Eğitim için kurulan Lab Topolojisi aşağıdaki gibidir. Aşağıda bir adet site (2 PC) gösterilmiştir. Topoloji bunun gibi 5 siteden oluşmaktadır.

Transkript

1 Eğitim için kurulan Lab Topolojisi aşağıdaki gibidir. Aşağıda bir adet site (2 PC) gösterilmiştir. Topoloji bunun gibi 5 siteden oluşmaktadır. Topolojide kullanılan FW lar 5.0 versiyonundaki Fortigate 60C Firewallarıdır. Örnek olarak Site 4 ün IP Planlaması şu şekildedir:

2 Diğer sitelerde site numarasına göre bu ip leri değiştirir. Örnek olarak; site 4 Wan-1: ise site 2 Wan-1: şeklinde. FW ları 4 kısımda inceleyebiliriz. Bu kısımlar şöyledir: - IP Access (Interface, Zone, Routing) - HA (High Avaliability) - Security - Management FW iki modda çalışır. Bunlara CLI da anadizinde get system status komutu ile bakılabilir ve şöyledir: - Transfer Mode (Layer 2 gibi çalışır) - Operation Mode (NAT Layer 3 gibi çalışır) İlk olarak FW un IP Access kısmı halledilecektir. Bu yüzden FW a DMZ portundan bağlanılır. FW un Switch portlarına , DMZ portuna den bağlanılır. Bu FW a göre değişebilir. (Quick Start Guide dan bakılabilir.) İlk olarak switch portlarını interface moda çekmemiz gerekiyor. Bunun için, config system global get grep -i internal set internal-switch-mode interface komutları kullanılır. Hata alınıyorsa internal portu bir yerlerde kullanılıyor demektir. Lab daki FW da iki yerde kullanılıyor çıktı. Biri DHCP Server da, biri de policy de. DHCP server ı silmek için: config system dhcp server sekmesinin altından purge komutu ile tüm satırlar silinir. Policy için: config firewall policy sekmesinin altından ilgili kural silinebilir. (Aynı şekilde GUI den de silinebilir.) Daha sonra Wan1 ve Wan2 statik moda çekilir. Bunun için; config system interface edit (wan1 ve wan2) set mode static

3 komut dizisi uygulanır ve en baştaki portu switch moddan interface moda geçiren kod yazılıp interface moda çekilir. Interface lere IP vermeden önce iki FW active-standby olarak HA yapılabilir. Bunun için Gui den HA sekmesi altından ayar yapılabilir. Hangi porttan HA yapacaksak o portun priority lerini iki FW da da eşit olarak veriririz. (ör: internal 2 için, iki FW da da 50 verebiliriz.) Not: Bizim site içindeki FW lara bu priority eşit olarak verildiğinde HA olmadı, farklı verildiğinde HA oldu. Default priority ise yüksek olan master cihaz olacaktır. Buna göre birine 128, birine 64 verebiliriz. Bu aşamadan sonra GUI den Ha durumunda aktif ve pasif cihazı görüyorsak HA oturmuş demektir. Ayrıca, config system ha get komutları ile de HA kontrol edilebilir. İpucu: HA ler arası CLI da geçiş yapılabilir. Bunun için şu komutlar kullanılarbilir: get system ha status execute ha manage 0 (0 ya da 1 HA ların id si.) exit (bu komut ile bir önceki cihaza geçeriz.) Not: Upgrade i master da yapabiliriz. Slave de yaparsak master a basmaz. Cihazın hostname adresini CLI dan şu şekilde değiştirebiliriz. İsim belli bir kurala göre kısa ve cihazı tanıtıcı olmalıdır. config system global set hostname "SITE6_FG60C_UST" end (end komutu içindeki dizini kaydetmeyi sağlar. Kaydetmeden çıkmak için CTRL + C yapılabilir.) IP Access: IP Access 3 kısımdan oluşmaktadır. Bunlar: - Interface - Zone - Routing

4 BB tarafı trunk modda iken, native vlan tag sız gelir. BB tarafına taglattırmak daha iyi yoksa paket VLAN ana dizine gider. Dinamik routing kullanılırsa Loopback Interface kullanılmalıdır. 1) INTERFACE VLAN, Loopback, Wifi, 802.3ad, redundant (backup interface) 802.3ad (LAG) ikiye ayrılır. LACP (dinamik) ve statik. Dinamik olan da ikiye ayrılır (active ve pasif). Default modda active dir. Bu aşamadan sonra interface lere ve PC lere topolojiye göre IP adresleri verilir. Konfigürasyonlar Site 6 ya göre yapılmıştır. PING, HTTPS, SSH gibi seçeneklerde açık bırakılmıştır. 2) ZONE Inteface altından zone ayarlanır. Böylece yönetimsel kolaylık sağlanır. Biz topolojide kendi sitemizi INSIDE, dışarıdaki bağlantıları OUTSIDE zonu altında konumlandırdık. Not: Zone oluşturulurken Block seçeneği işaretliyse işaretliyse zone içinde iletişim bloklanır. Açıksa Layer 3 gibi davranır. 3) ROUTING Routing iki kısma ayrılır. - Ingress Routing o Source Based (PBR) o Destination Based (route selection aşağıdaki gibidir.) Subnet Aralığı Metric (D.C=0, Static=10, OSPF=110) Priority küçük olan kullanılır. - Egress Routing o Cisco da default da yok.

5 FW da LB Mimarisi: - Source-Based - Waited (ör: %60 - %40 gibi dağıtım yap denilebilir.) - Split-over (ör: 95 Mbit e kadar kullan sonra diğerkine geç) Topolojide Routing ler şu şekilde ayarlanır: Source Routing: PBR (Policy Based Routing) Örnek olarak, LAN2 den WAN2 ye PBR yazılırsa, LAN2 den LAN1 e erişilemez; fakat LAN1 den LAN2 ye erişilebilir. Çünkü oluşan session a FW dokunmaz. New Dead Gateway Detection or luyor. Bağlantıların biri giderse down olur.

6 1. GÜN NAT Çeşitleri (Baskın olana doğru): - Interface IP NAT - L3 VIP - IP Pool Not: Örnek olarak OUTSIDE dan INSIDE a doğru yazılan bir VIP NAT var. Eğer bir daha NAT yapılırsa gelinen interface e natlar. Not: L4 VIP yazılınca kuralda ALL bırakılabilir. Böylece birkaç VIP aynı kuralda yazılabilir. Not: L4 VIP tek taraflı, L3 VIP çift taraflıdır. Not: FW da NP-> antivirus throughput yüksek olur, CP-> latency yüksek. NP nin artmasıyla FW da küçük paketlerde performans düşer. NAT ayarları: - Overload (PortAdressTranslation) - One-to-one (1. Port 1. Porta, 2. Port 2. porta) - Fixed port range VPN: İki çeşit VPN vardır. Bunlar: - Policy Based VPN ve Routed Based VPN Not: Hafta için belli bir saat aralığında policy i etkin kılmak için kullanılan kod: Config firewall policy -> Edit -> set schedule-timeout enable Site-to-Site VPN: VPN için Faz1 ve Faz2 tanımlanır. Faz 1 session agreament için Faz 2 hangi network ün exchange olacağıyla ilgilidir. Troubleshoot yaparken bu konular unutulmamalıdır. Not: Config vpn ipsec phase1-information komutu ile faz1 için yapılan tanımlamalar alınabilir. Site-to-Site VPN konfigürasyonu için; her site kendi domain indeki sitelerde hem wan1 üzerinden hem de wan2 üzerinden vpn yapabilir. Site 6 için yapılan konfigürasyonda, hem site5 e hem de site4 e doğru yapılmalıdır. Faz1 aşağıdaki görüldüğü gibi tanımlanmalıdır.

7 Faz2 de aşağıdaki gibi konfigüre edilmelidir. Keep alive seçeneği işaratlenmelidir. Akabinde routingler girilmelidir. VPN de interface de source dest kullanmadığımızdan direk routing e bakılır. Son olarak policy e de kurallar eklenir. Bağlantı gerçekleştikten sonra, routing tablosunda VPN bağlantıları gözükür.

8 Client-to-Side VPN (IpSeq): VPN Wizard bağıntısı kullanılarak VPN bağlantısı ayarlanır. Bu bağlantıyı gerçekleştirmek için FortiClient gibi bir yazılıma ihtiyaç duyulur. Bu bağlantı seçeneğinde split tunel isterse uygulanabilir. Split tunel uygulanmazsa kullanıcı hem iç network e hem de internete şirket üzerinden çıkar. Split tunel uygulanırsa kullanıcı şirketin sadece iç sayfalarına ulaşabilir. Client-to-Site Konfigürasyonları şöyledir: Policy: Interface Zone: Static route: Policy-Based VPN: Policy based VPN yapmak için faz1 de interface modu kaldırırız. En önemli kısım sağ üstten tunnel mod seçilir. Faz2 de auto keep alive seçeneği yine işaretlenir. Policy aşağıdaki gibi yazılır: SSL VPN:

9 SSL VPN ayarları SSL menüsü altından portal ve config sekmelerinden yapılmaktadır. Config sekmesinden login portu olarak ayarlamalıyız. (Defaultta 443 gelebilir, versiyona göre) Portal sekmesinden ise view portal sekmesi kullanılarak ayarlar yapılır. Akabinde policy aşağıdaki gibi yazılır. İlk olarak authentication kuralı yazılır (policy yerine vpn işaretlenir). Ayrıca bu noktada oluşturduğumuz user group u bu kurala ekleriz. Akabinde aşağıdaki gibi normal policy yazılır. Forticlient üzerinden SSL VPN yapabileceğimiz gibi şeklinde browser üzerinden de SSL VPN yapabiliriz. SSL VPN yaptıktan sonra routing tablosuna bakmak için netstat r komutu kullanılabilir. IPSeq & SSL VPN farkları: IPSeq; tek grup, tek ip pool ve tek network için tanımlanır. SSL VPN ise many group, many pool ve grupları istedikleri networklere eriştirmek için yapılabilir. İkisinin de güvenlik düzeyleri eşit sayılır.

10 2. GÜN Not: Bir VLAN için HTTPS, PING gibi izinler verildiyse, bunlara SSH ı eklemek istersek CLI dan set komutunu kullanmıyoruz. Bunun yerine: Config system interface Edit VL-12 Append allowaccess ssh Append komutunun tersi de unselect Not: Ssl interception (encryptied trafikte araya girerek bir nevi proxy lik yapma.)[ ssl interception proxies] Not: FortiAnalyzer VM üzerine kurulur. Collector ve Report Mode Not: VoIP konfigürasyonu için disable edilmeli -> config voip profile, siphelper ve mgcp Not: TCP sessions default ta 1 saat. UDP 5 dk. TCP sessions süresi 3 yerden ayarlanır. Bunlar (en baskına doğru) şöyledir: - Config system session-ttl Config port Set timeout Default Config firewall policy - Config firewall services custom UDP süresini değiştirmek için: - Config system globl Get grep i timer Not: Default ta disable gelen reset sessionless-tcp komutunu enable yaparak üzerinde olmayan sessionları kapatır. Çünkü eski serverlar (ör:as400) sessions ı kapatmıyor/geç kapatıyor. Config system global Reset sessionless-tcp:enable Not: Fortigate i modem ile konfigüre etmek için: Config system modem Set status enable End Bu komut ile gui de modem sekmesi çıkıyor. Akabinde gui den modem ayarları yapılır. Not: Product matrix den forti modelleri donanımsal kıyaslanabilir.

11 Security Profiles: Antivirus: İki metod var. Bunlar; - Flow Based: IPS gibi akan suya dıştan bakıyor ve inceliyor - Proxy based: Trafiği havuzuna alır, inceler ve akıtır. (fortide defaultta 12 MB buffer) Config antivirus service ftp -> burdan buffer size a bakılabilir. Gui den antivirus sekmesi altından MONITOR-AV profili oluşturabiliriz. Buradan ayarları yapılabileceği gibi, CLI dan set options MONITOR-AV komutu ile de bakılabilir. WebFilter: Bu sekmeden web sayfaları engellenebilir, monitor edilebilir. Monitor = Allow + Log Enable web site filter ile siteler block lanabilir. Exempt komutu antivirus ü baypass eder. Fortiguard ın sitesinde web filtering URL-lookup ile bir sitenin hangi kategoride olduğu görülebilir. Not: Log config ve log settings sekmelerinden logların analayzer a gönderimi yapılabilir. Not: Config -> Replacement Message (Web sitesi engellediğinde kullanıcının önüne çıkan sayfalar burada editlenebilir.) SSL Inspection ile sayfa http den https e giderken araya fortigate trusted sertifikası araya girer. Bunu yapmak için: Config webfilter profile Edit monitor-web Set options https-url-scan Set li komut yerine unset yazarsak Deep Inspection yapmış oluruz. Bu durumda https sertifikası kırılır. Araya girince hangi sertifika araya giriyor bakmak için -> config-> features -> Certificates Not: diagnose system top 1 10 Diagnose system kill (ör:http için) Not: IPS, webfilter dan önce devreye girer. Diagnose test application ipmonitor 99 (ips restart/stop) Application: Log-all-url enable komutu ile kullanıcının URL bazında hangi sitelere girdiği görülebilir. Bunu yapmayın, özel hayat

12 Config application list Edit monitor-ap Set unknown-application enable Set extended-utm enable Set log enable Set other-application enable Traffic Shaper: Forti 1p5q mantığına göre çalışır. Bir VIP frameninden ve 1 den 5 e kuyruktan oluşur. Ses trafikleri gibi durumlarda hız garantisi, hız ayarlamaları buradan yapılır. Garanti edilen hıza göre paket high/medium/low ölçüsüne göre iletilir. Transparent VDOM: Küçük kutularda Vdom u etkin hale getirmek için: Config system global Set-vdom admin enable End Transparent VDOM yaparak (ör: kabloyu int 2 den int 3 e takarak.) yapılır. Örnek olarak int2: , int3: yapılır. INT2_VL_41 interface i oluşturulur. CLI dan forward domain yapılır. Set forward domain 41 Next Edit INT2_VL_41 şeklinde.

13 diag debug flow filter addr diag debug flow show function-name enable diag debug flow show console enable diag debug enable diag debug flow trace start 20 *************** diag debug application ike 1 diagnose vpn ike log-filter **************** get system status execute formatlogdisk ( need restart ) diag sys top (delay) Order: (P)rocessor usage, (M)emory usage, (Q)uit command get system performance status