Forum

Fortigate fortigate...
 
Bildirimler
Hepsini Temizle

Fortigate fortigate application sensor

8 Yazılar
2 Üyeler
0 Reactions
551 Görüntüleme
(@mehmetsaityilmaz)
Gönderiler: 1458
Noble Member
Konu başlatıcı
 

Merhaba Hocalarım bir kaç sorum var

1 -  p2p yasaklamak istiyorum application sensor kısmında seçtim ve block dedikten sonra başka bir şey yapmaya gerek varmı

2 - Aynı şekilde IM programlarını yasaklamak istiyorum ama skype nin mesela yasaklanmasını istemiyorum bunu nasıl yapabilirim

3 - şirketimiz ile şubemizi vpn ile bağlamak istiyoruz , merkezde metro var 4mb ve fw 110c  şubede  zyzel gdat modem ve fw 60c

akılıma takılan şu şubede hem adsl var hem gdat , adsl ile internet vermek gdat ile merkez ile şubeyi bağlamak , şu sırayımı izlemem gerek şube için

1 -  adsl modem ve gdat modem bridge moda alınır ve biri wan1 diğeri wan2 bacağa takılır

2 -  internet için kural yazılır ve mesela port 1 yönlendirilir tamam içeriye interneti verdik doğrumu hocam ?

3 - sora geldi vpn merkezde 192.168.0.x bir grub kullanıyoruz , şubede 192.168.100.x bir grub,sormak istediğim ip blokları aynımı olmalı yani şubede biz interneti 192.168.100.x olarak dağıtıyoruz aynı şekilde vpn tarafında şubede gdat için 192.168.100.x mi kullanmak gerek çünkü gdat için sadece bir uygulama kullanmak istiyoruz netsis

 

 
Gönderildi : 27/06/2012 23:09

(@KayhanALTUN)
Gönderiler: 131
Estimable Member
 

1- UTM - Application Sensor bölümünden ilgili profilde "Category" P2P seçip blokladıktan sonra bu profili engellemek istediğiniz "Policy" de seçmeniz yeterlidir.


2- UTM - Application Sensor bölümünden ilgili profilde "Category" IM seçip blokladıktan sonra aynı app sensor profilinde "Creat New" diyerek "Filter" yerine "Application" bölümünde "Skype" arayarak çıkan tüm sonuçları işaretleyip monitorize edin. Daha sonra bu kuralı IM yi blokladığınız app sensor kuralının üstüne taşıyın. Son olarak istediğiniz profilde kullanın.


3- Bizde: Merkezde 110C (192.168.1.x/24) ve Şubede 60B (192.168.2.x/24) mevcut. VPN çok alternatifi var ama biz IPSEC VPN kullanıyoruz.


VPN için ağların aynı grupta olmasına gerek yok ki zaten aynı olurlarsa sorun olur (yani her iki taraftada aynı IP yi kullanan bileşenler olabilir)


* Her iki firewalda da IPSEC VPN Phase1 ve Phase 2 tanımlayıp (IP Adress bölümlerine birbirlerinin dış IP lerini yazacaksınız).


* Her iki taraftada karşı tarafın lcoal adresini veya VPN ile görüşmek istenen adresleri tanımlayacaksınız.


* Policy bölümünde Merkez için Merkezden Şubeye (istediğiniz adresler istediğiniz interfaceden) Action IPSEC - VPNTunnel - Phase1deki tanımınız Allow ınbound - Allow outbound şeklinde ve Şube tarafında da buna benzer kural oluştururacaksınız.


* VPN Monitör bölümünde her iki tarafta da "Bring Up" tıklayarak yeşil konuma gelmesini sağlayıp her iki cihazada reset atacaksınız.


Eğer eksik birşey yoksa VPN kuralında tanımladığınız karşı tarafın adreslerine ping atabilir veya \\192.168.x.x şeklinde paylaşımlara girebilirsiniz.


Eğer Active Direktory varsa DNS olarak karşılıklı güvenilir etki alanlarınıda eklemeniz gerekecektir.


Kolay gelsin

 
Gönderildi : 27/06/2012 23:38

(@mehmetsaityilmaz)
Gönderiler: 1458
Noble Member
Konu başlatıcı
 

Hocam ilk resimde gibi ekledim p2p , im ve game sonra policde " internat > wan1 " kısmında all ile başlayan policy açıp utm > application control kısmına default isminde ekledim doğrumudur



 


 
Gönderildi : 28/06/2012 14:11

(@KayhanALTUN)
Gönderiler: 131
Estimable Member
 

Bu kuralların geçerli olmasını istediğiniz policy "all to all" ise ve bu policy içerisinde App Sensor kuralınız default seçiliyse kuralınız geçerli olacaktır.

* Yalnız IM blokladıktan sonra üst kısma koyacağınız Skype Monitör kuralını göremedim?

* all to all ve üstündeki policy nin "Traffic Log" pasif gördüm. syslog veya analyzer yok mu sizde?. Trafiği nasıl logluyorsunuz? İleride gerekli olabilir.

* all to all policy de tüm service lere izin vermişsiniz. Bence Service grup oluşturun bunun içine olmazsa olmaz serviceleri ekleyip güvenliği birazcık daha artımış olun. Yoksa firewallın nimetlerinin çok azından faydalanmış olursunuz.

*VPN IPSEC ile ilgili 3 farklı policy görüyorum. Bu konuda herhangi bir bilgi yazmamışsınız.

NOT: Ayrıca resimleri bmp yerine jpg olarak atarsanız sayfamız daha hızlı açılacaktır 🙂

 
Gönderildi : 28/06/2012 15:50

(@mehmetsaityilmaz)
Gönderiler: 1458
Noble Member
Konu başlatıcı
 

Hocam saygılar ben yeni işe başladım hepsini düzelteceğim dediğiniz gibi skype ile yazdım ve enüstte attım şuan skype çalışıyor ama webcam bağlantısı yapamıyor birde yeni iki block lama yaptım media ve proxy muhtemelen ondan yasakladı webcamı , webcamı açmam için ne yapmam gerekli saygılar.

 
Gönderildi : 28/06/2012 20:37

(@mehmetsaityilmaz)
Gönderiler: 1458
Noble Member
Konu başlatıcı
 

Hocam olmazsa olmaz servisler hangileri hemen ekleyeyim birde orada analyzer yok hemen alacağım bunu bir modeli varmı yoksa standartmı , bende fw 60c var direk fortigate analyzer alıyorum

 
Gönderildi : 28/06/2012 20:39

(@KayhanALTUN)
Gönderiler: 131
Estimable Member
 

* Skype webcam bağlantısı sorununu büyük ihtimal "media" kuralınızdan dolayı yapar. "Media" kuralını neden eklediniz? Bu kural sadece video olarak aklınıza gelmesin, "media" dinamik içerikleri temsil ediyor genelde. Örneğin bunu yasaklarsanız hotmailde yeni mail gönderirken EKLE butonu çıkmayabilir çünkü bu alan media kategorisindeki silverlight uygulamasını kullanıyor.

* Sisteminizde fortinet ürünleri olduğu için FortiAnalyzer almanızı tavsiye ederim. FortiAnalyzer 100C 1TB işinizi görecektir yalnız kullanıcı sayınızda önemli tabiki.

 
Gönderildi : 28/06/2012 20:46

(@mehmetsaityilmaz)
Gönderiler: 1458
Noble Member
Konu başlatıcı
 

Hocam video kuralını kaldırıyorum ve o ürüne bakıyorum saygılar.

 
Gönderildi : 28/06/2012 20:55

Paylaş: