Forum
Bildirimler
Hepsini Temizle
Network Genel
7
Yazılar
4
Üyeler
0
Reactions
1,186
Görüntüleme
Konu başlatıcı
Selamlar,
çalıştığım iş yerinde fortigate üzerinde yeni bir vlan yaratarak bu vlan'a firewall üzerinden sadece bilgi işlemdeki bir kaç kişinin ip adresiyle bağlanma yetkisi verdim.
Bu vlan'ı tamamen güvenli tutmak istiyoruz. Bu izin verdiğimiz ip adresine sahip bilgisayarlardan birini kötü niyetli kişiler ele geçirirse izole tuttuğumuz vlan'a firewalldan izinli olduğu için erişebilecek.
Bunun için önlem arayışındayız. Yöneticime bir danışman fortigate üzerinde izole vlan'a captive portal uygulanırsa sizin bilgisayarlarınız üzerinden erişmek istendiği zaman kullanıcı adı ve parola soracaktır şeklinde bir bilgi vermiş.
Haliyle yöneticimde bunu gerçekleştirmemi istedi, fakat captive portal mantığında o vlan'dan ip almak olduğu için captive portal uygulayamıyorum. Bu fikir bana mantıksız geldi ama yanıldığım bir şey mi var siz değerli arkadaşlara da danışmak istedim.
Ayrıca bu vlan'ı güvende tutmak fikrimize karşılık bizim bilgisayarlarımızdan bile erişimde ek güvenlik önlemi neler uygulayabiliriz fikirlerinizi paylaşırsanız memnun olurum.
Gönderildi : 07/05/2020 08:41
Merhaba,
İlgili interface yapılandırmasında "Admission Control" sekmesini kullanabilirsiniz.
Gönderildi : 07/05/2020 09:40
Ayrıca bknz: https://www.cozumpark.com/kablolu-veya-kablosuz-aglarda-802-1x-ile-merkezi-guvenligin-saglanmasi/
İyi çalışmalar.
Gönderildi : 07/05/2020 09:43
Konu başlatıcı
Selamlar Fatih Hocam, admission control sekmesinde ekteki gibi ayar yapmıştım.Ancak bu ayarlar erişimimde hiç bir değişiklik yaratmadı. Bu vlan'a yine aynı şekilde sorgusuz sualsiz erişebiliyorum.
Acaba bir hata mı yapıyorum, veya policy tarafında bir ekleme daha mı yapmam gerekiyor?
Gönderildi : 07/05/2020 10:07
Policy'de Source olarak IP adresini değil de Bilgiişlem grubunu seçmeniz gerek. Böylece kullanıcılar Authentice olduktan sonra kural çalışacaktır.
Gönderildi : 07/05/2020 15:10
Konu başlatıcı
@tanerk Bunu active directory grubu olmadan yapma yolu yok mudur acaba? Ortamda active directory olmadığını düşünüyorum. source ip bazında yapamaz mıyız?
Gönderildi : 11/05/2020 13:50
Active Directory grubuna gerek yok. Fortigate lokalde oluşturduğunuz grubu seçeceksiniz. O gruba da yine Fortigate üzerinde oluşturduğunuz kullanıcıları dahil edeceksiniz. Böylelikle captive portal doğrulamasını geçen kullanıcılar erişim sağlayabilecek; geçemeyenler engellenecek.
IP seçerseniz, o zaman kullanıcılar doğrulamayı geçemese bile erişim sağlarlar.
Gönderildi : 11/05/2020 14:11
