Yapılacaklar - Muhammet YILDIRIM

Yapılacaklar
İnterface Yapılandırması
1-) Port 1 : ( Wan 1 personel internet )
-
İp adresi : 192.168.80.129/30 olacak
Amacı : lokaldeki personellerimin internet çıkması için internet bacağı olacak,
https , ping , ssh erişimleri açık olacak
Comments : Personel_to_internet_alt_yapisi yazılacak.
Zone olarak : Wan bolgesine dahil edilecek.
2-) Port 2 : ( Wan 2 müşteri internet )
-
İp adresi : 192.168.149.128/30 olacak
Amacı : lokaldeki müşterilerimizin internet çıkmasını sağlıyacak ,
https , ping , ssh erişimleri açık olacak
Comments : Ziyaretci_to_internet_alt_yapisi.
Zone olarak : Wan bolgesine dahil edilecek.
2-) Port 10 : (Yonetim arayuzu )
-
İp adresi : 10.0.0.1/24
Amacı : Vm lan yaptığım sırada fortigaterimin yönetimini sağlamak
https , ping , ssh erişimleri açık olacak
Comments : Yonetim icin bağlantı kurulacak arayüz
Zone olarak : Managment bolgesine dahil edilecek.
2-) Port 9 : ( DMZ_SERVER_UPLINK )
-
İp adresi : 192.168.30.1/24
Amacı : Şirketmindeki sunucuların bulunduğu alana erişimin güvenli şekilde sağlanması
https , ping , ssh erişimleri açık olacak
Comments : DMZ uplink
Zone olarak : DMZ bolgesine dahil edilecek.
2-) Port 5 : (Personel Getway )
-
İp adresi : 192.168.20.1/23
Amacı : Personelimizin internete ve dmz bölgesine erişşmek için getway görevi görmesi
https , ping , ssh erişimleri açık olacak
Comments : personelin getway icin kullanacaklari port
Zone olarak : Zone dahil edilmeyecek
DHCP : 192.168.20.20’Den başlayıp 192.168.21.255’E kadar ip dağıtacak
Tüm protokeler açık olacak , internete ve dmz bölgesine rahatça erişebilecek
Her kullanıcı en fazla 1 mb bantgenişlişine shaip olacak
2-) Port 6 : (Müşteri Getway )
-
İp adresi : 192.168.30.1/23
Amacı : müşterilerimizin kimlik kontrolü yaparak internete çıkmasını sağlamak
https , ping , ssh erişimleri açık olacak
Comments : Musterilerin internete cikmak icin kullanacaklari getway
Zone olarak : Zone dahil edilmeyecek
DHCP : 192.168.20.20’Den başlayıp 192.168.21.255’E kadar ip dağıtacak
Müşterilerin Erişim Özellikleri
-
Tüm kullanıcılar intenet çıkarken UDM anti virüs kontrolü sağlanacak
-
Müşteriler sadece internet hizmeti ve mail hizmeti sağlanacak bunun için http https pop pop3 ping ve ftp
servislerinden oluşan bir müşteri servisi oluşturacağım.
-
Müşterilerin internet alt yapısını adil bir şekilde kullanması için her kullanıcıya en fazla 1 mb olacak şekilde
bantgenişliği sağlıyacağım.
-
Müşteriler internete default’ta gelen url filitre dışında herhangi bir erişim kısıtlaması sağlanmayacak ( youtube ,
facebook , web oyun gibi )
-
Müşteriler internete çıkarken kimlik doğrulaması yapılacak , her kullanıcı için özel olarak resepsiyonda bir
erişim kullanıcı adı ve şifresi tanımı yapılacak .Bu işlemi resepsiyon görevlisi sağlıyacak. Kullanıcıların logout yani
kimlik doğrulama sürelerinin bitmesi en son işlemden ihtibaren 24 saat olacak .
-
Müşterilerin kullanacağı servisleri , Musteri_servis diye bri serviste toplayacağız içinde ping , http , https , dns ,
pop ımap pop3 gibi mail servislerde olacak.
-
Personel Erişim Özellikleri
-
Tüm kullanıcılar intenet çıkarken UDM anti virüs kontrolü sağlanacak
-
Personellerin internet hizmetinde kullanıcakları servislerde herhangi bir kıstlama olmayacak .
-
Herhangi bir bantgenişliği kısıtlaması olmayacak
-
Uygulama kontrolünde perosnelimizin Media&Auide , sosyal media , depolama uygulamlarının
Kullanımını yasaklıyacağız ( youtube , one drive , gdrive , tv kanalları vs vs )
-
İnternete çıkarken fw tarafından herhangi bir kimlik doğrulama yapılmayacak doğrudan erişim sağlanabilecek.
-
ERP serverımızın kullandığı 8001-8003 portları için ERP diye bir servis oluşturulacak.
İpsec Vpn Özellikleri
-
Wan 1 üzerinden 98.5.6.4 adresindeki kemer şubem ile ipsec vpn yapacağım
Şifre : nek123456
Encaytpn : MD5 - SHA1 olacak
Keylife : 1200
Port yönlendirme
192.168.80.129:21 gelen istekleri 192.168.30.11 ftp server’a
192.168.80.149.128 gelen istekleri 192.168.30.11 ftp server’a
192.168.80.129:3389 gelen istekleri 192.168.30.10 Erp servera uzak masaüstü
192.168.80.149.128 :3389 gelen istekleri 192.168.30.10 Erp servera uzak masaüstü
192.168.80.129:3388 gelen uzak masaüstü isteklerini 192.168.20.150 kendi pc’ime
192.168.80.129:80 gelen istekleri 192.168.30.12 web servera
192.168.80.149.128 : gelen istekleri 192.168.30.12 web servera
192.168.80.129:2222 gelen istekleri 192.168.30.11 ftp servera linux ssh
192.168.80.129:8001-8003 gelen istekleri 192.168.30.10 Erp severa
Objelerin Oluşturulması
Yapımızda kullanacağımız nesneleleri oluşturmakla işe başlıyoruz .
Network Adres Objeleri ; Öncellikle toolojimizde kullanacağımız networkleri için adres objeleri oluşturuyoruz ,
personel ve müşteri için genel /23 network objesi oluşturduğumuz halde DMZ bölgesinde serverlarımız için /32 olacak
ve SRV_ ile ismi başlıyacak şekilde oluşturuyoruz daha sonra bu server iplerini DMZ adındaki adres grup objeimizin
altında topluyoruz .
Adres objelerim bu şekilde olacak;
SRV_ERP_server
192.168.30.10/32
SRV_File_Server
192.168.30.15/32
SRV_Ftp_Server
192.168.30.11/32
SRV_Web_Server
192.168.30.12/32
personel_network
192.168.20.0/255.255.254.0 - /23
ziyaretci_network
192.168.10.0/255.255.254.0 -/23
SSLVPN_TUNNEL_ADDR1
all
10.212.134.200-10.212.134.210
0.0.0.0/0.0.0.0
Fortigate ekran çıktısı aşağıdaki gibi olacak şekilde yapılandırıyoruz
Menü >Firewall objects >Adress >Addresses >Create New
Serverları bir grup altında topluyoruz ; , DMZ_ZONE4 Members SRV_ERP_server SRV_File_Server SRV_Ftp_Server
SRV_Web_Server
Menü >Firewall objects >Adress >Groups >Create New
Servis Objeleri ; Bu alanda topolojimizde yapmak istediğimiz servis yönetimi için ilgili servisleri oluşturuyoruz ve
fruplandırıyoruz .
ERP_server_servis : TCP/8001-8003
0.0.0.0
Müşteri_Servisi : Müşterilerin internet çıkması için ve mail okumak için ihtiyaç duydukları servislerin içinde olduğu
bir başka genel servis oluşturuyorum.
BU servisler; HTTP , HTTPS , FTP , IMAP , IMAPS , POP3 , POP3S , SMTP , SMTPS , PING , DNS
Taraffic Shaping Objesi : Müşterilerimizin her biri en fazla 1 mb bantgeniliği kullanabilecekler , böylece bir kişinin
interneti baltalamasını önleyeceğiz bunun için maximum bantgenişliği 1024 k olan bir traffic Per-IP objesi oluşturyoruz.
Port yönlendirme Objeleri ( Virtual Ips )
İki tane wan ipimizde gelen bazı istekleri iç networke yönlendrimemiz gerekecektir , bunun için bu alanda yönlendirme
objeleri oluşturcağız. İki Wan ipyede gelen istekleri aynı formatta iç networkümüzde aktaracağız ,
192.168.80.129:21 gelen istekleri 192.168.30.11 ftp server’a
192.168.80.149.128 gelen istekleri 192.168.30.11 ftp server’a
192.168.80.129:3389 gelen istekleri 192.168.30.10 Erp servera uzak masaüstü
192.168.80.149.128 :3389 gelen istekleri 192.168.30.10 Erp servera uzak masaüstü
192.168.80.129:3388 gelen uzak masaüstü isteklerini 192.168.20.150 kendi pc’ime
192.168.80.129:80 gelen istekleri 192.168.30.12 web servera
192.168.80.149.128 : gelen istekleri 192.168.30.12 web servera
192.168.80.129:2222 gelen istekleri 192.168.30.11 ftp servera linux ssh
192.168.80.129:8001-8003 gelen istekleri 192.168.30.10 Erp severa
External IP
Address/Range
External Service
Port
Mapped IP
Address/Range
Map to Port
Wan1_to_ftp_server
port1/192.168.80.129
21/tcp
192.168.30.11
21/tcp
Wan2_to_ftp_server
port2/192.168.149.128
21/tcp
192.168.30.11
21/tcp
Wan1_to_erp_server_RDP
port1/192.168.80.129
3389/tcp
192.168.30.10
3389/tcp
Wan2_to_erp_server_RDP
port2/192.168.149.128
3389/tcp
192.168.30.10
3389/tcp
Wan1_to_muhammet_pc_RDP
port1/192.168.80.129
3390/tcp
192.168.20.150
3389/tcp
Wan1_to_web_server
port1/192.168.80.129
80/tcp
192.168.30.12
80/tcp
Wan2_to_web_server
port2/192.168.149.128
80/tcp
192.168.30.12
80/tcp
WAn1_to_linx_server_ssh
port1/192.168.80.129
2222/tcp
192.168.30.11
22/tcp
Wan1_to_ERP
port1/192.168.80.129
8001-8003/tcp
192.168.30.10
8001-8003/tcp
Name
Bölgelere ( zone ) göre bu port yönlendirmelerini gruplandırıyoruz.
Group Name
Members
WAn1_to_Dmz5
Members
WAn1_to_linx_server_sshWan1_to_ERPWan1_to_erp_server_RDPWan1_to_ftp_serverWan1_to_
web_server
Wan2_to_Dmz3
Members
Wan2_to_erp_server_RDPWan2_to_ftp_serverWan2_to_web_server
İnterfaceleri ve Zone ( bölge ) Oluşturulması
Polciyleri daha kolay yönetmek için zone(bolgeler oluşturyoruz ) BU bölgeler şu şekilde olacak
DMZ
: port9
HA
: port 3 , port 4
Managment
: port 10
Wan
: port1 ve port2 dahil ediyoruz.
Lokal Network : perosnel ve müşteri getway portları ( port 5 ve port 6 )
System >Network >İnterface >Create New >Zone
Name
Type
mesh.root (SSID: fortinet.mesh.root)
WiFi
DMZ
Zone
HA
Zone
Lokal_network
Zone
Managment
Zone
WAN
Zone
IP/Netmask Access Administrative Status Link Status
0.0.0.0 0.0.0.0
Tüm interfaceler gerekli şekilde yapılandırılacak ,
Port1 Yapılandırma ;
Açıklama : herhangi bir açıklamaya ye gerek duyulmamaktadır ,
Port2 Yapılandırma ;
Açıklama : herhangi bir açıklamaya ye gerek duyulmamaktadır ,
Port5 Yapılandırması ;
Açıklama : Bu port lokaldeki personelimizin internete çıkmak için kullanacakları getway olacak , bunla birlikte bu
interface üzerinde dhcp server yapılandırması yapıyorumki iç networkteki kullanıcılarıma ip adresini otomatik olarak
dağıtsın diye ,
Port6 Yapılandırması;
Açıklama ; Bu port müşterilerin internete çıkmak için kullanacakları getway olacak ,Bu interface altında müşterilere ip
dağıtması için bir dhcp server oluşturuyorum .
Müşterilerin internete çıkması için kimlik doğrulaması yapmasını istiyordum yineonuda müşteri getwayi olduğu için bu
port altında yapılandırıyorum , Security mode alanında Captive Portal seçilerek kimlik doğrulamasını aktif ediyoruz ,
User groups alaında kimlik doğrulamasınında kullanılacak olan user grubunu seçiyoruz ben henüz user gurubunu
oluşturmadığım için bu alanı şimdi seçmiyorum .
Port 9 Yapılandırması ;
Açıklama : herhangi bir açıklamaya ye gerek duyulmamaktadır ,
Port 10 Yapılandırması ;
Açıklama : herhangi bir açıklamaya gerek duyulmamaktadır.
Genel Port Görünümü ;
Tüm yapılandırmadan sonra Menü > System > network > interface sekmesinde portlar şu şekilde görüneceklerdir.
Site to Site İpo Sec Vpn
Wan 1 üzerinden 88.154.6.183 adresindeki kemer şubem ile ipsec vpn yapacağım
Şifre : nek123456
Encaytpn : MD5 - SHA1 olacak
Keylife : 1200
Hedef network : 192.168.120.0/23 network
Lokal networküm :192.168.20.0/23
Hedef wan : 88.154.6.183
1-) Faz 1 ;
Açıklama : herhangi bir açıklamaya gerek duyulmamaktadır.
Faz 2-)
Açıklama : İlgili routing ve policy ayarlarını ilerde yapacağım , bu şekilde en temel olarak ipsec vpn yapılandırmam
tamamlanmış oluyor.
Application Control ( Uygulama Yönetimi )
Personellerimizin Storage,backup , Sosyal medai ve Videao Audio gibi bantgenişliği tüketen yada mesai dışında
zamanlarını öldüren uygulamaların kullanılmasını yasaklıyacağım ( block ) . Bunlar dışındaki uygulamalarda herhangi bir
kısıtlama olmayacak .
Menü > Security profiles > Application Control >Application Sensors
Sağ üst köşeden Create New seçilerek “ Personel_uygulama_kontrol “ diye yeni bir uygulama sensörü oluşturyorum.
Daha sonra oluşan bu sensöre içinde “ Create New “ diyerek yeni bir monitör / block listesi oluşturuyoruz. Category
alanında block koyacağım katagorileri seçip action bölümünde Block seçeneğini aktif ediyorum .
İlgili şekilde listemi yapılandırıp “ Ok “ diyerek yeni listemi sensöre ekliyorum genel uygulama sensör
görünümü şu şekildedir.
Anti Virüs Profili ;
Dmz bölgesine ve personel bölgesine gelen paketlerde antivrüs koruması yapmayı sağlıyacağım , müşteri alanında bir
anti virüs koruması aktif etmeyeceğim sadece öncelikli hedefim personel ve Suncuu bölgemi ( zone ) korumak , eğer
müşteri zonunuda anti virüs aktif edersem performans olarak istediğim sonuca ulaşamıyabilirim fortigate ile o yüzden
müşterileri anti virüs korumasına dahil etmeyeceğim.
Menü > Security profiles > Anti Virüs >Profiles > sağ üstten Create new diyerek “ dmz_personel_anti_virus” adında bir
profil oluşturup bu profile web ve email korumalarını dahil ediyorum .
Açıklama : herhangi bir açıklamaya gerek duyulmamaktadır.
Müşteriler İçin Kimlik Doğrulaması Yapılması
Kullanıcıların Oluşturulması
Müşteriler ilk geldiği zaman resepsiyonda bulunan görevli bu kişiye özel bir accont açacak ve şifre paylaşacak müşteri
daha sonra şirkette bulunduğu zaman zarfında internete girmek istediğinde otomatik olarak iç networke bağlanacak (
ip alacak ) fakat internete çıkmak istediğinde kimlik doğrulaması yapıcak .
1-) Test amaçlı musteri01 , musteri02 , musteri03 , musteri04 , musteri05 diye kullanıcılar oluşturup şifrelerini 123456
olacak ve bu kullanıcılar ve bundan sonra gelecek tüm müşteride fortigate veri tabaında musteri diye bir user grubu
oluşturularak ona dahil edilecek
Menü > User & Device >User > User Definition > Create new
User Name
Type
Two-factor Authentication
Ref.
guest
LOCAL
1
musteri01
LOCAL
0
musteri02
LOCAL
0
musteri03
LOCAL
0
musteri04
LOCAL
0
musteri05
LOCAL
0
Kullanıcıların müşteri diye bir grup oluşturulup ona dahil dahil edilmesi ,
Menü > User & Device >User > User Groups > Create New
Group Name
Group Type
Members Ref.
FSSO_Guest_Users (0 Members) Fortinet Single Sign-On (FSSO)
Guest-group (1 Members)
Musteriler (5 Members)
0
Firewall
guest
0
Firewall
musteri01
musteri02
musteri03
musteri04
musteri05
0
Login olma ayarları;
Menü > User&Device >Authentication > Setting
Kimlik doğrulanma süresini 1 gün ( 1440 dk ) olarak beirleyip http https ftp telnet gibi destek hizmetlerinde aktif
ediyoru, login olduktan sonra 24 saat eğer herhangi bir müdahale yapmazsa log out olacak bir daha girmeye çalıştığı
zaman tekrardan kimlik doğrulaması yapılacak , bu süre idea olarak 24 saatir,
Resepsiyon admin account Oluşturma
Her yeni müşteri geldiğinde bizlerin kullanıcı tanımlaması biraz zor olacağı için bu işi resepsiyona devredeceğiz ,
resepsiyon için birer kullanıcı açacağız ve o kullanıcının sadece user & device yönetimi yapmasını sağlıyarak yeni gelen
müşterilerin internet kullanması içn gerekli kimlik tanımlarının onlar tarafından yapılmasını sağlıyacağız.
Resepsiyon admin profile oluşturma ;
Menü> system>Admin >Admin Profiles >Create New
Bu alanda User&device yönetimi
sağlamakla görevleri kullanıcıların
sadece bu alanları yönettiği bir admin
yönetim profili oluşturuyorum .
böylece ben resepsiyon görevlilerinin
cihazıma bağlandıktan sonra sadece
User&device alanını görmesini ve
müdahale etmesini sağlıyorum .
Kullanıcı ( User ) oluşturma ;
Menü> system>Admin >Administrator >Create New
Genel kullanıcılarımın görünümü ;
Kimli Doğrulama portalının müşteri interfacine ugulanması;
Açıklama ; Şimdiye kadar ihtiyaç duyduğumuz yapılandırmayı yaptık şimdi sie esas önemli olan yapılandırmayı
yapıyoruz , Daha önce müşteri getway interface’i olan port 6 altında Security Mode : “ Captive Portal “olarak
beliirlenmişti , fakat kullanıcı ve gruplarımı oluşturmadığım için User Groups alanım boştu , artık kullanıcılarımı
oluşturduğuma göre tekrardan port 6 altında girerek User Groups alanını “ Musteriler “ olarak belirliyoruz.
Routing ( Yönlendirme ) Yapılandırması
İki tane Wan interface’im otomatik olarak default getwaylerini dhcp’Den alarak benim burada tekrardan
default getway tanımlamama ihtiyaç bırakmıyorlar , Ben sadece ipsec vpn için 192.168.120.0/23 networkü için ipsec
tünelimin kullanması gerektiğini ekliyeceğim.
Genel routing görünümüm şu şekildedir.
Açıklama : herhangi bir açıklamaya gerek duyulmamaktadır.
Policy’leri Oluşturma
Port6 ( Musteri_getway ) > Port2 ( Wan 2- Musteri internet )
Müşterilerin port6 ‘dan port2’yii kullanarak Wan2 üzerinden internete çıkmalarını sağlamak bu sağlarken sadece
müşteri_servisleri diye öncen oluşturduğum web ve mail servisleri aktif olacak , ve her kullanıcı yine oluiturduğum en
fazla 1 mb bent genişliğine sahip traffic sahping kullanacak olacak . İnternete açıldığım için son olarakta Nat servisi
aktif edeceğim.
Port5 ( personel_getway ) > Port1 ( Wan 1- Personel internet )
Personelimizin wan1 üzerinden internet çıkmasını sağlıyoruz, burda anti virüsü aktif ederek
“dmz_personel_anti_virus” profilini kullanıyoruz , Nat aktfi ediyor , youtube filan yasak ettiğimiz “
perosnel_uygulama_kontrol “ application control olarak belirliyoruz ,
Port 9 ( DMZ ) > Port 1 ( Wan1 –personel internet )
Dmz zone’um wan 1 üzerinden internete açılacak , internet olduğu için NAT aktif , Server alanım
olduğu içinde antivirüs korumasını aktif ediyorum .
Port5 ( personel Getway ) > Port 9 ( Dmz )
4-) personellerin DMZ zonundaki sunculara herhangi bir engele takılmadan erişmesini istiyorum.
Wan 1 & Wan 2 > DMZ ( port 9 )
Wan 1 ve Wan 2 ‘den gelen istekleri iç networke yönlendirilmesi ( port yölendirme ) aynı zamanda
anti virüste açık.
İpsec vpn için Polciy Oluşturuyoruz
Açıklama : Üst kısımda olduğu gibi ipsec vpn için gidip ve dönüş olcak şekilde gerekli izinleri
ayarlıyoruz ,
Policy Görünümü
Vm ile en fazla 5 policy oluşturula bildiği için ipsec policylerim ekran görünmüyor.
Seq.# From
To
Source
Destination
Service
Action
AV
1
port6

port2

personel_network

all

Musteri_servis

Accept
2
port5

port1

personel_network

all

ALL

Accept

AV dmz_personel_anti_virus
3
DMZ

port1

DMZ_ZONE

all

ALL

Accept

AV dmz_personel_anti_virus
4
port5

DMZ

personel_network

DMZ_ZONE

ALL

Accept


port1
port2

DMZ

all


WAn1_to_Dmz
Wan2_to_Dmz

ALL

Accept

AV dmz_personel_anti_virus
any

any

all

all

ALL

Deny
5
6
Eksikler ( Düzeltilmesi Gereken yerler )
Yağtığım lab aşağıdaki eksiklere giderildikten sonra sorusnuz , Tüm gerçek testler bire bir yapılmıştır ,
1-) Wan 1 – Wan yapılandırılırken default getwayi’de dhcp’den almasını seçmemiz gerekiyordu aksi
halde , statik route olarak internet getwayimizi elle girmemiz gerekiyordu. Ben interface altında
girerek tekrardan DG Dhcp’den al seçeneğini aktif ettim .
2-) Zon sorunu : Zoneları aktif ederken policy yönetiminde zoneler ile yapılır böyle benim iki farklı
lokal networküm ve wan’ım için farklı policy’ler uygulayamam , yada kaynak hedef ipleri girmem
gerekir bu yüzden zone yönetimini devre dışı bırakıyorum .
3-) Firewall objelerinde “ ziyaretci_network “ diye oluşturulmuş bu aslında musteri_network”
olacaktır o şekilde ismi güncellendi.
4-) ipsec vpn için kemer subenin lokal ipsini network objesi olarak oluşturuldu “sube_network”
5- ) En fazla 5 tane policy olusturyoruz , Vm olduğu için 5 ten fazla policy oluşturamıyoruz ,Bu
yüzden ipsec vpn için policy ekranda kayıtlı kalmadı
Bu eksikliklerde düzeltildikten sonra network yapım olduğu gibi çalışmıştır , bu network yapısına
ilerde aklıma gelece ilavlerde yapabilirim.