ÇözümPark - Beta3

Fortinet Fortigate Firewall ile Draytek Vigor dsl modemimizi ip sec vpn yapmamız için adım adım kurulum ve ayarları anlatalım. Aşağıdaki yapı bir gibi sistemimiz mevcut. Her iki tarafa da Fortigate koymak istemiyorsak. Fortigate ile dsl modemi ip sec görüştürme olanağımız mevcut. Adım adım resimleri takip ediniz.

Yapılması Gerekenler
Modem Network Ayarlarımız Vigor LAN range: 172.16.1.0/255.255.255.0
Firewall Modem Ayarlarımız  Fortigate LAN range: 192.168.198.0/255.255.255.0
Vigor as dial-out side, dial to Fortigate router/firewall.
In this example, we just test Aggressive mode.

Vigor tarafındaki Ayarları

1.Resimde görülen  211.152.185.106 Fortigate Wan İp adresi

“IKE Pre-Shared key” buraya tıklayarak bir şifre giriyoruz. Aynı şifre karşı tarafta da olmalı

Bir sonraki makalede görüşmek üzere.

Draytek resmi sayfasından alıntıdır.

1 – System - Ana Menü

2 – Router - Yönlendirme

3 – Firewall - Güvenlik Tanımlamaları

4 – Vpn - Özel Ağ Yapılandırması (Ipsec, Pptp, Ssl)

5 – Ips&Idp - Saldırı Tespiti Ve Durdurma

6 – Web Filter - Web Ve İçerik kısıtlamalar

7 – AntiVirus & File Block - Virüs Koruması-Dosya Engelleme - Grayware Koruması

8 – AntiSpam BWL List - İstenmeyen Maillerden Kurtulma

9 – Log - Report İzleme ve Raporlama

10-Fortinet Ek Donanım

Merhaba;

Fortinet Ürünlerinden FortiGate U.T.M. ile ilgili temel kurulum bilgilerini aktaracağım.
Kuruluma başlamadan bilinmesi gereken bazı konular var. Önce bunlara cevap verelim.
U.T.M. Nedir? Unified Threat Management – Bütünleşik Tehdit Yönetimi

U.T.M. Neden Tercih Ediliyor? Günümüz bilgisayar teknolojileri fazlası ile ilerledi. Sadece bir firewall yâda AntiVirus sistemi korumamızda güçsüz kalıyor. Çoklu tehditler her an karsımıza çıkabilir. Örneğin bir web sayfasından bulasan virüs bu esnada sisteme gelen bir trojan ihtiva eden elektronik posta sistemimizin bozulmasına çeşitli kayıplara sebebe olmaktadır. Tehlikeler ağ girişinde daha ağa girmeden tespit edilip savuşturulabilir. Gereksiz yere bilgi kaybı, zaman kaybı ve firmaların maddi kayıpları bu sayede  engellenmektedir. Fortinet bu konuda firewall, ips&idp, antivirus (malware, spyware, grayware),Web Category Filter, Antispam Koruması, IM&P2P Koruması, Vpn Desteği (SSL, IPSEC, PPTP) ile günümüz kullanıcılarına en üst seviyede güvenlik çözümü sağlamaktadır.

Kurulum – Giriş 

SYSTEM

Fortigate cihazımız fabrika değeri olarak 192.168.1.99 ip adresi ile set edilmiştir.Cihaza ulaşmak için HTTP,HTTPS,TELNET,SSH,SNMP ile erişebilir yönetimini ve ayarlarını yapabiliriz.Öncelikle bilgisayarımızın ip adresini 192.168.1.250 veriyoruz.Web Browser adres kısmına https://192.168.1.99 yazıyoruz.Sertifika uyarısına devam ederek kullanıcı adi admin password kısmını bos bırakarak cihaza giriyoruz.Karsımıza gelen ana ekran aşağıdaki gibidir.

Resimde görülen cihaz register edilmiş tüm servisleri kullanılan bir cihazdır.Cihazımızı öncelikle https://support.fortinet.com/Login/UserRegistration.aspx  linkinden kayıt ediyoruz.Kurulum bitene kadar resimdeki gibi servislerimizin üzerinde yeşil check işreti olacaktır.Register edildikten sonra 15 ile 30 dk arasında servisler aktif olur.Kısaca menüler hakkında bilgi vermek gerekirse
Status Ekranı =

* Sessionlar –   Cihazımız üzerinden gecen networktaki gelen giden tcp, udp paketlerini görebiliriz.

* İstatistik bilgileri – Saldırılar, virüsler, spamlar ve yapılan itekleri görebiliriz.

* Lisans Durumu – Cihazımızın register başlangıç ve bitiş suresini servis durumunu görebiliriz.

* Tarih zaman

* Log bilgileri

* Komut satiri yönetimi – Web ara yüzünden yapamadığımız işlemler için kullandığımız alan.

* Memory ve Cpu durumunu görebiliriz. Resimdeki versiyon FORTI OS MR 6 .

Network Ekranı = Ağ geçidi ip adresimiz ,Wan bağlantılarımız,Dns ayarımız,vlan trunk oluşturma,Secondary Ip yapılandırma,Yönetim portlari (https,http,telnet vs) Bu kısımdan modemimizi bridge moduna alarak internet bağlantılarımızı sağlarız.Dikkat edilmesi gereken husus Over ride internal dns ve Retrive default gateway from server kutucuklarının dolu olması gerekmektedir.Dışarıdan cihaza bağlanıp yönetim yapılacaksa http,https e izin vermek gerekir.

Örnek Resim

Dhcp sunucu yapılandırma

Config - Bu bolümden mesajların içeriğine müdahale edebiliriz.Default İngilizcedir.

Admin – Bu kısımdan admin veya user yaratarak cihaza girişleri kontrol altına alırız.
Certificates – Kısmından cihazımızın sertifika üretmesini sağlarız.
Maintanance kısmından backup,restore ve fortiguard antivirus,AntiSpam ve web category filter servisimizi aktif ederiz.

Router
Statick ve Policy Route yaptığımız kısım.

Örnek Resim

Ben daha çok Policy üzerinde duracağım.Bu yüzden diğer kısımlar için yakin zamanda yeni makaleler hazırlayacağım.

Policy – Kural
Sistemimizdeki kullanıcıların hangi haklar ile hangi servise erişeceğine karar verdiğimiz kısımdır.
Aşağıdaki ekranda görebileceğiniz gibi çeşitli senaryolar uygulayabiliriz.
Örnek : Finansman,Muhasebe,Yönetim guruplarımız var.
Kullanıcı Hakları Hakkında Bilgi
Finansman Hakları : gov.tr,org.tr,net.tr,edu.tr sitelerde filtre uygulanmayacak. ips,idp koruması sağlanacak.Antivirus (Malware,spyware,grayware) koruması olacak.2 mb üzerindeki dosyaları ftp den geçebilirken,mail veya web ara yüzünden 2 mb üzeri dosyalar engellenecek.Zip,Rar için hiç bir kısıtlama engel olmayacak.Web filter uygulanarak istenmeyen siteler engellenecek.Msn den dosya transferi engellenirken P2P Programlarda download engellenecek veya Limit verilecek.Bu kullanıcıların banka ve finans sitelerine erişimlerinde garanti olarak 30 kb hız verilecek,mail vs diğer web sitelerinde 10 kb üzerine çıkamayacak.Http,https,pop3,SMTP,ntp,im portlari,acık olacak.Diğer tüm portlara erişimi kapatılacak.

Kelime engellenecek örneğin google’da çocuk pornosu gibi.

Muhasebe Hakları : gov.tr,org.tr sitelerde filtre uygulanmayacak.Antivirus (Malware,spyware,grayware) koruması olacak.1 mb üzerindeki dosyaları web,ftp,pop3,SMTP den engellenecek. Web filter uygulanarak tüm web siteleri engellenecek.Msn,icq,aol,yahoo gibi IM’ler engellenirken P2P Programlarda engellenecek.Sadece öğlen tatilinde 30 dk im,p2p veya izin verilen tüm siteler açılacak.ips,idp koruması sağlanacak. Http,https,pop3,SMTP,ntp,im portlari,acık olacak.
Yönetim Hakları : Her turlu siteye erişim olacak.Antivirus koruması sağlanarak Malware,spyware,grayware’ler engellenecek.Kandırmaca şifre sayfaları engellenecek.IM,P2P acık olacak.IM ’ de gelen giden dosyalarda virüs taraması sağlanacak.Ips,idp koruması sağlanacak.Tüm portlar izinli olacak.

Bu kurallarımız içerden dışarı çalışacak.Mail serverımız kendi ofisimizde ise yâda terminal server bağlantımız var ise yapılması gerekenler.Dışarıdan içeri Policy oluşturulmalı.Sabit portlar kullanılmamalı.Örneğin Uzak masa ustu için 3389 kullanılır.Bunun yerine dışarıdan 45345 isteklerini içeriye 3389 olarak al ve Terminal Server’a yönlendir demeliyiz.Fortigate firewall da en önemli yer Protection Profile (Koruma Profili) kısmıdır.

Aklımıza gelen her turlu kısıtlama bu bölümden yapılır.Örneğin proxyleri,web Chat sitelerini,youtube tarzı muti medya download sitelerini,hacking ile ilgili siteleri gibi birçok siteyi engelleyebiliriz.Su an dünya üzerinde 98.000.000 web sitesi bulunmaktadır.Fortinet firması Fortiguard Center’da 49.000.000 web sitesini kategorize etmiş durumda.Antivirus koruması http,https,ftp,SMTP,pop3,IM,imap,Nntp koruması ve dosya transferi engelleme yapabiliriz.

Kullanıcıların web,antivirus,ips,idp,fileblock gibi haklarını tamamen bu kısımdan ayarlarız.

Fortigate firewall Ipsec,Ssl,Pptp vpn’de de virüs koruması,port engellemesi gibi güvenlik sağlar.Şayet istenirse authentication yapılabilinir.Token cihazlar ile tümleşik çalışabilir.Aktive directory ile birlikte çalışabilir.
Gelecek Makale Fortigate üzerinde spam ayarları,dmz mail server kullanmak,dnsbl,rbl,email bwl,ip bwl,banned word konuları hakkında bilgi vereceğim.

Bir sonraki makalede görüşmek dileği ile.Çözümde Çözüm Bulursunuz.
Selamlar

Öncelikle ssl vpn’e neden ihtiyaç duyulur bunu anlatalım. Kurumlar eğer ipsec vpn mimarisi kullanamıyor ise genelde Mobil kullanıcılar için Ssl vpn çözümüne gider. Fortigate Firewall SSL VPN Yapılandırılması (Fortigate Firewall SSL VPN Configuration)

Makalemizde uygulayacak olduğumuz SSL VPN uygulaması daha önce yayınlamış olduğumuz PPTP VPN bağlantısına nazaran daha güvenli olmasının yanında, uygulamalarımızda yaşayacak olduğumuz yavaşlıkla eşdeğer boyuttadır.
PPTP VPN ile SSL VPN arasında ki tek farkımız hız ve güvenlik olup, şirketimizde uygulayacak olduğumuz uygulamalar ve güvenlik anlayışınıza, uygulamalarınıza ve ihtiyacınıza göre sizlere bırakılacaktır.

Fortigate SSL VPN uygulaması, internet üzerinden şirketimiz içerisinde bulunan serverlarımıza, web tarayıcımız üzerinden giden – gelen verileri şifreleyerek, güvenli bir şekilde bağlanmamızı sağlayan bir uygulamadır. Fortigate Firewall’ımız; SSL uygulamalarında diğer yazılımsal veya Donanımsal firewalllara nazaran Dial-up connectons’da yapılan şifreleme metodunu uygulamayıp,
internet tabanlı şifreleme metodunu kullanmaktadır. Fortigate SSL VPN uygulamaların da dial-up bağlantısı oluşturulmadığı için bire bir bağlantıyı kuran kullanıcı ile bağlantıyı kurulan network arasında iletişim sağlanmamaktadır.
Sadece ama sadece FORTIOS işletim sistemi içerisinde bulunan web tabanlı uygulamalar ile iletişim gerçekleştirilecektir. İzin verilen uygulamalar;

Http / Https Telnet Rdp Ftp b Vnc bağlantıları’ dır.

Yukarıda bahsetmiş olduğumuz uygulamaları, kullanıcılarımızın kullanabilmeleri için

Internet Explorer Netscape Mozilla/Firefox web browserları olmak zorundadır.

Diğer ihtiyaç duyulan yazılım ise Sun Java uygulama programıdır. Eğer kullanıcımızın bilgisayarında ihtiyaç duyulan JAVA programı yok ise, bilgisayarına yükleyebilmesi için gerekli siteye otomatik olarak yönlendirilecektir.

Temel bilgileri verdikten sonra yapılandırmamıza başlamak üzere WEB
CONFIG \ Vpn \ SSL \ SSL-VPN Settings bölümüne gelip;

Resim 1

Enable SSL VPN kutusunu dolduruyoruz.

Login Port varsayılan olarak 10443 olup isteğe bağlı olarak erişim portunu değiştirebilmekteyiz.

Tunnel IP Range bölümünde SSL VPN Clientlar için bağlantıları sağlanacak olan IP tünelini belirliyoruz.

Require Client Certficate bölümünü aktif hale getirirsek bağlantıyı sağlayan client bilgisayarlardan, Forigate firewallımıza tanımlamış olduğumuz sertifikaların isteneceğini şart koşuyoruz. Eğer client tarafında bu sertifika olmazsa bağlantı gerçekleşmeyecektir.

Encryption Key Algorithm bölümünde ise fortigate firewall ile bağlantıyı gerçekleştiren SSL VPN client arasında ki güvenlik seviyesini belirliyoruz

Idle Timeout bölümü de ise bağlantıyı gerçekleştiren SSL VPN Client herhangi bir işlem yapmadığı zaman, bağlantının boşta kalma süresini tayin ediyoruz. Belirttiğimiz süre sonunda kullanıcımız bir işlem yapmazsa bağlantı tekrardan kimlik bilgilerimizi doğrulatana kadar sağlanmayacaktır.

Portal Message bölümünde ise bağlantıyı gerçekleştiren SSL VPN Client kullanıcılarımıza iletilecek mesajı yazıyoruz.

SSL VPN ayarlarımızı yapılandırıp, bağlantıyı gerçekleştirmek için firewallımızı ayarladıktan sonra diğer yapılandırma işlemlerimize devam edebiliriz.

Resim 2

Resim 3

Resim 4

Yaptığımız ssl vpn ayarlarını policy ile ilişkilendiriyoruz.

Resim 5
Policy id 8’i inceliyoruz.

Resim 6

SSL VPN hazır. Şimdi ip adresimize bağlanacağız.

Web Gezginimizde adres kısmına  https://ipadresimiz:10443 yazıyoruz.

Fortios Version 3.xx Mr 5 ile SSL VPN’de sanki kendimiz o networkteymiş gibi çalışabiliriz. Bunun için activate ssl vpn tunnel mode dememiz yeterli

Gördüğünüz gibi ssl vpn ile merkez ipimize bağlandık ve sistemde gibi çalışıyoruz.
Püf nokta ilgili policy ye mutlaka protection profile atanmalıdır.
Fatih Karalialioğlu arkadaşımızın yazılarını kısmen de olsa aldım. Kendisine canı gönülden teşekkürü bir borç bilirim.

Bir sonraki makalede görüşmek dileği ile. Çözümde Çözüm Bulursunuz.
Selamlar

Merhaba;

Bu makalede elimizdeki Fortigate cihazımız ile istenmeyen mailleri engellemek için spam servisimizi kullanmayı anlatacağım. Fortigate üzerinde spam maillerin % 70 e yakınını engellememiz mümkün. Standart korumaya ek tanımlamalar nasıl yapılır bunları da resim resim anlatacağım.

Mail serverımız var ve artık mailleri kendi bünyemizde kullanmak istiyorsak sırası ile aşağıdakileri uygulayacağız.

Öncelikle mail server için mx kayıtlarımızı kendi kullanmış olduğumuz ip adresimize transfer işlemini gerçekleştirmeliyiz.Dsl kullanıcıları mutlaka ilk önce reverse dns kayıtlarını düzeltmeliler.Bunun için öncelikle ip adresimizi dnsadmin@turktelekom.com.tr adresine aşağıdaki gibi bir önek mail atmalıyız.
Merhaba Sayın Yetkili
Mail Server Adımız mail.sunucum.com
Mail Server İp Adresimiz 213.243.12.xxx
Lütfen ters dns kaydı açarmısınız.

Bu işlemi yapmazsanız Hotmail gibi bazı mail sunucuları maillerinizi engeller. Reverse dns kayıtlarını tutan
Rbl veya Dns-Bl sunucuların listelerinde bulunabiliriz. Antispam kullanan reverse dns isteyen yerlere maillerimiz ulaşmaz.

Öncelikle Fortigate cihazımıza bağlanıyoruz. Sırası ile yapılması gerekenler.

1 Adım Servis Aktif Etme
Aşağıdaki adımda sekmelerin işretlerini kontrol ediyoruz.

Şu an servisimizi aktif ettik ve system status ekranından antispam servisimizin yeşil check li olduğunu görüyoruz. Şayet servis aktif edildiği halde hala Yeşil olmadı ise Test Availability kısmına tıklayarak servis güncelleme isteği yapıyoruz.

2. Adım Dışarıdan İçeri Port Yönlendirme
Mail serverımıza maillerin gelmesi için 25 (smtp) yönlendirmemiz gerekmektedir istenirse diğer portlar 110(pop3),443(https),80(http),143(imap) yönlendirilebilir.

Fortigate cihazımızda firewall kısmına tıklarız. Resimdeki adımları sırası ile uygulayınız.

Mail serverımızın ipsine 25 nolu portu yönlendirdik. Şimdi mail serverımızın güvenliğini sağlamak için sırası ile aşağıdaki işlemi yapıyoruz. Gerekli korumayı sağladıktan sonra Policy kısmında kural yazılışını göreceğiz.

Virüs korumamızı sağlamak için kutucukları seçiyoruz.

Şimdi dosyaların filtrelenmesini göreceğiz. Fortigate uzantı bazında dosyaları ağ girişinde durdurur. Dosya engellemek için yapılması gereken create new *.dosya_uzantısı yaparak istemediklerimizi engelleriz.

Şimdi gelen maillerin içinde istemediğimiz sözcükler geçiyorsa nasıl engelleyeceğiz bunu göreceğiz. Klasik bilinen ve de fazlası ile bıktıran kelimeleri engellememiz mümkün. Bunun için aşağıdaki adımları tamamlıyoruz.

Şimdi domain bazında engelleme yâda izin vermeyi göreceğiz. Tavsiyemiz aşağıdaki resimdeki gibi bir yapılandırmada bulunmanız. Şirketinize yurt dışından mesela taywandan mail gelmesini istemiyorsanız domain bazında engelleme şansınız bulunmakta.

Ip bazında engellemek için

Şimdi koruma profilimizde yapmış olduğumuz hazırlığı birleştiriyoruz. Tanımlamaları bir araya getirdikçe spam koruma gücüde artacaktır. Lütfen dikkatle uygulayınız. Virüs, spam ve saldırı korumasını bu kısımdan sağlıyoruz.

ÖNEMLİ: Bu kısımda mailler Discard ile sisteme alınmayacak. İstenirse maillerin başlığına spam yazılarak içeri alınabilinir.

Şimdi bu yaptığımız hazırlığı policymizde birleştiriyoruz.

Örnek resim aşağıdaki gibidir.

Dışarıdan içeri yaptığımız yönlendirmeyi tanımlıyoruz. Loglamak istiyorsak Log Allowed Traffic kutucuğuna tıklıyoruz. Şu anda sistemimiz spam mailleri engellemeye başlayacak. Cihazımızın system status ekranından spam maillerin durumunu görebiliriz.

Mail serverımızı hem spam maillerden hem virüslerden hem saldırılardan bu şekilde koruruz. Rbl ve Dnsbl tanımlamaları console ekranından yapılmaktadır. Bu işlem için yapılması gerekenler. Console ekranına  telnet veya hyperterminal ile bağlanıp aşağıdaki komutları yazıyoruz.

config spamfilter dnsbl

edit 1

set name Mail

config entries

edit 1

set action reject

set server xxx.xxx.com

next

edit 2

set action reject

set server xxx.xxx.com

next

end

end

config firewall profile

edit "Mail_Profile

set smtp block scan bannedword fragmail spamemailbwl spamfsip spamfschksum spamfsurl spamipbwl spamrbl splice

end

end

bu islem ile atamis oldugumuz koruma profili'ne rbl server tanimlamasini eklemis oluyoruz

rbl adresler bunlari firewall a girip antispam desteğini guclendirebiliriz

bl.spamcop.net  sbl-xbl.spamhaus.org   blacklist.spambag.org   list.dsbl.org   unconfirmed.dsbl.org

multihop.dsbl.org  rbl-plus.mail-abuse.org   dul.dnsbl.sorbs.net    ubl.unsubscore.com   combined.njabl.org   relays.ordb.org

Bir sonraki makalede görüşmek dileği ile.Çözümde Çözüm Bulursunuz.
Selamlar

Daha önce yayınlanan Fortigate UTM firewall makalesini uyguladığınızı ve hiç bir kısıtlamaya takılmadan internete çıkmış olduğnuzu düşünerek makalemizin ikinci konusu olan Fortigate UTM Firewall üzerinde Web Filter Uygulamasını anlatacağız. Bu makale sonunda firewallımızın arkasında bulunan kullanıcılarımıza engelleme, kıstlama yaparak firewallımızın bir çok özelliğinden yararlanacak ve güvenliğimizi arttıracağız.

Konumuza geçmeden önce, bir şirket için WEB filtrelemenin öneminden bahsetmek isterim. Bilindiği gibi (x)DSL teknolojisi ile birlikte internet son yıllarda hayatımıza hızlı bir şekilde girdi ve hemen hemen bu teknolojiye ulaşmak çok kolay bir hal aldı. Bu teknolojinin avantajlarını ve dezavantajlarını saymakla bitiremeyeceğimizi hepimiz çok iyi bilmekteyiz.

Makalemizin konusu itibari ile avantajlarından değil ama dezavantajlarından bahsedeceğiz ve İnternete çıkışımızı sağlayan modemimizin hemen arkasında bir firewall bulundurmadığımız zaman karşılaşabilecek olduğumuz problemleri ve Fortigate Firewall ile bu problemleri nasıl önleyeceğimizi anlatacağız.

Bilindiği üzere bir çok ülkede, ülkenin kendi örf, adet ve geleneklerine uygun olarak hazırlanan yasalar vardır ve bu yasalar çercevesinde kurallara uyulmadığı taktirde ciddi yaptırımlar bulunmaktadır. Bir çok kez haberlerde, gazetelerde konuyla ilgili yazıları görüntüleri görmüşsünüzdür. Çocuk pornosu içeren siteye giren X kişi yakalandı veya tespit edildi. Sanal ortamda kumar oynayan kişiler yakalandı gibi haberler sırasıyla uzar gider.

Şirketiniz için işveren veya bilgi işlem sorumlusu sunuz ve gün geldi kapınız böyle bir suçtan ötürü çalındı. Elimizde ki senaryoya göre elinizde bir firewall vardır ve düzenli olarak kayıtları tutuyorsunuzdur ve kayıtlarınızı kontrol ederek firewalınızın özelliğine göre kim, nereye ne zaman, hangi bilgisayardan gibi soruları çok rahatlıkla cevaplar ve böyle bir suçtan ötürü muattab olmadığınızdan ötürü kendinizi rahat hisseder ve yüz karartıcı bir suça ortak olmadığınız için mutlu olursunuz. Eğer elinizde iyi yapılandırılmış bir firewall var ise zaten böyle bir siteye giriş hiç olmamıştır.

Pekala biz her zamanki gibi kötüyü düşünelim ve elimizde gerekli kısıtlamaları gerçekleştiren veya ilgili kayıtları tutan bir firewall yoksa ne yapacağız ? Elbette hiç bir şey. Çünkü suç unsuruna karşın kendimizi koruyacak, kendimizi haklı çıkartacak bir delil yoktur ve şirket içerisinden herhangi birisinin yaptığını tespit edemediğimiz sürece şirket yetkilisi, sahibi olarak şuç otomatik olarak bize kalmaktadır ve cezasına da katlanmak durumundayız.

Son zamanlar da TBMM internet suçları konusunda yeni kararların üzerinde durmakta ve ciddi yaptırımları beklemekteyiz.

Yukarıda belirtilen özelliklerin dışında web filtrelemesine, dış ortamlardan networkümüze girmekte olan, istenmeyen vdataları engellemeyi, internet hızımızın gereksiz yere yavaşlamasını önlemek ve çalışanlarımızın iş harici bir şeyler ile uğraşmamasını elbetteki isteriz. Bu gibi soru ve sorunlarımızın tek cevabı iyi bir firewall dan ve bu firewallın isteklerimize uygun olarak yapılandırılmasından geçmektedir.

Bizler bu yazımızda Fortigate Firewall üzerinde Web kısıtlamalarına değineceğiz.

Firewall’ımız ilk yapılandırdıktan sonra, fazladan hiç bir işlem yapmaksızn internet erişimini bizlere sağlayacaktır. Default olarak üzerinde bulunan kural yukarıda ki gibi olup

İnternal (içeride) bulunan,
Hedefi her yer olan,
Bütün zamanlarda,
Her hangi bir servis için,
Hiç bir profile (yazımızın ilerleyen kısmında oluşturacak olduğumuz şablonlar) takılmaksızın
Kabul et.

Resimde görülen işaretli kural varsayılan olarak Firewall’ımız üzerinde bulunmakta olup amacımıza uygun olarak silebilir, düzenleyebilir veya oluşturacak olduğumuz ek kuralara göre uygulanma sırasını değiştirebiliriz.

Firewallımızın yapılandırılmasını bitirdikten sonra Firwall’ımızı https://support.fortinet.com/Login/UserLogin.aspx linkinden daha önce almış olduğumuz, kullanıcı adımızı ve şifremizi doğrulayarak yapabilmekteyiz.

Kayıt işlemi ile ilgili ek bir bilgi vermemiz gerekirse, üyelik alabilmemiz için en az bir adet Fortigate ürününü kayıt ettirmiş veya kayıt ettirmek üzere olmak durumunda olmamız gerekmktedir. Kayıt işlemimizi yaptıktan sonra bizlere sağlayacak olduğu avantajlar daha önce kayıt ettirmiş olduğumuz ürünlerin durumlarını görmek, gerekli Firmware Version’ ları için gerekli dosyaları indirmek, öğrenmek, Üzerinde bulunan Antivirüs yazılımlarının bitiş tarihlerini öğrenmek, güncelleştirmek gibi bir çok avantajları bulunmaktadır.

Kayıt işlemimizi bitirdikten sonra ürünümüz üzerinde System \ Maintenance \ FortiGuard Center içerisine girerek yukarıda ki resim de görülen Update bölümlerini tıklayarak ürünümüz üzerinde ki gerekli yazılımları güncelleştiriyoruz.

Aynı bölümde bulunan AntiVirus and IPS Downloads ve Web Filtering and AntiSpam Options bölümlerini açabilir, diğer zamanlar da isteğe bağlı olarak manuel download edebilir veya güncelleme zamanlarını belirleyebiliriz.

Gerekli işlemleri yaptıktan sonra minumum 5 dk içinde ürünümüz yukarıdaki görüntüyü alacak ve gerekli siteleri, virüs bilgilerini fortinet sitesinden hafızasına yükleyecektir. (Yeniden başlatmamız gerekebilir.)

Gerekli kuralları oluştura bilmemiz için ürünümüz içerisinde kullanıcılar ve isteğe bağlı olarak bu kullanıcıları toparlayacak olduğumuz gruplar olması gerekmektedir.

Kullanıcıları oluşturmak için Firewall \ Address bölümü altında Create New butonuna basarak yeni açılan sayfada kullanıcımızın ismini kullanmış olduğu bilgisayarın IP adresine göre eşleştiriyoruz. Buradaki sorunumuz eğer kullanıcımız ip adresini değiştirirse ne olacak? Tahmin edebileceğiniz gibi değiştirmiş olduğu ip adresinie uygulanan kurala uygun olarak gerekli eylemler uygulanacaktır. Kulanıcımızın IP adresi gibi değişken bir numaranın yanısıra konsol yardımı ile MAC Adresi gibi sabit numarası ile de kısıtlama yapabilmekteyiz.

Dikkat edilmesi gereken tek bir ip adresi gireceksek eğer 32 bitlik bir blok ki yani tek bir IP adresini temsil eden 255.255.255.255 olarak yazmak durumundayız. Yok eğer bir network için oluşturacaksak 255.255.255.0, 255.255.0.0,255.255.128.0 gibi networkleri veya alt ağlara bölünmüş network ID lerini yazmalıyız.

Kullanıcılarımızı Ip adresleri ile eşleştirdikden sonra kurallarımızın fazla olmaması için bunları gruplar içerisine topluyoruz ve tek tek kişi bazlı kural yazmanın yerine gruba kurallar yazarak hem iş yükümüzü hafifletiyor hemde firewallımız üzerinde fazladan kurallar ıluşmasını engelleyebiliyoruz. Yazımızın ilerleyen kısmında kişiye özel kural yazımını da anlatacağız.

Yukarıda resimde görülen gruplarımızdan bahsetmemiz gerekirse ilk kuralımız makalemiz ile ilgili olmayıp Publish makalesinin kuralıdır ve bu kuralı göz ardı etmenizi isteyecğim, ikinci kuralımızdan bahsetmemiz gerekirse;

WEB Deny ki bu gruba üye olan kullanıcılarımız internet erişimi sağlayamayacaklar.

Web Filter Acces grubumuz içerisinde olan kullanıcılarımız uygulayacak olduğumuz policyden süzüldükten sonra internete çıkabilecekler.

Web Un Filter Acces ise hiç bir filitrelemeye tabi kalmaksızın internet çıkışı yapabilecekler.

Firewall \ Address bölümü altında Gruop bölümü altında yukarıda ki resimde görüldüğü gibi ihtiyacımız doğrultusunda gruplarımızı oluşturabiliyoruz.

Kullanıcılarımız ve Gruplarımızı oluşturduktan sonra Forigate Firewall’ımız register (kayıt işlemi ) tamamlandıysa eğer Fortinet sitesinin kuralları uygulanarak kısıtlamalar yapılabilmektedir.

Eğer biz istersek özelleştirilmiş kısıtlamalarda yapabilmekteyiz. Bu kısıtlamalar ki istemediğimiz kelimeleri barındıran sitelerin açılmamasını, istemediğimiz uzantıda ki dosyaların networkümüze giriş yapılmamasını, istemediğimiz sitelere gidilmemesin gibi bir çok bölümü özelleştirebiliyoruz.

Bu kuralları tek tek oluşturmamız gerekirse ilk olarak.

Web Filter \ Content Block \  Web Content Block bölümü altına gelip bir adet yasaklı kelimeler grubu oluşturuyoruz.

Resimde ki ilgili yeri açarak istemediğimiz kelimeler YASAK KELIMELER adlı templatenin altına giriyoruz.

İlgili bölüm açıldıkdan sonra kullanıcılarımızın web browserinda görülmesini istemediğimiz kelimeleri tek tek girebiliyoruz ve istersek gelen mail içerisinde bu kelimeler olursa yok edilmesini veya spam olarak işaretlenmesini sağlayabiliyoruz.

Bilindiği gibi buna benzer bir kural ISA Server 2000 üzerinde vardı ve bu kural yüzünden çıkan bir çok problem yüzüne ISA Server 2004 de bu özellik kaldırılmıştır. Sebebi ise örnek vermemiz gerekirse biz SEX kelimesi geçen siteyi yasakladık. Ve bu kelime gayet normal bir site içerisinde geçerse eğer misal olarak bir haber sitesinde bir sağlık sitesinde otomatik olarak bu kelime geçtiği için ilgili site artık açılmayacak. Örnek vermem gerekirse bu firewall üzerinden nete çıkan bir client benim bu makalemi okuyamayacak J

Bu özelliği belirttikten sonra kullanmak sizin elinizde olan bir özeliktir..

Özelleştirmemizin ikinci bölümüne geçersek eğer YASAKLI WEB SITELERI. Eğer bizler fortinet firmasının belirlemiş olduğu sitelere bağlı kalmaksızın kendi yasaklanacak veya izin verilecek sitelerimizin de olmasını istersek Web Filter \  URL Filter altında kendi belirlediğimiz isimde bir şablon oluşturuyor ve resimde görüldüğü gibi ilgili yere tıklayarak kendi yasaklı sitelerimizi belirleyebiliyoruz. Veya kuralımızı sadece izinli diyerek, girilmesini istediğimiz siteleri yazarız ve bunlar haricinde bütün siteleri de yasak kuralı oluşturabiliriz.

Yukarıda görüldüğü gibi istemediğimiz siteleri Create New  bölümü altında belirleyebiliyoruz.

Ben www.esersolmaz.com adlı web sitesine benim networküm içerisinde girilmesini istemediğim için yazıyorum ve sitemizi yazarken bu sitenin otomatik olarak block lanmasını ve aktif olmasını sağlıyorum.

Web Sitesi ekleme işlemini daha sonra ilgili yerlerden arttırabilir, silebilir veya pasif duruma getirebiliriz.

Web üzerinden, Mail veya P2P programlar üzerinden networkümüze herhangi bir istenmeyen dosya girmemesini isteyebiliriz. Bu dosyalar ki yukarıda ki resimde görüldüğü gibi gerekli uzantılarda ki dosyalar olabilir. İstenmeyen uzantıya sahip dosya uzantılarını eklemek için AntiVirus \ File Pattern \ altında default olarak builtin-patterns adında bir sablon bulunmakta olup (bu silinememektedir) düzenleyebiliriz. Ama ek olarak bu sablona ekleme yapabilir, şablonun içerisinde bulunan uzantıları pasif duruma getirebiliriz veya silebiliriz. 

ISA 2004 Server üzerinden tanıdık olduğumuz bir kural. Isa Server üzerinde SMT FILTER / MESSAGE SCREANER kurarak içeride bulunan Mail serverimiza istemediğimiz uzantıdaki mail hesaplarından gelen postaları içeriye alınmamasını isteyebiliyorduk. Buna benzer bir kuralı ise Fortigate firewall üzerinde tanımlama imkanımız bulunmaktadır. Yasak mail listelerini belirterek bu uzantıda ki, belirtmiş olduğumuz mail hesabı üzerinden veya istemediğimiz domainlerin ip adreslerini biliyorsak ip adreslerine göre belirleye biliyor, isteğimize göre bu domainleri Spam olarak belirleye bilir veya hemen temizlemesini isteyebiliriz.

Not : Bu özellik İsa Server 2006 da bulunmamaktadır.

Bu kuralımızı oluşturmak için firewallımız içinde AntiSpam \ Black/White List bölümü altından yapılandırabiliriz.

Fortinet sitesinden gerekli güncelleştirmelerimizi aldık ve Kendimize özgü özelleştirilmiş templatelerimizi hazırladıkdan sonra artık firewallımız üzerinde gerekli kuralları oluşturmaya sıra geldi. Soframızı kuruk yemeğimizi yemeye başlayabiliriz.

Firewallımız üzerinde Firewall \ Protection Profile bölümü altına geldiğimiz zaman default olarak scan, strict, unfiltered, web isimlerinden oluşmak üzere dört adet koruma profili bulunmakta olup, bunların hepsi bir birinin aynısıdır ve düzenlememiz için bizleri beklemektedir.

Bu kuralları silebildiğimiz gibi kendimize özgü bir kural da oluşturabiliriz.

Protection Profile’ mizi eğer bir kuralımızın içine entegre ettik isek bu profile yi silemeyiz. Resim de görüldüğü gibi web profilesini kullandığım için yanında ki silme butonu bulunmamaktadır. Bu buton sayesinde profilenin kullanılıp –