IPSEC Vpn Bağlantısı; en az iki networkün bir biri ile güvenli bir şekilde bağlantısı sonucu oluşan WAN bağlantı çözümlerinden bir tanesidir.
Bu ihtiyacı karşılayacak olan yazılımsal ve donanımsal olmak üzere bir çok ürün piyasada olup, bizler bu çözümü sağlayan Fortigate Firewall’ dan bahsedeceğiz.
Sahip olduğumuz yapıda, her iki noktamızda Fortigate 60B Firewallımız bulunmaktadır.
Bu iki firewallın, güvenli bir şekilde iki noktayı bir birine bağlaması sırasında yapacak oldukları eylemlerden bahsetmemiz gerekirse iki firewallımız ilk önce bir birleri arasında Authentication (kimlik doğrulama ) işlemlerini gerçekleştireceklerdir. Her iki firewallımız bir birleri arasında authentication işlemini bizlerin belirlemiş olduğumuz PreSharekey (Paylaşılmış anahtar)’ i kullanacaklardır. Her iki firewallımıza da belirlemiş olduğumuz paylaşılmış anahtarı yukleyerek birbirleri ile kimliklerini doğrulamalarını gerçekleştireceğiz. Bu anahtar bir birlerinden farklı olursa Authentication işlemi başarısız olacaktır. Authentication işlemi gerçekleşirken Fortigate firewallımız sahip olduğu 3DES Encryption metodu ile güvenliğimizi üst seviyeye çıkartacaktır.
IP Sec VPN Bağlantısı, daha önceki makalelerimde bahsetmiş olduğum PPTP VPN Connections ve SSL VPN Connections Bağlantılarına göre bağlantı sırasında kullanıcı tarafında hiç bir dial-up veya web arayuzunden herhangi bir bağlantı, kimlik denetleme yapmadan, lokasyonlarımızda bulunan kullanıcılarımıza yukarıda bahsetmiş olduğumuz Paylaşılmış KEY leri vermeden yapılacka olan bağlantıdır. IPSEC VPN Bağlantımızda PPTP ve SSL VPN bağlantısında ki kimlik doğrulama işlemlerini kullanıcı yerine firewallarımız sürekli veya belirlediğimiz zaman dilimlerinde kendileri gerçekleştirmektedirler.
Senaryomuza göre iki farklı noktada bulunan lokasyonlarımızı, Fortigate 60B serisi firewallar ile bağlayacağız.
Firewallarımızın her ikisine de kendi sahip oldukları IP Bloklarını ve Bağlantı kurulacak olan IP Blogunu Firewall Address altında Create New butonuna basarak IP bloklarımızı tanıtıyoruz.
Firewall Address bölümü altında yukarıda ki resimde görüldüğü üzere tanıtmış olduğumuz IP Bloklarımızı görebiliyoruz.
IP Bloklarımız tanıtıldıktan sonra Vigos Lokasyonunda bulunan Firewallımızın VPN IPSEC bölümüne gelerek Create Phase 1 butonuna basarak bilgilerimizi giriyoruz. Dikkat etmemiz gereken noktalar;
IP Adres kısmına bağlanılacak olan Uzak lokasyonun WAN IP Adresini tanımlıyoruz.
Local Interface bölümünde hangi WAN çıkışları ile iletişim kuracağını belirliyoruz. (Fortigate firewallar bir den fazla WAN çıkışlarını kontrol edebilmektedirler.)
Authentication Method bölümüne senaryomuzun gereği PreShare Key bölümünü seçiyoruz
Not: Authentication Method olarak yapımıza, ihtiyacımıza veya güvenlik düşüncemize göre RSA Signuture seçilebilir ki buda Fortigate Firewallımız içine yukle sertifikalar ile iletişim kuracağımız anlamına gelmektedir. Eğer paylaşılmış anahtarımızı üçüncü bir kişi tarafından ele geçirilmediği sürece bizim yapmış olduğumuz çözüm de en az RSA Signuture kadar güvenli olacaktır.
PreShare Key iki firewallın bir birleri ile iletişim kurabilmesi için paylaşılmış anahtarımızı yazıyoruz.
Ok butonu Phase 1 bölümünden dışarıya çıkıyoruz.
Tekrardan Firewallımızın VPN IPSEC bölümüne geldiğimizde Create Phase 2 butonuna tıklıyoruz. Bu bölümde Name bölümüne isteğe bağlı bir isim veriyoruz. Pğhase 1 böümünde ise biraz evvel yapmış olduğumuz IPSEC Tunel’ i seçiyoruz.
Firewallımızın VPN IPSEC bölümüne girdiğimiz zaman yapmış olduğumuz her iki eylemin sonuçlarını görebilmekteyiz.
Vigos Firewall üzerinde yapmış olduğumuz tanımlamalardan sonra aynı işlemleri Sporting firewall içinde yapacağız.
Sporting firewall ; Firewall VPN
Sporting firewall ; Firewall VPN
Sporting firewall ; Firewall VPN
Her iki firewallımızda da karşılıklı olarak IP adreslerini, Ortak Paylaşılmış Anahtar ve authjentication işlemlerini bire bir yaptıktan sonra VPN Konfigurasyonu için yapacak olduğumuz eylemleri bitirmiş oluyoruz.
Tekrardan Vigos Firewallımızın içine girerek Firewall Policy kısmında Create New butonu ile yeni bir kural oluşturacağız. Kuralımız Vigos Networkü için;
Internal Network için de bulunan bütün kullanıcılar.
Address Name Vigos IP Bloguna sahip olan
Wan 1 interfacesini kullanarak
Sporting IP Bloguna
Action oluşturduğumuz IPSEC bağlantısı üzerinden gitmeleri için kuralımızı oluşturuyoruz.
Oluşturmuş olduğumuz kuralımız Policy sıralamamızda en son oluşturulduğu için ve bu policyi etkileyecek kurallar yukarıda olduğu için bağlantı bnaşarısız olacaktır. Bunun için kuralımızı en ust deki kuralımız ile değiştireceğiz. Policy mizin en sağında bulunan Move TO butonu nu kullanarak
En üst de bulunan 9 numaralı policymizden önce olmasını isteyeceğiz.
IPSEC VPn Bağlantısı için oluşlturmuş olduğumuz kuralımız artık hiç bir policyden etkilenmeyecek şekilde en üstdedir.
Aynı işlemleri tekrardan Sporting Firewallı için de gerçekleştiriyoruz.
Yapacak olduğumuz işlemlerin gerçekleşebilmesi için her iki firewallımızıda Reboot yapmamız gerekmektedir.
Firewallarımız açıldıktan sonra her iki firewallımızın Firewall VPN IPSEC Monitoring kısmına gelerek Down durumunda olan bağlantıyı UP duruma getiriyoruz.
Not : Her iki networkden her hangi birisi internet bağlantısı kesilmesi, firewallın kapanması – açılması vb.. olayların neticesi sonucunda IPSEC VPN bağlantımız manuel, bu bölüme gelip manuel olarak tetiklemediğimiz sürece kapalı durumda olacaktır.
Her iki firewallımızın bağlantısını UP duruma getirdikten sonra yapılandırmamız bitmiş olup testlerimizi yapabiliriz.
Vigos ve Sporting networklerinden her hangi bir manuel bağlantı gerçekleştirmeden bağlantının gerçekleştiğini, Uzak networke bağlantı kurulduğunu görebilmekteyiz.
Vigos Server üzerinden Sporting networkünde bulunan Firewallımızı, Networkümüze bağlantıyı, sanki aynı networkdeymisiz gibi bağlanabiliyoruz.
Keza aynı şekilde sporting networkünden Vigos networküne iletişiminde bu şekilde olduğunu görebilmekteyiz.
Son olarak Tracert komutu ile izlemiş olduğu yolu gösterecek olursak 3 hops (3 farklı router) geçerek iletişimi tamamladığını görebilmekteyiz.
Not : Fortigate IPSEC firewall bağlantısını her iki noktada Fortigate olmaksızın yani bir noktamızda Fortigate Firewall, diğer noktmmızda ise 3DES veya firewallımızda tanıttığımız diğer şifreleme metodunu destekleyen X bir modem ile de gerçekleştirmemiz mümkündür. Sebebi bu şifreleme metodu Forinet firmasına ait bir çözüm olmayıp bir çok firmanın kullanmış olduğu bir şifreleme metodudur.
Kaynak : http://docs.forticare.com/fgt/techdocs/FortiGate_IPSec_VPN_User_Guide_01-30005-0065-20070716.pdf
Fatih KARAALİOĞLU