을 아래와 같이 변경합니다. (FortiClient v7.0.13 사용)
어제.. 일요일 방화벽 교체 작업 진행 중 DHCP 관련 처음 보는 증상이 발생하여 처리 내역을 공유합니다.
1. 작업 내역
- 노후화 방화벽 교체 작업
# 기존: FG-100D (v5.6.13) -> 신규: FG-100F (v7.2.10)
2. 증상
- 방화벽 교체 (FG-100D -> FG-100F) 이후 특정 포트에서 DHCP IP 할당 불가 이슈 발생.
3. 확인 내역
1) port 67로 패킷 스니핑하여 DHCP Discover 패킷에 대해 정상적으로 방화벽이 응답을 주는지 확인
dia sni pack any 'port 67' 4
50.424415 internal in 0.0.0.0.68 -> 255.255.255.255.67: udp 300
위 패킷만 확인되고, 방화벽에서의 응답 패킷이 확인되지 않음.
2) DHCP 설정 이상 없고 임대할 IP가 충분함에도 방화벽이 응답을 주지 않는걸로 파악, dhcps debug 진행
dia debug application dhcps -1
dia debug enable
[debug]locate_network prhtype(1) pihtype(1)
[warn]Can't locate subnet in shared network of packet and packet is not a DHCPREQUEST and htype(1) != intf htype(1)..dropping
[debug]locate_network prhtype(1) pihtype(1)
??? 이게 뭐지. 방화벽에서 dropping 하는 Debug를 확인. 해당 내역 확인 결과 언제 설정된건지 모를 DHCP vci 패턴 매칭 설정으로 인한 이슈로 확인됨.
config system dhcp server
edit 2
set dns-service default
set ntp-service default
set default-gateway 192.168.0.1
set netmask 255.255.255.0
set interface "internal"
config ip-range
edit 1
set start-ip 192.168.0.2
set end-ip 192.168.0.254
next
end
set timezone-option default
set vci-match enable --> 문제의 Config 부분
set vci-string "FortiSwitch" "FortiExtender" --> 문제의 Config 부분
next
config system dhcp server
edit 2
set vci-match disable
end
명령어 입력 이후 정상 IP 할당 확인됨.
분명 Config 그대로 마이그레이션했는데 왜 이게 포함되었을까?
- 기존 장비 Config 확인 시에 해당 Config는 확인되지 않음.
- 펌웨어 버전도 v7.2.10 그대로 올렸기에 업그레이드 과정도 없었음
- 기존 장비 Config를 부분마다 스크립트 업로드로 올렸기에 이상하게 넣었을 리도 없음
- 다른 포트는 안들어가있으니 default로 넣어버리거나 하는 건 아닌 듯..
아무튼 저게 왜 들어갔는지는 의문이나 빠르게 해결 완료.
내용 추가 (24.10.16)
곰곰히 생각해보니 문제의 vci Config는 장비에 Default로 포함된 Fortiswitch 연동 관련 DHCP 컨피그입니다.
고객사의 DHCP ID와 Default 설정으로 된 FortiSwitch 연동을 위한 ID가 겹치면서 설정이 덮어씌워지며 발생된 증상으로 보입니다.
따라서, DHCP 서버 설정 관련하여 마이그레이션을 할 때, 모든 Default DHCP Server 설정을 지우고서 마이그레이션 하시는 것이 좋을 것 같습니다.
방화벽에서 최초의 세션은 CPU에서 처리를 진행하나, 이후 처리는 NP6Lite (npu)에서 진행됩니다. 메모리가 있는 모델에서의 Fortiview 기능은 CPU를 통과한 통신들에 (최초 생성되는 세션) 대해서 집계되기 때문에, 결국 기존 세션의 통신은 Fortiview에 집계가 되지 않아 정확하지 않은 문제가 발생합니다.
(패킷 스니핑에서 최초 패킷 이후 통신 패킷이 확인되지 않는 것도 같은 이유입니다)
따라서, 아래 해결책을 공유하오니 도움이 되셨으면 좋겠습니다.
(단, 기존 통신 세션이 모두 단절되므로 인터넷이 정말 사용할 수 없을 정도로 심각할 경우 사용하실 것을 권고드립니다.)
아래의 명령어를 이용하여 npu를 비활성화 진행합니다.
config system npu
set fastpath disable
end
이후, 아래 명령어를 입력하여 전체 세션을 클리어합니다. (*주의, 기존 세션이 전부 단절되므로 심각할 경우만 사용!)
