はじめに

前回、ポリシー＆オブジェクトのIPv4ポリシーのインスペクションモードがプロキシベースだったのをフローベースに変更した後、 FTPで接続ができませんと・・・・・

調査

今回は、詳細に調査しなくても、私がその該当のFTPで繋いだ時点でわかりました。。

原因はそのサイトは、FTPSでのみ接続のサイトでTLS1.0でした・・

Filezillaでは、接続の初めに、この証明書でよいかと、POPUP表示されます。そこに下記のように・・・

ふーーーん。。

対応

ちょっと、もうSSLインスペクションをあきらめました....まぁ前回フローベースにしているので..

Fotigateの古いバージョンでは、ポリシー＆オブジェクトのIPv4ポリシーでドグルスイッチがあって、ON/OFFできましたが、現在のバージョンでは、そのスイッチがありません

設定方法は。。。

セキュリティプロファイルのSSL/SSHインスペクションを開いて

赤枠が停止できる部分です。

新規で下記のプロファイルを作成するか、現在使用しているプロファイルを下記のように修正します。

結果

SSLインスペクションを完全停止。。。。

一応社内では、カスペルスキーを使用していて、設定のネットワーク設定で「暗号化された接続のスキャンを使う」にしました。

Fortigateくんのバグが治るまで、とりあえずこれで・・・・

最近では、常時SSL化されたサイトが多くなり、ディープインスペクションにするか、迷っていましたが、ChromeのQUICなどの対応もあったりで・・・

常時SSL化に伴って、悪意あるサイトもSSL化されるようになって、マルウェアなども暗号化された状態でやってきて感染する可能性もあります。

本事項を実行するにあたっては、あなたの環境にあわせて、よく考えておこなってくださいね。

関連記事

FortigateのChrome TLS 1.0/1.1 無効化ではまった件

前回の記事はこちらから
https://www.omakase.net/blog/2020/10/fortigatechrome-tls-1011.html