Fortinet

Fortigate Firewall Üzerinde Mobil Token Kullanarak ikili Kimlik Doğrulması – Fortigate Firewall MFA

Günümüzde artık donanımların, işletim sistemlerinin büyük oranda stabil çalışması sağlanmış durumda. Günümüzün popüler sorunları arasında Güvenlik önemle yukarıya doğru tırmanmakta. Bu nedenle birçok sistemde güvenlik adına yeni önlemler ortaya çıkmakta. Eskiden çok az duyduğumuz ikili kimlik doğrulama sistemi günden güne yaygınlaşmakta.

Makalemizde Fortigate Firewall ile VPN yapılan ortamlarda ikili kimlik doğrulmasını ele alıyor olacağız. Sözü uzatmadan adımlarımıza geçelim.

Firewall üzerinde bazı özelliklere göz atalım. Firewall üzerinde User Definition sekmesinde tanımlanmış olan kullanıcılarımız gözükmekte.

clip_image002

Örnek bir kullanıcımıza girdiğimizde, SSL VPN grubuna üye olmuş durumda.

clip_image004

SSL_VPN_GRUBU isimli grubumuza VPN yetkisi olan kullanıcılarımız gözükmekte.

clip_image006

Bir kullanıcımızla, ayarları yapılmış ve FortiClient uygulaması kurulmuş bilgisayar üzerinden VPN bağlantısı için Connect butonuna tıklıyoruz.

clip_image007

Bağlantı sorunsuzca gerçekleşmiş duruma.

clip_image008

Şimdi VPN kullanıcıları için ikili kimlik doğrulama özelliğini ele alıyor olacağız. Fortigate üzerinde bu işlem birçok farklı metotla yapılabilmekte. Token, Mobil token gibi alternatifler söz konusu. Artık günümüzde birçok işlem yazılıma döküldüğü için Donanımsal Token pek rehavet görmüyor. Biz Mobil Token ile ikili kimlik doğrulama işlemini yapacağız.

Dashboard ekranında Main sekmesinde Token sayıları ve kullanıcı bilgileri verilmekte. Detay görmek için View in FortiTokens linkine tıklayalım.

clip_image010

Cihaz üzerinde varsayılan olarak bizlere 2 adet ücretsiz Mobil Token kullanım hakkı sunulmakta. Ek olarak satın aldığımız lisansları eklemek için +Create New butonuna tıklamamız gerekmekte. Biz yeni lisanslar ekleyerek devam edeceğimiz için bu butona tıklayalım.

clip_image012

Bu ekranda iki türlü lisans eklenebilmekte. Hard Token ve Mobile Token biz Mobil Token Lisansı gireceğimiz için Mobile Token tabına tıklayalım.

clip_image014

Lisans kodumuzu ekledik. Mevcut 2 lisans artı lisans kodumuzla birlikte 52 atanabilir lisansımız oldu.

clip_image016

Şimdi VPN yapan bir kullanıcımızda ikili kimlik doğrulama özelliğimizi açalım. Bu özellik hangi kullanıcıya atanır ise o kullanıcı ikili kimlik doğrulama ile sisteme erişmek zorunda kalır. Tanımlama yapılmayan VPN kullanıcısı doğrudan sisteme erişim sağlayabilir. Kullanıcı üzerinde işlem yapabilmek için User Definition tabında bir kullanıcımızın özelliklerine girelim.

clip_image018

Öncelikle kullanıcı özelliklerinde Two-factor Authentication özelliğini açalım. Token kısmından boşta olan bir token seçelim.

clip_image020

Bu ayardan sonra kullanıcının Mobil Token uygulamasının sisteme register olması gerekmekte. Bu register işlemi mail veya sms ile olabilir. Sms ayrı bir maliyet doğuracağı için hali hazırdaki e-mail sistemini kullanmak akılcıl olacaktır. Aksi durumda SMS hizmeti veren bir firma ile anlaşmak gerekir.

clip_image022

Cihaz Üzerinde System Events tabında kullanıcıya bu duruma ilgili aktivasyon mailinin, kullanıcı özelliklerinde tanımlı olan adrese gittiği bilgisi görünmekte.

clip_image024

SSL vpn yapma yetkisi olup, yukarıda ikili kimlik doğrulaması ile sisteme girmesi için şart koştuğumuz kullanıcı hesabı ile VPN yapmayı deneyelim. Yine FortiClient isimli programımızı açıp Connect butonu ile login olma işlemini deneyelim.

clip_image026

Aşağıda görüldüğü gibi kullanıcı tam olarak bağlantısını sağlayamadı. Kullanıcıdan bir Token Code girmesi beklenmekte.

clip_image028

Evet sıra geldi şimdi bu Code üretecek olan ortama. Bu işlemi işletim sistemine kurulacak bir yazılımla yapabiliyorken, mobil telefonlara kurulacka uygulama ile yapmamız mümkün. Bu Windows, Linux,IOS ve Android ortamları için söz konusu. Biz genel kullanım itibari ile Windows ve IOS kısımlarını ele alacağız. Öncelikle Windows Mağaza üzerinden gerekli uygulamayı edinelim. Aşağıdaki link üzerinden uygulamaya erişim sağlayabilirsiniz.

https://www.microsoft.com/tr-tr/store/p/fortitoken-windows/9p0tdh1j7wfz

clip_image030

AL butonu ile uygulamayı kuralım.

clip_image032

Uygulamamız kısa sürede kurulmakta. Bilgisayarımızın ara butonuna FortiToken yazarak kısa yoldan FortiToken Windows uygulamamıza erişip açalım.

clip_image033

Uygulamamız açıldığında firmamızın firewall ürününe register olmamız gerekmekte. Bu işlem için +Add butonuna tıklayalım.

clip_image035

Öncelikle bir bağlantı ismi verelim ve Key: kısmına kullanıcıya bu özelliği verirken gelen aktivasyon mailindeki keyi bu ekrana girelim ve Done butonuna tıklayalım.

clip_image037

Mail ile kod ve QR code gelmekte. Manuel olarak kodu girme veya tarama özelliği olan bir cihazınız varsa QR kodu okutarak otomatik giriş sağlamamızda mümkün. Burada kodu elle girdik. Mobil kısımdaki uygulamayı anlatırken orada QR kod okutarak erişim sağlayacağız.

clip_image039

Gerekli aktivasyon işleminden sonra uygulamamız, 1 dakika ömrü olan keyleri açık kaldığı süre boyunda üretmekte.

clip_image041

Şimdi bu işlemi mobil tarafta nasıl yaparız ona göz atalım. IOS sistemlerde APP STORE üzerinden öncelikle FortiToken Mobile uygulamamızı indirelim.

clip_image043

Uygulamamızı açalım.

clip_image045

Yukarıda bahsettiğimiz gibi manuel kod ile register yapabileceğimiz gibi aktivasyon yapmak için gelen maildeki QR kodu da kullanabilir. Telefonumuzdan gelen QR kodu okutarak bu sefer bu metodu uygulayalım.

clip_image047

Kodumuzu okutuyoruz.

clip_image049

Kodumuz okundu ve yazılımımız artık token üretmeye başladı. Şimdi bu token kodu alalım ve VPN uygulamamıza girelim.

clip_image051

Ok butonuna tıklayıp bağlantıyı sağlayalım.

clip_image052

Evet sorunsuzca bağlantımız gerçekleşti.

clip_image053

Bu surum SSL-VPN Monitör ekranında gözükmekte.

clip_image055

Aktivasyon işlemleri için Advanced tabında mail ayarlarımızın yapılmış olması gerekmekte.

clip_image057

Bir makalemizin daha sonuna geldik. Umarım yararlı olur. Başka bir makalede görüşmek dileğiyle.

 

 

 

Rıza ŞAHAN

www.rizasahan.com

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu