Forum

FortiGate ve Cisco ...
 
Bildirimler
Hepsini Temizle

FortiGate ve Cisco VPN 3000 Concentrator'un Birlikte Çalışması için Gereken Kurulum Adımları

2 Yazılar
2 Üyeler
0 Reactions
793 Görüntüleme
(@zcinar)
Gönderiler: 7
Active Member
Konu başlatıcı
 

Açıklama

Bu
teknik not bir FortiGate-800 Antivirus Firewall ve Cisco Systems VPN 3000
Concentrator arasında IPSec VPN tünelinin nasıl kurulacağını anlatmaktadır. Konfigürasyon
örneğinde iki VPN peer birbirini kabul
etmek için preshared key kullanıyor. Bu teknik not aşağıdaki bölümlerden
oluşmaktadır:

Ağ Topolojisi

FortiGate-800'ü Konfigüre Etme

VPN 3000 Concentrator'u Konfigüre Etme

VPN Tünelini İzleme ve Test Etme

Ağ Topolojisi

Şekil
1 örnek bir ağ konfigürasyonunu göstermektedir. VPN 3000 Concentrator ardındaki
özel Network_2'teki bilgisayarlar FortiGate-800 birimi aracılığıyla Network_1'e
erişebilirler. Network_2'deki bilgisayarlar tarafından üretilen tüm trafik bir
FortiGate firewall şifreleme kuralına tabidir.

Şekil 1: FortiGate-800 - VPN 3000
Concentrator IPSec VPN örneği

 şekil 1.jpg

Altyapı
Gereksinimleri

Bu teknik
bülten boyunca aşağıdaki örnek konfigürasyon esas alınmıştır:

  • Ağ cihazlarına atanan IP adresleri Şekil
    1'deki gibidir.
  • FortiGate-800 birimi NAT modunda
    çalışmaktadır.
  • Tüm VPN gateway'lerine statik genel IP adresi
    atanmıştır.

FortiGate-800'ü Konfigüre Etme

Bir
FortiGate birimi uzak bir VPN peer'dan bağlantı isteği aldığında güvenli bir
bağlantı oluşturmak ve VPN peer'ı onaylamak için IPSec faz 1 parametrelerini
kullanır. Daha sonra eğer firewall kuralı bağlantıya izin verirse FortiGate
birimi tüneli IPSec faz 2 parametrelerini kullanarak oluşturur ve firewall
şifreleme kuralını uygular. Anahtar yönetimi, kimlik denetimi ve güvenlik
hizmetleri dinamik olarak IKE protokolü aracılığıyla görüşülür.

Bu
fonksiyonları desteklemek için aşağıdaki genel konfigürasyon adımları FortiGate
birimine uygulanmalıdır:

  • FortiGate biriminin remote peer'ı onaylamak
    ve güvenli bir bağlantı oluşturmak için ihtiyaç duyduğu faz 1 parametrelerini
    tanımlayın. Aşağıdaki "Faz 1 parametrelerini tanımlama" başlığına bakınız.
  • FortiGate biriminin remote peer ile bir VPN
    tüneli oluşturmak için gereksinim duyduğu faz 2 parametrelerini tanımlayın.
  • İzin verilen servisleri ve IP
    kaynağı ve hedef adresi arasındaki izin verilen trafik yönünü kontrol
    etmek için bir firewall şifreleme kuralı oluşturun. Tek bir şifreleme
    kuralı VPN tünelindeki hem gelen hem giden IP trafiğini kontrol eder. "Firewall
    şifreleme kuralı tanımlama" başlığına bakınız. "Firewall şifreleme kuralı
    tanımlama" başlığına bakınız.

Faz
1 Parametrelerini Tanımlama

Faz 1
yapılandırması FortiGate biriminin VPN 3000 Concentrator cihazını onaylarken ve
güvenli bir bağlantı oluştururken kullandığı parametreleri tanımlar. Bu örnekte
VPN 3000 Concentrator cihazını onaylamak için bir preshared key
kullanılacaktır. Aynı preshared key FortiGate-800 ve VPN 3000 Concentrator cihazında
da belirlenmelidir.

Faz 1
parametrelerini tanımlamadan önce şunlara ihtiyacınız vardır:

  • Uzak ağ geçidi için bir isim
    belirleyin.
  • Genel arabirimin remote
    gateway'e IP adresini temin edin.
  • Preshared key için özel bir değer
    belirleyin.

Key
en az 6 basılabilir karakter içermelidir ve sadece ağ yöneticisi tarafından
bilinmelidir. Bilinen mevcut saldırılara karşı en iyi korumayı sağlamak için en
az 16 karışık şekilde seçilmiş alfanumerik karakter içermelidir.

Faz 1
parametrelerini tanımlamak için:

1. VPN
> IPSEC > Phase 1
'e gidin

2. Yeni Oluştur (Create New)'u seçin,
aşağıdaki bilgileri girin ve Tamam'ı seçin:

Gateway
Name

Uzak ağ geçidi için bir isim yazın
(Örneğin, Cisco3005).

Remote
Gateway

Static IP Address

IP
Address

192.168.4.2

Mode

Main

Authentication
Method

Preshared Key

Pre-shared
Key

Preshared key'i girin.

Peer
Options

Herhangi bir peer ID'sini kabul edin.

Advanced

Aşağıdaki Gelişmiş seçenekleri seçin:

  • DH grubunda default VPN 3000 Concentrator
    ayarı için 2'yi seçin (Netscreen standart ayarıdır). FortiGate ayarı mevcut
    VPN 3000 Concentrator ayarıyla özdeş olmalıdır.
  • Eğer VPN peer'ları NAT cihazı aracılığıyla
    bir bağlantı kuracaklarsa Nat-traversal Enable seçeneğini seçin.

3.
Mütekabil VPN 3000 Concentrator ayarları ile karşılaştırabilmek için gelecekte
referans almak üzere gelişmiş kimlik denetimi, şifreleme ve DH grubu ayarlarını
bir yere not edin.

4.
OK'i seçin.

Faz
2 Parametrelerini Tanımlama

Temel
faz 2 ayarları IPSec faz 2 parametrelerini faz 1 konfgürasyonu ile birleştirir
ve VPN tünelin uzak uç noktasını belirler. Faz 2 parametrelerini tanımlamadan
önce tünel için bir isim belirlemelisiniz.

Faz 2
parametrelerini tanımlamak için

  1. VPN > IPSEC >
    Phase 2
    'ye
    gidin.
  2. Yeni Oluştur (Create New)'u seçin, aşağıdaki bilgiyi
    girin:

Tunnel Name

Tünel
için bir isim girin (örneğin, cisco_3005).

Remote Gateway

Daha
önceden tanımladığınız gateway'i seçin (örneğin Cisco3005).

Advanced

Şu
gelişmiş ayarları seçin:

  • Clear Enable replay detection. VPN 300 Concentrator'ları replay
    detection'u desteklemek, bu yüzden bu seçenek etkinleştirilmemelidir.
  • DH grubunu 2'ye ayarlayın. İlgili VPN 3000
    Concentrator ayarı FortiGate ayarıyla özdeş olmalıdır.
  • Autokey Keep Alive ayarını Enable hale
    getirin.

3.
Mütekabil VPN 3000 Concentrator ayarları ile karşılaştırabilmek için gelecekte
referans almak üzere gelişmiş kimlik denetimi, şifreleme ve DH grubu ayarlarını
bir yere not edin.

4.
OK'i seçin.

Firewall
Şifreleme Kuralını Tanımlama

Firewall
kuralları bir kaynak adres ve hedef adres arasındaki tüm IP trafiğini kontrol
eder. Bir firewall şifreleme kuralına şifrelenmiş paketlerin iletimi, VPN
trafiğinin izin verilen yönünü belirlemek ve kurala tabi olacak VPN tünelini
seçmek için gereklidir. VPN tüneli ile hem gelen hem de giden IP trafiğini
kontrol etmek için tek bir şifreleme kuralı gereklidir.

Bir
kural tanımlamadan önce IP kaynak ve hedef adreslerini tanımlamalısınız. Bir
gateway-to-gateway konfigürasyonunda:

  • Kaynak IP adresi, FortiGate birimi ardındaki özel
    ağa tekabül eder.
  • Hedef IP adresi Netscreen-204 cihazının ardındaki
    özel ağa işaret eder.

FortiGate
birimi ardındaki ağın IP kaynak adresini tanımlamak için:

  1. Firewall>Address'e gidin.
  2. Yeni Oluştur (Create New)'u seçin. Aşağıdaki bilgiyi
    girin ve OK'i seçin.

Address Name

Bir
adres ismi girin (Örneğin, Network_1)

IP Range/Subnet

FortiGate
birimi ardındaki özel ağın IP adresini girin (örneğin, 172.11.12.0/24).

VPN
3000 Concentrator'a iletilen IP paketlerinin hedef adresini belirlemek:

  1. Firewall>Address'e gidin.
  2. Create New'u seçin, aşağıdaki
    bilgiyi girin ve OK'i seçin:

Address Name

Adres
adı girin (örneğin, Network_2).

IP Range/Subnet

VPN
3000 Concentrator ardındaki  özel ağın
IP adresini girin (örneğin, 10.180.2.0/24).

 

Firewall
Şifreleme kuralını tanımlamak için:

  1. Firewall>Policy'e gidin.
  2. Create New seçin, aşağıdaki
    bilgileri girin ve OK'i seçin:

Interface/Zone

Source
(Kaynak)

Dahili
(özel) ağ için arabirimi seçin.

Örneğin,
port1.

Destination
(Hedef)

Harici
(genel) ağ arabirimini seçin.

Örneğin,
external.

Address Name

Source

Network_1

Destination

Network_2

Schedule

Gerektiği
şekilde.

Service

Gerektiği
şekilde.

Action

ENCRYPT

VPN Tunnel

cisco_3005

  1. Kuralı, kural listesinde benzer
    kaynak ve hedef adresleri bulunan kuralların üzerine yerleştirin.

VPN 3000 Concentrator'u Konfigüre Etme

VPN 3000 Concentrator'u bir FortiGate birimi
ile tünel oluşturmak amacıyla konfigüre etmek için VPN 3000 Concentrator genel
arabiriminde IPSec LAN-to-LAN bağlantısı tanımlamak gerekir.

IPSec LAN-to-LAN bağlantısı
yapılandırdığınızda FortiGate peer IP adresini ayarlarsınız, kimlik
denetimi,  şifreleme ve IKE teklif
ayarlarını seçer ve yerel ve uzak ağları tanımlarsınız. Girdiğiniz Preshared
Key, kimlik denetimi, şifreleme ve IKE teklif ayarları daha önce FortiGate
biriminde yapılandırdığınız ayarla özdeş olmalıdır.

Not: Şekil 1'de gösterildiği gibi takip eden
prosedür, VPN 3000 Concentrator yüklendiğinde Ethernet 2 (genel) arabirimi (IP
adresi 192.168.4.2) Network_1'e (IP adresi 172.11.12.0/24) yöneltilen IP
paketlerini FortiGate biriminin harici arabirimine (IP adresi 192.168.100.99)
ileten bir router'a yönlendirmek üzere yapılandırılmış olarak kabul etmektedir.
Yerel özel ağ, Network_2'ye atanan IP adresi 10.180.2.0/24.

IPSec
LAN-to-LAN bağlantısını konfigüre etme

1.    Bir
web tarayıcı kullanarak VPN 3000 Concentrator yönetim arabirimine bağlanın.

2.    Configuration>Tulleling
and Security>IPSec>LAN-to-LAN'a gidin.

3.    Add
(Ekle)'yi seçin.

4.    Aşağıdaki
bilgileri girin ve Apply (Uygula)'yı seçin:

Enable

Seçeneği seçin.

Name

LAN-to-LAN bağlantısı için bir isim yazın
(örneğin, FortiGate-800)

Interface

Ethernet 2 (Genel) (192.168.4.2)

Connection
Type

Bi-directional (Çift yönlü)

Peers

FortiGate arabiriminin harici (genel) ağa
IP adresini yazın (örneğin, 192.168.100.99)

Digital
Certificate

None (Use Preshared Keys)

Certificate
Transmission

Identity certificate only.

Preshared
Key

Preshared key'i girin.

Authentication

ESP/SHA/HMAC-160

Encryption

3DES-168

IKE
Proposal

IKE-3DES-MD5

Network
Autodiscovery

Seçeneği kaldırın.

IPSec
NAT-T

Eğer FortiGate biriminde phase 1
Nat-traversal Enable seçeneğini seçtiyseniz IPSec NAT-T seçeneğini seçin.

Bandwidth
policy

Boş.

Routing

Boş.

Local
Network

Şu seçenekleri seçin:

  • Network List listesinden Use IP
    Adress/Wildcard-mask below'u seçin.
  • IP Adresi alanına 10.180.2.0 yazın.
  • Wildcard Mask alanına 0.0.0.255 yazın.

Remote
Network

Şu seçenekleri seçin:

  • Network List listesinden Use IP
    Adress/Wildcard-mask below'u seçin.
  • IP adresi alanına 172.11.12.0 yazın.
  • Wildcard Mask alanına 0.0.0.255 yazın.

 

5.    Kimlik
denetimi, şifreleme ve Diffie-Hellman grup ayarlarının daha önce not ettğiniz
ilgili faz 1 ve 2 FortiGate ayarlarıyla özdeş olduğunu onaylayın.

6.    Configuration>Tunneling and
Security>IPSec>IKE Proposals
'a gidin.

7.    Active
Proposals listesinde 4. adımda seçtiğiniz IKE proposals'ı seçin (IKE-3DES-MD5)
ve listenin başına götürün.

8.    Apply'ı
seçin ve sonra sağ üst köşedeki Save simgesini seçin.

VPN Tünelini İzleme ve Test etme

FortiGate
birimi IPSec VPN tünellerini görüntülemek ve test etmek için birtakım araçlar
sunar:

  • Tüm IPSec VPN tünellerinin
    durumunu görüntülemek için IPSec VPN tünel listesini
    görüntüleyebilirsiniz. Liste tüm aktif tünellerin durumunun yanı sıra
    tunnel time out değerlerini de gösterir. IPSec VPN tünellerin durumunu
    görüntülemek için VPN>IPSec>Phase
    2
    'ye gidin. 
  • IPSec VPN tünellerindeki hareketi
    izlemek için monitörü kullanabilirsiniz ve bu tünelleri başlatabilir veya
    durdurabilirsiniz. Ekran tüm aktif tüneller için adreslerin, proxy
    ID'lerinin ve timeout bilgisinin bir listesini sağlar. Tüm tünellerin
    listesini görüntülemek için VPN>IPSEC>Monitor'e
    gelin.
  • Tüm aktif IKE oturumlarının bir
    listesini görüntüleyebilir ve aktiviteyi port numarasına göre
    izleyebilirsiniz. Aktif IKE oturumlarının listesini görüntülemek için System>Status>Session'a
    gidin.
  • Bir VPN'in doğru şekilde yapılandırılıp
    yapılandırılmadığını saptamak amacıyla uzak ağdaki bir bilgisayara
    bağlantıyı test etmek için FortiGate biriminin ardındaki ağa bir ping
    komutu verin. FortiGate VPN Guide'da "Configuring IPSec VPNs" (IPSec
    VPN'leri yapılandırmak) bölümünde "Using the ping generator to keep a
    tunnel open" (Tüneli açık tutmak için bir ping üreticisi kullanmak)'a
    bakınız. Uzak ağa yönlendirilen ilk veri paketi FortiGate birimi tarafından
    durdurulduğunda VPN tüneli otomatik olarak 
    oluşacaktır.
  • VPN olaylarının log kaydını tutmak için FortiGate
    birimini yapılandırabilirsiniz. IPSec VPN'ler için faz 1 ve faz 2 kimlik
    denetimi ve şifreleme olayları log olur. VPN olaylarını log'lamak için Log&Report
    > Log Config > Log Setting'
    e gidin. VPN olaylarını
    süzmek için Log&Report > Log Config > Log Filter'a gidin. Olay
    log'larını görüntülemek için Log&Report >Log Access > Event'a gidin.

 

 

 
Gönderildi : 24/07/2009 16:39

(@cozumpark)
Gönderiler: 16307
Illustrious Member Yönetici
 

merhabalar


paylaşım için teşekkürler. ancak bu tür yazılarınızı düzenlyerek (çözümpark makale kurallarına uygun olarak hazıryarak) @cozumpark.com">makale@cozumpark.com adresine atarsanız makaleler bölümünde yayınlanır ve böyle daha etkili olur.


bu şekilde post olarak atarsanız bunlar zamanla altlara ineceğinden makale kadar etkisi olmaz.


teşekkürler iyi çalışmalar dilerim

 
Gönderildi : 25/07/2009 18:39

Paylaş: