Fortinet

Fortigate ile HotSpot

Fortigate ile HotSpot

 

Fortigate firewall ile hotspot uygulamasına geçmeden önce hotspot nedir ne işimize yarar neden gereklidir gibi bir kaç sorunun cevabını vermemizde fayda var.

 

 

HotSpot Nedir, Ne işimize yarar, Neden gereklidir ? Hotspot kısaca açık alan veya misafir ağı internet erişimi diye tabir edilir.ama aslında izniniz ve yönetimiz dışında olan veya sizin buna izin vereceğiniz ve akabinde endişe edeceğiniz kullanıcılara “misafirlere,tanımadıklarınıza” sağlamış olduğunuz internet hizmetidir.Hotspot’ta ki sıkıntılardan biri misafirlerinizin sizin şirket ağınızdan veya kamusal alanda kullandırmış olduğunuz internet aracılığı ile sakıncalı erişimler yapmasıdır.Örneğin “çocuk cinsel istismar siteleri,terörle ilgili yazılar ve yapılan aşırı uç yorumlar,devlet yönetimine hakaret gibi.

 

 

Hotspot Maliyeti nedir ? Maliyet sizin satın alıcağınız sms paketlerine bağlıdır.örnek Aylık 500 sms , 1.000 sms , 1.500 sms diye devam eder.Eğer kendi bünyenizde sms gatewayiniz varsa sms’siz paketleri yarı maliyetine yakın kullanabilirsiniz.

 

 

Aşağıda misafir için bir temsili resim bulunmakta.

 

 

 

 

image001

 

 

 

 

Bu şekilde yapımız olduğu zaman ya misafir networkten local networkümüz tehdit altında olur yada onlar için çok statik kurallar yazamayız.Bu durum için Fortigate cihazına ek olarak Fortinetin kendi ürünü olan FortiAp access point kullanabilirsiniz.Bu access pointleri kullanırken ayrıca bir Kontrol Cihazına ihtiyaç duymayacaksınız.Çünkü FortiAp cihazı istenildiği takdirde bir interface gibi hareket eder ayrıca üzerinde bulunan network güvenliği sayesinde sizin kablosuz ağınıza sızmak isteyenlerden koruyacaktır.

 

 

Eskiden yukarıdaki yapıda yapabileceğimiz en fazla güvenlik user authentication’du.Günümüzde ise daha dinamik güvenliğe ihtiyaç duyulmaktadır.

 

 

Nedir bu ihtiyaçlar ?

 

Misafir ağı iç ağımıza erişmesin

 

 

Misafirlerin internet erişimlerini denetlemekle uğraşmayayım.Sınırsız erişim olsun ama loglandığını bilsinler erişimlerinden kendileri sorumlu olsun.

 

 

Misafirlere bir karşılama sayfası gelsin bu sayfada “ad,soyad,tc no,email,pasaport no,öğrenci no” sorulsun ve bu bilgiler girildikten sonra cep telefonuna veya mail adresine şifre gitsin.

 

 

Misafirlerin gerekli erişim bilgileri saklanmalı”ad soyad,tc no,öğrenci no vb”

 

 

Fortinetin bir wifi ağını inceleyelim.

 

 

 

 

image002

 

 

 

 

Gördüğünüz üzere bir kaç şubeli bir yapıda FortiAp dağılımı yapılmıştır ve bu APleri tek kontol eden cihaz Fortigate Firewall Wireless Controller’dır.Bu şu demek dağınık bir ağ yapınız varsa ve bir tane Fortigate firewallınız varsa tüm FortiAP leri bu cihaz üzerinden yönetebilirsiniz.

 

 

Şimdi bu işi Fortigate üzerinde nasıl yaptığımızı anlatalım.

 

 

Fortigate firewall ile bir radius serverı authenticate etmemiz gerekmektedir.Bunun için aşağıdaki resimleri incelemelisiniz.Kurulucak sistem için bir user ve password girilmesi gerekirki Fortigate’e gelen istek authenticate değilse bunu radius sunucu ile eşleştirip doğrulama sonucu izin versin.Mantığı basitçe aşağıdaki resimde gösterelim.

 

 

Misafir Accesspointe bağlandıktan sonra dışarıda bir hotspot sunucusu ile authenticate olmak zorundadır.Vermiş olduğu bilgiler doğru ise cep telefonuna gelen şifre ile artık internette gezebilir.

 

 

 

 

image003

 

 

 

 

Şimdi aşağıdaki yapıya göre entegrasyonu gösterelim.

 

 

 

 

image004

 

 

 

 

Adreste yukarıdaki gibi bir tanım yapılır.

Aşağıdaki gibi hotspot için radius serverda user ve passwordu gireceğiz. Bu user ve şifre bizim tarafımızdan verilecektir.

 

 

 

 

image005

 

 

 

 

Bir user grup oluşturup remote server kısmına oluşturulan Radius ayarını dahil etmemiz gerekmektedir.

 

 

 

 

image006

 

 

 

 

Temel policy görünümü

 

 

79. kural içeriden dışarı dns servisine izin verilmiştir.

 

 

83. kural adreste oluşturulan FGHotspot IP adresine HTTP, HTTPS servisleri için izin verilmiş.

 

 

34. kural identity bir kuraldır bir sonraki resimde açılımı mevcut.

 

 

Policy sıralaması resimde görüldüğü gibi olmalıdır. Bu kuraların tümünde NAT etkin olmalıdır.

 

 

 

 

image007

 

 

 

 

identity based policy detayı

 

 

 

image008

 

 

 

 

Fortinet tarafındaki ayarlar ile portal ayarlamaları bittikten sonra.

 

 

Her hangi bir tarayıcı açtığımızda ekrana size ait logolu login sayfası gelir. Örn:

 

 

 

 

image009

 

 

 

 

Gerekli bilgileri yukarıda belirtilen şekilde girdikten sonra karşımıza onay ekranı gelir kullanıcılar bilgilerini yanlış girebilirler fakat telefon numaralarını yanlış girmeleri durumunda internet erişimleri olmayacaktır.

 

 

 

 

image010

 

 

 

 

Doğrulama işleminin ardından internet erişimimiz başlayacaktır. Bu sekmeyi kapamadan devam et diyerek ya da farklı bir sekme açarak işlemlere devam edebiliriz.

 

 

 

 

image011

 

 

 

 

Firewall monitör kısmında bağlı kullanıcıları telefon numaraları ile görmek mümkün ve bunu loglardanda user name sekmesi ile takip edebilirsiniz.Böylece her kullanıcı girdiği sitelerden kendi telefonu loglarda gözüktüğü için sorumlu olduğunu bilecektir.

 

 

 

 

image012

 

 

 

 

Bu makalede alt yapı ve networking konusunda emeği geçen Burak Yılmaz ve Akın Narman’a da çok çok teşekkürler.

İlgili Makaleler

2 Yorum

  1. Savaş Bey Merhaba;
    Eski bir makale; bilgi için teşekkürler; 2019 yılı için güncel bir soru yönlendirsem size;
    fortigate 60e kullanıyorum. misafir İnternet için bir arayüz oluşturdum. Güvenlik duvarının ilgili portuna 1 adet access point bağladım (standart access point, fortigate değil) . misafirler burdan ağa bağlanıyor. interneti kullanabilmeleri için kullanıcı adı ve parolasına ihtiyaç var. Bunuda şuan resepsiyondaki arkadaş misafirlere form doldurtup şifre veriyor ve bu şekilde internete erişebiliyorlar. ben istiyorum ki herşey otomatik olsun; kullanıcıya sms gidip doğrulama yapsın veya mail doğrulaması yapsın. Bunu fortigate 60e de nasıl yaparım

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu