Fortinet

Fortigate Firewall Transparent Mod Yapılandırılması

Fatih KARAALİOGLU — Sat, 19 Jul 2008 14:11:22 GMT

Daha önceden yayınlamış olduğumuz Fortigate makalelerimizde Firewallımızı NAT modda yapılandırmış ve networkümüze NAT modulunde kullanıma hazır hale getirmiştik.

Fortigate firewallımız NAT mod haricinde Route ve Transparent modda da kullanılabilmektedir.

Fortigate Firewall’ ımız NAT ve Route Mod’unda Layer3 özelliklerinide kullanarak çalışmaktadır. Firewallımız NAT ve Route modunda yapılandırıldığı zaman farklı interfacelerindeki farklı IP ve Subnet Masklara sahip networkleri üzerinden gerekli işlemleri (yasak, izin, süzme vb.) yaparak geçirmektedir. Normal şartlar altında Fortigate cihazımızın ( aslında bir bir firewallın ) kullanıma hazır hale getirilmesi bu şekildedir.

Fakat bazı özel durumlar vardır ki firewallımızı NAT ve Route Modunda networkumuz için kullanıma hazır hale getiremeyebiliriz. Bunların nedenlerini örnek vermemiz gerekirse;

İki veya daha fazla noktası farklı ürünler ile IPSEC VPN, Vpn, VOIP vb.. ürünler bulunan ve network yapısına dahil edilecek olan başka bir ürün ile uyumsuzluk yapacak olan networklerde, mevcut yapıyı bozmak, değiştirmek için, bazen ise çok daha pahalı ve iş yükü getirecek durumlar da Transparent Mod bir çözüm oluşturacaktır.

Veya potansiyel bir müşterimiz için firewall ihtiyacını karşılamak adına Müşterimizin networküne DEMO amaçlı olarak ürünümüzü bırakacağız. Demo süresi içerisinde mevcut network yapısını değiştirmektense Trasnparent Modda yapılandırıp, demo sonrasında ürünü networkden çıkartabiliriz ve Mevcut yapıda herhangi bir değişiklik yapmamış olabiliriz.

Transparent Mode yapılandırılmasında, mevcut Layer 3 yapılandırılmasını değiştirmiyoruz. Transparent mod yapılandırılmasında Fortigate Firewallımız mevcut networkun içine, mevcut networkde ki boşta bulunan bir IP adresi atamamız ile dahil etmiş oluyoruz. Tabirde yanlışlık olmadığını varsayarsak Bridge mod olarak yapılandırdığımızı söyleyebiliriz.

Ürünümüz Transparent Modda iken Nat ve Route Modda yapmış olduğu gibi, üzerinden geçen bütün trafiğin, paketlerin virus ve attack taramasını, web filter uygulamasını, mail content filtrelemesini vb. işlemlerini gerçekleştirmektedir.

Yukarıda ki topolojide 10.10.10.54/24 Ipadresine sahip clientimiz üzerinde Transparent Mod yapılandırılmasını gerçekleştireceğiz. Ve bu topolojide bütün yapılandırmamızdan sadece ama sadece 10.10.10.54 IP adresine sahip clientimiz etkilenecek.

Yukarıda ki topolojide ki gibi bağlantıları gerçekleştirdikten sonra yapılandırmamıza başlıyoruz.

İlk olarak firewallımızın System Information bölümü altında ki Operation Mode bölümünü görüyoruz. Default olarak NAT modunda olup, Chance butonu ile modunu değiştiriyoruz.

Mod bölümünde Transparent bölümüne getirdikten sonra Managment IP/Netmask bölümüne iç networkumuzden, firewallımızı yönetmek için bir IP ataması gerçekleştiriyoruz. Default Gateway bölümüne ise sahip olduğumuz internet çıkışını gerçekleştiren Routerimizin IP adresini yazıyoruz.

Modumuzu değiştirdikten sonra atamış olduğumuz IP adresinden firewallımıza ulaşıyoruz ve modunun Transparent olduğunu görebiliyoruz.

Firewallımızın modunu Trasnparent olarak değiştirdikten sonra NAT/Route moduna göre değişen özellikleri;

Firewallımızın Router özelliği artık Yok.

System sekmesi altında DHCP ve Certificates bölümlerinin gittiğini görebilmekteyiz.

Firewall sekmesi altında Virtual IP bölümü yok.

VPN bölümü sekmesinde PPTP ve SSL VPN özellikleri artık yok.

Intrusion Protection sekmesinde DoS Sensor özelliğimizde artık yoktur.

NAT/Route yapılandırılmasında , Firewall / Policy sekmesi altında bulunan default kuralımız yukarıda ki gibi olup, internaldan – wan1’e bütün portlar açıktır.

Transparent Mod yapılandırılmasında ise , Firewall / Policy sekmesi altında bulunan default kuralımız Internaldan – Wan1’e ve Wan1’den – İnternal’a tüm portlar açık olacak şekilde değişmektedir.

Kurallarımızı diğer modlarda olduğu gibi Edit bölümünden düzenleyebiliyoruz.

Kuralımızın , policymizin içine girdiğimiz zaman Source Interface (kaynak) ve Destination İnterface (hedef) bölümleri haricinde gerekli değişiklikleri yapabiliyoruz.

Yapacak olduğumuz ilk eylem Service ksımında ANY (hep şey) olan protokolümüzü, ihtiyaçlarımız doğrultusunda değiştirmek üzere MULTIPLE (çoklu) olarak düzenliyoruz.

Düzenlememiz sonrasında Protection Profile kısmında daha önceden oluşturmuş olduğumuz Protection Profilemizi Kuralımıza atıyoruz.

Protection Profile yapılandırılması için Fortigate UTM Firewall uzerinde WEB Filter Uygulaması makalesinden yararlanabilirsiniz.

Multiple bölümü içerisinde internet çıkışımız için ihtiyaç duyulan portları Available Services bölümü içinden (ust kısımdan), Members bölümü içine (alt kısım) taşıyoruz ve Members bölümü içinde olan ANY’i Available Services bölümüne taşıyoruz.

Bu düzenleme ile kuralımız sadece internet erişimine izin verecektir.

Düzenlememizden sonra kuralımız yukarıda ki hali alıp, web ve mail trafiğine izin vermektedir.

VE firewallımız arkasında bulunan Clientimiz yasaklı olan bir web sayfasına girememekte olup, izin verilen diğer web sayfasına iletişimde bulunmaktadır.

Clientimiz üzerinden hangi yollar izlenilerek web sayfasına ulaştığını kontrol ettiğimizde ise, ilk gitmiş olduğu Hop (hedef), İnternet iletişimimizi gerçekleştirmiş olduğumuz Router (ADSL Modemimiz) olduğunu görebilmekteyiz.

Firewallımız transparent mod içinde olduğu için görülememektedir.

Not : Tracert komutunu yani gidilen hopları görebilmek adına Internaldan Wan1’e olan 3 numaralı ID’ye sahip Policymiz içine Tracert protokolünüde ekledim. Eklemeseydim bu bölümde istek zaman aşımına uğradığı uyarısı karşımıza gelecekti.

İçeriden dışarıya (Internaldan WAN1’e ) kuralımızdan sonra, dışarıdan içeriye (WAN1’den Internal’a) kuralımızı düzenleyeceğiz.

Not : 10.10.10.54 IP adresli Clientimizin 10.10.10.3 numaralı Terminal Serverimiza Uzakmasaüstü iletişimi yapabilmesi için TCP IP 3390 (TS default portu değiştirilmiştir) numaralı, portu Internaldan Wan1’e olan 3 numaralı ID’ye sahip Policymiz içine RDP ALLOW olarak oluşturduğum özelleştirilmiş protokolünü ekledim

Gerekli ayarlar yapıldıktan sonra 10.10.10.54 numaralı clientimiz, 10.10.10.3 numaralı Terminal Serverimiza gidiyor ve TS serverimizda clientimiza 3389 numaralı RDP portu ile gelebilmektedir.

Terminal Serverimizin Clientimiza gelebilmesi için herhangi bir eylem gerçekleştirmiyorum sebebi ise zaten WAN1’den Internal’a tüm portlarımız (ANY) olarak izinlidir.

Yukarıda ki resimden de anlaşılacağı üzere Terminal Serverimiz Clientimiz ile her türlü istekde bulunabilmektedir.

Wan1’ den internal’a gelen istekleri düzenlemek adına iki numaralı ID’ ye sahip policymizi editliyoruz.

Policymizin içinde Service bölümü altında ihtyiaç duyulan servisleri Multiple olarak seçip izin verebileceğimiz gibi sadece ilgili bir protokolede izin verebiliriz. Eğer ihtiyaç duyulan servisimiz Firewallımız içinde ki tanımlı servislerde yok ise Create NEW bölümü ile özel bir servis atayabiliriz.

RDP protokolünü eklemek adıan Create NEW butonuna tıklıyoruz.

New Custom Service Bölümünde 3389 Protokolomuzu ekliyoruz.

Add bölümü ile birden fazla servisi aynı grup altına toplayabiliriz.

Kuralımızı düzenleyip, uyguladıktan sonra 2 numaralı ID’ ye sahip Wan1’ den Internal’a olan kuralımızın Service bölümünde sadece ama sadece RDP ALLOW servisine izin verildiğini görebilmekteyiz.

Kuralımız uygulandıktan sonra Terminal Serverimiz, Clientimiza Uzakmasa üstü protokolü ile bağlandığını ama izin verilmediği için ping isteklerinin bloklandığını görebilmekteyiz.

Firewall yapılandırmamızı tamamladıktan sonra Firewallımızı Transparent Mod olarak networkümüze konuşlandırabiliriz.

Eğer firewallımızı Demo amaçlı olarak bir networke konuşlandıracaksak, mevcut networkde internet kesintisinin algılanmasını minimum seviyede tutmak adına Firewallımızın elektiriğini verip WAN1 portu bağlantısını gerçekleştirmeden Servislerinin geldiğini ve açıldığını görelim. Servisler geldikten sonra Modem ile SW arasında ki kabloyu çıkartıp Firewallımızın WAN1 poruna hızlı bir şekilde bağlarsak internet kesintisi sadece ama sadece kabloyu çıkart tak daki hızımıza bağlı olarak değişecektir. Yani saniyelik bir olaydır.

Farklı Fortigate Transparent Mod topolojilerini ve network diyagramları için aşağıda ki linkten yararlanabilirsiniz.

http://kc.forticare.com/redirfile.asp?id=183&SID

Fatih KARAALİOĞLU

Fortinet Fortigate Firewall ile Syslog Sunucu Kurulumu ve Yapılandırılması

Savas Demir — Sun, 27 Apr 2008 21:01:00 GMT

Ağımızda kullanmış olduğumuz bilgisayarların yaptıkları içerden dışarı ya da dışarıdan içeri olan hareketlerinin izlenmesi işlemine loglama denilir. Loglama yapacak donanım yâda yazılım üzerinden geçen tcp yâda udp paketleri decode ederek source (kaynak)isteklerini, kullandıkları tcp/udp port servislerinin almış olduğu cevabı kısacası yapılan bir isteğe ve verilen cevabın tümünü bu işlem ile görebiliriz. Artık günümüzde yapılan bilinçli yâda bilinçsiz saldırıların % 70 iç networklerden olmaktadır. Art niyetli bir kullanım ile dışarıdan içeri, içeriden dışarı olan istekleri loglamak günümüzde şirketlerin olmazsa olmazlarından biri olmuştur. Bilgi işlem sorumluları yâda bilgisayar hizmeti aldığımız kişilerin bu loglamayı bilgisayar kullanıcılarına duyurarak yapması gerekmektedir. Art niyet olmadan yapılan kötü niyetli işlemler şirket bütçesine verilen maddi zararın % 30 ını oluşturduğu bilinmektedir. Art niyetlice tamamen kar – zarar gözeterek yapılan zararın % 40 ı bulması firmaların bir kez daha loglama ve raporlama durumu hakkındaki düşüncelerini etkilemiştir. Masum ve korunmasız ağlar sayesinde kırıcı dediğimiz kişiler yönetimini ele geçirdikleri bilgisayarlar ile zombi attack’ları yapmaktadır. Bilinçsiz kullanıcı hiç bir şeyin farkında değilken Türkiye’nin her hangi bir ilinden İngiltere deki kumar sitelerine kendi bilgisayarı ile saldırı yapmaktadır. Şu an internet üzerinden yapılan bu saldırılar beraberinde bir ticaret kapısı açmış bulunmaktadır. Yasa dışı olan bu ticaret uyuşturucu, terör ve kumar gelirlerinden daha fazla para kazandırmaktadır. Yapılan işlem kısaca bir kırıcı (bootnet) 10.000 ile 100.000 bilgisayarın idaresini başka bir art niyetli kişi yâda kuruma kiralar. Zombi bilgisayarlar üzerinden yapılan attack, phishing, spam, virüs gibi işlemler ile para kazanmak, zarar vermek amaçlanmaktadır. Doğruluğu kanıtlanmamış İngiltere’de bir kaç büyük bahis sitesinin bu Bootnet’lerden korunmak için onlara belli bir para ödediğidir. Klasik firewalllarımızdaki yapı aşağıdaki resimdeki gibidir.

Görmüş olduğunuz resimde yapılan hareketleri geçmişte kullanmış olduğumuz firewall’lar ile engelleyebiliyorduk. Değişen günümüzdeki teknoloji ile geçmişteki firewall, modem yâda routerlarımız bugün ki tehlikeleri korumakta yetersiz kalmaktadır. Tamamen sistemlerimizdeki güvenlik açıkları ile bize saldırmak için bekleyen art niyetli kişiler aşağıdaki resimdeki gibi yöntemler ile günümüzde saldırılarını yapmaktadır.

Resimde görüldüğü gibi tehditler artık günümüzde tümleşik olarak ağımıza girmeye yâda ağımızdan dışarı çıkmaya çalışmaktadır. Yapılması gereken öncelikle bu tehditleri engellemek ve engellediğimiz network hareketlerini loglayıp raporlamaktır.

Loglama Yöntemleri;

Hardware Loglama;

Daha önceki makalemizde Fortianalyzer ile ilgili bilgi vermiştik. Bu konuya değinmeye gerek yok. İlgili makale sitemizde yayındadır.Tıklayarak erişmeniz mümkün.
Software Loglama ;
Lisanslı Software (Yazılım) Loglama;

Bu konuda firewall, router, modem, switch üreticilerinin log&report yazılımları mevcuttur. Detaylı bilgi bir sonraki makalemizde yayınlanacaktır.
Lisans Bedeli Gerektirmeyen Ücretsiz Yazılım;

Lisans bedeli gerektirmeyen bildiğim 2 tane yazılım mevcuttur. Bunlardan birisi 3Com Firmasının 3cdaemon yazılımı bir diğeri ise Kiwi Loglama yazılımıdır.
Ben bu makalemizde 3cdaemon yazılımını anlatacağım.

3cDaemon yazılım free (ücretsiz) bir syslog yazılımıdır. Syslog ne demektir sorusuna kısaca networkumuzdaki tüm gelen giden istekleri ileten yâda iletilenleri yorumlayan yazılım yâda donanım sunucusuna denir. Syslog Sunucu günümüzdeki tüm güvenlik duvarlarının dışında dsl modemlerimizde, routerlarımız da, yönetilebilir switchlerimizde olmaz ise olmazlardan biridir.
3Cdaemon yazılımını yüklemek için üreticinin web sitesini ziyaret ediniz.Yüklemek için
http://support.3com.com/yazılım/3cdv2r10.zip linkini kullanabilirsiniz. Syslog sunucusu port tcp/udp 514 ü kullanır portumuzun kullanılmadığından emin olmamız gerekir. Netstat –a komutu ile sorgulamak mümkün. Yazılımın kurulacağı bilgisayarın 7/24 açık olması gerekmektedir.

Kurulum; Yukarıdaki adresten 3CDaemon vers 2.0 rev 10 - a TFTP, FTP, Syslog server and TFTP client for Win32 yazılımını indiriyoruz.
Tipik kurduğumuz yazılımlar gibi next next devam ediyoruz.

Kurulum tamamlanınca aşağıdaki gibi ekran alırız.

Resim 1

Burada loglama yaparken seçilecek dosya yapısı önemli. Lütfen tek dosyaya loglama yapmayınız.

Resimde görüldüğü üzere syslog server seçilir. Log alınacak dizin seçilir.

Resim 2

Fortigate Syslog sunucu ayarlarını bu şekilde yapıyoruz.

Resim 3

Pc’mize yüklediğimiz program istediğimiz dizin altında aşağıdaki dosyaları oluşturuyor.

Yukarıya aşağıdaki gibi satır satır loglar düşmeye başlayacaktır. Yorumlamak gerçekten uzmanlık ister.

Bir satırlık örnek;

04-26-2008 23:52:59 Local7.Notice192.168.1.99 date=2008-04-26,time=
23:52:11,devname=FGT-603907516772,device_id=
FGT03907516772,log_id=0021010001,type=traffic,subtype=allowed,pri=
notice,vd=root,SN=361541,duration=70,user=N/A,group=N/A,policyid=1,proto=
6,service=80/tcp,app_type=
N/A,status=accept,src=192.168.1.51,srcname=
192.168.1.51,dst=84.53.182.49,dstname=84.53.182.49,src_int=
internal,dst_int=wan1,sent=648,rcvd=364,sent_pkt=5,rcvd_pkt=3,src_port=
4543,dst_port=80,vpn=N/A,tran_ip=
192.168.2.10,tran_port=47907,dir_disp=org,tran_disp=snat,

Kısaca cihaz hangi tarihte, hangi saatte, hangi ip ile hangi cihaz üzerinden, hangi log id ile kullandığı trafik tipi, sürekliliği, user name, group name kullandığı policy id protokolü kullandığı tcp servisi, gittiği ip adresi vs vs gibi değerleri alırsınız.

Bir sonraki makalede görüşmek dileği ile.

Lütfen sorularınızı http://cozumpark.com/forums/80/ShowForum.aspx kısmından sorunuz.

ÇözümPark ta çözülmeyecek sorun yok

Fortigate ile Draytek arasında IPSec VPN Konfigurasyonu

Savas Demir — Sat, 19 Apr 2008 17:48:00 GMT

Fortinet Fortigate Firewall ile Draytek Vigor dsl modemimizi ip sec vpn yapmamız için adım adım kurulum ve ayarları anlatalım. Aşağıdaki yapı bir gibi sistemimiz mevcut. Her iki tarafa da Fortigate koymak istemiyorsak. Fortigate ile dsl modemi ip sec görüştürme olanağımız mevcut. Adım adım resimleri takip ediniz.

Yapılması Gerekenler
Modem Network Ayarlarımız Vigor LAN range: 172.16.1.0/255.255.255.0
Firewall Modem Ayarlarımız Fortigate LAN range: 192.168.198.0/255.255.255.0
Vigor as dial-out side, dial to Fortigate router/firewall.
In this example, we just test Aggressive mode.

Vigor tarafındaki Ayarları

1.Resimde görülen 211.152.185.106 Fortigate Wan İp adresi

“IKE Pre-Shared key” buraya tıklayarak bir şifre giriyoruz. Aynı şifre karşı tarafta da olmalı

Bir sonraki makalede görüşmek üzere.

Draytek resmi sayfasından alıntıdır.

Fortinet Fortigate Firewall Profosyonel Loglama Cihazı Fortianalyzer Resimleri

Savas Demir — Sun, 30 Mar 2008 20:17:00 GMT

Bu cihaz ile tüm trafiğimizi,trafiğimizin içeriğini loglama şansına sahibiz.Bunun yanı sıra Forensic Report ile eskiye ait bir sorgulamayı çok basit bir şekilde yapmamıza izin vermektedir.Diğer tercih edilmesindeki sebeblerden biride bir nevi backup görevi görmesi.İçerden dışarı dışardan içeri tüm mailleri arşivleye bilmektedir.Active Directory ile senkronize çalışabilmektedir.Fazla lafa gerek yokYaptıkları aşağıda resimlerde mevcut.

Resim 1

Resim 2

Resim 3

Resim 4

Resim 5

Resim 6

Bir sonraki makalede görüşmek dileği ile. Çözümde Çözüm Bulursunuz

Fortinet FortiGate Temel Kurulum Versiyon 3 MR6

Savas Demir — Sun, 30 Mar 2008 19:55:56 GMT

1 – System - Ana Menü

2 – Router - Yönlendirme

3 – Firewall - Güvenlik Tanımlamaları

4 – Vpn - Özel Ağ Yapılandırması (Ipsec, Pptp, Ssl)

5 – Ips&Idp - Saldırı Tespiti Ve Durdurma

6 – Web Filter - Web Ve İçerik kısıtlamalar

7 – AntiVirus & File Block - Virüs Koruması-Dosya Engelleme - Grayware Koruması

8 – AntiSpam BWL List - İstenmeyen Maillerden Kurtulma

9 – Log - Report İzleme ve Raporlama

10-Fortinet Ek Donanım

Merhaba;

Fortinet Ürünlerinden FortiGate U.T.M. ile ilgili temel kurulum bilgilerini aktaracağım.
Kuruluma başlamadan bilinmesi gereken bazı konular var. Önce bunlara cevap verelim.
U.T.M. Nedir? Unified Threat Management – Bütünleşik Tehdit Yönetimi

U.T.M. Neden Tercih Ediliyor? Günümüz bilgisayar teknolojileri fazlası ile ilerledi. Sadece bir firewall yâda AntiVirus sistemi korumamızda güçsüz kalıyor. Çoklu tehditler her an karsımıza çıkabilir. Örneğin bir web sayfasından bulasan virüs bu esnada sisteme gelen bir trojan ihtiva eden elektronik posta sistemimizin bozulmasına çeşitli kayıplara sebebe olmaktadır. Tehlikeler ağ girişinde daha ağa girmeden tespit edilip savuşturulabilir. Gereksiz yere bilgi kaybı, zaman kaybı ve firmaların maddi kayıpları bu sayede engellenmektedir. Fortinet bu konuda firewall, ips&idp, antivirus (malware, spyware, grayware),Web Category Filter, Antispam Koruması, IM&P2P Koruması, Vpn Desteği (SSL, IPSEC, PPTP) ile günümüz kullanıcılarına en üst seviyede güvenlik çözümü sağlamaktadır.

Kurulum – Giriş

SYSTEM

Fortigate cihazımız fabrika değeri olarak 192.168.1.99 ip adresi ile set edilmiştir.Cihaza ulaşmak için HTTP,HTTPS,TELNET,SSH,SNMP ile erişebilir yönetimini ve ayarlarını yapabiliriz.Öncelikle bilgisayarımızın ip adresini 192.168.1.250 veriyoruz.Web Browser adres kısmına https://192.168.1.99 yazıyoruz.Sertifika uyarısına devam ederek kullanıcı adi admin password kısmını bos bırakarak cihaza giriyoruz.Karsımıza gelen ana ekran aşağıdaki gibidir.

Resimde görülen cihaz register edilmiş tüm servisleri kullanılan bir cihazdır.Cihazımızı öncelikle https://support.fortinet.com/Login/UserRegistration.aspx linkinden kayıt ediyoruz.Kurulum bitene kadar resimdeki gibi servislerimizin üzerinde yeşil check işreti olacaktır.Register edildikten sonra 15 ile 30 dk arasında servisler aktif olur.Kısaca menüler hakkında bilgi vermek gerekirse
Status Ekranı =

* Sessionlar – Cihazımız üzerinden gecen networktaki gelen giden tcp, udp paketlerini görebiliriz.

* İstatistik bilgileri – Saldırılar, virüsler, spamlar ve yapılan itekleri görebiliriz.

* Lisans Durumu – Cihazımızın register başlangıç ve bitiş suresini servis durumunu görebiliriz.

* Tarih zaman

* Log bilgileri

* Komut satiri yönetimi – Web ara yüzünden yapamadığımız işlemler için kullandığımız alan.

* Memory ve Cpu durumunu görebiliriz. Resimdeki versiyon FORTI OS MR 6 .

Network Ekranı = Ağ geçidi ip adresimiz ,Wan bağlantılarımız,Dns ayarımız,vlan trunk oluşturma,Secondary Ip yapılandırma,Yönetim portlari (https,http,telnet vs) Bu kısımdan modemimizi bridge moduna alarak internet bağlantılarımızı sağlarız.Dikkat edilmesi gereken husus Over ride internal dns ve Retrive default gateway from server kutucuklarının dolu olması gerekmektedir.Dışarıdan cihaza bağlanıp yönetim yapılacaksa http,https e izin vermek gerekir.

Örnek Resim

Dhcp sunucu yapılandırma

Config - Bu bolümden mesajların içeriğine müdahale edebiliriz.Default İngilizcedir.

Admin – Bu kısımdan admin veya user yaratarak cihaza girişleri kontrol altına alırız.
Certificates – Kısmından cihazımızın sertifika üretmesini sağlarız.
Maintanance kısmından backup,restore ve fortiguard antivirus,AntiSpam ve web category filter servisimizi aktif ederiz.

Router
Statick ve Policy Route yaptığımız kısım.

Örnek Resim

Ben daha çok Policy üzerinde duracağım.Bu yüzden diğer kısımlar için yakin zamanda yeni makaleler hazırlayacağım.

Policy – Kural
Sistemimizdeki kullanıcıların hangi haklar ile hangi servise erişeceğine karar verdiğimiz kısımdır.
Aşağıdaki ekranda görebileceğiniz gibi çeşitli senaryolar uygulayabiliriz.
Örnek : Finansman,Muhasebe,Yönetim guruplarımız var.
Kullanıcı Hakları Hakkında Bilgi
Finansman Hakları : gov.tr,org.tr,net.tr,edu.tr sitelerde filtre uygulanmayacak. ips,idp koruması sağlanacak.Antivirus (Malware,spyware,grayware) koruması olacak.2 mb üzerindeki dosyaları ftp den geçebilirken,mail veya web ara yüzünden 2 mb üzeri dosyalar engellenecek.Zip,Rar için hiç bir kısıtlama engel olmayacak.Web filter uygulanarak istenmeyen siteler engellenecek.Msn den dosya transferi engellenirken P2P Programlarda download engellenecek veya Limit verilecek.Bu kullanıcıların banka ve finans sitelerine erişimlerinde garanti olarak 30 kb hız verilecek,mail vs diğer web sitelerinde 10 kb üzerine çıkamayacak.Http,https,pop3,SMTP,ntp,im portlari,acık olacak.Diğer tüm portlara erişimi kapatılacak.

Kelime engellenecek örneğin google’da çocuk pornosu gibi.

Muhasebe Hakları : gov.tr,org.tr sitelerde filtre uygulanmayacak.Antivirus (Malware,spyware,grayware) koruması olacak.1 mb üzerindeki dosyaları web,ftp,pop3,SMTP den engellenecek. Web filter uygulanarak tüm web siteleri engellenecek.Msn,icq,aol,yahoo gibi IM’ler engellenirken P2P Programlarda engellenecek.Sadece öğlen tatilinde 30 dk im,p2p veya izin verilen tüm siteler açılacak.ips,idp koruması sağlanacak. Http,https,pop3,SMTP,ntp,im portlari,acık olacak.
Yönetim Hakları : Her turlu siteye erişim olacak.Antivirus koruması sağlanarak Malware,spyware,grayware’ler engellenecek.Kandırmaca şifre sayfaları engellenecek.IM,P2P acık olacak.IM ’ de gelen giden dosyalarda virüs taraması sağlanacak.Ips,idp koruması sağlanacak.Tüm portlar izinli olacak.

Bu kurallarımız içerden dışarı çalışacak.Mail serverımız kendi ofisimizde ise yâda terminal server bağlantımız var ise yapılması gerekenler.Dışarıdan içeri Policy oluşturulmalı.Sabit portlar kullanılmamalı.Örneğin Uzak masa ustu için 3389 kullanılır.Bunun yerine dışarıdan 45345 isteklerini içeriye 3389 olarak al ve Terminal Server’a yönlendir demeliyiz.Fortigate firewall da en önemli yer Protection Profile (Koruma Profili) kısmıdır.

Aklımıza gelen her turlu kısıtlama bu bölümden yapılır.Örneğin proxyleri,web Chat sitelerini,youtube tarzı muti medya download sitelerini,hacking ile ilgili siteleri gibi birçok siteyi engelleyebiliriz.Su an dünya üzerinde 98.000.000 web sitesi bulunmaktadır.Fortinet firması Fortiguard Center’da 49.000.000 web sitesini kategorize etmiş durumda.Antivirus koruması http,https,ftp,SMTP,pop3,IM,imap,Nntp koruması ve dosya transferi engelleme yapabiliriz.

Kullanıcıların web,antivirus,ips,idp,fileblock gibi haklarını tamamen bu kısımdan ayarlarız.

Fortigate firewall Ipsec,Ssl,Pptp vpn’de de virüs koruması,port engellemesi gibi güvenlik sağlar.Şayet istenirse authentication yapılabilinir.Token cihazlar ile tümleşik çalışabilir.Aktive directory ile birlikte çalışabilir.
Gelecek Makale Fortigate üzerinde spam ayarları,dmz mail server kullanmak,dnsbl,rbl,email bwl,ip bwl,banned word konuları hakkında bilgi vereceğim.

Bir sonraki makalede görüşmek dileği ile.Çözümde Çözüm Bulursunuz.
Selamlar

Fortinet Fortigate Cihazımıza Dışardan Erişim Guvenliği

Savas Demir — Sun, 30 Mar 2008 19:48:00 GMT

Neden ihtiyaç duyarız sorusuna cevap verelim öncelikle.Cihazımızı yapılandırdık.Ağımızda web sunucumuz var,mail sunucumuz var.Dışardan web sunucumuza bağlanmak için 80 (Http) portunu yönlendirerek kullanıyoruz.Mail servera dışarıdan web arayüzünden bağlanıp kullanıcıların maillerinide görmesini istiyoruz.Bunun için de 443 (Https) portunu yönlendirerek çalıştırdık.Peki biz dışarıdan cihazımıza direk nasıl bağlanabiliriz.İşte bu sorunuzun cevabı bu makalede.Resim olarak takip ederseniz çözümün çok basit olduğunu göreceksiniz.

Resim 1

Gördüğünüz gibi resimde http 80 portundan giriş yaptık

Resim 2

Resim 3

İstersek cihazımıza sadece belli ip lerin bağlanmasına izin veririz.Aşağıdaki resim örneği Bu arada 44443 nolu port ile cihazımıza bağlandık.

Bir sonraki makalede görüşmek dileği ile. Çözümde Çözüm Bulursunuz

Selamlar

Fortinet Fortigate ile SSL VPN Nasıl Yapılır

Savas Demir — Sun, 30 Mar 2008 19:16:40 GMT

Öncelikle ssl vpn’e neden ihtiyaç duyulur bunu anlatalım. Kurumlar eğer ipsec vpn mimarisi kullanamıyor ise genelde Mobil kullanıcılar için Ssl vpn çözümüne gider. Fortigate Firewall SSL VPN Yapılandırılması (Fortigate Firewall SSL VPN Configuration)

Makalemizde uygulayacak olduğumuz SSL VPN uygulaması daha önce yayınlamış olduğumuz PPTP VPN bağlantısına nazaran daha güvenli olmasının yanında, uygulamalarımızda yaşayacak olduğumuz yavaşlıkla eşdeğer boyuttadır.
PPTP VPN ile SSL VPN arasında ki tek farkımız hız ve güvenlik olup, şirketimizde uygulayacak olduğumuz uygulamalar ve güvenlik anlayışınıza, uygulamalarınıza ve ihtiyacınıza göre sizlere bırakılacaktır.

Fortigate SSL VPN uygulaması, internet üzerinden şirketimiz içerisinde bulunan serverlarımıza, web tarayıcımız üzerinden giden – gelen verileri şifreleyerek, güvenli bir şekilde bağlanmamızı sağlayan bir uygulamadır. Fortigate Firewall’ımız; SSL uygulamalarında diğer yazılımsal veya Donanımsal firewalllara nazaran Dial-up connectons’da yapılan şifreleme metodunu uygulamayıp,
internet tabanlı şifreleme metodunu kullanmaktadır. Fortigate SSL VPN uygulamaların da dial-up bağlantısı oluşturulmadığı için bire bir bağlantıyı kuran kullanıcı ile bağlantıyı kurulan network arasında iletişim sağlanmamaktadır.
Sadece ama sadece FORTIOS işletim sistemi içerisinde bulunan web tabanlı uygulamalar ile iletişim gerçekleştirilecektir. İzin verilen uygulamalar;

Http / Https Telnet Rdp Ftp b Vnc bağlantıları’ dır.

Yukarıda bahsetmiş olduğumuz uygulamaları, kullanıcılarımızın kullanabilmeleri için

Internet Explorer Netscape Mozilla/Firefox web browserları olmak zorundadır.

Diğer ihtiyaç duyulan yazılım ise Sun Java uygulama programıdır. Eğer kullanıcımızın bilgisayarında ihtiyaç duyulan JAVA programı yok ise, bilgisayarına yükleyebilmesi için gerekli siteye otomatik olarak yönlendirilecektir.

Temel bilgileri verdikten sonra yapılandırmamıza başlamak üzere WEB
CONFIG \ Vpn \ SSL \ SSL-VPN Settings bölümüne gelip;

Resim 1

Enable SSL VPN kutusunu dolduruyoruz.

Login Port varsayılan olarak 10443 olup isteğe bağlı olarak erişim portunu değiştirebilmekteyiz.

Tunnel IP Range bölümünde SSL VPN Clientlar için bağlantıları sağlanacak olan IP tünelini belirliyoruz.

Require Client Certficate bölümünü aktif hale getirirsek bağlantıyı sağlayan client bilgisayarlardan, Forigate firewallımıza tanımlamış olduğumuz sertifikaların isteneceğini şart koşuyoruz. Eğer client tarafında bu sertifika olmazsa bağlantı gerçekleşmeyecektir.

Encryption Key Algorithm bölümünde ise fortigate firewall ile bağlantıyı gerçekleştiren SSL VPN client arasında ki güvenlik seviyesini belirliyoruz

Idle Timeout bölümü de ise bağlantıyı gerçekleştiren SSL VPN Client herhangi bir işlem yapmadığı zaman, bağlantının boşta kalma süresini tayin ediyoruz. Belirttiğimiz süre sonunda kullanıcımız bir işlem yapmazsa bağlantı tekrardan kimlik bilgilerimizi doğrulatana kadar sağlanmayacaktır.

Portal Message bölümünde ise bağlantıyı gerçekleştiren SSL VPN Client kullanıcılarımıza iletilecek mesajı yazıyoruz.

SSL VPN ayarlarımızı yapılandırıp, bağlantıyı gerçekleştirmek için firewallımızı ayarladıktan sonra diğer yapılandırma işlemlerimize devam edebiliriz.

Resim 2

Resim 3

Resim 4

Yaptığımız ssl vpn ayarlarını policy ile ilişkilendiriyoruz.

Resim 5
Policy id 8’i inceliyoruz.

Resim 6

SSL VPN hazır. Şimdi ip adresimize bağlanacağız.

Web Gezginimizde adres kısmına https://ipadresimiz:10443 yazıyoruz.

Fortios Version 3.xx Mr 5 ile SSL VPN’de sanki kendimiz o networkteymiş gibi çalışabiliriz. Bunun için activate ssl vpn tunnel mode dememiz yeterli

Gördüğünüz gibi ssl vpn ile merkez ipimize bağlandık ve sistemde gibi çalışıyoruz.
Püf nokta ilgili policy ye mutlaka protection profile atanmalıdır.
Fatih Karalialioğlu arkadaşımızın yazılarını kısmen de olsa aldım. Kendisine canı gönülden teşekkürü bir borç bilirim.

Bir sonraki makalede görüşmek dileği ile. Çözümde Çözüm Bulursunuz.
Selamlar