Fortigate ile HotSpot
Fortigate firewall ile hotspot uygulamasına geçmeden önce hotspot nedir ne işimize yarar neden gereklidir gibi bir kaç sorunun cevabını vermemizde fayda var.
HotSpot Nedir, Ne işimize yarar, Neden gereklidir ? Hotspot kısaca açık alan veya misafir ağı internet erişimi diye tabir edilir.ama aslında izniniz ve yönetimiz dışında olan veya sizin buna izin vereceğiniz ve akabinde endişe edeceğiniz kullanıcılara “misafirlere,tanımadıklarınıza” sağlamış olduğunuz internet hizmetidir.Hotspot’ta ki sıkıntılardan biri misafirlerinizin sizin şirket ağınızdan veya kamusal alanda kullandırmış olduğunuz internet aracılığı ile sakıncalı erişimler yapmasıdır.Örneğin “çocuk cinsel istismar siteleri,terörle ilgili yazılar ve yapılan aşırı uç yorumlar,devlet yönetimine hakaret gibi.
Hotspot Maliyeti nedir ? Maliyet sizin satın alıcağınız sms paketlerine bağlıdır.örnek Aylık 500 sms , 1.000 sms , 1.500 sms diye devam eder.Eğer kendi bünyenizde sms gatewayiniz varsa sms’siz paketleri yarı maliyetine yakın kullanabilirsiniz.
Aşağıda misafir için bir temsili resim bulunmakta.
Bu şekilde yapımız olduğu zaman ya misafir networkten local networkümüz tehdit altında olur yada onlar için çok statik kurallar yazamayız.Bu durum için Fortigate cihazına ek olarak Fortinetin kendi ürünü olan FortiAp access point kullanabilirsiniz.Bu access pointleri kullanırken ayrıca bir Kontrol Cihazına ihtiyaç duymayacaksınız.Çünkü FortiAp cihazı istenildiği takdirde bir interface gibi hareket eder ayrıca üzerinde bulunan network güvenliği sayesinde sizin kablosuz ağınıza sızmak isteyenlerden koruyacaktır.
Eskiden yukarıdaki yapıda yapabileceğimiz en fazla güvenlik user authentication’du.Günümüzde ise daha dinamik güvenliğe ihtiyaç duyulmaktadır.
Nedir bu ihtiyaçlar ?
Misafir ağı iç ağımıza erişmesin
Misafirlerin internet erişimlerini denetlemekle uğraşmayayım.Sınırsız erişim olsun ama loglandığını bilsinler erişimlerinden kendileri sorumlu olsun.
Misafirlere bir karşılama sayfası gelsin bu sayfada “ad,soyad,tc no,email,pasaport no,öğrenci no” sorulsun ve bu bilgiler girildikten sonra cep telefonuna veya mail adresine şifre gitsin.
Misafirlerin gerekli erişim bilgileri saklanmalı”ad soyad,tc no,öğrenci no vb”
Fortinetin bir wifi ağını inceleyelim.
Gördüğünüz üzere bir kaç şubeli bir yapıda FortiAp dağılımı yapılmıştır ve bu APleri tek kontol eden cihaz Fortigate Firewall Wireless Controller’dır.Bu şu demek dağınık bir ağ yapınız varsa ve bir tane Fortigate firewallınız varsa tüm FortiAP leri bu cihaz üzerinden yönetebilirsiniz.
Şimdi bu işi Fortigate üzerinde nasıl yaptığımızı anlatalım.
Fortigate firewall ile bir radius serverı authenticate etmemiz gerekmektedir.Bunun için aşağıdaki resimleri incelemelisiniz.Kurulucak sistem için bir user ve password girilmesi gerekirki Fortigate’e gelen istek authenticate değilse bunu radius sunucu ile eşleştirip doğrulama sonucu izin versin.Mantığı basitçe aşağıdaki resimde gösterelim.
Misafir Accesspointe bağlandıktan sonra dışarıda bir hotspot sunucusu ile authenticate olmak zorundadır.Vermiş olduğu bilgiler doğru ise cep telefonuna gelen şifre ile artık internette gezebilir.
Şimdi aşağıdaki yapıya göre entegrasyonu gösterelim.
Adreste yukarıdaki gibi bir tanım yapılır.
Aşağıdaki gibi hotspot için radius serverda user ve passwordu gireceğiz. Bu user ve şifre bizim tarafımızdan verilecektir.
Bir user grup oluşturup remote server kısmına oluşturulan Radius ayarını dahil etmemiz gerekmektedir.
Temel policy görünümü
79. kural içeriden dışarı dns servisine izin verilmiştir.
83. kural adreste oluşturulan FGHotspot IP adresine HTTP, HTTPS servisleri için izin verilmiş.
34. kural identity bir kuraldır bir sonraki resimde açılımı mevcut.
Policy sıralaması resimde görüldüğü gibi olmalıdır. Bu kuraların tümünde NAT etkin olmalıdır.
identity based policy detayı
Fortinet tarafındaki ayarlar ile portal ayarlamaları bittikten sonra.
Her hangi bir tarayıcı açtığımızda ekrana size ait logolu login sayfası gelir. Örn:
Gerekli bilgileri yukarıda belirtilen şekilde girdikten sonra karşımıza onay ekranı gelir kullanıcılar bilgilerini yanlış girebilirler fakat telefon numaralarını yanlış girmeleri durumunda internet erişimleri olmayacaktır.
Doğrulama işleminin ardından internet erişimimiz başlayacaktır. Bu sekmeyi kapamadan devam et diyerek ya da farklı bir sekme açarak işlemlere devam edebiliriz.
Firewall monitör kısmında bağlı kullanıcıları telefon numaraları ile görmek mümkün ve bunu loglardanda user name sekmesi ile takip edebilirsiniz.Böylece her kullanıcı girdiği sitelerden kendi telefonu loglarda gözüktüğü için sorumlu olduğunu bilecektir.
Bu makalede alt yapı ve networking konusunda emeği geçen Burak Yılmaz ve Akın Narman’a da çok çok teşekkürler.