昨今サイバー攻撃が活発化されています。サイバー攻撃の対策の一つとして出入口対策があります。出入口対策として有名な方法にUTM製品を自社とインターネットの接続点に設置することがあります。UTMでは通過したパケットの中身をセキュリティチェックして悪意のある通信/怪しい通信を検知して必要に応じて通信の遮断を行います。
UTM製品の有名なメーカーにFortinet社のFortigateシリーズがあります。今回はFortigateを中古で購入して自宅に設置してみた経験を共有します。少し金額面で痛い目に逢ったので今後購入を検討されている方がいれば参考になれば幸いです。
なぜ自宅にFortigateを設置するのか
企業などの大きな組織であれば、セキュリティ対策を実施するためにUTM製品を導入して社内の重要な情報資産を守ることは一般的です。なぜ今回自宅までFortigateを設置するかとういうと、単純に自分の興味とスキルアップのためです(笑)。自分で実際に手を動かしてみて動作の検証をやってみたいため自由に利用できる環境を整備するために、調達しました。また今後は実際に自分で運用してみたレポートも作成してみて情報発信をしていきたいと思います。自分の備忘録も兼ねて発信していきます。
Foritgateの製品調達
今回自宅に設置するFortigateを選定していきます。まずはFortigateシリーズにどんな種類があるか調べてみます。Fortinet社の公式サイトを見てみると、主に3つのシリーズに分かれているようです。エントリーレベル(拠点)、ミッドレンジ(キャンパス)、ハイエンド(データセンター)の3つで主にスループットの違いが大きいようです。当サイトでは脅威防御のスループットで簡単に比較されています。おそらくIPSやDNSセキュリティ、サンドボックスチェックなどのセキュリティチェックを有効化した際にどれくらいのスループットが出るかの比較だと思います。脅威防御は下位モデルの600Mbpsから上位モデルの312Gbpsまであります。当然自宅なので下位モデルで十分なので、一番下位モデルを採用しました。今回採用したモデルはFortigate-40シリーズです。
Fortigate 次世代ファイヤーウォール(NGFW)
https://www.fortinet.com/jp/products/next-generation-firewall
Fortigateの選定を完了したので、次に実際にFortigateを購入していきます。なるべき費用を抑えたかったので、機器はメルカリで購入しました。メルカリでFortigate-40シリーズを検索すると結構な数が出てました。現時点の最新シリーズは40Fで中古だと40Eなどが売られてました。私は最新の40Fシリーズを3万円で売られていて、「安い」と思い誰かに買われる前に即決して購入しました。この判断が後ほど少し痛い目に逢いました。
Fortigateの現状確認
メルカリで1週間くらいで製品が届きました。早速中身を開けて設定内容を確認しました。購入者は中身を確認してないので、ライセンス状況が不明でした。私自身もライセンスはたぶん切れてるだろうから自分で買えばいいや~と思ってました。とりあえずライセンス状況を確認するために、ノートPCに接続して設定内容を確認したところ下図のようでした。
上記を見てもらうとわかるようにライセンスが2023年で切れていることがわかります(詳細なライセンス切れの日付はマスクしてます)。フォームウェアのバージョンも確認してみます。
現行のファームウェアは6.4.4とメジャーアップデートもされていない状況です。ちなみに現時点の最高バージョンは7.4.3です。また上図をみてもらうとわかるように当然ライセンスがきれているので、ファームウェアのアップデートも実施できない状況です。ファームウェアのファイルをアップロードしようと思っても保守先の代理店からもらう必要があるため、バージョンアップはできません。
Fortigateのライセンス調達
次にライセンスを購入するために個人でも購入できる代理店を探しました。特にこだわりなどなかったのでネットで調べて検索上位に出てきた代理店に決めました。そちらの代理店では価格表を公表していたので、なんとなくの価格感もわかりました。早速ホームページから連絡してライセンスのみ個人購入した旨を連絡したところ購入はできそうでしたが、製品のライセンス状況を調査させてほしいとのことでした。
UTMライセンスを購入できましたが、ライセンスが切れた日付から更新する必要があるとのことでした(泣)。。。。Fortinet社の決まり?かは不明ですが、製品自体に紐づくライセンス期限から遡ってライセンスを更新する必要があるとのことでした。また代理店に問合せたところ、Fortigate40Fに関しては、基本保守だけか、基本保守+UTMライセンスの2種類しか選択することができないようでした。基本保守はファームウェアのアップデート、技術問い合わせなどの費用が含まれているので購入は必須かと思います。UTMライセンスについては、Anti-Virus、不正侵入検知/防御、webフィルタリング、AntiSpamが含まれるパッケージライセンスです。自宅にメールサーバなどが無ければ、AntiSpamのライセンスは不要で減額できるかなと思いましたが、UTMライセンスの切り売りはできないようです(泣)。。。
結論として、基本保守+UTMライセンスを約10万円/年で購入しましたが、製品のライセンスが切れた日付からの更新のため数カ月分の費用を無駄に支払うことになりました。
Fortigateのファームウェアアップデート
ライセンスを代理店から程なくしてライセンスが発行されました。Fortigateはよく重大度の高い脆弱性が公表されていますので、まず最初にファームウェアアップデートを実施します。先ほど確認したように現行のバージョンは6.4.4でしたので、最新の7.4.3までバージョンを上げていく作業を実施します。ただ現行と最新バージョンはメジャーバージョンが違うの一気にアップデートできるか分からなかったので、調べたところFortinet社がFortigateのアップグレードパスを教えてくれるサイトを提供してました。早速調べたところ、やはり一気上げることはできずいくつかのバージョンを踏んであげる必要がありました(下図)。
Fortigate Upgrade Path
https://docs.fortinet.com/upgrade-tool/fortigate
では上記のアップグレードパスに従ってバージョンを上げていきます。管理コンソールにアクセスして、「システム>ファームウェア」をクリックします。ライセンスが適用されましたので、下図のようにアップデートができるようになってました。※アップデートはFortigateがインターネットにアクセスできるようにする必要があります。先ほどのFortinet社のアップグレードパスのツールでも推奨されていた次のアップデートバージョン(6.4.6)が「アップグレードパスに従う」という蘭に提示されています。「設定のバックアップとアップグレード」をクリックしてアップデートをします。
クリックして程なくして下図のように作業が実施され始めたことがわかります。自動的に既存設定のバックアップとアップグレードに必要な設定ファイルを取得しています。設定ファイルの設定が終わるとインストールが実施され、自動的にシステムの再起動が走りました。
システムが再起動して管理コンソールにアクセスします。先ほどと同様にファームウェアのバージョンを確認して次にアップグレードパスに従ってアップデートを実施していきます。下図をみてわかるようにバージョン6.4.6に無事に上がっています。
これから最新バージョンまで同じような作業の繰り返しになるため、スクリーンショットは割愛します。最新のバージョンまで上げた結果を下図に示します。ファームウェアのメジャーバージョンが7になったため、UIや左側のメニューバーの表記が若干変わりました。設定内容を確認してみると、最新の7.4.3に無事に上がっており、アップグレードステータスも最新になっております。これでアップデートは完了になります。
まとめ
今回は自身のスキルアップのために、Fortigateを中古で購入してファームウェアをアップデートしてとりあえずFortigateを使える状態まで実施しました。簡単にまとめると実施したことは以下です。おおむね合計3~4週間くらいかかりました。一番時間がかかったのは、代理店がライセンスの移行や現状調査を総代理店に確認する工程に1~2週間くらいかかりました。
- Fortigate 40Fを中古で購入
- 基本保守+UTMライセンスを代理店で購入
- ファームウェアを最新バージョンにアップデート
なお今回の取り組みで気づいた注意事項は次の通りです。
- Fortigateのライセンス購入は製品に紐づいているので、ライセンスが切れた日付まで遡ったライセンス購入が必要
⇒中古で購入する時は事前に確認することをお勧めします。 - Fortigate 40Fのライセンスは「基本保守のみ」、「基本保守+UTMライセンス」しか購入できない
⇒例えば、今回だけ「基本保守のみ」だけ購入して来年にUTMライセンスも購入しようとしても、結局ライセンス期限まで遡って支払う必要がありますのでご注意ください。
コメント