http://docs.fortinet.com/fortigate/admin-guides Fortinet ürünleri üzerine yazılmış detaylı konu anlatımlarının ve açıklamalarının olduğı ve eski verisonlarınında bulunduğu dökümantasyon sitesi. GLI ve CLI dökümanları bulundurmaktadır. Fortigate üzerine sorunlarımızız çözüm merkezi http://kb.fortinet.com/kb/microsites/microsite.do FortiNet Ürün Ailesi FortiGate : Fortinet firmasının amiral ürünü oluğu, çıkış noktasında firewall görevi gören UTM cihazdır. UTM firewallın taşıdığı tüm özellikleri taşıyabilmektedir. FortiManager : Büyük yapılı netwokrlerde, birden fazla fortinet cihazını yönetimini sağlıyan cihazdır, bu cihaz üzerinden, Konfig yapılmasından, polciylerin uygulanmasına kadar bir çok özellikleri barındır, Ayrıca fortigate cihazları için internet üzerinden yaptığımız updateleri manager üzerinden yapmamız sağlıyor. FortiAnalyzer : Fortigate tarafınadan oluşan trafik utm loglarını analiz edilip gelişmiş olarak raporlama sunan cihazdır. Fortimail : Fortigate üzeirnde bulunan mail sec özelliklerinini barındıran bu konuda çok geşmişmiş özellikleride sunan cihazdır, Ayrıca mail server olarakya yapılandırılabilir. FortiDB : Database güvenliği üzerine yoğunlaştırılmış ve bu konuda çok kullanılmamakla birlikte ileri düzeyde çözümler sunan üründür. FortiWeb : Web güvenliği üzerine yoğunlaştırılmış ve bu konuda çok kullanılmamakla birlikte ileri düzeyde çözümler sunan üründür. FortiBalancer : Loadbalancing üzerine üzerine yoğunlaştırılmış ve bu konuda çok kullanılmamakla birlikte ileri düzeyde çözümler sunan üründür. Fortiscan : Güvenlik tarafması ve zafiyet tarafaması gibi yine fortigate ile birlikte gelen özellikler üzerine yoğunlaştırılmış ve bu konuda çok kullanılmamakla birlikte ileri düzeyde çözümler sunan üründür. Forticache : Dns ve Web cache üzerine hizmet sunan ve bu konuda geliştirilmiş bir üründür. FortiSwitch : Swicth görevi gören bu konuda hizmet sunan cihazıır, POE ürünleride mevcuttur. FortiClient : Fortonetyazılımdıır, Bu Cientlara fortinet ürünlerimiz üzerinden bir takım yönetimlerin sağladığı ve antivirüs, ant,spam Vpn gibi hizmetleride gören bir yazılımdır, Ücretsiz bir yazılımdır, FortiDNS : Fortigate üzerinde kullanılan DNS özellliği üzerine yoğunlaştırılmış ve dns servisi üzerine hizmet veren sunucu görevi örmektedir. FortiAP : Klasik ap özelliği görmektedir, sadece fortigate üzerindeki forti ap controller panelinden yönetilir. AP sadece fortigate yapılarda kulalnılabilir, tek başına forti apler kullanılamaz. Çalışması için ethernet takıp ip alınması yeterlidir. Ondan sonra otomatik olarak controllera ( fortigate ) gelmektedir.
FortiGate Fortigate Özellikleri FIREWALL: Cihaz ile internet çıkışı ve internetten geliş ile ilgili tüm izinler ayarlanabilir. VPN : dışarıdan (mesela evden internete başlanarak) iç networke şifeli bir network kanalı ile ulaşılabilir. IM FILTERING: Messenger gibi mesajlaşma uygulamaları belli kullanıcılar için izin verilebilir veya yasaklanabilir. P2P FILTERING: Kullanıcılar arası veri alışverişini sağlayan, trafiği boğan ve zararlı içeriklerin de yayılmasına neden olan P2P uygulamalarını (Kazaa, Skype, bittorrent, edonkey, Gnutella vb.) kişi bazlı kısıtlayabilir veya komple engelleyebilir. TRAFFIC SHAPING: işle ilgili uygulamalara ağda öncelik verilerek, Messenger gibi çok gerekli olmayan uygulamalara düşük bant genişliği ayrılabilir. Antivirus: Gelen ve giden mail eklentilerini, tüm ftp ve http trafiğini (web tabanlı mailler dahil) web performansını düşürmeden tarar. Antivirus getaway gelen virus ve wormları networke girmeden önce kestiğinden zarar verebilecek durumları önceden önlemiş olur. Fortinetin dünya çapındaki antivirus ekibi çıkan virusleri en hızlı şekilde takip eder ve müşterilerine gerçek zamanlı update imkanı sunar. Bu sayede belirli zaman peryotları ile değil virus çıktığı anda update yapılmış olur. Firewall:Güçlü içerik denetleme firewallu belgelenmiş, maximum performanslı ve ölçülebilir bir ürün sunar. Policy bazlı kural yazma ile tek bir kuralda birçok kontrol saglar. Tek bir kuralda kaynağı, hedefi ve kullandğı servisi belirtilmiş paket nat, traffic shaping, loglama Autentication (Active directory, local, lap, radius) ve protection profile uygulanabilir. Protection profile sayesinde kurala uyan paketlere antivirüs taraması, antispam taraması, wel fitering, ips/ids ve im/p2p kontrolu yapılabilir. Intrusion Detection:Uyarı tabanlı 1300 den fazla bilinen saldırı barındıran özelleştirilebilir veritabana sahiptir.fortigate host tabanlı antivirus programlarından kaçan saldırıları durdurur. Antivirus güncellemelerinde olduğu gibi saldırı imzaları güncellemeleri de fortiprotect update network ile gerçekleştirilir. Bu sayede yeni saldırı çıkar çıkmaz update yapılır güncellem süresinin dolması beklenmez. VPN:Günümüzün en populer ve güvenli VPN türlerini destekler. Ipsec, PPTP, L2TP, based ve SSL VPN esnek bir şekilde yapılmaktadır. VPN i 2 lokasyonumuz arasında yapabildiğimiz gibi dışardan dial-up kullanıcılarıda güvenli bir şekilde VPN yapabilmektedir. Gelen VPN paketlerin protection profile uygulama bildiğinden, ips, antivirus, proxy serverlarımızı kullanacak olanlar için url fintering gibi denetlemeler uygulanarak tam koruma sağlanmış olunur. AntiSpam:Blaclist website ve domain tabanlı, kelime taraması (her kullanıcı için ayrı configure edilebilirlik) ve dinamik puanlama sistemi ile güçlü ve doğru sonuç alınmaktadır. Traffic Shaping:Traffic Shaping ile network trafiği, paket sınıfı, kuyruk disiplini vs kriterlere göre kısıtlama yapılabilir. Böylece kendi iş önceliğimize göre trafiği şekillendirebiliriz. Ftp ve web hızını düşürüp SQL bağlantılarının performansı garanti altına alınabilir. Bunu policy bazlı yapabildiğimizden ZAMAN ve kişi bazında düzenleme yapılabilir. Web Filtering:15 milyondan fazla domain ve milyarlarca web sayfası ile url filitrelemek tam bir kontrol sağlar. 56 kategoride filitreleme imkanı sunmaktadır. Ayrıca kelime ve blac-list oluşturma imkanımızla da filitreleme yapılabilir. Hight Availability:Birden fazla cihaz bir arada çalıştırılarak hem yük paylaşımı hem yedekleme sağlanabilmektedir. Bir cihazın devre dışı kalması durumda diğer cihaz 3 sn gibi bir sürede Hiçbir oturumu kaybetmeden devreye girmektedir. IM/p2p:Chat araçlarının en populerleri olan aim, icq, msn ve yahoo paylaşım proğramlarında bittorrent, edonkey, gnutella, kazaa, skype, winny proğramlarının logon, file transfer (dosya boyutu belirtilebilir) blok audio kontrolleri yapılabilmektedir. Ayrıca standart portlar dışında çalışan benzer proğramlar da kontrol edilebilir. Bu proğramlar aracılığı ile gelen paketler protection da belirtilen virus vb. taramalardan geçirilebilir. Yasaklanan proğramları kullanan kullanıcıların listesi gelmektedir. Bu listeden istenilen kullanıcılara izin verilebilir. Bunun terside geçerlidir
Detay Özellikler AĞ ÖZELLİKLERİ Birden fazla internet (WAN) bağlantısı ANTIVIRUS/WORM TESBİT ve ENGELLEME (ICSA desteği Sertifikalı) PPPoE desteği HTTP, SMTP, POP3, IMAP, FTP, IM ve Encrypted VPN de DHCP Client/Server desteği virus tarayabilme Kural tabanlı önlendirme (Policy-Based Routing) Güncellemeleri oluşunca merkezden gönderme (Push Dinamik Yönlendirme (Dynamic Routing; RIP v1 & v2, OSPF, Update) BGP, & Multicast) Karantinaya alma Çoklu Bölge desteği (Multi-Zone) Dosya büyüklüğüne göre engelleme Bölgeler arası yönlendirme (Route Between Zones) Dosya tipine göre engelleme VLAN kar arası yönlendirme YÖNETİM ERİŞİM Console Interface (RS-232) Rol Tabanlı Yönetim WebUI (HTTP/HTTPS Web Arabirimi) Farklı Yönetici yetki ve seviyeleri Telnet TFTP ve Web ile güncelleyebilme Multi-language Support Sistem Yazılımını Fabrika ayarlarına alabilme Komut Satırı Yönetim Arabirimi (Command Line Interface) FortiManager cihazı ile merkezden erişebilme Secure Command Shell (SSH) Merkezi Yönetim Desteği (FortiManager System) KULLANICI YETKİLENDİRME İç kullacılar Windows Active Directory (AD) Desteği External RADIUS/LDAP Database Desteği IP/MAC Address Eşleştirebilme Xauth over RADIUS for IPSEC VPN RSA SecurID FIREWALL (ICSA Sertifikalı) NAT, PAT, Transparent (Bridge) Routing Mode (RIP v1 & v2, OSPF, BGP, & Multicast) Policy-Based NAT Virtual Domains (NAT/Transparent mode) VLAN Tagging (802.1Q) User Group-Based Authentication SIP/H.323 NAT Traversal WINS Desteği VPN (ICSA Sertifikalı) PPTP, IPSec, ve SSL Dedicated Tunnels Şifreleme (DES, 3DES, AES) SHA-1/MD5 Kimlik Doğrulama PPTP, L2TP, VPN geçiş desteği Hub ve Spoke VPN Desteği IKE Certificate Authentication IPSec NAT Traversal Dead Peer Detection RSA SecurID Support Özelleştirilebilir Kurallar ANTISPAM Online Blacklist/Open Relay Database Server MIME Header Kontrolü Kelime filtreleme IP Adresi Karaliste/İzinliListe Otomatik güncelleme WEB İÇERİK FILTRELEME URL/Keyword/Phrase Engelleme URL Hariç Listesi LOG/İZLEME Yerel Log kayıtları Syslog/WELF sunucuya loglama imkanı
İçerik Grupları Java Applet, Cookies, ActiveX Engelleme FortiGuard Web Filteleme Desteği (56 kategori, 50 milyon web) Anlık ve geçmiş için grafik rapor desteği SNMP desteği Virus ve Saldırılarda email uyarma imkanı VPN Tunel İzleme FortiAnalyzer cihazı ile detaylı kayıt ve raporlar DİNAMİK SALDIRI ENGELLEME SİSTEMİ (IPS/IDS) (ICSA Sertifikalı) 2000den fazla saldırıyı engelleyebilme Ayarlanabilir Dinamik Saldırı İmza Listesi Saldırı veri tabanını otomatik güncelleme Davranış tabanlı saldırı tesbiti YEDEKLİ CİHAZ KULLANIMI (HIGH AVAILABILITY) Active-Active, Active-Passive desteği Stateful Failover (FW and VPN) HATA tesbit ve uyarı sistemi Link durumu izleme Link failover TRAFİK BİÇİMLENDİRME Kural tabanlı trafik biçimlendirme Diffserv Ayarları Guaranti/Maksimum/öncelikli hız ayarlayabilme INSTANT MESSENGER - ACCESS KONTROLÜ AOL-IM Yahoo MSN Kaynak : fortigateturkiye.com - - ICQ
Grafik Arayüz İle Yönetim Bu bölümde grafik arayüz üzerine fortigate cihazının nasıl yapılandırılacağını not edeceğim, Cli ( komut ) ile nasıl yapılandırılacağını ilerde detaylıca anlatacağım ; Garafik arayüzü ile yapılandırmak basit ve kolaydır, Ama grafik arayüznünde her şeyi yapmamıza müsade etmez bunla birlikte cli yönetim daha zor ve çetrefilli olsada % 100 yakın bir yönetim sunar. Örneiğin Bgp ayarlarını garafik ile yapmak son derece yüzeyse olsada cli ile bgp ayarlarını yapacağımız zaman çok daha detaylıca ayarlıyabiliriz ( hold time keepalive vs.). Cihaza Bağlantı Kurma Cihaza konsol olduktan sonra defaultta belli bir ip ile gelir bunu cihazın üzerinde görebiliriz. Ayrıca yoksada cihaza konsol olup cihaza ip verebiliriz. Cihaza konsol olduktan sonra ; Kullan adı : admin Şifre : Boş Olacak şekilde giriş yapabiliriz, Daha sonra hangi porttan bağlanacakcaksak o porta ip verbeiliriz. config system interface edit port 1 set ip 192.168.1.11 255.255.255.0 set alias yonetim_interface set allowaccess ping https ssh http telnet İlgili kod bloğu ile port 1 interfacesine yonetim interface adında bir isimle http https sssh ping servislernin açıldığı bir yapılandırma yapıldı. Bu şekilde yapılandırılıktan sonra herhangi bir internet browser üzerinden http:\\192.168.1.11 adresi ile bağlanıp admin kullanıcısı ile giriş yapıp garafik arayüzü ile yapılandırabiliriz. Garafik arayüzü ile bağlandıldığı zaman bizi aşağıdaki gibi bir pencer beklemektedir.; FortiOS 5 ile fortigate teki menü yönetimi şu şekildedir, önceki sürümlerde ufak değişiklikler olsada genel olarak yapı yukarıdaki resimlerdeki gibidir. + System + Router + Policy + Firewall Objects + Security Profiles + VPN + User&Device + WİFİ Controller + Log&Report
System Bu alan fortigate cihazımızın sistem ayarlarını yaptığımız alandır, Bu menülerin İşlevleri şu şekildedir. Dashboard : Bu alanda cihazımızın monitoring ( izlenildiği ) edildiği ve bu monitoring ekranlarının yapılandırıldığı alandır, Network : Cihazıımızın interface ve dns gibi ayarlarının yapıldığı alandır, Config : Cihazımızın networkteki rolünü, lisans durumlarını, gördüğümüz ve ayarladığımız alandır Admin : Cihazımızın admin kullanıcısnın ve yönetim ayarlarını yapıldığı alandır, http portu ssh portu idle timout vs vs. Certificates : Cihazımızın sertifikalarını gördüğümüz ve yönettiğimiz alandır. Monitör : System bölümüzüm monitör ( izlendiği ) edildiği alandır,örneiğin dhcp servesimiz varsa bu servisimizin izlenmesi gibi.
Dashboard Fortigate cihazını monitoring ettiğimiz alandır, Bu alanda cihazımızın bazı özelliklerini tek bir ekranda görebiliriz, Örneğin cihazımızın portlarının durumunu, lisans durumu, sistem durumunu, işlemci durumunu vs vs görebiliriz, Yukarıdaki ekranda Clı console ekranı var burada cli komutlarını ekranında sistemimiz ile ilgili bilgiler vardır, çalıştırdığımız ekrandır. Aynı şekilde System İnformation Ekranında İlgili ekrana yeni Widget ekleyebiliriz ayrıca yeni bir monitoring Ekranıda ekliyebiliriz. Add Dashboard : Yeni monitoring ekranı ekliyebiliriz. Edit Dashboard : monitoring ekranımızı edit ederek düzenliyebiliriz. Delete Dashboard : Monitöring ekranımızı silebiliriz, Şimdi benim tek ekranım olduğu için onu silmeme izin vermiyor zira system ing-formation ayarları sadece bu menü altındadır o yüzden bir tane monitörün ekranı her zaman vardır, Dashboard / System İnformation Dashboard / System İnformation : Sistem bilgilerini gördüğümüz ve değiştirebileceğimiz ekrandır, Hostname, Serinumarası, Operation Modu vs vs Hostname : Cihazın İsmini yazıldığı ekrandır, Özellikle ssh ve telnet gibi bağlantılarda bize çok yardımcı olur. [ Change ] diyerek değiştirebiliriz. Seri Number : Cihazın seri numarasını yazdığı ekrandır.
Operation Mode : BU alanda cihazımızın Modu ayarlıyabiliriz, Fortigate cihazları iki moda da ayarlıyabiliriz. Bunlar NAT ve Transparent Mode dur [ Change ] şeçeneiğini seçerek cihazımızın operasyon modunu değiştirebiliriz. Nat :Cihazın default modu nat modudur, bu normalde getway olarak kullanılan cihazların olduğu moddur, L3 düzeyinde çalışır, Route mode aktiftir, Transparemnt Mode : Cihazın özelliklerini görüp network yapısnı mozmasını enlelleyip bunla birlikte istenidiği gibi yine policylerimizin aktif edildiğini UTM yönetimini sağlamak gibi yine bir çok özelliği sağlıyabilir. Eğer bu seçenek seçilir ise tüm interfaceler tek bir inteface gibi görünür ve sadece managment ipsi girilerek erişim sağlanailir. Ayrıca bir atnede default getway girilerek sadece cihazımızın bu modda sadece kötü görevi görmesini sağlıyabiliriz. L3 ilgilendirmeyen her şeyi yapabiliriz. BU modda iken cihaz genelde ADSL / ME ile Firewall Arasına konur ve mantık olarak paketler gir çık yaparlar. ME --- Tranparemnt fortigate ---- Linux Firewall şeklinde olabilir, ilerde örnek ile detaylıca bu işliyebilirim. HA Status : Cihazımın yedekliliğinin ayarladığı aldandır, ilerde detaylıca anlatocağım System Time : Taraih ve saat bilgilernin olduğu alandır. Firmware Version : Cihazımızın firmware versionun görrüyoruz, Benim burada fortios v5,0 verisonun ulanıldığı görüyorum, Ayrıca burada [ Update ] şekilerek firmware verisonu update edilebilir. System Configuration : Bu alnda cihazımızın konfiğini backup alıp yada restore edebiliriz yada yeni bir konfig oluştuabiliriz. Current Administrator : Admin şifresini değiştirbeiliriz. Uptime : Son Uptime süresini görebiliriz. Virtual Domain : VDOM fortigateimizin VOM lara bölerek her birisnde farklı bir yapılandırma yapbiliriz, Gnellikle çok büyük bir karmaşık networklerde ugulyabiliriz. Lisanssız olarak 10 tane VOM oluşturabiliriz. Kısaca şöyle diyebiliriz 2 tane VDOM var bunlardan birinde UTM kontrolünü yaprız diğerinde Policy yönetimini yaparıız. Tabi böyle olunca yapı daha detaylıca yönetebiliriz fakat çok büyük networklerde bu yönetm kullanılır.konu ile ilgili olarak örneiği detaylıca ilerde anlatacağım.
Network Cihazımızın mevcut interfaclerini yapılandırdığımız yeni interfacler eklediğimiz vlanları ekleyip yönettiğimiz ve loopback gibi yönetim interfaceleri oluşturduğumuz gibi dns ayarlarınıda bu ekrandan yapabiliriz. Network / İnterface İnterfacelerin ayarlarının yapıldığı ve vlan loopback interfacelerinin oluşturulduğu alandır, Yine interfacelere paralel olarak DHcp server yapılandırmasınında yapıldığı alandır. Genel görünüm aşağıdaki gibidir, Port Editleme / Edit Port 1 Network / İnterface Port bir üzerinde örnek yapıladnırma yapacağım, İnterface ekranında port 1 seçip edit ettiğimizde. Aşağıdak ekranlar gelmektedir, Eklarnları parça parça açıklamları ile birlikte yer almaktadır. Name port ismidir, İşte buarada parantez içinde mac adreside vardır, Alias : Portların özel olarak olarak isimlendirerek ilerde cihazımıızın yönetimini kolaylaştırıcaktır. Type : Fiziksel interface buradda, portumuzun fiziksel durumunu görypruz, vlan ve loopback gibi sanal interfacelerde olabilir. Adressing mode : İnterfaceimizin ip adrenin nasıl olacağını seçiyoruz i buarada manual seçilmiş yani biz elle ip gireceğiz demektgdir ve buna istinaden 192.168.100.1 /24 ipsi verilmiştir, Aşağıdaki dhcp şekildiğindeki ekran görülmejtedir,
Adress mode : Dhcp bu seçilirse ip adresimizi dhcp serverdan almaktadır, Status : Connected : anlık durumyunu görüyoruz Obtained IP / Netmask : İp adresini ve subnetmaskı göryoruz, RENEW butonu ile yeni ip almasını sağlıyabiliriz. Expiry Date : Dhcp seerverdan aldığımız ionin bitiş süresin, görüyoruz Acquired DNS : Dns adresimizi görüyoruz Default Getway : Getway adresimizi görüyoruz Distance : Default getwayimizin distance değerini ayarlıyabiliyoruz Retrieve default geteway from server : Default gateway adresini dhcp serverdan al. Override internal DNS : DNs server adresini dhcp erverdan al : Not : Retrieve default geteway from server ve Override internal DNS : seçenlekleri seçilir ise Acquired DNS : ve Default Getway alanları aktif olur ve ipleri ancak öyle alır. Adminstrative access : Admin erişiminiin yllarının aktif edildiği alandır, Buarda https https ping sssh vs vs gibi seçlibeilir. Öylece ssh üzerinden bu interface bağlantı kurbailiriz.
Dhcp server seçeneiiği Enable edilerek ilgili portta dhcp server ayarlarını aktif ediyoruz. Adres Range : Dhcp serverımızın dağıtacaı ip aralıklarını belirliyoruz. Ekranda 192.168.2.133 den 192.168.2.254 kadar ip dağıtacak. Netmask : Dhcp serverda dağıtılacak iplerin netmasklarını beliyoruz ekranda /24 dür. Default Getaeway :Specify seçilerek defalult gateway adresini elle veriyoruz. Ekranda 192.168.2.132 dir Dns Server : Specify sçeileek DNS adreside dağıyılması sağlanır. Fortigateimizde dns serverımızın 2008.91.112.53 olduğu için dhcp serverda bu adress dağıtılıyor. Advanced ; Bu alnda dhcp serverızın gelmişmiş ayralrını yapıyrouz, Mode : Server ve relay olarak iki mod seçneği vardır, Server direk bu dhcp serverı referans alır ve dağıtır, Relay başka bir dhcp server var ise onu ayarlıyarajk kendisine gelen ip isteklerini relay i olduğu servera gönderiir. MAC Address Access Control List : Bu alnda mac adresine göre dhcp iplerinin revervasyonu yapılarak dağıtılmamlarını sağlıyabiliriz, yada bu mac adresinin networkümüzfe ip almasını blocklamamızı sağlıyabiliriz. Type : Rgula ve ipsec olmak üzere iki seçenektir, Regualar gerçek bir dhcpo server varlığını ayarları İpsec ile iosoec vpn De clientları salacakları ipleri ayarladığımız dhcp modutur. Secondary ip adres aktif edilerek interfacemize ikinci bir ip verebiliriz ve bu ipyi yapılandırbailiriz. Administrative Status : Burda portun admşn durumnu ayarlarız. Ekran up seçili ama istersek down yaparak Admşn downd da bırabiliriz portu. Böyelce fiziksel olarak up olasa bile bir işe yaramaz.
Port Ekleme / Vlan Oluşturma : İnterface ekranında > Creatnew diyerek yeni bir interface oluşturabiliriz. İlgili ekranda ; Name : İnterfacemiz isim veriyoruz. Type : VLAN, Loopback gibi seçenekler oalbilir İnterface : BU sanal interfacnein bağlı olacağı fiziksel interfacsi belirliyoruz Vlan ID : İnterfacesi vlan seçiğimiz için bu alanada vlan idmizi yazıyoruz,, Diğer seçenekler yukarıdaki interface edilmek ile y-ayndırı. Network / DNS Dns ayaralnın yapıldığı alandır, Buarada Use fortiguard seçil iken dhcp server alır sns srevr yada Specify diyerek elle bir dns suncucu ayarlıyabiliriz. Buarada ayarlı olan dns server aynı zaman dhcp serverda dağıtılacak olan dns adresindir.
CONFIG Cihazımızın genek konfigğin yapıldığı alandır, Ha ile cihazımızın networkteki rolünü lisans ekranları ile cihazımız üzerinde lisansları detaylıca göebiliriz ve yönetebiliriz. Config / Ha (High Availability ) Cihazımızın networkteki rolü ayarladığımı alandır, Küçük networklerde olmasa büyük networklerde yedeklilik olarak çalılan iki cihazımız labilir bu cihazlarımızın bu ekran rollerini belirterek onların tam performanslı çalışmasını sağlıyabiliriz. Örneiğini iki tane FW var bunları Aktif / Pasif çalıştırıp yedeklidiğini sağlyabiliriz, Yada Akitf / Aktif yaparak cihazmızın ve networkümüzün performansını artıabiliriz. Aşağıdaki Ekranda ; Mode ile Ha modunu belirliyoruz burada, Aktif / Pasif - Aktif / Aktif ve Standalone yani tek cihaz seçenekleri seçilebilir. Device prirty değerli büyük olan master olur Cluster settings ile detaylıca port ve priority değerlerini ayarlıyabiliriz. Not : Bu başlık ilerde la yapılarak detaylıca açıklancaktor.
Config / SNMP İlerde detaylıca açıklamları girilecektir. Config / Relacment messages İlerde detaylıca açıklamları girilecektir. Config / FortiGuard Lisansarımızın takip edildiği alandır Config / FortiSandbox İlerde detaylıca açıklamları girilecektir. Config / Advanced İlerde detaylıca açıklamları girilecektir. Config / Messaging Servers İlerde detaylıca açıklamları girilecektir.
Config / Features İlerde detaylıca açıklamları girilecektir. ADMIN Admin ayarlarını yapılandırdığımız alandır, Admin Kullanıcı bağlantılar ve port numaraları,password politikalarının belirlendiği alandır. ADMIN / Admin Profiles Bu alnda admin kullanıcılları içşn profil alanları olturabiliriz, Örneiğin Router politiklarını belirliyecek bir kullanıclar için router admin diye bir plitka oluşturup daha sonra bu kullanıcıları bu router polikalalrına ekleriz. Böylee bu kullanıcı sadece router polikalarını belirliyebilir, Yada aynı şekilde Vpn politikaları ve bu politikaları yöneckeek kullanıcılar oluşturabiliriz. prof_admin ve super_admin vardır defaultta iki tane glir, BU ikiside tam yetkili kullanıcı profilleridid.rbizler Create New diyerek yeni bir kullanıcı politikası belirliyeiliriz.
Benim amacım Vpn operasyonlarını yönetmek için kullanacağım bir plitika belirlemek istiyorum. Bunun için ; System Configuration : Vpn ayarlarını yaparken burdaki ayarları görmek ne yapacağımızı bilmek adına önemli o yüzden Read only yani sadece okuyabiliriz. Router Configuration : Vpn ayarlarını yaparken burdaki ayarları görmek ne yapacağımızı bilmek adına önemli o yüzden Read only yani sadece okuyabiliriz. Firewall Configuration : Vpn ayarlarını yaparken burdaki ayarları görmek ne yapacağımızı bilmek adına önemli o yüzden Read only yani sadece okuyabiliriz. Security Profile Configuration : Vpn ayarlarını yaparken burdaki ayarları görmek ne yapacağımızı bilmek adına önemli o yüzden Read only yani sadece okuyabiliriz. Vpn Configuration : Operasyonun temel amacı bu cpn konfii olduğu için read Write seçeneiğini seçiyoruz. User & Device : Vpn için bu alanında önemli olmasından doayı ve direk bağlantılı olduğu içn bu operayona bu seçeneiğide read write olatak aktif ediyoruz. Bunlar dışındaki hiç bir seçeneiğin vpn ile ilgili olmamıasından dolyı none yaparak görüntlenmesini dahi engelliyoruz. Yukarıdaki Admin Profiles ekranına vpn operasyon politkalarıda eklenmiştir.
ADMIN / Administrator Cihazımız için admin kullanıcıları lyruduğumuz alandır, default olarak admin kullanıcısı şifresi şekilde gelir bundan sonraki kullanıcıların hepisni biz elle ekleri.z. Admin / Administrator > Create New diyerek yeni kullanıcı ekranı ekliyebiliriz. Adminisrtator : Kullanıcı adı Type : Kullanıcı tipini belirliyoruz, Regular gerçek bir kulalnıcı Comments : Açıkalma yazıyoruz Admin Profile : Kullanıcyı hangi yönetim politikalarına bağlı kalacağını seçiyoruz. Restrict this Admin Login from Trusted Hosts Only : Seçeneiği ile bellir iplerin bu kullanıcı ile bağlantı kurmasını ayarlıyabiliriz. Access listlere çok benzemektedir.
ADMIN / Settings Dil ayarlarını, bağlantılar için port ayarlarını ve time out ayarlarının yapıldığı ve Şifreleme politikalarının belirlendiği alandır. Administrators Settings Bu alanda cihaza uzakten erişim portları ve eirşim sağladıktan sonraki ayarların yapıldığı alandır, Grafik arayüz ile : System > Adim > Setings Central Management Status : FortiManager IP/Domain Name: nek.com Fortigate cihazının dahil olduğu dmonine ayarlaınır. Administration Settings http port ( 1580 ) http protokolü ile hangi hani portran erişim sağlıyacağımızı ayarlıyoruz. https port ( 443 ) htts protokolü ile hangi hani portran erişim sağlıyacağımızı ayarlıyoruz. telnet port (1523 ) telnet protokolü ile hangi hani portran erişim sağlıyacağımızı ayarlıyoruz. ssh port ( 1522 ) ssh protokolü ile hangi hani portran erişim sağlıyacağımızı ayarlıyoruz. idle timeout : telnet ssh http https vs ve ile cihaza bağalntı kurduktan sonra kaç işlem yapmılmadığı taktirde oturumum sonlandırılacağını ayarlıyoruz. Burası öncelli en fazla 3-5 dk olmaıs güvenlik için olumlu olur. Nedir : Uzak erişim için port, protokol ve oturum süresi ayarlanır. Enable Password Policy Minimum lenght Şifrelerin minimun karakter uzunluklarını belirliyoruz. 8-64 Must Contain arasında oalbilir Şifrenin içerisinde olması gereken değerleri ayarlıyoruz Apply Password Policy to bu şifreleme politikalarının nerelerde kullanacağını beliriyoruz, admin password ve Ipsec preshard key olmak üzere iki seçenek var. eğer çok komlike bir politika yok ise ikiside aktif olabilir, ama aşırı komlike bir politika var ise o zaman Ip sev preshard key aktif etmemek iyi olur yoksa diğer kullanıcılarda bu politikaya uygun şirfre kullanmak kulalnım zorunluğuna neden olabilir Enable Password Expiration Bu şifrelerin kaç gün aktif olarak kalacağını beliriyoruz, belirlediğimiz gün kadar şirfre aktif kalıyor d aha sonra bizden şifre dğeiştirmemizi zorunlu olarak talep ediyor. Nedir : Şifrelemler ile ilgili politika belirlemek için kullanır aktif edilir ise
CERTIFICATE Cihazın sertifl ayarlarının yapıldığı vpn için özel sertifkaların oluşturulduğu alandır, İlerde lab çalışmaları yaptığım zaman daha detaylıca bilgi sahip olacağım ondan sonra buraya detaylıca açıklamlarıda ekliyebiliriz. MONITOR Sistem üzerineki başlığın yada bölün altında tanımlı olan yapılandırmanın ev servislerin izleendiği alandır, bu alan hemen hemen tüm başlıkların altına vardır hepsi kendi ilgili başlıa ile ilgili olrak bir monitörüng ekranı bizlere sunmaktadır, System mensü altında monitör alanında bizim bu sürümüze göre sadece DHCP Monitör vardır. DHCP Monitör Dhcp Serverlarımızın dağıtttığı iplerin durumlarını ve kiralma süreleirnin ne zaman biteceğini gördüğümüz bunla birlikte mac adresleirninde olduğpu önitörüng alandır, bu alanda dhcp ip almış bir clientın oturumu düşülemez yada ipsini bıraktırılamaz sdace monitör edilebilir. Eğer Dhcp server tarafından dağıtıan bir ipnin düşürülmesini bırakılmasını istiyorsak bunu cli ekranından yapacağız,
ROUTER Routing işlemlerin yapıldığı bir newai fw routera dönüştürebileceğimizde alandır, Ststic Route : Static routerlarızı yapılandırdığımız alandır, Policy Routes : Policy Routerlarımızı yapılandırıdğımız alandır, Kaynak ip intrface gibi bir takıl ayarlarıda vermek mümkğndüğr. Dynamic : Rip, OSPF BGP Multicast gibi dinamik yönlendirme protokolerinin çalıştırıldığı ve yönetildii aladnır. Monitör : Routingermizi monitör ettiğimiz alandır. Karmaşık networkler için filitrelee özelliğide sunar bizlere. Genel olarak fortigate kullanılan routingler bunlar fortigate genel olarak getway görevi gördüğü için zaten gelmişmiş düzeyde bir rotinge ihtiyaçtan duymayız. Çok öneli Not : Fortigate bir firewall olduğu için roting yapıldıktan sonra mutlaka ilgili networklerle alakalı policy lerinde gerekli izinleirn verilmiş olması gerekmektedir. Not : Genel olarak tüm routing tabolarını görmek için Router >monitör > routing monitör pencerisi kullanır ;
Static / Static Routes Sttic routlarımızın yzıldığı alandır, Static routlar hedef mask ve getwaye mantığı ile çalışırlar, Fortigate fw Da buna ilavae olarak birde port yani device bilgisi girmemizi ister. Bu alandada yine o networke hangi port üzeirnden gidecekse onu seçeriz. Garaik arayüzü ile Nasıl yapılır Garaik arayüz çıktısı Rouer > Static route > create new Static Route Distance Değeri Default olarak static routelar 10 Distance değrini alırlar bunu ayarlamak için ; GA( Garafik arayüz) Advanced sekmesini kullanıabiliriz. CLI ( Komutu arayuzu ) ilgili route edit edildikten sonra : Fortigate-VM (2) # set distance 40 komutu kullanır. Aynı şekilde Priority değerleride ayarlanabilir. Static / Policy Routes Kaynak ip ve interface girilip yine hedef ip interface gibi gelişmiş bir takım ayarların olduğu static route göre daha esnek yönetilen bile routin protokolüdür. Yukarıdaki gibi ekranı vardır. Aynı şekilde protokol bile seçebiliyoruz UDP TCP vs vs.
Dynamic Dinamik routing protokoleirnin yapılandırıldığı alandı r,i buarad OSPF, RIP BGO vs vs ayarlanabilir. Ben RIP ve OSPF bildiiğim için ve kullanım ornıan düşük olmasından dolayı burda sadece BGp açılıyacağımç Bgp Nedir? Dynamic / BGP Başka routerlar ile komuşuluk kurarark kendisinden tanımlı olan networkleri komşu routera duyurması ile routing tablosunu oluşturan protokoldür. Her bir router kendisine direk bağlı router ile komşuluk oluşturması yeterli olur, böylece bir router başka bir routerdan aldığı networkleride networkü aldığı router hariç diğer tüm routerlara gönderiri, böylece fulll mesh diye tabir edilen örümcek ağı bir network alış verişi oluşturulur. ibgp ( İnternal BGP ) : aynı Autonomous System numarası içerisindeki routerların oluşturdukları networktür, ebgpp (External BGP ):Farklı Autonomous System numarası içerisindeki routerların oluşturdukları networktür, Not : Bgp üzerine ilgli detaylı konu anlatımı, Muhammet YILDIRIM Bgp konu anlatımı isimli bgp kitapcığında mevcuttur. Burda sadece Fotigate üzerine olan yapılandırma ele alınacaktır ibgp : Ayn As numarasında oldukları için bu network şeması ibgp bir şemadır. 200 AD ebgp : Farklı As numarasında oldukları için bu network şeması ebgp bir şemadır. 20 AD Grafik ile yapılandırma ekrnaında Router > dynamic > BGP ile yapılandıdırız. Local AS : Kendi bgp As numlarımızı ayrladığımız alandır Router ID : Bgp miz için ayarladığımız router ID mizi girdiğimiz alandır Neigbors : Bgp komşularımıznı ayarladığımız alandır İd ye bgp komşu ip adresini yazıyoruz Remote As ise AS numberının yazıyoruz daha sonra ADD ederek komşumuzu başlatırıtoruz Network : Komşularımıza duyurmak istediğimiz networkleri yazdığımız alandır, bu alanda yazdığımız networklerin komşlarımıza gitmesi için kendi üzerimizde tanımlı ve up olması gerekmektedir, Garafik arayüzünde BGp ayarları çok basit olarak kalır bu yüzden BGP konuşturcaksak mutlaka Clı modundan detaylıca yapılandırmmaız gerekecektir, Garafik arayüzü asla yeterli değildir, Network update yöntemlerinden tutunda, update down sürelerine kadar, bgp üzerinden default route anonsune varıncaya kadar vs vs, Aşağıdaki Clı ekranı ile BGp nasıl ileri düzeyde yapılandırılır ve bu yapılandırmanın ne işe yaradığını detaylıca açıklamaktayı
config router bgp set as 100 set log-neighbour-changes enable set router-id 172.16.0.2 set distance-internal 5 end config neighbor edit "172.16.0.1" set remote-as 100 set password "nek" set advertisement-interval 260 set keep-alive-timer 13 set holdtime-timer 39 set connect-timer 60 set soft-reconfiguration enable set capability-default-originate enable end config neighbor edit "172.16.0.121" set remote-as 100 set capability-default-originate enable set password "nek123" set weight 100 next end Mardin Merkez Firewall Bgp Yapılandırması Genel bgp konfiği yapılır, AS number olarak 100 verimiş ve Router id ise : 172.16.0.2 set distance-internal 4-5 ile ibgp distance değerini 200 den 5E düşdük böylece routing bua göre düzenlenir. config neighbor altında bgpmizin komşuluk tanımları yapılır. edit 172.16.0.1 diyerek yeni bir komşu başlığı açılmış ve o komşuya ait as numberı ve passwordu giriyoruz. advertisement-interval 260 bu tanım ile ilgili komşumuza duyurmak istediğimiz ( anons ) network lerin saniye cinsinden süresini yazıyoruz, benim bu satırımın anlamı 172.16.0.2 komşuma 260 saniyede bir anons ettiğim networkleri duyuruyor. Set keep-alive-timer 13 13 saniyede bir komşunu ayakta olup omadığını yokla set holdtime-timer 39 Keep-alive ile 39 saniye ulaşmaz isen komşuluüu düşür, set connect-timer 60 ne olduğunu bulamadım. am def 60 tanımlanırsa sıkıntı olmaz set weight 100 benim iki tane komşum var buu komşularımıın hnagisnin aktif olmasını yani öncellikli olamsını istiyorsam ona weight değerini yüksek girerim. Burda ben 172.16.0.121 komşuma 100 değerini girdim böylece diğeri defaut olaral 0 olduğu için master olarak 172.16.0.121 koşumu seçiyor. set soft-reconfiguration enable : Bgp komşuluğunu düşürmeden gelen talepleri ayarlar set capability-default-originate enable : : 172.16.0.1 komşuma diyorumki senin dfault routun benim benim üzimden default route alabilrisin, config network edit 0 set prefix 192.168.10.0 255.255.255.0 end yada ; config network edit 0 set prefix 192.168.11.0 255.255.255.0 end config network edit 0 set prefix 192.168.12.0 255.255.255.0 end config network edit 0 set prefix 10.150.24.0 255.255.255.248 next config router bgp config redistribute connected set status enable end config network altında bizler sahip olduğumuz ve anons yapmak istediğimi networkleri tanımlıyor ciscodaki network 0.0.0.0 mask 0.0.0.0 komutu ile aynı mantıktadır fakat yazılırken edit 0 diyilerek yeni bir ve tek network anaos edebiliriz her edit 0 altında tek ip anaos edilir bu yüzden network anaos ettikten sonra tekrar end edit 0 diyerek yeni anons alanları oluşturulur yandaki kod blokları ile 192.168.10.0/24 192.168.11.0/24 192.168.12.0/24 10.150.24.0/28 Networkleri anaos ediliyor. Yada, config redistribute "connected" iktif ederek lokalde tanımlı tüm ipleri otomatik olarak anons edebiliriz, bur seçeneği seçmek büyük networklerd sorun oalbilir ama küçük networklerde sourn oluşturmaz.
keep-alive-timer, Hold Time ve advertisemen time default-originate Bgp belli aralıklarla komşularını yoklar bunun için open mesajı yollar bu opan mesajında belli paketler olur bunlardan en çok kullanılanı Keep ve hold dur. Hold Time : Keepalive mesajı almadıktan ne kadar sonra komşuluğun biteceğini belirten süredir. Keepalive : İki komşu Router (Peer) biribirlerine periyodik olarak bu mesajı gönderirler. Her 60 saniyede bir Keepalive mesajı gönderilir. Bu mesaj sayesinde BGP komşuluğu Active olarak kalır. config neighbor edit "172.16.0.1" set remote-as 100 set password "nek" set advertisement-interval 260 set keep-alive-timer 25 set holdtime-timer 35 end ile tanımlanır. Ben bu tanımları A routeruna girersem B router komşusu için otomatik olarak B routerundada bu değerler geçerli olur. Bu değerlerin anlamı şudur. 3/1 dir default olarak aşağıdaki gibidir. Last read 00:00:03, hold time is 180, keepalive interval is 60 seconds Bunun anlamı ise ; Her 60 saniyede bir komşusuna ordmaısın diye bir soru paketi yollar eğer bu soruya evet burdayım derse sıkınıt yok ama bir cevap almazsa 60 sn sonra ( 120 sn ) 2. Bir ordamısın diye paket yollar bu sefer cevap alırsa sorun yok fakat 2. Sorduğundada cevap alamazsa 60 sn (180 ( 3. Ve son kez ordmaısın diye sorar eğer yine cevap almazsa bu sefer komşuluğu düşürür ve komşuluk down duruma gelir. Yani bizim komşuluklarımızda bir sorun olrusa hold time süresi kadar bekler bgp bu zaman zarfında düzelmezse komşuluğu düşürür. Last read diye bir dk değişkeni var bu değişken 60 saniyeye geldiğinde komşusuna ordamısın diye soru sorar cevap alırsa bu süreyi 0 lar ve tekrardan 0 dan saymaya başlar eğer cevap almazsa 60 dan sonra devam eder saymaya ve 60 saniye sonra yani 120 sn bir daha ordamısın diye sorar eğer cevap alırsa süreri 0 lar cevap alamazsa 120 den sonra devam eder 180 sn son kez ordamısın diye sorrar eğer cevap almazsa bu sefer komşuluğu düşürür ve saymaya devam eder, aşağıda 100 sn deki bir keepalive mesajının süresni görmekteyiz. Last read 00:01:33, hold time is 180, keepalive interval is 60 seconds Diğer bu unsurda burda keepalive ne kadar ise hold time bunun 3 kaı olur aşağıda ankara_sube_fw konfgte 35 25 girilmesine rağmen 35 E 11 in otomatik aktif olduğunu görüyoruz mardin_merkez_fw # get router info bgp neighbors 172.16.0.1 BGP neighbor is 172.16.0.1, remote AS 100, local AS 100, internal link BGP version 4, remote router ID 172.16.0.1 BGP state = Established, up for 00:14:40 Last read 00:00:03, hold time is 35, keepalive interval is 11 seconds Configured hold time is 180, keepalive interval is 60 seconds Neighbor capabilities: Route refresh: advertised and received (old and new) Address family IPv4 Unicast: advertised and received Address family IPv6 Unicast: advertised and received Received 881 messages, 3 notifications, 0 in queue Sent 965 messages, 26 notifications, 0 in queue Route refresh request: received 0, sent 0 Minimum time between advertisement runs is 30 seconds ankara_sube_fw # get router info bgp neighbors 172.16.0.2 BGP neighbor is 172.16.0.2, remote AS 100, local AS 100, internal link BGP version 4, remote router ID 172.16.0.2 BGP state = Established, up for 00:08:39 Last read 00:00:10, hold time is 35, keepalive interval is 11 seconds Configured hold time is 35, keepalive interval is 25 seconds Neighbor capabilities: Route refresh: advertised and received (old and new) Address family IPv4 Unicast: advertised and received Address family IPv6 Unicast: advertised and received Received 844 messages, 2 notifications, 0 in queue Sent 930 messages, 20 notifications, 0 in queue Route refresh request: received 0, sent 0 Minimum time between advertisement runs is 30 seconds
advertisement-interval : Bu alanda tanımlanan saniye ile router sahip olduğu networkleri anos edeceği aralığı belirtir, Bu alanda otomatik bir sayaç varıdr bu bu sayaç 30 sn de bir networkleri komşuya update edilmesini sağlar, Yukarıdaki çıktıda Minimum time between advertisement runs is 30 seconds alanında ilgili değerleri görebiliriz. set capability-default-originate enable Komdu komşsunun altına tanımlanırve o komşuya default route olarak kendimizi tanımlamamızı sağlar, Örneiğin bgp üzerinden bir komşumuza default routea anons edebiliriz. böylece diğer routerda 1 sey yapmak gerekmez. BGp ile Yedekllik : Yukarıdaki örneği referans alırsak iki router iki hat üzerinden komşuluk kuruyor bgp de hold timr düşük tutulursa olası kopmlarda kullanıcılar kesintiyi en alt düzeyde hissederler, Ayrıca şube tarafının internet çkışlarındaki default route sorunudada merkezden set capability-default-originate enable komutunu vererek sube tarafına bgp den aktarıyoruz MONITOR Router mensü ile monitör edebileceğimiz servislerin görüldüğü alandır bu alnda benim versionuma göre sadece Routing Monitör vardır, Router / Routeing Monitör Cihazmızın yölendime tablsonun olduğu ekrandır bu ekrandan roting işlemlerimizide görebiliriz. Benim detaylı bir network yapıl olmadığı için kendi üzerine tanımlı olan networkleri conncted olarak gösteriyor bunla birlikte Dhcp serverdan aldığı default route da tyine bu tabloda göebilmekteyiz.
FIREWALL OBJECTS Firewallımız için genel olarak sağda solda kullanılacak lan bir takım objelerin oldturulduğu alandır, Bu alanda obje mantığı ile fortigate yönetşmizi çok daha esnek ve çok daha merkeziyetçi bir şekilde yönetebilrii.z Örneiğin burda bir server ipsi tanımlıyabiliriz daha sonra bu server ipisni değiştiği zaman sadece merkez obje üzerinde değişiklik yparak tüm firewalımızda etkin olmasını sağlıyabiliriz. Örnek 1-) Bant genişliği diye bir obje oluştururum bu onjeyi bir çok yerden kullandıktan sonra dğeişiklik yapmak istersem tek tek her yeri gezmek yerinde sadece objemi değiştirerk bu değişikliğin etkin olmasını sağlıyabilirim. Firewall objelerinin yönetildiği alandır, bunlardan en çok kullanılan, polciy kurallarını uygularken ip adresinlerini bir editiket ile oluşturup aslında policylerde ipler yerinde firwallıumzda bu etikleri ayarlarız. Örnek vermek gerekirse ALL > diye bir etiketimiz var o etikete 0.0.0.0/0.0.0.0 olacaktır, böylece bizim all diye kullandığımız tüm etiketler aslında 0.0.0.0/0.0.0.0 ipsini kullanmış olacağız. Örnek 2-) Server ipsimzi var 192.168.100.50/24 diye server onjei larak oluşturup bunu kullanıyoruz. Daha sonra bu server ipsi değiştiği zaman sadece onjemizde bu değişikliği yapmak yereli olur, Böyelce polciylere dokunmadan değişikiğin etkin omasını sağlıyabiliriz. Adress : Adres onjelerin oluşturulduğu alandır, daha onra bu objeleri guruplandıabirizde. Service : Servis objelerinin oluşturulduğu alandır, Daha sonra bu objeleri gruplandırbailirizde Schedule : Zaman objelerinin oluşturulduğu alandır, Daha sonra bu objeleri gruplandırbailirizde Traffic Shaper : Trafiğimizi şekillendimek için bantgenişlikleri objelerinin oluşturulduğu alandır, Daha sonra bu objeleri gruplandırbailirizde Virtual Ips : Port ve ip yönlendirilmelerinin yapıldığı objelerinin oluşturulduğu alandır. Monitör : Objelerimizin monitör edildiği alandır.
ADRESSS / ADDRESSES Adres onjelerimizin oluşturulduğu alandır, Bu alnda networküzde kullanacağımız ipleri ve network iplerini obje oluşturarak daha sonra bu onjeleri grıuplandırrabiliriz. Menü > Firewalll Onjects > Adress > Addresses > Create New Bu adres onjesinde ; Name : objemizin ismini c_kampus Type : Adresimizini tipi subnet Subnet / Ip Range : ip adresi ve subnetmask 192.168.12.0/23 Interface : Bu adresin ilgili olduğu interface port4 (c_kampus) Show in address List : bimiyorum Comments : Açıklama c_kampus_network ipsi Yuarıdaki örnek bir netork yapısındaki ip objelerinin yapılandırma listesi görülmektedir, görüleceği üzere ilgili ip aralıkları tanımlanmıştır. ADRESSS / GORUPS Oluşturudğumuz network onjelerinin daha genel yönetimi için gruplandıoldığı alandır, Menü > Firewalll Onjects > Adress > Groups > Create New Yan tarafta c kampusune ait olan 192.168.14.0/23 ve 192.168.24.0/24 network onjeleri c_kampus adı altında birleştirilmiştir. Aşağıdaki adress gruplarını görmekteyiz, burada her yerleşke için bir grup oluşturulmuş ve o yerleşkeye ait ip ıobjeleri bu grupların altında toplanmıştr
SERVICE / SERVICES BU alnda fortigate üzerine kullancağımız servisleri ve bu servisleri kullandığı portları yapılandırdığımız ve gruplandırdığımız alandır, Örneiğin özel bir ERP programız var ve bu program 8500 8501-8502- 8565 portlarını kullanıyor olsun. Bu bu alnda bu portlardan oluşan özel bir ERP servisi diye servis tanımlıyabiliriz. Daha sonra eğer iki veya daha fazla öyle tanımlanmış servisimiz var ise bunları bu grup altındada toplayabiliriz. ERP dışında İK içinde başka bir prgram varsa oda 9864 portu kullanıyor onun içinde bir servis onjesi tanımlandır ve daha sonra group altında ERP ve İK yı tanımlayıp şirket servisleri diye bir leştirip bunları yönetebiliriz. Menü >Firewall objects > Services > Services > Create New NEK_ERP adında yeni bir servis tanımlıyoruz Bu servis 8500 den 8505 e kadar TCP portlarını içeriyorz Buarada source öneli değildir esas olan destination portladır o yüzen sadece detsiation tanım yapmamız yeterli olacaktır. Oluşturduğumuz servis objeleierini bu alnda goruplandırabiliriz. Menü >Firewall objects > Services > Groups > Create New NEK_ERP_YAZILIMLARI isminde bir grup oluşturup NEK_IP ve NEK_ERP servislerini bu gruba dahil ediyoruz. Aşağıdaki Servis groups un genel görünmü mevcuttur.
SCHEDULE / SCHEDULE Görev zamanları, bu alanda cihazımıznda kulalnacaımız zaman objeleirni oluşturabiliriz. Daha sonra bu objeleri prolciylerde uygulyababiliyoruz, Örneiin mesai içi diye bir zaman oluşturup bu zaman dilimini media uygulamlarının mesai saatleri içinde yasaklanması içşn kullanabilirim, Yada mesai dışı diye bir zaman objesi oluşturup bu objeyi ilgili polciylere uygularak mesai içinde ve dşında arklı rafik akışı politikaları belirliyebilirim. 150 kişilik bir gündüz vardiyası var diyelim bu groupun bantgenişlik performansını artırmak için videoları, sosyal mediayı, online oyunları vs vs yasaklıyan bir poliy oluşturup. Birde 20 kişlik bir gece vardiyası vardır tabi 20 kişinin kullanacağı bantgenişliği düşük olacağı için benim onlara kısıtlama politikaları uygulamama gerekyoktur o yüzden 2. Vardiyanın her şeyini serbest yapabilirim. Bu şekilde farklı zaman dilimleri için farklı politikalar belirliyebilirim. BU zaman politikaları 2 türlüdür bunlar ; - Recurring Schedule : Her zaman aktif olacak bir zaman politika objesidir. - New One-time Schedule : Tek sefer çalışacak zaman politka objesidir. Recurring Schedule Manü > Firewall > Objects > Schedule > Schedule > Create New > Recurring Her zaman aktif olacak bir zaman politika objesidir. Yani burda oluşturduğumzu zaman objesni her zaman kullanabiliriz, Belli bir zaman aralığını yada kullanım ömrü yoktur, Örneiğin mesai saat diye bir obje oluşturup işte pazartesden cumaya 8 17 zaman aralığını seçeriz ve bu obje her zaman kullanılbilecek bir şekilde hazır olur. Yukarıdaki zaman objesinde Mesai saatleri diye bir isim verdim ve bu objemin mesai saatleri olan Pazartesi Salı çarşnba Perşembe ve Cuma günleri 08:30 17:30 arasında çalışacağını ve aktif olacağını belirledim. New One-time Schedule Belli zaman aralıklarında tkfi olacak firewall objesi oluştururz, bu alanda oluşturudğumuz objenin bir başlama ve bitme zamanı vardır v sadee o zamanlar arasında aktif olur, o zamanalr dışında objemiz çalışmaz, Çok fazla kullanılan bir seçenek değildir, Genellikle operasyonel zamanlar kullanır örneiğin benim gece 02:00 ile 04:00 araında 2 saatlik bir network operasyonum vardır, bu zamanlar firewalumun alışagelmiş s sıkı ve takı politakları yerinde her şeyi serbest odluğu bir polika oluşturuş o zaman zarfındada network operasyonumu herhangi bir engellem sorunu olmaksızın çalıştırabilriim. Zaten 2 saat sonra politikam pasif olacaı için herhangi bir güvenlik açışı oluşturmaz. Manü > Firewall > Objects > Schedule > Schedule > Create New > New One-time Schedule ERP VE VOCICE OPERASYON isminde bir zaman objesi oluşturyoum ve bu objenin 2014.07.08 tariinde 23 ile 24 arasında aktif olmasını sağlıyorum. böylece o zaman diliminde oluşturuğum policylerime bu amanobjesizini isediğim gibi ekliyebilirim böylece sadece belirttiğim 1 saatte araılığında aktif olacak daha sonra pasif olacaktır. SCHEDULE / GROUPS Yukarıda oşuştrudğumuz zamanobjelerini groupandırbailriiz bir çatı altında toplarız ve yönetimini dah esnek v daha kolay bir hale getirebiliriz.
TARAFFIC SHAPER / Tarafik Şekillendirici Bu alanda tarafikiğiiz için band genişlikleri oluşturarak bunları ile polciylerde kullanabiliriz. Örneiğin bizim bir lab zonuuz var ve bu alanda internet kullanıyor kullancılar, bu alnda multimedia aşğırı kullanılmayacağı için bu zonumuzun internete çıkışlarında 1Mb gibi sadece dökümantasyon okumalarını ve internette gezinmelerini sağlıyacak tarafik bantgenişliğini kendilerine sunabilriiz. Yada Suncularımız var biz tarafiğimizin büyük bir kısmını sadece suncularımızın kullanmasını sağlıyabilriiz. Bu alnda oluşturaln traffic shaperlar sadece birer nesnelerdir, bunları esas olrak polciylerde kullanıyoruz. Traffic Shaping ile network trafiği, paket sınıfı, kuyruk disiplini vs kriterlere göre kısıtlama yapılabilir. Böylece kendi iş önceliğimize göre trafiği şekillendirebiliriz. Ftp ve web hızını düşürüp SQL bağlantılarının performansı garanti altına alınabilir. Bunu policy bazlı yapabildiğimizden ZAMAN ve kişi bazında düzenleme yapılabilir. Garafik arayüzü ; Menü > Firewall Objects > Traffic Shaper > Ceate New Ankara_sube isminde bir bantgenişliği oluşturuyoruz,.ve bu bantgenişliğinin trafik deperş maximum 4 Mb, İlgili Polciylerde Traffic Shaping : Aktif ediyoruz Shared Traffic Shaping : (Paylaşılan Trafik Şekillendirme ) Bu alanda kaynağın hedefe giderkenki kullanacağı ban genişliğini beliyoruz. Bu seçenekte bu kullanıcı internetten bir şey indirdiği yada video izlediği zaman etkilenmez çünkü bu seçenek sadece kaynağı hedefe olan tarafiğini belirliyoruz.ama diyelimki bir web suncumuz var o zaman u seçenekte kaynak lokal olduğu için dılarıya paket çıkışlarında seçilmiş olan bantgenişliğini uygular. Shared Traffic Shaping Reverse Direction : (Paylaşılan Trafik Şekillendirme Ters Yön ) Bu seçenek ile birlikte ilgili polciyden hedeften kaynağa gelirkende uygulanacak tarafik bantgenişliği kartı seçiliyor. Örneğin bu alnda 1 mb bir kart seçersek kullancılar internette gezinirken hedeften loakal ynai ters trafik aktığı için 1 mb kullanılır bantgenişliğini. Buna ek olarak Per-Ip tarafic de vardır oda yanıdır sadece ondan maximimum bağkantıda seçebiliyoruz
Traffic Shaping PER Ip İp başına düşen bandgeişliği, bu aldna oluşturudğumuz bandgenişliğini bellir grıuplar araısnda değil her ip başına düşecek şekidle ayarlıyabiliriz. Örneiğin 8mb hattım var bunu 30 kişi kullanıyor, bu durumda her ip için 273 kb bir bangenişliği ayarlıyabilirim. Bu şekilde interneti hoyratça kullanaın birnin bangenişliğini baltalamasına izin vermeyip herkesin eşit ve adil bir bandgenişliği kullanım paylaşımı yapabilirim. Menü > Firewall Objects > Traffic Shaper >Per-IP > Ceate New Menüsüden oluşturulur ; Utgulama : Policy altında > traffic shaping aktif edilir Direction seçeniği seçilir Per-ıp traffic shaping seçneiği aktif edildikten sonra ilgili firewall objesi olarak oluştruduğumuz obje seçilir.
Vırtual Ips Port Yönlendirme / port forwarding / Virtual IP / VIP Dışardan herhangi bir portuma herhangi bir prtotokülün herhangi bir portua gelen istekleri iç networkümüzdeki başka bir ipye yönlendirilmesidir. Genel olarak, kamera sistemlerinin internet üzerinden zilenmesi, web sunucumuz yayınlanması, uzakmasaüstü teleplerinin serverlara gitmesi, vs vs çoğaltabiliriz bunları. Fortigate firewall olduğu için cisco yada linu tablı olduğu gibi sadece port yönlendirmek yeterli değildir bunla birlikte tıpkı juniperde oldğu gibi ilgili polciyleride yapılandırmak gerekiyor, Aşağıdaki örnekte port yönlendirmeyi detaylı olarak anlamak mükünüd.r Port Yönlendirme Seneryosu -1 Şekildeki gibi Çift wanımız ve içerde faliyet gösteren 3 tane serverımız var, Amaç ; 1-) Wan 1 ve Wan 2 e gelen ERP uygulamaızın portları olan -8765 arasındaki portları uygulama serverımız olan192.168.10.5 E yönlendir. 2-) Wan 1 ve Wan 2 e gelen http / https 8080 isteklerini Linux web serverımıza 80. Port üzerinden yönlendir. 3-) Wan 1 ve Wan 2 e gelen uzak masaüstü isteklerini 3389 yani default portutan gelen istekleri içeride Windows server 2012 yani 192.168.10.6 a 3389 porttan yönlendir. 1-) Port Yönlendirmler Yapılır Menü >Firewall Objects >Virtual IP > Virtual IP > Create New Bu alnda port eşleşmelerini yapıyoryuz. Benim buda yaptığım eşleşme ; Wan 10 üzerinden 192.168.1.100 ipsine gelen 3389 isteklerini 192.168.10.6 ipsinine 3389 portundan yönlendir. External ip : dış bacak Mapped : İç networkteki server ipsiz External service port : Dış istek portu Map to Port : İç networkteki hedef port Ayrıca color seçip fazla yönlendielerin odluğu FW yönetimi kolaylaştırbailiriz.
Yukarıda görüldüğü gibi tüm port yönlendirmlerini başarılı bir şekilde yapmışış, 2-) Port Yönlendirmlerini Grouplandırıyoruz Menü >Firewall Objects >Virtual IP > VIP Group > Create New Yukarda oluşturudğumuz yonlendimleri bu alnda grouplanıdrıyoruz, Böylece polciylerde daha kolay bir şekilde uygulayabileceğiz. Wan2_port_yönlendirme isminde İlgili interface Port8 ( Wan 2 ) Wan 2 olduğu için yukarıda wan 2 ye tanımladığımız port yönlendimelerini göebiliyoruz sadece gruplandırma yaparken. Yukarıdaki görüldüğü gibi ilgili port yönlendimeler gerekli şekilde gruplandırılmıştır. VIP Groups > port yönekendirmelerini grouplandırbailiri bu alanda, VIRTUAL Ips / IP Pools Dış bacak olarak tek bir ip değilde bir havuzumuz var ise örneiğin /28 bir havuz var haliyle bu havuzun 14 tane kullanıbailir dış baçak nternet ipsi olacaktır bunlara gelen istekleri toplu şekilde bu alnda yönetebiliriz, Monitör Monitör / Traffic Shaper Monitör Traffic sahaper larımıznı monitör ettiğimiz alandı
Security Profiles Güvenlik politkalarının belirlendiği alandır bu alnda antivirüs ten url filtreleme kadar bir çok ayar yapılabilir. Antivürs : Firewall üzerinden geçen paketlerin UTM olarak antivirüs koruması sağlar Web Filter : Web filitreleme yapılmasını sağlar, url filitreleme gibi içerdir contend te filitreleme mümkündür Application Control : Networkümüzde kullanılan uygulamalrın yönetildiği alandır. Intrusion Protection : Zafiyet tarafaması, networkümüzde oluşacak olası güvenlik açıkları için zafiyet tarafası yaparak bizleri falaketler öncesinde haberdar ederek güvenlik önlemleri almamızı sağlar. Client Reputation : Bilmiyoum ne işe yaradığını. ANTİ VİRÜS Firewall üzerinden geçen paketlerin UTM olarak antivirüs koruması sağlar, İki mod vardır bunalr proxy ve Flow-based Anti virüs için birden fazla profil oluşurulabiliniliyor, Bu farklı anti virüs profilleri değişik polcylerde kullanbabiliriz. Anti virüs porfillerinde şu servisler kullanılabilir. Web : http Email : smtp pop3 IMAP File trasfer : Ftp SMB Protokolleri için kullanabiliriz biz bu profilleri. anti virüs fortigate ile g-birlikte gelmesine rağmen kulnanım için lisansa ihtiyaç duyarız bir lisans aldıktan sonra eğer süresi biter ise yine anti virüs açık olur ama bu sefer güncellemleri yapmaz, anti virüslerin güncel olmasından dolayı güncelleme yapmıyan bir anti virüs yazılımı bizim pekte fazla işimizi görmez anca piyasda var olan genel virüslere karşı bizi korur yada en son databasinde kaln imzalara göre güvenlik sağlar. AntiVirus > Profiles Altında New diyerek yeni bir anti virüs politikası belirliyebiliriz, bu plitikada ykarıda belirttiğim protoklerden hangisnin kullanılacağınıda aynı zaman seçebiliriz
WEB FILTRE Web filitreleme politikalarımızın yapıldığı aladnır, Bu alanda birden fazla web filitreleme politikası yaparak çeşitlik şekillerde arklı polcylerde bunları kullanabiliriz. Web fililtreleme lisanslı olduğu için özelliği kullanmak için aktif bir tane liansımızın olması gerekmektedir, WEB FILTER / Profilies Sağ üste bulunan create new + butonuna tıklıyraka yeni bir politka oluşturabilriiz, Aşağıdaki web filitreleme politikamıza detaylıca inceliyeck olursak bölüm bölüm ; Fortigate te web filitreleme aşağıdaki başlıklar altında toplanabilir. Allow : Bu katageori altınaki içeriklere izin verir. Monitör : Bu katagori altındaki içeriklere izin verir fakat öel olarak monitör ederek raporlama sunar, Bloack : Bu katagorideki içeriklere izin verme engelle. Warning : Bu katagorti altındaki içeriklere belli zaman aralılığınca yasakla o zaman dilimi geçtikten sonra aktif olarak izin verir. Authenticate : Kimlik doğrulama yaparak izin veriri.
Local Categories : lokal networkümzdeki bir takım içeriklerein tanımlandığı alandır. Adult / Mature Content : Yetişkin içerik, Burada kumpar bahis xxx gibi katagoriler mevcuttur. Bandwidth Consuming : Ban genişliği sömürücü : Bu alnda bizim band genişliğimizi sömüren alt katagoriler vardır bunlar ; File Sharing and Storage : Dosya paylaşımı ve depolama ; rapidshare, dosya.tc, filesave gibi dosya sitelerinin var olduğu katagoridir. Freeware and Software Downloads : Yazılım ve dosya indirme, tamindir, inddir, vs vs Internet Telephony : İnternet telefon siteleri, Internet Radio and TV : Rodyo ve tv siteleri startv.com.tr, atv.com.tr gibi. Peer-to-peer File Sharing : Uçtan uca dosya paylaşımı Streaming Media and Download : Media ve dowload siteleri, örneiğin muhammetyildirim.com daki herhangi bir video Quota on Categories with Monitor, Warning and Authenticate Actions : Bu sçenek ile yasak olan catagorilerde belli bir zaman izin vermemize yardımcı olur : Örneiğin oyun yasak ama ben perosnlerrin 1 saat oyun catagerisinde gezinmelerine izin veririm. Yada multimedia yasak ama ben her perosnelin 30 dk boyunca multi media kullanmasına izin vererek 30 dk lık bir kota uygulayabilirim. Securty Risk : Güvenlik risklerinin toplandığı katagori, serils.com gibi. General Interest - Personal : Personel için uygulanacak içerik, General Interest - Business : Yöneticler için uygulanacak web filitreleme içeriği. Unrated : derecelendirilmemiş Enable Safe Search : ile güvenli arama sitelerini etkinleştirebiliriz. Enable Web Site Filter : İle elle web siteleri ekleyip bunları monitör edip yada engelliyebiliriz, www.muhammetyildirim.com gibi tam adres yazılmakla birlikte sadece muhammet eklenerek içinde muhammet geçen hiç bir url yi açmamasını sağlıyabiliriz. Block Invalid URLs : Geçersiz url leri engelle, HTTP POST Action : İle http sayfalarını arka planda başka bir sayfa açılmasına izin verip yada engelliyebiliriz. Remove ActiveX Filter : ActiveX filitresini kaldırıyoruz
Remove Java Applet Filter : Jaba için filitreyi kaldır. Remove Cookie Filter : Cookie ler için filitreleri kaldırın Log all search keywords : Tüm arama anahtar kelimeleri Log Provide Details for Blocked HTTP 4xx and 5xx Errors : Engellenen HTTP 4xx ve 5xx Hataları Ayrıntıları sağlayın Rate Images by URL (Blocked images will be replaced with blanks) : URL'ye göre oranı Görüntü (Bloke görüntüleri boşlukları ile değiştirilecektir) Web Content Filter : Web İçerik Filtreleme Allow Websites When a Rating Error Occurs : Bir Değerlendirme Hata Oluşuyor web sitelerine izin Rate URLs by Domain and IP Address: Domain ve IP Adresi oranı URL'ler Block HTTP Redirects by Rating : Blok HTTP Derecelendirme yönlendirir Allow Blocked Override : Kullanıcı bazlı filitrelme yapmak mümkündür WEB FILTER / Rating Overrides BU alnda ilgili ilgili katagoriler için yeni siteler oluturbailiyoruz, Oluşturudğumuz site kayıtlarını ilgili katagoriler altında WEB FILTER / Web Overrides Filitreler için kullanıcı yetkilendimlerinin oluşturulduğu alandır. Lisans olmaıdğı için detaylı test edemiyorum
APPLICATİON SENSORS Uygulamlarımızın kontrollerinin ev yönetiminin ağladnığı aldnır, Tüm uygulamlar ve imzaları bu balık altında tanımlanır ve bu uygulamlardan hangisine izin verip hangisine yasak yetirileceiğini ayarlıyabiliriz. Yeni uygulama ekleme ; Menü > Security Profiles > Application Control >Aplication List > Create New Daha sonra ekli uygulamları application sensors ekranında düzenliyebiliriz. Sağ üste bulunan Create new butonu ile yeni application politikası belirliyebiliriz. Daha sonra bu politasaya uygun uygulamları bu politaka başlığı alıtına yönetebiliriz. Bu alanda uygulamları ; Monitör ederek izleyebilir ve loglayabiliriz Bloack diyerek uygulamalrın çalışmasını engelliyebiliriz Traffic Shaping ederek uygulamlara belli bir bantgenişliği sağlıya biliriz, Örneiğin oyun oynama yasak değil ama 100 kb band genişliği ile oynasınlar böylece benim trafiğimi engellemesinler, yada dosya pyaşımı aktif oslun ama düşük bantgenişliği ile kullanılabilsin Ben yukarıda traffic shaping uygularak youtube uygulamalrını düzşük bantgenişliğinde kulanımasını ayarlıyorum. Daha sonra hangi policylerde bu aktif olacaksa onalrı seçiyoruz.
INTRUSION PROTECTION İzafiyet taraması, networkümüzde ve sistemimizde ilerde oluşabilecek olası sorunlar için genel taramlar yapar. İlerde daha detaylıca anlatım yapacağım. İlerde daha detaylıca anlatım yapacağım. CLIENT REPUTATION
USER & DEVICE Cihaz için gerekli olan kimlik doğrulmların yapıldığı alanlar için obje oluşturulduğu alandır. User : Kullanıcılar oluşturulduğu ve grouplandırıldığı alandır, İstenirse LDAP server TACAC+ ve RADIUS serverdan kullanıcılarımızı çekerek sekronize edebiliriz. Device : Networkümüzde oluştrudğumuz cihazlaırın oluşturulduğu alandır. Authentication : Kimlik doğrulama alanların yapılandırmasının yapıldığı alandır, istenirse bu alan LDAP server, RADIUS Server gibi server ile sekronize edebiebilir. Endpoint Protection : Fortinetin son kullanıcı denetim yazılımı olan FortiClient ları ayarladığımız ve yönettiimiz alandır. Monitör : Bu ilşlerin monitörüize ediliği alandır. Two-Factor Authentication : Not : Bu alandaki özelliklerle ilgili ilerde detaylı şekilde alıştırma yapılacaktır. VPN Fortigate üzerinde client to site ve site to site olmak üzere iki vpn çeşidi yapılabilir, Client to site için : SSL VPN Site to Site : IPSEC VPN Kulalnılır, IPSEC : Site to site ve client to site olmak üzere iki türlü vpnde yapmak mümkünüdr. Client özel bir yazlım ile internet üzerinden fortigate loigin olup ordan sonra vpn işlemini gerçekletiriyor SSL-VPN Client to Site : Kullanıcı internet üzerinden özel bir yazlımıa dahi ihtiyaç duymadan kolaylıkla eriişebilir ve gerekli hizmetleri alabilir Not : Bu alandaki özelliklerle ilgili ilerde detaylı şekilde alıştırma yapılacaktır.
IPsec Güvenlik Nasıl Sağlanır?[değiştir kaynağı değiştir] IPSec in güvenlik mimarisini oluşturan üç temel unsur vardır: 1.Bütünlük (integrity); hedefe ulaşan verinin kaynaktan gelen veri ile aynı olup olmadığı kontrol edilir. Ağ üzerinden gönderilen mesajın gerçekten gönderilen mesaj olup olmadığını anlamak için, mesajı alan bilgisayarın hesapladığı mesaj özeti (message digest) değeri ile mesajı gönderinin ilettiği mesaj özeti değerleri karşılaştırılır. Sonuç farklıysa iletilen mesaja iletim sırasında müdahale edildiği anlaşılır. Mesajları özetlemek için MD5 ve SHA-1 algoritmaları kullanılır. 2.Kimlik doğrulama (Authentication); iletişimde bulunan her iki tarafın da birbirlerinin kimliklerinin doğrulanması için kullanılır. İletişimde bulunan bilgisayarların birbirlerinin kimliklerini doğrulamaları için aynı kimlik doğrulama metodunu kullanması gerekir. IPSec protokolünü kullanarak iletişim kuracak bilgisayarlar, kimlik doğrulama işlemi için çeşitli yöntemler kullanabilirler. Bunları şöyle sıralayabiliriz: Önpaylaşımlı anahtar (preshared key) (MS-CHAP) Kerberos (Windows tabanlı ağlar için) Sertifika yetkilisi (certificate authority) 3.Gizlilik (Confidentiality); gönderilen verinin ağ üzerinden şifrelenmiş bir şekilde iletilmesini belirtmek için kullanılır. Bu durumda, ağdaki paketler bir izleyici (sniffer) aracılığıyla yakalansalar bile içerikleri şifrelenmiş olduğu için taşınan verilerin üçüncü şahıslar tarafından okunması engellenmiş olur. Şifreleme işleminde en çok kullanılan yöntemler DES ve 3DES yöntemleridir. Bu işlemler yapılırken veri paketi farklı algoritmalarla şifrelenir. Bu işleme Encrypiton denir. Veri paketi hedefe ulaştığında şifrelenen veri paketi açılır ve kullanılabilir hale getirilir. Bu işlemede Decryption denir. IPsec çift mod end-to-end ise, İnternet Katmanı Internet Protokolü Suite Yaklaşık Katmanı 3 OSI modelde olduğu güvenlik düzeni işletim. SSL, TLS ve SSH gibi yaygın kullanımı, bazı diğer Internet güvenlik sistemleri, bu modellerin alt katmanlara faaliyet, SSL VPN bir örnek olmaktır. Çünkü trafiği korumak için kullanılabilir. Çünkü uygulama kullanımı ise IPsec kullanmak için tasarlanmış olması gerekmez. IPsec daha yığıtın bir alt düzey olarak bir at çalışma, esnek TLS / SSL veya diğer yüksek katman protokolleri bu düzeyde uygulamaların tasarım dahil olmalıdır. IPsec Protokolleri[değiştir kaynağı değiştir] IP Doğrulama Başlığı[değiştir kaynağı değiştir] Çeşitli matematiksel algoritmalar kullanılarak gönderilen veri paketine bir numara verilir. Daha sonra veri paketi hedefe ulaştığında aynı algoritma kullanılarak verilen numara tespit edilmeye çalışılır. Gönderilen veri paketi ağ üzerinde herhangi bir değişikliğe ve veri kaybına uğramışsa numara farklı olacağından veri paketi kabul edilmez. IPsec protokolleri IP datagramlarının bütünlüğünü korumak için hash mesaj doğrulama kodlarını (HMAC) kullanır. MD5 ve SHA gibi hash algoritmaları kullanarak IP datagramı ve bir gizli anahtarı temel alan HMAC'i çıkartırlar.
Daha sonra bu HMAC IPsec protokol başlığına eklenir ve paketin alıcısı eğer gizli anahtara erişimi varsa bu HMAC'i kontrol edebilir. Kapsüllenen Güvenlik Yükü[değiştir kaynağı değiştir] IP Doğrulama başlığı tarafından numarası verilmiş IP paketlerini bizim belirlediğimiz algoritmalar yardımıyla şifrelemek ve hedefte aynı algoritmalar yardımıyla şifrelenen paketi açmaktır. Bu işlemi IP paketlerini kapsurulur ve istemciden istemciye olan iletişim, tünel protokolü kullanılarak kapsüllenir. Kaynak ve hedef istemci bilgisayarların, IPSec kullanacak şekilde konfigüre edilmelerine gerek yoktur ve bu yüzden yerel ağda IPSec protokolü tarafından desteklenen herhangi bir LAN protokolünü (örneğin TCP/IP, IPX/SPX, AppleTalk, NetBEUI) kullanabilirler. Bu modda, geçityolu bir tünel server, router, firewall veya VPN cihazı kullanılabilir.
WİFİ CONTROLLER Networkümüzdeki FortiAP leri yönetmemizi sağlıyan aryüzüdr, Bir ap networke dahil odluktan sonra otomatik olarak bu controllera login olur ve daha sonra bu controller üzerinden update işlemleri yayın yönetimi, client izleme, sinyal yönetimi gibi bir çok yönetimiin sağlandığı alandır, Not : FortiAP ler sadece fortigate networklerde çalışmaktadır onun dışıdna standalone olarak çalışmazlar. LOG & REPORT Log Config : fortianalzyer ve fortibulutunda logların saklanması WAN OPT. & CACHE Wan ve cach operasyonlaırmızın yapıldığı alandır.
POLICY Fortigate Policy Yönetimi Policy networklerde trafiği yönetmemize yardımcı olan araçlardır. Policy lerdi detaylı şekilde yapılandırarak network akışımı A dan Z ye düzeniyebilriiz. Forigate policy ayarları çin ana menu > Policy altında tanımlanır. Defaulttta Deny all/ deny olarak bütün network akışlarını ve tarafiği kpatan bir policy vardır, böylece fortigate kapalı olarak hazır olur biz izin vermek istediğiğimiz akışları açarak izin veriyoruz. Not : Policy sadece trafaiği analiz edip aksiyon alır ama policylerin çalışması için Routing dediğimiz her türlü yönlendirme işlemlerinin yapılmış olması gerekyor. Roting ile networkleri detaylıca yönlendiririz policy ile bu networklerdeki tarafik akışlarını düzenliyebiliriz. İkisi bir birinden ayrıdır. Ama ikisininde bir biri ile onay lar olmadlıdır. Örneiğin : Eğer bir 192.168.20.0 diye bir networke roting var ise policylerdende bu networke erişim için onay verilmesi lazım, çünkü yukarıdada dediğim gibi defaulta kapalı olur tüm tarafik. Her şey Serbest; Tüm networklerin, tüm conlardan ( portlardan ) tüm hedeflere giderkne her şeyi açık ve her şeye izin veren bir polciy oluşturma Temelde iki tür Policy vardır ; -Firewall Policy -Adress -User Identity -Device Identity -VPN Policy -Firewall Policy Menü > Policy > Policy > Create New UTM bazlı uygulanan pllicylerdir, BU policylerrde kaynak hedef ip, kaynak user, kaynak device olmak üzere 3 farklı soruce göre uygulayabiliyoruz, En çok kullanılnı olan adress bazlı polciylerin ekran çıkıtsı aşağıdaki gibidir. Policy tipini, policy subtype türünün belirlenip, giriş interface kaynak ip ve çıkış interface hedef ip gibi bir takım ayarlar yapılıyor. Schedule ile firewall objelerde oluşturduğumuz ilgili zaman objesini kullabiliriz, Service : ile bu policyde izin verilecek servisleri seçiyoruz, all yapılarak ehrşeye izin verilmiştir, Aciton : ile bu policynin ststusunu beliyoruz, ben burda ACEPT ederek izin vermişim yada DENY verilerek yasaklamak içinde polciyler oluşturulabilir. Kaynak adres ve ipden gelen ipleri hedefe giderken çıkış ipisine ve porta NAT La İstersek ip havuzuda oluşturup ordanda nat yapmasını sağlıyabilriiz.
Policy den geçen trafaiğini loglanııp loglanmıyacağını ayarlaıdğımız alandır. Bu policyde ugulanacak güvenlik politikalarını belirlediğimiz alandır, Burda Securty pofile alaında oluşturudğumuz değişik profilleri uygulayabiliriz, Anti virüs Web filtre App. Control gibi çeşitli başlıklardaki güvenlik önlemlerini aktif edebiliriz. Bu alanın aktif olması için ilgili lisansların aktif olması gerekmektedir, Traffic shaping ( trafik şekillendiric ) bu alanda daha önce oluşturduğumuz bant genişliklerini aktif ederek ilgili polcinin bellir bir kbantgenişliği kullanmasını sağlıyoruz, Sosyal media için bir shape olşturulmuş ve bu shape 2048 e olarak bant geniliği verilmiş ve bu shape bu polciyde aktif edilerek bant geniliğinin 2048 dne yukar çıkmamsını sağlıyoruz. Shared Traffic Shaper kaynaktan hedefe giderken Shared traffic shaper reverse direction : Karşı yönlenden gelirkende bu bant genişliğini uygula. Enable web cache : Wenable Wan optimazation: Disclaimer Comment Gibi ayarlarda bu alnda yapılır. VPn Policy : Cpn bağlantılar için kullanılan policyler, policy type : VPn seçildiğinde aşağıdaki gibi bir ekrandan gerekli yapılandırma yapılır. Burada kullanıcı kimlik doğrulama, Securty SSL-VPn portal türü Aciton gibi özelliklerde belirlenebilir. Yukarıdaki alanda genel olarak tenik açıklamar yer almaktadır, aşağıda ise fortigate ile igli çeşitli konular yapılmış lab çalışmalarımı yazıyor olacağım.
Fortigate Lab Çalışmalarım NAT AYARLARI Örnek seneryo şu şekildedir. 1-) Router > Policy Route > Create : İle yeni birer routing kuralı oluşturuyoruz, Böylece Firewall iki lokal netwok içinde aşağıdaki şekilde policy oluşturulurçü. Nedir ;Lokal port 3 den gelen istekler için dış bacak olarak port1(wan ) kullan ve getway olarakta 192.168.1.1 yani ADSL getwayine git. Nedir ;Lokal port 2 den gelen istekler için dış bacak olarak port1(wan ) kullan ve getway olarakta 192.168.1.1 yani ADSL getwayine git. 2-) Policy > Policy > Policy > Create new :ile her iki network içinde birertane policy oluşturuyoruz, Source interface / zone :Burda iç lokal network interfaceimizi seçiyoruz, Source Adress :Burda all diyerek tüm kaynak networklerini kapsamasını sağlıyoruz kuralımızın. Destination interface / Zone :Burada dış bacak networkümüzün interfaceini Source interface / zone :Burda iç lokal network interfaceimizi seçiyoruz, Source Adress :Burda all diyerek tüm kaynak networklerini kapsamasını sağlıyoruz kuralımızın. Destination interface / Zone :Burada dış bacak networkümüzün interfaceini
seçiyoruz. Destination Address :All diyerek tüm networklere giderken bu kuralıızın geçerli olmasını sağlıyoruz. Schedule :Always kural her zaman geçerlidir. Service : Bu kurala tabi olacak servisleri belirliyoruz, burda any diyerek tüm servisler açılmıştır istenirse internet için ( http, https, dns ) açılarak sadece internet sağanabilir. Aciton : Accept Kuralını aktif halde kalmasını sağlıyoruz. Enable NAT : En önemlisi bu seçenek aktif edilerek bu kural çalışırken aynı zamandada nat işlemininde yapılmasını sağlıyoruz, seçiyoruz. Destination Address :All diyerek tüm networklere giderken bu kuralıızın geçerli olmasını sağlıyoruz. Schedule :Always kural her zaman geçerlidir. Service : Bu kurala tabi olacak servisleri belirliyoruz, burda any diyerek tüm servisler açılmıştır istenirse internet için ( http, https, dns ) açılarak sadece internet sağanabilir. Aciton : Accept Kuralını aktif halde kalmasını sağlıyoruz. Enable NAT : En önemlisi bu seçenek aktif edilerek bu kural çalışırken aynı zamandada nat işlemininde yapılmasını sağlıyoruz, Ne Oldu : Bu seneryo test edilmiştir ve çalıştığı gözlenmiştir
Fortigate Load Balancing Aktif / Pasif Master Slave Yukarıdaki gibi bir netork yapımız oldğuunu düşünelim, Wan 1 ve Wan 2 olmak üzere iki tane wanımız var, bunlardan Wan 1 bizim birincil yani master getwayimiz Wan 2 ise İkinci yani yedek hattımız olsun, Bu yapıya uygul olacak şekilde fortigate cihazımızı yapılandıralım, 1-) Wan 1 İp yapılandırması : 2-) Wan 2 İp yapılandırması : Bu noktada wan ip ipimizi dhcp den alcaız bu yüzden interface altında bulunan IP address is in same subnet as the others. Seçeneiğini seçerek dhcp Den aynı zamanda kendisi içinde default route almasını sağlıyoruz, İknci olarakta budefault routun distance değerini 15 yapıyoruzki esas default rouumuzu pasif etmesin, Distance değeri düşük olan master route olur. 3-) Fortigate için Default route oluşturuyoruz 4-) İki Wan içinde Policy oluştuuryourz : Burada Out portunu sırasıyla Wan 1 ve Wan 2 seçip Nat seçeniğinide aktif etmemiz gerekiyor. 5-) Getwaylerimizi sürekli kontol etmek için ICMP ping aksiyonlarını başlatıyoruz, Bu konuyu daha önce hiç yazmadığım için burda detaylıca yazacağım Router > Static > Settings and select Create New Altında New diyerek ; ECMP Load Balancing Method olarak Spillover seçip aşağıdak gibi iki tane aksiyon oluşturyoz. Interface wan1 Interface wan2 Ping Server 172.20.120.2 Ping Server 10.41.101.100 Detect Protocol ICMP Ping Detect Protocol ICMP Ping Ping Interval (seconds) 5 Ping Interval (seconds) 5 Failover Threshold 5 Failover Threshold 5
Yukarıdaki yapıdan sonra eğer bizim master hattımızda herhangi bir sorn olursa ikinci hattımız devreye girecektir,aktif Pasif çalışma yapısıdr bu ilerde Aktif aktif olarak nasıl yapılur onuda işleyeceğim. Port Yönlendirme Seneryosu -1 Şekildeki gibi Çift wanımız ve içerde faliyet gösteren 3 tane serverımız var, Amaç ; 1-) Wan 1 ve Wan 2 e gelen ERP uygulamaızın portları olan -8765 arasındaki portları uygulama serverımız olan192.168.10.5 E yönlendir. 2-) Wan 1 ve Wan 2 e gelen http / https 8080 isteklerini Linux web serverımıza 80. Port üzerinden yönlendir. 3-) Wan 1 ve Wan 2 e gelen uzak masaüstü isteklerini 3389 yani default portutan gelen istekleri içeride Windows server 2012 yani 192.168.10.6 a 3389 porttan yönlendir. 1-) Port Yönlendirmler Yapılır Menü >Firewall Objects >Virtual IP > Virtual IP > Create New Bu alnda port eşleşmelerini yapıyoryuz. Benim buda yaptığım eşleşme ; Wan 10 üzerinden 192.168.1.100 ipsine gelen 3389 isteklerini 192.168.10.6 ipsinine 3389 portundan yönlendir. External ip : dış bacak Mapped : İç networkteki server ipsiz External service port : Dış istek portu Map to Port : İç networkteki hedef port Ayrıca color seçip fazla yönlendielerin odluğu FW yönetimi kolaylaştırbailiriz. Yukarıda görüldüğü gibi tüm port yönlendirmlerini başarılı bir şekilde yapmışış, 2-) Port Yönlendirmlerini Grouplandırıyoruz
Menü >Firewall Objects >Virtual IP > VIP Group > Create New Yukarda oluşturudğumuz yonlendimleri bu alnda grouplanıdrıyoruz, Böylece polciylerde daha kolay bir şekilde uygulayabileceğiz. Wan2_port_yönlendirme isminde İlgili interface Port8 ( Wan 2 ) Wan 2 olduğu için yukarıda wan 2 ye tanımladığımız port yönlendimelerini göebiliyoruz sadece gruplandırma yaparken. Yukarıdaki görüldüğü gibi ilgili port yönlendimeler gerekli şekilde gruplandırılmıştır. 3-) Policy Yönetimi Menü > Policy >Policy >Create New Yukarıdaki gerekli yonlendimeleri ve gruplandırmları yapmıştık şimdi ise firewalın en öneli ayağı olan policy ler ile bu yönlendimeleri ve gruplandırmayı trafik akışımızda kullanacaız. Policy de olmayan bir şey yok demektir FW için. Burda dışarıdan içeride doğru bir trafik akışı olduğu için Source Interface/Zone : Wan 2 ( port 8 ) seçilmiştir. Source Address : All yapılaral her ipye açılmıştır Destination Zone : Any yani şu değilse hepsi mantığı. Destination Adress : Çok önemli buarda destinaiyon için bizim port yönlendimesi oluşturudğumuz adresleme kartını kullanıyoruz. Yani orda Wan2_port_yonlendime seçilmiştir, Bu yönlendime grup adıdır ve bu gruba dahil olan kartları yukarıda biz belirlemiştik, Eğer burda bir grup oluşturmasaydık yine tek bir yönlendime kartınıda seçebiliriz. Enable NAT : Bu zaten olmazsa olmaımız Wan çıkışlarında ve girişlerinde. Yukarıdaki policy ekranındada görüşdüğü gibi iki policy De başarılı bir şekildeeklenmiştir, Bu şekilde port yönlendime yapılmıştır aşağıda Bu işlemleri komut ekranında nasıl yapılır onu anlatacağım.
İpsec VPN ( Site to Site ) Yukarıdaki gibi bir network yapısın, internet üzerinden iki lokasyon arasında ip sec vpn yapılarak lokal networklerin bir birleri ile güvenli iletişim kurmasını sağlıyacağız. İpsec vpn sonunda iki sube arasında güvenli bir tünnel açılacak ve bağlantı kurulacaktır. İpsec vpn Yapılandırma için aşağıdaki adımalr uygulanır ; 1-) İlgili interfaceler doğru şekilde yapılandırılmalıdır ( ip,port subnet vs vs.ayrıca hedef wan ipye ping olup olmadığı test edilir ) 2-) İpsec vpn yapılandırılır, Phase 1, phase 2 ( FAZ 1 ve FAZ 2 ) 3-) Çift yönlü olarak policy ler oluştuulur. 4-) İlgili statik routing yapılır. 1-) İnterfacelerin Yapılandırması Mardın Fortigate FW Ankara Fortigate FW İlgili interfacelere gerekli ip yapılandırması yapılmıştır, benim iki lokasyon içinde lokal portlarım port 1 Wan tarafım ise port5 olacak şekilde yapılandırmışşımdır. Not : Bu işlemden sonra Wan iplere ( internet ip ) ping erişimlerinin olup olmadığına bakılmalı mutlaka
1-) İp sec Vpn Yapılandırılması 1.1) Faz 1 yapılandırılması Menü >VPN > IPSEC > AUTO Key >Create Phase 1 Name : Vpnimiz için bir name belirliyoruz, Remote Getway Burada getway ile nasıl iletişim kurcağımızı belirliyoruz, ben sahip bir internet ipsi üzerinden bağlantı kuracağım için bu static ip address seçeniğini seçiuorum İp adress : : Burada ipsec vpn yapmak istediğimiz larşı taraftaki internet ipsini yazıyoruz. Bu ip çok önemli komşuluğu bu ip üzerinden kuacaktır. Bu ipye mutlaka ping eirşiminin olması gerkemketdir. Mode : Main Mode Authentication Method : Şifreleme türünü belirliyoruz ben buarada preshared key diyip bir özel bir şifreleme ile komşuluk kuracağını belirtiyorum Pre-Shared Key : Bağlantı kurarken kimlik doğrulama yapacağımı şifreyi yazıyorum ben burada şifre olarak g...c...guz beirledim. Pr propasal : Burada datayı şifrtlem methotlarını belirliyorum. Key life :
1.2) Faz 2 yapılandırılması Menü >VPN > IPSEC > AUTO Key >Create Phase 2 Name : isim verdim Phase 1 : bizm faz2 yaptığım için faz 1 isteyecektir faz 1 De şifrelem yapar faz 2 De komşuluk kurup daha trafiğini yönetir. O yüzden bu alanda sadece iki ayar yaptım ve ok dedim. Bu mantıkla aynı şekilde Nakara Firewall üzerindende ipsec vpn yapılandırması yapıyoruz. 3-) Çift yönlü olarak policy oluşturyoruz. Mardin den Ankaraya giderken Ankaradan Mardine Gelirken Yukarda görüldüğü gibi çift yönlü olarak 2 tane policy oluşturdum bu plicylers ayesinde vri tarafiime izin verecek fortigate. aynı şekilde ankara fw üzerindede gerekli iki policy oluşturuduyor. Polciy görünümüm şu şekildedir.
Ankara polciy çıktısı; 4-) Static Routing Yapıyoruz Bu noktadan sonra static routing yapıyoruz İlgili routing işleminde yaptıktan sonra artık sistemimiz sorunzu şekilde çalışmaktadır, Aynı routingi işlemin tersini ankara fw da yapmak gerekiyor. Test ; Ankara PC Den Not : Bu network yapısı lab edilerek çalıştığı gölenmiştir ayrıca istenirse bir lokasyonun default route diğer lokasyona çevrilerek o lokasyon üzerinden intenete çıkmasıda sağlanabilir bunla birlikte antivirüs url filtre gibi bir çok özellikle kullanılabilir. Menü > Vpn > Monitör > Ipsec Monitör İle ipsec vpn bağlantımızın oyurumunu görüyoruz, Burdan istersek vpn bağlantıımızınn down up da edebilriiz.