Fortigate Firewall SSL VPN Yapılandırılması (Fortigate Firewall SSL VPN Configuration)

Makalemizde uygulayacak olduğumuz SSL VPN uygulaması daha önce yayınlamış olduğumuz PPTP VPN bağlantısına nazaran daha güvenli olmasının yanında, uygulamalarımızda yaşayacak olduğumuz yavaşlıkla eşdeğer boyutdadır.
PPTP VPN ile SSL VPN arasında ki tek farkımız hız ve güvenlik olup, şirketimizde uygulayacak olduğumuz uygulamalar ve güvenlik anlayışınıza, uygulamalarınıza ve ihtiyacınıza göre sizlere bırakılacaktır.

Fortigate SSL VPN uygulaması, internet üzerinden şiketimiz içerisinde bulunan serverlarımıza, web tarayıcımız üzerinden giden – gelen verileri şifreleyerek,  güvenli bir şekilde bağlanmamızı sağlayan bir uygulamadır.  Fortigate Firewall’ımız; SSL uygulamalarında diğer yazılımsal veya Donanımsal firewallara nazaran Dial-up connectons’da yapılan şifreleme metodunu uygulamayıp, internet tabanlı şifreleme metodunu kullanmaktadır.  Fortigate SSL VPN uygulamaların da dial-up bağlantısı oluşturulmadığı için bire bir bağlantıyı kuran kullanıcı ile bağlantyı kurulan network arasında iletişim sağlanmamaktadır. Sadece ama sadece FORTIOS işletim sistemi içerisinde bulunan web tabanlı uygulamalar ile iletişim gerçekleştirilecektir. İzin verilen uygulamalar;

· Http / Https bağlantıları

· Telnet bağlantıları

· Rdp bağlantıları

· Ftp bağlantıları

· Vnc bağlantıları’ dır.

Yukarıda bahsetmiş olduğumuz uygulamaları, kullanıcılarımızın kullanabilmeleri için

· Internet Explorer

· Netscape

· Mozilla/Firefox web browserları olmak zorundadır.

Diğer ihtiyaç duyulan yazılım ise Sun Java uygulama programıdır. Eğer kullanıcımızın bilgisayarında ihtiyaç duyulan JAVA programı yok ise, bilgisayarına yükleyebilmesi için gerekli siteye otomatik olarak yönlendirilecektir.

Temel bilgileri verdikten sonra yapılandırmamıza başlamak üzere WEB CONFIG Vpn SSL SSL-VPN Settings bölümüne gelip;

Enable SSL VPN kutusunu dolduruyoruz.

Login Port varsayılan olarak 10443 olup isteğe bağlı olarak erişim portunu değiştirebilmekteyiz.              

Tunnel IP Range bölümünde SSL VPN Clientlar için bağlantıları sağlanacak olan IP tünelini belirliyoruz.

Require Clent Certficate bölümünü aktif hale getirirsek bağlantıyı sağlayan client bilgisayarlardan, Forigate firewallımıza tanımlamış olduğumuz certifikaların isteneceğini şart koşuyoruz. Eğer client tarafında bu sertfika olmazsa bağlantı gerçekleşmeyecektir.

Encryption Key Algorithm bölümünde ise fortigate firewall ile bağlantıyı gerçekleştiren SSL VPN client arasında ki güvenlik seviyesini belirliyoruz

Idle Timeout bölümüde ise bağlantıyı gerçekleştiren SSL VPN Client herhang bir işlem yapmadığı zaman, bağlantının boşta kalma süresini tayin ediyoruz. Belirttiğimiz süre sonunda kullanıcımız bir işlem yapmazsa bağlantı tekrardan kimlik bilgilerimizi doğrulatana kadar sağlanmayacaktır.

Portal Message bölümünde ise bağlantıyı gerçekleştiren SSL VPN Client kullanıcılarımıza iletilecek mesajı yazıyoruz.

SSL VPN ayarlarımızı yapılandırıp, bağlantıyı gerçekleştirmek için firewallımızı ayarladıktan sonra diğer yapılandırma işlemlerimize devam edebiliriz.

 

WEB CONFIG User Local bölümü altında, SSL VPN bağlantısı gerçekleştirecek olan kullanıcılarımızı oluşturuyoruz

 

WEB CONFIG User User Group bölümü altında, SSL VPN bağlantısı gerçekleştirecek olan kullanıcılarımızı Gruba atama yapıyoruz. Burada dikkatimizi çekeceğimiz nokta grubun tipidir. Grubun ismi altında bulunan Type bölümünde, SSL VPN grubu olduğunu belirliyoruz. Kullanıcılarımızı grubumuzun içine atadıktan sonra;

SSL-VPN User Group Options bölümü altında

· Enable SSL-VPN Tunnel Service kutusunu dolduruyoruz.

· Allow Split Tunneling bölümünü doldurarak daha önce belirlemiş olduğumuz SSL VPN Tünel IP Alanımızı (Tunnel IP Range) buraya tekrar tanımlıyoruz.

Enable Web Application bölümünü aktif hale getiriyoruz ve alt bölümde olan bu grup kullanıcılarının SSL VPN bağlantısı ile hangi bağlantı çeşitlerini gerçekleştireceğini belirliyoruz. Bu bölümleri yazımızın başında belirtmiştik (Http / Https, Telnet, Rdp, Ftp, Vnc).

Host Check bölümünü aktif hale getirirsek eğer SSL VPN bağlantımız gerçekleşmeden önce Fortigate Firewallımız bağlantıyı sağlayan Client bilgisayar üzerinde ki virus yazılımlarını, client bilgisayarda virus olup-olmama ihtimalini kontrol edecektir ve duruma göre bağlantıyı sağlayacak veya sağlamayacaktır.  Bu bölümü seçmemiz tamamen hız, güvenlik ve bağlantının süresini etkileyecektir.

Fortigate Firewall’ımız aşağıda ki virus yazılımlarının korumalarını desteklemektedir.

Norton Internet Securty 2006 (Anti Virus ve Firewall)
Trend Micro Pc Clin (Anti Virus ve Firewall)
McAfee (Anti Virus ve Firewall)
Sophos Anti-Virus (Anti Virus)
Panda Platinum 2006 Internet Securty  (Anti Virus ve Firewall)
F-Secure (Anti Virus ve Firewall)
Secure Resolutions (Anti Virus ve Firewall)
Cat Computer Services (Anti Virus ve Firewall)
AhnLab (Anti Virus ve Firewall)
Kaspersky (Anti Virus ve Firewall)
Zone Alarm (Anti Virus ve Firewall)

 

Web Config Firewall Address bölümü altında bağlantıyı sağlayacak olduğumuz serverimizi frewallımıza tanımlıyoruz.

 

Web Config Firewall Policy bölümü altında bağlantıyı sağlayacak olduğumuz serverimiz için, frewallımıza kuralı tanımlıyoruz. Fakat burada bilmemiz gereken, diğer örnek vermiş olduğumuz kurallara nazaran Action bölümü SSL-VPN olarak seçmek zorundasınız. Ve yazımızın geri kalan bölümlerinde oluşturmuş olduğumuz SSL VPN Grubumuzu (Cozum SSL VPN) available Groups (hazır gruplarımızdan), Allowed (izin verilen) gruplarımıza taşımamız gerekmektedir.

 

Yapılandırmamızı bitirdikten sonra Firewallımızın dış IP adresini, web tarayıcımıza yazıp :belirlemiş olduğumuz port numarası (varsayılan olarak 10443), kullanıcı adı ve şifremizi doğrulatarak giriş yapabiliyoruz.
Not : Client bilgisayarımızda JAVa uygulaması yüklü değilse bu ekranda, bağlantı gerçekleştirilmeden önce java yı yükleyebilmeniz için ilgili sayfaya yönlendirileceksiniz.

 

Bağlantıyı gerçekleştirdikten sonra SSL VPN Bağlantısını gerçekleştiren kullanıcımız kendi bilgilerini web tarayıcısı üzerinden görmektedir.

 

Bağlantıyı sağlayan kullanıcımız hangi uygulamayı kullanacaksa Active SSL-VPN Tunnel Mode bölümünden, ilgili uygulamanın IP adresini yazarak bağlantıyı gerçekleştirecektir. Bizim test uygulamamızda Terminal Server olduğu için RDP to Host bölümüne Terminal Serverimizin IP adresini yazarak bağlantıyı gerçekleştiriyoruz

Bilgisayarımıza, Fortigate Sertifikasına güvenmesini istiyoruz.

 

Uzak masa üstü uygulamamızın hangi ebatlarda görüntüleneceğini belirleyip, OK butonuna basarak bağlantıyı gerçekleştiriyoruz.

 

Ve bağlantımızı gerçekleştirmiş durumdayız.

 

Sistem yöneticileri, WEB Config Vpn SSL Monitor yolunu takip ederek ,anlık olarak hangi kullanıcının, hangi IP adresinden bağlandığını görebilmektedirler.

Yukarıda bahsetmiş olduğumuz bağlantı Public bir bağlantı olup, dünyanın herhangi bir ucundan kimlik bilgilerimizi sağladıktan sonra bağlantıyı gerçekleştirebilmekteyiz.

 

Eğer amacımız bağlantımızı biraz daha güvenli bir hale getirmek ise sadece belirli IP adreslerinden SSL VPN bağlantısını gerçekleştirmemiz mümkündür.

Şimdi verecek olduğumuz örnekte ise Kurumsal firmanızın Cisco routerinizi, sadece belirli IP adreslerinden gelen kullanıcıların yönetmesini istiyorsunuz. Cozum Park ile firmanız arasında yapılan anlaşma gereği Routerinizin yönetimsel işlemlerinin sorumluluğu Cozum Park dadır.   Cozum Park’ ın firmasının sahip olduğu dış ip adresini Web Config Firewall Address bölümü altında tanımlıyoruz. Aynı bölüm altında, Telnet bağlantısı yapılacak olduğu Routerimizi da tanımlıyoruz

 

Kuralımızı oluşturmak üzere Web Config Firewall Policy bölümünde ise, Kuralımızı SOURCE bölümü altında Address Name bölmünde tanımlamış olduğumuz Cozum Park Yon.Mrk adlı ıp adresi ile eşleştiriyoruz.  Bu IP adresinin tekrar kuralımıza göre Telnet server’a (cisco routerimiz) yönlendirileceğini belirliyoruz.

Bundan sonra sadece belirlemiş olduğumuz dış ıp adresinden ilgili uygulamanın çalışmasını sağladık.

Örnek olarak içeride bulunan Cisco Routerimizi sadece belirlediğimiz IP (Cozum Parkın sahip olduğu dış ıp ) adresinden bağlanılmasını yapılandırdık ve routerimiza bağlantı metodunu daha güvenli bir hale getirdik.

BOOKMARK :

Bu Özellik, sürekli bağlantı gerçekleştirecek olan veya bilgisyar kullanım bilgisi pek fazla olmayan kullanıcılarımıza kolaylık yapmak için düşünülmüş olup kullanıcılarımız  bağlantıyı gerçekleştirdikten sonra hazır bağlantı linkleri oluşturabiliyoruz. Bağlantı gerçekleştikten sonra sağ üst kösede alan ADD Bookmark bölümünü tıklayarak bağlantıyı sağlayan kullanıcımız için kısayollar tayin edebiliriz.

Esersolar kullanıcımız için bir Bookmark oluşturuyoruz.

New Bookmark bölümü alında uygulamamızı seçip.

Bağlanılacak serverimizi, uygulamamızı belirliyoruz.

Not : FTP bağlantılarında , ekranımız yukarıda ki görüntüyü alacaktır.

Bundan sonra esersolar adlı kullanıcımız bağlandıktan sonra bookmark bölümü altından ilgili linke tıklayarak direk olarak uygulamaları çalıştıracakken;

Huzuner kullanıcımız ise, daha önce bahsettiğimiz gibi manuel IP adresini yazarak erişimde bulunacaktır.

Bağlantımızı daha güvenli ve özel hale getirmek istersek eğer, Fortigate Firewallımıza firmamıza özel sertifikalar tanımlamamız mümkündür. http://docs.forticare.com/fgt/techdocs/FortiGate_Certificate_Management_User_Guide_01-30005-0182-20071005.pdf ilgili linkinden FortiGate™ Certificate Management hakkında detaylı bilgiyi edinebilirsiniz.

Fatih KARAALİOĞLU

Exit mobile version