Forum
Selamlar,
çalıştığım iş yerinde fortigate üzerinde yeni bir vlan yaratarak bu vlan'a firewall üzerinden sadece bilgi işlemdeki bir kaç kişinin ip adresiyle bağlanma yetkisi verdim.
Bu vlan'ı tamamen güvenli tutmak istiyoruz. Bu izin verdiğimiz ip adresine sahip bilgisayarlardan birini kötü niyetli kişiler ele geçirirse izole tuttuğumuz vlan'a firewalldan izinli olduğu için erişebilecek.
Bunun için önlem arayışındayız. Yöneticime bir danışman fortigate üzerinde izole vlan'a captive portal uygulanırsa sizin bilgisayarlarınız üzerinden erişmek istendiği zaman kullanıcı adı ve parola soracaktır şeklinde bir bilgi vermiş.
Haliyle yöneticimde bunu gerçekleştirmemi istedi, fakat captive portal mantığında o vlan'dan ip almak olduğu için captive portal uygulayamıyorum. Bu fikir bana mantıksız geldi ama yanıldığım bir şey mi var siz değerli arkadaşlara da danışmak istedim.
Ayrıca bu vlan'ı güvende tutmak fikrimize karşılık bizim bilgisayarlarımızdan bile erişimde ek güvenlik önlemi neler uygulayabiliriz fikirlerinizi paylaşırsanız memnun olurum.
Merhaba,
İlgili interface yapılandırmasında "Admission Control" sekmesini kullanabilirsiniz.
Ayrıca bknz: https://www.cozumpark.com/kablolu-veya-kablosuz-aglarda-802-1x-ile-merkezi-guvenligin-saglanmasi/
İyi çalışmalar.
Selamlar Fatih Hocam, admission control sekmesinde ekteki gibi ayar yapmıştım.Ancak bu ayarlar erişimimde hiç bir değişiklik yaratmadı. Bu vlan'a yine aynı şekilde sorgusuz sualsiz erişebiliyorum.
Acaba bir hata mı yapıyorum, veya policy tarafında bir ekleme daha mı yapmam gerekiyor?
Policy'de Source olarak IP adresini değil de Bilgiişlem grubunu seçmeniz gerek. Böylece kullanıcılar Authentice olduktan sonra kural çalışacaktır.
@tanerk Bunu active directory grubu olmadan yapma yolu yok mudur acaba? Ortamda active directory olmadığını düşünüyorum. source ip bazında yapamaz mıyız?
Active Directory grubuna gerek yok. Fortigate lokalde oluşturduğunuz grubu seçeceksiniz. O gruba da yine Fortigate üzerinde oluşturduğunuz kullanıcıları dahil edeceksiniz. Böylelikle captive portal doğrulamasını geçen kullanıcılar erişim sağlayabilecek; geçemeyenler engellenecek.
IP seçerseniz, o zaman kullanıcılar doğrulamayı geçemese bile erişim sağlarlar.