FortiGate IPSec VPN (Gateway-to-Gateway) v4.00-build0328-2012/02 0
Fihrist o VPN Hakkında Genel Bilgi o IPSec VPN Nedir? o IPSec VPN (Gateway-to-Gateway) o o Policy Based (Tunnel Mod) VPN Route Based (Interface Mod) VPN v400-build0328-2012/02 1
FortiGate (IPSec VPN) VPN Bağlantıları Datasheet VPN Hakkında Genel Bilgi VPN (Virtual Private Network Sanal Özel Ağ) : Internet gibi halka açık telekomünikasyon altyapılarını kullanarak kullanıcıları veya uzak ofisleri organizasyonun local bilgisayar ağına güvenli bir şekilde eriştirmeyi sağlamak için geliştirilmiş sanal bilgisayar ağı yapısıdır. Yapı genel olarak, uzak ofisler içi noktadan noktaya hatlar (lease line vb.) yerine standart bağlantılar üzerinden daha düşük sahip olma maliyetleri ile aynı hizmeti sağlar, tekil kullanıcılar için ise uzaktan (herhangi bir yerden) sanki fiziksel olarak ofis içerisindeymiş gibi çalışma imkanı sağlar. VPN aynı özel ağda bulunmayan, bir veya daha fazla network cihazı arasında güvenli bir şifreleme metodu kullanılarak kapsüllenmiş veri transferi yapar. Güvenli şifreleme metodunun kullanım amacı verinin özel yada kamusal alandaki diğer netwrok cihazlarından gizlenmesidir. Sanal özel ağ (VPN), komşu ağlar arasında gizli ve özel bir bilgi akışını sağlamaya yönelik kurulur. Paketler internet üzerinden gitse dahi, tünelleme ve kullanılan güvenlik yazılımları sayesinde ağ dinlense bile şifrelenmiş paketlere saldıran kişiye elde ettiği bilgiler hiçbir anlam ifade etmeyecektir. Buradan, büyük şirketlerin kendi aralarında internetten faydalanmaksızın, özel ağ kurmalarının çoğu yerde gereksiz olduğunu düşünebilirsiniz. v400-build0328-2012/02 2
IPSec VPN Nedir? TCP/IP protokolü geliştirilirken güvenlik üzerinde pek fazla durulmamıştı. Çünkü TCP/IP protokolünün bu denli yoğun ve standart olarak kabul edilip kullanılacağı düşünülmemişti. Bu nedenle verilerimiz ağ üzerinde savunmasız olarak ilerler ve birçok tehlikeyle karşılaşabilirler. Bu tehlikeler verilerimizin değiştirilmesi, verilerimizin kaybolması ve verilerimizin istenilen hedeflere ulaştırılmaması olabilir. IPsec protokolü sayesinde verilerimiz ağ üzerinde güvenli bir şekilde ulaşmak istedikleri hedeflere ulaştırılır. IPsec protokolü IP protokollerinin güvenlik ihtiyaçlarını karşılamak için geliştirilmiş olan bir güvenlik protokolüdür. IP kimlik doğrulaması ve veri akışı her IP paket şifreleme ile iletişim Internet Protokolü güvenlik protokolleri bir takımdır. IPsec da oturumu sırasında kullanılmak üzere ajanları arasında oturum ve şifreleme anahtarlarının müzakere başında karşılıklı doğrulama kurmak için protokolleri içerir. IPsec barındıran bir çift arasında veri akışını korumak için kullanılan, güvenlik kapı bir çift arasında bilgisayar kullanıcıları veya sunucu gibi, yönlendiriciler veya güvenlik duvarları gibi veya bir güvenlik ağ geçidi ve ev sahibi arasında. IPSec in güvenlik mimarisini oluşturan üç temel unsur vardır: 1.Bütünlük (integrity); hedefe ulaşan verinin kaynaktan gelen veri ile aynı olup olmadığı kontrol edilir. Ağ üzerinden gönderilen mesajın gerçekten gönderilen mesaj olup olmadığını anlamak için, mesajı alan bilgisayarın hesapladığı mesaj özeti (message digest) değeri ile mesajı gönderinin ilettiği mesaj özeti değerleri karşılaştırılır. Sonuç farklıysa iletilen mesaja iletim sırasında müdahale edildiği anlaşılır. Mesajları özetlemek için MD5 ve SHA-1 algoritmaları kullanılır. 2.Kimlik doğrulama (Authentication); iletişimde bulunan her iki tarafın da birbirlerinin kimliklerinin doğrulanması için kullanılır. İletişimde bulunan bilgisayarların birbirlerinin kimliklerini doğrulamaları için aynı kimlik doğrulama metodunu kullanması gerekir. IPSec protokolünü kullanarak iletişim kuracak bilgisayarlar, kimlik doğrulama işlemi için çeşitli yöntemler kullanabilirler. Bunları şöyle sıralayabiliriz: Önpaylaşımlı anahtar (preshared key) (MS-CHAP) Kerberos (Windows tabanlı ağlar için) Sertifika yetkilisi (certificate authority) 3.Gizlilik (Confidentiality); gönderilen verinin ağ üzerinden şifrelenmiş bir şekilde iletilmesini belirtmek için kullanılır. Bu durumda, ağdaki paketler bir izleyici (sniffer) aracılığıyla yakalansalar bile içerikleri şifrelenmiş olduğu için taşınan verilerin üçüncü şahıslar tarafından okunması engellenmiş olur. Şifreleme işleminde en çok kullanılan yöntemler DES ve 3DES yöntemleridir. Bu işlemler yapılırken veri paketi farklı algoritmalarla şifrelenir. Bu işleme Encrypiton denir. Veri paketi hedefe ulaştığında şifrelenen veri paketi açılır ve kullanılabilir hale getirilir. Bu işlemede Decryption denir. IPsec çift mod end-to-end ise, İnternet Katmanı Internet Protokolü Suite Yaklaşık Katmanı 3 OSI modelde olduğu güvenlik düzeni işletim. SSL, TLS ve SSH gibi yaygın kullanımı, bazı diğer Internet güvenlik sistemleri, bu modellerin alt katmanlara faaliyet, SSL VPN bir örnek olmaktır. Çünkü trafiği korumak için kullanılabilir. Çünkü uygulama kullanımı ise IPsec kullanmak için tasarlanmış olması gerekmez. IPsec daha yığıtın bir alt düzey olarak bir at çalışma, esnek TLS / SSL veya diğer yüksek katman protokolleri bu düzeyde uygulamaların tasarım dahil olmalıdır. v400-build0328-2012/02 2
IPSec VPN (Gateway-to-Gateway) 172.16.30.0/24 172.16.30.1 192.168.30.100 Merkez router-m router-a internet router-b Şube A 192.168.10.100 192.168.20.100 Şube B 172.16.10.1 172.16.20.1 172.16.10.0/24 172.16.20.0/24 Şekilde görüldüğü gibi Merkez ofis ve 2 şubeden oluşan bir internet altyapısında, merkez ve şubeler arası VPN ağı kurarak iletişimin korunaklı olarak kurulmasını sağlayacağız. Buna benzer yapılarda kullanılan VPN türüne Hub and Spoke denilmektedir.2 türlü yöntem ile bu VPN yapısını kurabiliriz. 1. Policy based VPN 2. Route based VPN yada Tunnel Mod Interface Mod olarakta anılmaktadır. Aşağıdaki anlatımlarda her ikisini de uygulayacağız. v400-build0328-2012/02 3
Policy Based (Tunnel Mod) VPN Merkez FortiGate Ayarları [Şube(A) VPN Ayarları] (Merkez Şube(A)) arası VPN için Phase 1 Ayarları... (Merkez Şube(A)) arası VPN için Phase 2 Ayarları... (Merkez Şube(A)) arası VPN Trafik Kuralı... v400-build0328-2012/02 4
Merkez FortiGate Ayarları [Şube(B) VPN Ayarları] (Merkez Şube(B)) arası VPN için Phase 1 Ayarları... (Merkez Şube(B)) arası VPN için Phase 2 Ayarları... (Merkez Şube(B)) arası VPN Trafik Kuralı... v400-build0328-2012/02 5
Şube (A) FortiGate Ayarları [Merkez VPN Ayarları] (Şube(A) Merkez) arası VPN için Phase 1 Ayarları... (Şube(A) Merkez) arası VPN için Phase 2 Ayarları... (Şube(A) Merkez) arası VPN Trafik Kuralı... v400-build0328-2012/02 6
Şube (B) FortiGate Ayarları [Merkez VPN Ayarları] (Şube(B) Merkez) arası VPN için Phase 1 Ayarları... (Şube(B) Merkez) arası VPN için Phase 2 Ayarları... (Şube(B) Merkez) arası VPN Trafik Kuralı... v400-build0328-2012/02 7
Sonuç olarak yukarıdaki ayarlar yapıldıktan sonra merkez her iki şubeye de erişebilmektedir. Her şube merkeze bağlantı kurabilmektedir. Şubeler arası erişimi de açabilmek için merkezde ve şubelerde yapılması gereken ayarlar aşağıdaki gibi olacaktır. Merkez FortiGate (Concentrator Ayarları) Merkez FortiGate cihazında Concentrator oluşturarak her iki şubenin phase 1 tanımlarını bir havuzda toplamalısınız. Şube (A) FortiGate (Hedef Adresi Ayarları) Şube (A) FortiGate cihazındaki VPN kuralında Destination Address alanında merkez_network ile sube_b_network seçmelisiniz. v400-build0328-2012/02 8
Şube (B) FortiGate (Hedef Adresi Ayarları) Şube (B) FortiGate cihazındaki VPN kuralında Destination Address alanında merkez_network ile sube_a_network seçmelisiniz. Sonuçta Merkez FortiGate cihazında VPN > IPsec > Monitor menüsüne baktığınızda aşağıdaki gibi bir sonuç görmelisiniz. 172.16.30.0/24 merkez ağı ile 172.16.10.0/24 Şube (A), 172.16.20.0/24 Şube (B) ağları iletişim halindedirler. v400-build0328-2012/02 9
Diagnostics (Kontroller) Merkez-FGT # execute ping 172.16.10.1 PING 172.16.10.1 (172.16.10.1): 56 data bytes 64 bytes from 172.16.10.1: icmp_seq=1 ttl=255 time=3.3 ms 64 bytes from 172.16.10.1: icmp_seq=2 ttl=255 time=0.8 ms 64 bytes from 172.16.10.1: icmp_seq=3 ttl=255 time=0.9 ms 64 bytes from 172.16.10.1: icmp_seq=4 ttl=255 time=0.8 ms --- 172.16.10.1 ping statistics --- 5 packets transmitted, 4 packets received, 20% packet loss round-trip min/avg/max = 0.8/1.4/3.3 ms Merkez-FGT # execute ping 172.16.20.1 PING 172.16.20.1 (172.16.20.1): 56 data bytes 64 bytes from 172.16.20.1: icmp_seq=1 ttl=255 time=2.4 ms 64 bytes from 172.16.20.1: icmp_seq=2 ttl=255 time=0.8 ms 64 bytes from 172.16.20.1: icmp_seq=3 ttl=255 time=0.8 ms 64 bytes from 172.16.20.1: icmp_seq=4 ttl=255 time=0.9 ms --- 172.16.20.1 ping statistics --- 5 packets transmitted, 4 packets received, 20% packet loss round-trip min/avg/max = 0.8/1.2/2.4 ms Sube-A-FGT # execute ping 172.16.20.1 PING 172.16.20.1 (172.16.20.1): 56 data bytes 64 bytes from 172.16.20.1: icmp_seq=0 ttl=254 time=1.9 ms 64 bytes from 172.16.20.1: icmp_seq=1 ttl=254 time=1.5 ms 64 bytes from 172.16.20.1: icmp_seq=2 ttl=254 time=1.4 ms 64 bytes from 172.16.20.1: icmp_seq=3 ttl=254 time=1.5 ms 64 bytes from 172.16.20.1: icmp_seq=4 ttl=254 time=1.3 ms --- 172.16.20.1 ping statistics --- 5 packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max = 1.3/1.5/1.9 ms Sube-B-FGT # execute ping 172.16.10.1 PING 172.16.10.1 (172.16.10.1): 56 data bytes 64 bytes from 172.16.10.1: icmp_seq=0 ttl=254 time=4.3 ms 64 bytes from 172.16.10.1: icmp_seq=1 ttl=254 time=1.4 ms 64 bytes from 172.16.10.1: icmp_seq=2 ttl=254 time=1.4 ms 64 bytes from 172.16.10.1: icmp_seq=3 ttl=254 time=1.4 ms 64 bytes from 172.16.10.1: icmp_seq=4 ttl=254 time=1.3 ms --- 172.16.10.1 ping statistics --- 5 packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max = 1.3/1.9/4.3 ms v400-build0328-2012/02 10
Route Based (Interface Mod) VPN Merkez FortiGate Ayarları [Şube(A) VPN Ayarları] (Merkez Şube(A)) arası VPN için Phase 1 Ayarları... (Merkez Şube(A)) arası VPN için Phase 2 Ayarları... (Merkez Şube(A)) arası VPN için Static Route Ayarı... v400-build0328-2012/02 11
Merkezden Şube (A) ya Doğru VPN Kuralı Şube (A) dan Merkeze Doğru VPN Kuralı v400-build0328-2012/02 12
Merkez FortiGate Ayarları [Şube(B) VPN Ayarları] (Merkez Şube(B)) arası VPN için Phase 1 Ayarları... (Merkez Şube(B)) arası VPN için Phase 2 Ayarları... (Merkez Şube(B)) arası VPN için Static Route Ayarı... v400-build0328-2012/02 13
Merkezden Şube (B) ye Doğru VPN Kuralı Şube (B) den Merkeze Doğru VPN Kuralı v400-build0328-2012/02 14
Şube (A) FortiGate Ayarları (Şube(A) Merkez) arası VPN için Phase 1 Ayarları... (Şube(A) Merkez) arası VPN için Phase 2 Ayarları... (Şube(A) Merkez) arası VPN için Static Route Ayarı... v400-build0328-2012/02 15
Şube (A) dan Merkeze Doğru VPN Kuralı Merkezden Şube (A) ya Doğru VPN Kuralı v400-build0328-2012/02 16
Şube (B) FortiGate Ayarları (Şube(B) Merkez) arası VPN için Phase 1 Ayarları... (Şube(B) Merkez) arası VPN için Phase 2 Ayarları... (Şube(B) Merkez) arası VPN için Static Route Ayarı... v400-build0328-2012/02 17
Şube (B) den Merkeze Doğru VPN Kuralı Merkezden Şube (B) ye Doğru VPN Kuralı v400-build0328-2012/02 18
Sonuç olarak yukarıdaki ayarlar yapıldıktan sonra merkez her iki şubeye de erişebilmektedir. Her şube merkeze bağlantı kurabilmektedir. Şubeler arası erişimi de açabilmek için merkezde ve şubelerde yapılması gereken ayarlar aşağıdaki gibi olacaktır. Merkez FortiGate Ayarları Şube (A) dan Şube (B) ye Doğru VPN Kuralı... Şube (B) den Şube (A) ya Doğru VPN Kuralı... v400-build0328-2012/02 19
Şube (A) FortiGate Ayarları Şube (B) ağına doğru açılan Static Route tanımı... Şube (A) FortiGate cihazındaki 1. VPN kuralında Destination Address alanında merkez_network ile sube_b_network seçmelisiniz. (Şube (A)dan Şube (B) ye Kural) v400-build0328-2012/02 20
Şube (A) FortiGate cihazındaki 2. VPN kuralında Source Address alanında merkez_network ile sube_b_network seçmelisiniz. (Şube (B) den Şube (A) ya Kural) v400-build0328-2012/02 21
Şube (B) FortiGate Ayarları Şube (A) ağına doğru açılan Static Route tanımı... Şube (B) FortiGate cihazındaki 1. VPN kuralında Destination Address alanında merkez_network ile sube_a_network seçmelisiniz. (Şube (B) den Şube (A) ya Kural) v400-build0328-2012/02 22
Şube (B) FortiGate cihazındaki 2. VPN kuralında Source Address alanında merkez_network ile sube_a_network seçmelisiniz. (Şube (A) dan Şube (B) ye Kural) v400-build0328-2012/02 23
Eğer şube ağlarında bulunan kullanıcıların merkez üzerinden internete çıkmaları istenirse, yapılacak ayarlar aşağıdaki gibi olmalıdır. Merkez FortiGate Ayarları Şube (A) ağının Internet e Çıkış Kuralı... Şube (B) ağının Internet e Çıkış Kuralı... v400-build0328-2012/02 24
Şube (A) FortiGate Ayarları Şube (A) FortiGate üzerindeki tüm trafiğin, Merkeze yönlendirilebilmesi için yazılan Static Route tanımı... Varolan diğer Default Route (0.0.0.0) tanımı silinmelidir... Şube (A) dan Merkez ve Şube (B) ye giden kuralda Destination Address : all olarak değiştirilmelidir... v400-build0328-2012/02 25
Şube (B) FortiGate Ayarları Şube (B) FortiGate üzerindeki tüm trafiğin, Merkeze yönlendirilebilmesi için yazılan Static Route tanımı... Varolan diğer Default Route (0.0.0.0) tanımı silinmelidir... Şube (B) den Merkez ve Şube (A) ya giden kuralda Destination Address : all olarak değiştirilmelidir... Ek Kaynaklar : http://docs.fortinet.com/fgt/handbook/40mr2/fortigate-ipsec-40-mr2.pdf http://docs.fortinet.com/fgt/handbook/40mr2/fortigate-admin-40-mr2.pdf http://docs.fortinet.com/fgt/handbook/40mr2/fortigate-cli-40-mr2.pdf RZK Mühendislik ve Bilgisayar Sistemleri 1326. Sokak (Eski 71. Sk.) No:5 / 2 06460 Öveçler Ankara / Türkiye Tel:+90 (312) 472 15 30 Fax:+90 (312) 472 15 40 v400-build0328-2012/02 26