Fortigate Firewall Üzerinde Mobil Token Kullanarak ikili Kimlik Doğrulması – Fortigate Firewall MFA
Günümüzde artık donanımların, işletim sistemlerinin büyük oranda stabil çalışması sağlanmış durumda. Günümüzün popüler sorunları arasında Güvenlik önemle yukarıya doğru tırmanmakta. Bu nedenle birçok sistemde güvenlik adına yeni önlemler ortaya çıkmakta. Eskiden çok az duyduğumuz ikili kimlik doğrulama sistemi günden güne yaygınlaşmakta.
Makalemizde Fortigate Firewall ile VPN yapılan ortamlarda ikili kimlik doğrulmasını ele alıyor olacağız. Sözü uzatmadan adımlarımıza geçelim.
Firewall üzerinde bazı özelliklere göz atalım. Firewall üzerinde User Definition sekmesinde tanımlanmış olan kullanıcılarımız gözükmekte.
Örnek bir kullanıcımıza girdiğimizde, SSL VPN grubuna üye olmuş durumda.
SSL_VPN_GRUBU isimli grubumuza VPN yetkisi olan kullanıcılarımız gözükmekte.
Bir kullanıcımızla, ayarları yapılmış ve FortiClient uygulaması kurulmuş bilgisayar üzerinden VPN bağlantısı için Connect butonuna tıklıyoruz.
Bağlantı sorunsuzca gerçekleşmiş duruma.
Şimdi VPN kullanıcıları için ikili kimlik doğrulama özelliğini ele alıyor olacağız. Fortigate üzerinde bu işlem birçok farklı metotla yapılabilmekte. Token, Mobil token gibi alternatifler söz konusu. Artık günümüzde birçok işlem yazılıma döküldüğü için Donanımsal Token pek rehavet görmüyor. Biz Mobil Token ile ikili kimlik doğrulama işlemini yapacağız.
Dashboard ekranında Main sekmesinde Token sayıları ve kullanıcı bilgileri verilmekte. Detay görmek için View in FortiTokens linkine tıklayalım.
Cihaz üzerinde varsayılan olarak bizlere 2 adet ücretsiz Mobil Token kullanım hakkı sunulmakta. Ek olarak satın aldığımız lisansları eklemek için +Create New butonuna tıklamamız gerekmekte. Biz yeni lisanslar ekleyerek devam edeceğimiz için bu butona tıklayalım.
Bu ekranda iki türlü lisans eklenebilmekte. Hard Token ve Mobile Token biz Mobil Token Lisansı gireceğimiz için Mobile Token tabına tıklayalım.
Lisans kodumuzu ekledik. Mevcut 2 lisans artı lisans kodumuzla birlikte 52 atanabilir lisansımız oldu.
Şimdi VPN yapan bir kullanıcımızda ikili kimlik doğrulama özelliğimizi açalım. Bu özellik hangi kullanıcıya atanır ise o kullanıcı ikili kimlik doğrulama ile sisteme erişmek zorunda kalır. Tanımlama yapılmayan VPN kullanıcısı doğrudan sisteme erişim sağlayabilir. Kullanıcı üzerinde işlem yapabilmek için User Definition tabında bir kullanıcımızın özelliklerine girelim.
Öncelikle kullanıcı özelliklerinde Two-factor Authentication özelliğini açalım. Token kısmından boşta olan bir token seçelim.
Bu ayardan sonra kullanıcının Mobil Token uygulamasının sisteme register olması gerekmekte. Bu register işlemi mail veya sms ile olabilir. Sms ayrı bir maliyet doğuracağı için hali hazırdaki e-mail sistemini kullanmak akılcıl olacaktır. Aksi durumda SMS hizmeti veren bir firma ile anlaşmak gerekir.
Cihaz Üzerinde System Events tabında kullanıcıya bu duruma ilgili aktivasyon mailinin, kullanıcı özelliklerinde tanımlı olan adrese gittiği bilgisi görünmekte.
SSL vpn yapma yetkisi olup, yukarıda ikili kimlik doğrulaması ile sisteme girmesi için şart koştuğumuz kullanıcı hesabı ile VPN yapmayı deneyelim. Yine FortiClient isimli programımızı açıp Connect butonu ile login olma işlemini deneyelim.
Aşağıda görüldüğü gibi kullanıcı tam olarak bağlantısını sağlayamadı. Kullanıcıdan bir Token Code girmesi beklenmekte.
Evet sıra geldi şimdi bu Code üretecek olan ortama. Bu işlemi işletim sistemine kurulacak bir yazılımla yapabiliyorken, mobil telefonlara kurulacka uygulama ile yapmamız mümkün. Bu Windows, Linux,IOS ve Android ortamları için söz konusu. Biz genel kullanım itibari ile Windows ve IOS kısımlarını ele alacağız. Öncelikle Windows Mağaza üzerinden gerekli uygulamayı edinelim. Aşağıdaki link üzerinden uygulamaya erişim sağlayabilirsiniz.
https://www.microsoft.com/tr-tr/store/p/fortitoken-windows/9p0tdh1j7wfz
AL butonu ile uygulamayı kuralım.
Uygulamamız kısa sürede kurulmakta. Bilgisayarımızın ara butonuna FortiToken yazarak kısa yoldan FortiToken Windows uygulamamıza erişip açalım.
Uygulamamız açıldığında firmamızın firewall ürününe register olmamız gerekmekte. Bu işlem için +Add butonuna tıklayalım.
Öncelikle bir bağlantı ismi verelim ve Key: kısmına kullanıcıya bu özelliği verirken gelen aktivasyon mailindeki keyi bu ekrana girelim ve Done butonuna tıklayalım.
Mail ile kod ve QR code gelmekte. Manuel olarak kodu girme veya tarama özelliği olan bir cihazınız varsa QR kodu okutarak otomatik giriş sağlamamızda mümkün. Burada kodu elle girdik. Mobil kısımdaki uygulamayı anlatırken orada QR kod okutarak erişim sağlayacağız.
Gerekli aktivasyon işleminden sonra uygulamamız, 1 dakika ömrü olan keyleri açık kaldığı süre boyunda üretmekte.
Şimdi bu işlemi mobil tarafta nasıl yaparız ona göz atalım. IOS sistemlerde APP STORE üzerinden öncelikle FortiToken Mobile uygulamamızı indirelim.
Uygulamamızı açalım.
Yukarıda bahsettiğimiz gibi manuel kod ile register yapabileceğimiz gibi aktivasyon yapmak için gelen maildeki QR kodu da kullanabilir. Telefonumuzdan gelen QR kodu okutarak bu sefer bu metodu uygulayalım.
Kodumuzu okutuyoruz.
Kodumuz okundu ve yazılımımız artık token üretmeye başladı. Şimdi bu token kodu alalım ve VPN uygulamamıza girelim.
Ok butonuna tıklayıp bağlantıyı sağlayalım.
Evet sorunsuzca bağlantımız gerçekleşti.
Bu surum SSL-VPN Monitör ekranında gözükmekte.
Aktivasyon işlemleri için Advanced tabında mail ayarlarımızın yapılmış olması gerekmekte.
Bir makalemizin daha sonuna geldik. Umarım yararlı olur. Başka bir makalede görüşmek dileğiyle.