Yapılacaklar İnterface Yapılandırması 1-) Port 1 : ( Wan 1 personel internet ) - İp adresi : 192.168.80.129/30 olacak - Amacı : lokaldeki personellerimin internet çıkması için internet bacağı olacak, - https, ping, ssh erişimleri açık olacak - Comments : Personel_to_internet_alt_yapisi yazılacak. - Zone olarak : Wan bolgesine dahil edilecek. 2-) Port 2 : ( Wan 2 müşteri internet ) - İp adresi : 192.168.149.128/30 olacak - Amacı : lokaldeki müşterilerimizin internet çıkmasını sağlıyacak, - https, ping, ssh erişimleri açık olacak - Comments : Ziyaretci_to_internet_alt_yapisi. - Zone olarak : Wan bolgesine dahil edilecek.
2-) Port 10 : (Yonetim arayuzu ) - İp adresi : 10.0.0.1/24 - Amacı : Vm lan yaptığım sırada fortigaterimin yönetimini sağlamak - https, ping, ssh erişimleri açık olacak - Comments : Yonetim icin bağlantı kurulacak arayüz - Zone olarak : Managment bolgesine dahil edilecek. 2-) Port 9 : ( DMZ_SERVER_UPLINK ) - İp adresi : 192.168.30.1/24 - Amacı : Şirketmindeki sunucuların bulunduğu alana erişimin güvenli şekilde sağlanması - https, ping, ssh erişimleri açık olacak - Comments : DMZ uplink - Zone olarak : DMZ bolgesine dahil edilecek. 2-) Port 5 : (Personel Getway ) - İp adresi : 192.168.20.1/23 - Amacı : Personelimizin internete ve dmz bölgesine erişşmek için getway görevi görmesi - https, ping, ssh erişimleri açık olacak - Comments : personelin getway icin kullanacaklari port - Zone olarak : Zone dahil edilmeyecek - DHCP : 192.168.20.20 Den başlayıp 192.168.21.255 E kadar ip dağıtacak - Tüm protokeler açık olacak, internete ve dmz bölgesine rahatça erişebilecek - Her kullanıcı en fazla 1 mb bantgenişlişine shaip olacak 2-) Port 6 : (Müşteri Getway ) - İp adresi : 192.168.30.1/23 - Amacı : müşterilerimizin kimlik kontrolü yaparak internete çıkmasını sağlamak - https, ping, ssh erişimleri açık olacak - Comments : Musterilerin internete cikmak icin kullanacaklari getway - Zone olarak : Zone dahil edilmeyecek - DHCP : 192.168.20.20 Den başlayıp 192.168.21.255 E kadar ip dağıtacak
Müşterilerin Erişim Özellikleri - Tüm kullanıcılar intenet çıkarken UDM anti virüs kontrolü sağlanacak - Müşteriler sadece internet hizmeti ve mail hizmeti sağlanacak bunun için http https pop pop3 ping ve ftp servislerinden oluşan bir müşteri servisi oluşturacağım. - Müşterilerin internet alt yapısını adil bir şekilde kullanması için her kullanıcıya en fazla 1 mb olacak şekilde bantgenişliği sağlıyacağım. - Müşteriler internete default ta gelen url filitre dışında herhangi bir erişim kısıtlaması sağlanmayacak ( youtube, facebook, web oyun gibi ) - Müşteriler internete çıkarken kimlik doğrulaması yapılacak, her kullanıcı için özel olarak resepsiyonda bir erişim kullanıcı adı ve şifresi tanımı yapılacak.bu işlemi resepsiyon görevlisi sağlıyacak. Kullanıcıların logout yani kimlik doğrulama sürelerinin bitmesi en son işlemden ihtibaren 24 saat olacak. - Müşterilerin kullanacağı servisleri, Musteri_servis diye bri serviste toplayacağız içinde ping, http, https, dns, pop ımap pop3 gibi mail servislerde olacak. - Personel Erişim Özellikleri - Tüm kullanıcılar intenet çıkarken UDM anti virüs kontrolü sağlanacak - Personellerin internet hizmetinde kullanıcakları servislerde herhangi bir kıstlama olmayacak. - Herhangi bir bantgenişliği kısıtlaması olmayacak - Uygulama kontrolünde perosnelimizin Media&Auide, sosyal media, depolama uygulamlarının Kullanımını yasaklıyacağız ( youtube, one drive, gdrive, tv kanalları vs vs ) - İnternete çıkarken fw tarafından herhangi bir kimlik doğrulama yapılmayacak doğrudan erişim sağlanabilecek. - ERP serverımızın kullandığı 8001-8003 portları için ERP diye bir servis oluşturulacak.
İpsec Vpn Özellikleri - Wan 1 üzerinden 98.5.6.4 adresindeki kemer şubem ile ipsec vpn yapacağım Şifre : nek123456 Encaytpn : MD5 - SHA1 olacak Keylife : 1200 Port yönlendirme 192.168.80.129:21 gelen istekleri 192.168.30.11 ftp server a 192.168.80.149.128 gelen istekleri 192.168.30.11 ftp server a 192.168.80.129:3389 gelen istekleri 192.168.30.10 Erp servera uzak masaüstü 192.168.80.149.128 :3389 gelen istekleri 192.168.30.10 Erp servera uzak masaüstü 192.168.80.129:3388 gelen uzak masaüstü isteklerini 192.168.20.150 kendi pc ime 192.168.80.129:80 gelen istekleri 192.168.30.12 web servera 192.168.80.149.128 : gelen istekleri 192.168.30.12 web servera 192.168.80.129:2222 gelen istekleri 192.168.30.11 ftp servera linux ssh 192.168.80.129:8001-8003 gelen istekleri 192.168.30.10 Erp severa
Objelerin Oluşturulması Yapımızda kullanacağımız nesneleleri oluşturmakla işe başlıyoruz. Network Adres Objeleri ; Öncellikle toolojimizde kullanacağımız networkleri için adres objeleri oluşturuyoruz, personel ve müşteri için genel /23 network objesi oluşturduğumuz halde DMZ bölgesinde serverlarımız için /32 olacak ve SRV_ ile ismi başlıyacak şekilde oluşturuyoruz daha sonra bu server iplerini DMZ adındaki adres grup objeimizin altında topluyoruz. Adres objelerim bu şekilde olacak; SRV_ERP_server 192.168.30.10/32 SRV_File_Server 192.168.30.15/32 SRV_Ftp_Server 192.168.30.11/32 SRV_Web_Server 192.168.30.12/32 personel_network 192.168.20.0/255.255.254.0 - /23 ziyaretci_network 192.168.10.0/255.255.254.0 -/23 SSLVPN_TUNNEL_ADDR1 10.212.134.200-10.212.134.210 all 0.0.0.0/0.0.0.0 Fortigate ekran çıktısı aşağıdaki gibi olacak şekilde yapılandırıyoruz Menü >Firewall objects >Adress >Addresses >Create New Serverları bir grup altında topluyoruz ;, DMZ_ZONE4 Members SRV_ERP_server SRV_File_Server SRV_Ftp_Server SRV_Web_Server Menü >Firewall objects >Adress >Groups >Create New
Servis Objeleri ; Bu alanda topolojimizde yapmak istediğimiz servis yönetimi için ilgili servisleri oluşturuyoruz ve fruplandırıyoruz. ERP_server_servis : TCP/8001-8003 0.0.0.0 Müşteri_Servisi : Müşterilerin internet çıkması için ve mail okumak için ihtiyaç duydukları servislerin içinde olduğu bir başka genel servis oluşturuyorum. BU servisler; HTTP, HTTPS, FTP, IMAP, IMAPS, POP3, POP3S, SMTP, SMTPS, PING, DNS Taraffic Shaping Objesi : Müşterilerimizin her biri en fazla 1 mb bantgeniliği kullanabilecekler, böylece bir kişinin interneti baltalamasını önleyeceğiz bunun için maximum bantgenişliği 1024 k olan bir traffic Per-IP objesi oluşturyoruz.
Port yönlendirme Objeleri ( Virtual Ips ) İki tane wan ipimizde gelen bazı istekleri iç networke yönlendrimemiz gerekecektir, bunun için bu alanda yönlendirme objeleri oluşturcağız. İki Wan ipyede gelen istekleri aynı formatta iç networkümüzde aktaracağız, 192.168.80.129:21 gelen istekleri 192.168.30.11 ftp server a 192.168.80.149.128 gelen istekleri 192.168.30.11 ftp server a 192.168.80.129:3389 gelen istekleri 192.168.30.10 Erp servera uzak masaüstü 192.168.80.149.128 :3389 gelen istekleri 192.168.30.10 Erp servera uzak masaüstü 192.168.80.129:3388 gelen uzak masaüstü isteklerini 192.168.20.150 kendi pc ime 192.168.80.129:80 gelen istekleri 192.168.30.12 web servera 192.168.80.149.128 : gelen istekleri 192.168.30.12 web servera 192.168.80.129:2222 gelen istekleri 192.168.30.11 ftp servera linux ssh 192.168.80.129:8001-8003 gelen istekleri 192.168.30.10 Erp severa Name External IP Address/Range External Service Port Mapped IP Address/Range Map to Port Wan1_to_ftp_server port1/192.168.80.129 21/tcp 192.168.30.11 21/tcp Wan2_to_ftp_server port2/192.168.149.128 21/tcp 192.168.30.11 21/tcp Wan1_to_erp_server_RDP port1/192.168.80.129 3389/tcp 192.168.30.10 3389/tcp Wan2_to_erp_server_RDP port2/192.168.149.128 3389/tcp 192.168.30.10 3389/tcp Wan1_to_muhammet_pc_RDP port1/192.168.80.129 3390/tcp 192.168.20.150 3389/tcp Wan1_to_web_server port1/192.168.80.129 80/tcp 192.168.30.12 80/tcp Wan2_to_web_server port2/192.168.149.128 80/tcp 192.168.30.12 80/tcp WAn1_to_linx_server_ssh port1/192.168.80.129 2222/tcp 192.168.30.11 22/tcp Wan1_to_ERP port1/192.168.80.129 8001-8003/tcp 192.168.30.10 8001-8003/tcp Bölgelere ( zone ) göre bu port yönlendirmelerini gruplandırıyoruz. Group Name WAn1_to_Dmz5 Members Wan2_to_Dmz3 Members Members WAn1_to_linx_server_sshWan1_to_ERPWan1_to_erp_server_RDPWan1_to_ftp_serverWan1_to_ web_server Wan2_to_erp_server_RDPWan2_to_ftp_serverWan2_to_web_server
İnterfaceleri ve Zone ( bölge ) Oluşturulması Polciyleri daha kolay yönetmek için zone(bolgeler oluşturyoruz ) BU bölgeler şu şekilde olacak DMZ : port9 HA : port 3, port 4 Managment : port 10 Wan : port1 ve port2 dahil ediyoruz. Lokal Network : perosnel ve müşteri getway portları ( port 5 ve port 6 ) System >Network >İnterface >Create New >Zone Name Type IP/Netmask Access Administrative Status Link Status mesh.root (SSID: fortinet.mesh.root) WiFi 0.0.0.0 0.0.0.0 DMZ HA Lokal_network Managment WAN Zone Zone Zone Zone Zone
Tüm interfaceler gerekli şekilde yapılandırılacak, Port1 Yapılandırma ; Açıklama : herhangi bir açıklamaya ye gerek duyulmamaktadır,
Port2 Yapılandırma ; Açıklama : herhangi bir açıklamaya ye gerek duyulmamaktadır,
Port5 Yapılandırması ; Açıklama : Bu port lokaldeki personelimizin internete çıkmak için kullanacakları getway olacak, bunla birlikte bu interface üzerinde dhcp server yapılandırması yapıyorumki iç networkteki kullanıcılarıma ip adresini otomatik olarak dağıtsın diye,
Port6 Yapılandırması; Açıklama ; Bu port müşterilerin internete çıkmak için kullanacakları getway olacak,bu interface altında müşterilere ip dağıtması için bir dhcp server oluşturuyorum. Müşterilerin internete çıkması için kimlik doğrulaması yapmasını istiyordum yineonuda müşteri getwayi olduğu için bu port altında yapılandırıyorum, Security mode alanında Captive Portal seçilerek kimlik doğrulamasını aktif ediyoruz, User groups alaında kimlik doğrulamasınında kullanılacak olan user grubunu seçiyoruz ben henüz user gurubunu oluşturmadığım için bu alanı şimdi seçmiyorum.
Port 9 Yapılandırması ; Açıklama : herhangi bir açıklamaya ye gerek duyulmamaktadır, Port 10 Yapılandırması ; Açıklama : herhangi bir açıklamaya gerek duyulmamaktadır.
Genel Port Görünümü ; Tüm yapılandırmadan sonra Menü > System > network > interface sekmesinde portlar şu şekilde görüneceklerdir.
Site to Site İpo Sec Vpn Wan 1 üzerinden 88.154.6.183 adresindeki kemer şubem ile ipsec vpn yapacağım Şifre : nek123456 Encaytpn : MD5 - SHA1 olacak Keylife : 1200 Hedef network : 192.168.120.0/23 network Lokal networküm :192.168.20.0/23 Hedef wan : 88.154.6.183 1-) Faz 1 ; Açıklama : herhangi bir açıklamaya gerek duyulmamaktadır.
Faz 2-) Açıklama : İlgili routing ve policy ayarlarını ilerde yapacağım, bu şekilde en temel olarak ipsec vpn yapılandırmam tamamlanmış oluyor.
Application Control ( Uygulama Yönetimi ) Personellerimizin Storage,backup, Sosyal medai ve Videao Audio gibi bantgenişliği tüketen yada mesai dışında zamanlarını öldüren uygulamaların kullanılmasını yasaklıyacağım ( block ). Bunlar dışındaki uygulamalarda herhangi bir kısıtlama olmayacak. Menü > Security profiles > Application Control >Application Sensors Sağ üst köşeden Create New seçilerek Personel_uygulama_kontrol diye yeni bir uygulama sensörü oluşturyorum. Daha sonra oluşan bu sensöre içinde Create New diyerek yeni bir monitör / block listesi oluşturuyoruz. Category alanında block koyacağım katagorileri seçip action bölümünde Block seçeneğini aktif ediyorum. İlgili şekilde listemi yapılandırıp Ok diyerek yeni listemi sensöre ekliyorum genel uygulama sensör görünümü şu şekildedir.
Anti Virüs Profili ; Dmz bölgesine ve personel bölgesine gelen paketlerde antivrüs koruması yapmayı sağlıyacağım, müşteri alanında bir anti virüs koruması aktif etmeyeceğim sadece öncelikli hedefim personel ve Suncuu bölgemi ( zone ) korumak, eğer müşteri zonunuda anti virüs aktif edersem performans olarak istediğim sonuca ulaşamıyabilirim fortigate ile o yüzden müşterileri anti virüs korumasına dahil etmeyeceğim. Menü > Security profiles > Anti Virüs >Profiles > sağ üstten Create new diyerek dmz_personel_anti_virus adında bir profil oluşturup bu profile web ve email korumalarını dahil ediyorum. Açıklama : herhangi bir açıklamaya gerek duyulmamaktadır.
Kullanıcıların Oluşturulması Müşteriler İçin Kimlik Doğrulaması Yapılması Müşteriler ilk geldiği zaman resepsiyonda bulunan görevli bu kişiye özel bir accont açacak ve şifre paylaşacak müşteri daha sonra şirkette bulunduğu zaman zarfında internete girmek istediğinde otomatik olarak iç networke bağlanacak ( ip alacak ) fakat internete çıkmak istediğinde kimlik doğrulaması yapıcak. 1-) Test amaçlı musteri01, musteri02, musteri03, musteri04, musteri05 diye kullanıcılar oluşturup şifrelerini 123456 olacak ve bu kullanıcılar ve bundan sonra gelecek tüm müşteride fortigate veri tabaında musteri diye bir user grubu oluşturularak ona dahil edilecek Menü > User & Device >User > User Definition > Create new User Name Type Two-factor Authentication Ref. guest LOCAL 1 musteri01 LOCAL 0 musteri02 LOCAL 0 musteri03 LOCAL 0 musteri04 LOCAL 0 musteri05 LOCAL 0 Kullanıcıların müşteri diye bir grup oluşturulup ona dahil dahil edilmesi, Menü > User & Device >User > User Groups > Create New Group Name Group Type Members Ref. FSSO_Guest_Users (0 Members) Fortinet Single Sign-On (FSSO) 0 Guest-group (1 Members) Firewall guest 0 Musteriler (5 Members) Firewall musteri01 musteri02 musteri03 musteri04 musteri05 0
Login olma ayarları; Menü > User&Device >Authentication > Setting Kimlik doğrulanma süresini 1 gün ( 1440 dk ) olarak beirleyip http https ftp telnet gibi destek hizmetlerinde aktif ediyoru, login olduktan sonra 24 saat eğer herhangi bir müdahale yapmazsa log out olacak bir daha girmeye çalıştığı zaman tekrardan kimlik doğrulaması yapılacak, bu süre idea olarak 24 saatir, Resepsiyon admin account Oluşturma Her yeni müşteri geldiğinde bizlerin kullanıcı tanımlaması biraz zor olacağı için bu işi resepsiyona devredeceğiz, resepsiyon için birer kullanıcı açacağız ve o kullanıcının sadece user & device yönetimi yapmasını sağlıyarak yeni gelen müşterilerin internet kullanması içn gerekli kimlik tanımlarının onlar tarafından yapılmasını sağlıyacağız. Resepsiyon admin profile oluşturma ; Menü> system>admin >Admin Profiles >Create New Bu alanda User&device yönetimi sağlamakla görevleri kullanıcıların sadece bu alanları yönettiği bir admin yönetim profili oluşturuyorum. böylece ben resepsiyon görevlilerinin cihazıma bağlandıktan sonra sadece User&device alanını görmesini ve müdahale etmesini sağlıyorum.
Kullanıcı ( User ) oluşturma ; Menü> system>admin >Administrator >Create New Genel kullanıcılarımın görünümü ; Kimli Doğrulama portalının müşteri interfacine ugulanması; Açıklama ; Şimdiye kadar ihtiyaç duyduğumuz yapılandırmayı yaptık şimdi sie esas önemli olan yapılandırmayı yapıyoruz, Daha önce müşteri getway interface i olan port 6 altında Security Mode : Captive Portal olarak beliirlenmişti, fakat kullanıcı ve gruplarımı oluşturmadığım için User Groups alanım boştu, artık kullanıcılarımı oluşturduğuma göre tekrardan port 6 altında girerek User Groups alanını Musteriler olarak belirliyoruz.
Routing ( Yönlendirme ) Yapılandırması İki tane Wan interface im otomatik olarak default getwaylerini dhcp Den alarak benim burada tekrardan default getway tanımlamama ihtiyaç bırakmıyorlar, Ben sadece ipsec vpn için 192.168.120.0/23 networkü için ipsec tünelimin kullanması gerektiğini ekliyeceğim. Genel routing görünümüm şu şekildedir. Açıklama : herhangi bir açıklamaya gerek duyulmamaktadır.
Policy leri Oluşturma Port6 ( Musteri_getway ) > Port2 ( Wan 2- Musteri internet ) Müşterilerin port6 dan port2 yii kullanarak Wan2 üzerinden internete çıkmalarını sağlamak bu sağlarken sadece müşteri_servisleri diye öncen oluşturduğum web ve mail servisleri aktif olacak, ve her kullanıcı yine oluiturduğum en fazla 1 mb bent genişliğine sahip traffic sahping kullanacak olacak. İnternete açıldığım için son olarakta Nat servisi aktif edeceğim.
Port5 ( personel_getway ) > Port1 ( Wan 1- Personel internet ) Personelimizin wan1 üzerinden internet çıkmasını sağlıyoruz, burda anti virüsü aktif ederek dmz_personel_anti_virus profilini kullanıyoruz, Nat aktfi ediyor, youtube filan yasak ettiğimiz perosnel_uygulama_kontrol application control olarak belirliyoruz,
Port 9 ( DMZ ) > Port 1 ( Wan1 personel internet ) Dmz zone um wan 1 üzerinden internete açılacak, internet olduğu için NAT aktif, Server alanım olduğu içinde antivirüs korumasını aktif ediyorum. Port5 ( personel Getway ) > Port 9 ( Dmz ) 4-) personellerin DMZ zonundaki sunculara herhangi bir engele takılmadan erişmesini istiyorum.
Wan 1 & Wan 2 > DMZ ( port 9 ) Wan 1 ve Wan 2 den gelen istekleri iç networke yönlendirilmesi ( port yölendirme ) aynı zamanda anti virüste açık.
İpsec vpn için Polciy Oluşturuyoruz Açıklama : Üst kısımda olduğu gibi ipsec vpn için gidip ve dönüş olcak şekilde gerekli izinleri ayarlıyoruz,
Policy Görünümü Vm ile en fazla 5 policy oluşturula bildiği için ipsec policylerim ekran görünmüyor. Seq.# From To Source Destination Service Action AV 1 port6 port2 personel_network all Musteri_servis Accept 2 port5 port1 personel_network all ALL Accept AVdmz_personel_anti_virus 3 DMZ port1 DMZ_ZONE all ALL Accept AVdmz_personel_anti_virus 4 port5 DMZ personel_network DMZ_ZONE ALL Accept 5 port1 port2 DMZ all WAn1_to_Dmz Wan2_to_Dmz 6 any any all all ALL Deny ALL Accept AVdmz_personel_anti_virus
Eksikler ( Düzeltilmesi Gereken yerler ) Yağtığım lab aşağıdaki eksiklere giderildikten sonra sorusnuz, Tüm gerçek testler bire bir yapılmıştır, 1-) Wan 1 Wan yapılandırılırken default getwayi de dhcp den almasını seçmemiz gerekiyordu aksi halde, statik route olarak internet getwayimizi elle girmemiz gerekiyordu. Ben interface altında girerek tekrardan DG Dhcp den al seçeneğini aktif ettim. 2-) Zon sorunu : Zoneları aktif ederken policy yönetiminde zoneler ile yapılır böyle benim iki farklı lokal networküm ve wan ım için farklı policy ler uygulayamam, yada kaynak hedef ipleri girmem gerekir bu yüzden zone yönetimini devre dışı bırakıyorum. 3-) Firewall objelerinde ziyaretci_network diye oluşturulmuş bu aslında musteri_network olacaktır o şekilde ismi güncellendi. 4-) ipsec vpn için kemer subenin lokal ipsini network objesi olarak oluşturuldu sube_network 5- ) En fazla 5 tane policy olusturyoruz, Vm olduğu için 5 ten fazla policy oluşturamıyoruz,bu yüzden ipsec vpn için policy ekranda kayıtlı kalmadı Bu eksikliklerde düzeltildikten sonra network yapım olduğu gibi çalışmıştır, bu network yapısına ilerde aklıma gelece ilavlerde yapabilirim.