Fortigate dokuman full . pdf

http://docs.fortinet.com/fortigate/admin-guides
Fortinet ürünleri üzerine yazılmış detaylı konu anlatımlarının ve açıklamalarının olduğı ve eski
verisonlarınında bulunduğu dökümantasyon sitesi. GLI ve CLI dökümanları bulundurmaktadır.
Fortigate üzerine sorunlarımızız çözüm merkezi
http://kb.fortinet.com/kb/microsites/microsite.do
FortiNet Ürün Ailesi
FortiGate : Fortinet firmasının amiral ürünü oluğu , çıkış noktasında firewall görevi gören UTM cihazdır. UTM firewallın
taşıdığı tüm özellikleri taşıyabilmektedir.
FortiManager : Büyük yapılı netwokrlerde , birden fazla fortinet cihazını yönetimini sağlıyan cihazdır , bu cihaz üzerinden ,
Konfig yapılmasından , polciylerin uygulanmasına kadar bir çok özellikleri barındır , Ayrıca fortigate cihazları için internet
üzerinden yaptığımız updateleri manager üzerinden yapmamız sağlıyor.
FortiAnalyzer : Fortigate tarafınadan oluşan trafik utm loglarını analiz edilip gelişmiş olarak raporlama sunan cihazdır.
Fortimail : Fortigate üzeirnde bulunan mail sec özelliklerinini barındıran bu konuda çok geşmişmiş özellikleride sunan cihazdır ,
Ayrıca mail server olarakya yapılandırılabilir.
FortiDB : Database güvenliği üzerine yoğunlaştırılmış ve bu konuda çok kullanılmamakla birlikte ileri düzeyde çözümler sunan
üründür.
FortiWeb : Web güvenliği üzerine yoğunlaştırılmış ve bu konuda çok kullanılmamakla birlikte ileri düzeyde çözümler sunan
üründür.
FortiBalancer : Loadbalancing üzerine üzerine yoğunlaştırılmış ve bu konuda çok kullanılmamakla birlikte ileri düzeyde
çözümler sunan üründür.
Fortiscan : Güvenlik tarafması ve zafiyet tarafaması gibi yine fortigate ile birlikte gelen özellikler üzerine yoğunlaştırılmış ve
bu konuda çok kullanılmamakla birlikte ileri düzeyde çözümler sunan üründür.
Forticache : Dns ve Web cache üzerine hizmet sunan ve bu konuda geliştirilmiş bir üründür.
FortiSwitch : Swicth görevi gören bu konuda hizmet sunan cihazıır , POE ürünleride mevcuttur.
FortiClient : Fortonetyazılımdıır, Bu Cientlara fortinet ürünlerimiz üzerinden bir takım yönetimlerin sağladığı ve antivirüs ,
ant,spam Vpn gibi hizmetleride gören bir yazılımdır , Ücretsiz bir yazılımdır ,
FortiDNS : Fortigate üzerinde kullanılan DNS özellliği üzerine yoğunlaştırılmış ve dns servisi üzerine hizmet veren sunucu
görevi örmektedir.
FortiAP : Klasik ap özelliği görmektedir , sadece fortigate üzerindeki forti ap controller panelinden yönetilir. AP sadece fortigate
yapılarda kulalnılabilir , tek başına forti apler kullanılamaz. Çalışması için ethernet takıp ip alınması yeterlidir. Ondan sonra
otomatik olarak controllera ( fortigate ) gelmektedir.
FortiGate
Fortigate Özellikleri
FIREWALL: Cihaz ile internet çıkışı ve internetten geliş ile ilgili tüm izinler ayarlanabilir.
VPN : dışarıdan (mesela evden internete başlanarak) iç networke şifeli bir network kanalı ile ulaşılabilir.
IM FILTERING: Messenger gibi mesajlaşma uygulamaları belli kullanıcılar için izin verilebilir veya yasaklanabilir.
P2P FILTERING: Kullanıcılar arası veri alışverişini sağlayan, trafiği boğan ve zararlı içeriklerin de yayılmasına neden olan P2P
uygulamalarını (Kazaa, Skype, bitTorrent, eDonkey, Gnutella vb.) kişi bazlı kısıtlayabilir veya komple engelleyebilir.
TRAFFIC SHAPING: işle ilgili uygulamalara ağda öncelik verilerek, Messenger gibi çok gerekli olmayan uygulamalara düşük
bant genişliği ayrılabilir.
Antivirus: Gelen ve giden mail eklentilerini, tüm ftp ve http trafiğini (web tabanlı mailler dahil) web performansını düşürmeden
tarar. Antivirus getaway gelen virus ve wormları networke girmeden önce kestiğinden zarar verebilecek durumları önceden
önlemiş olur. Fortinetin dünya çapındaki antivirus ekibi çıkan virusleri en hızlı şekilde takip eder ve müşterilerine gerçek zamanlı
update imkanı sunar. Bu sayede belirli zaman peryotları ile değil virus çıktığı anda update yapılmış olur.
Firewall:Güçlü içerik denetleme firewallu belgelenmiş, maximum performanslı ve ölçülebilir bir ürün sunar. Policy bazlı kural
yazma ile tek bir kuralda birçok kontrol saglar. Tek bir kuralda kaynağı, hedefi ve kullandğı servisi belirtilmiş paket nat, traffic
shaping, loglama Autentication (Active directory, local, lap, radius) ve protection profile uygulanabilir. Protection profile
sayesinde kurala uyan paketlere antivirüs taraması, antispam taraması, wel fitering, ips/ids ve im/p2p kontrolu yapılabilir.
Intrusion Detection:Uyarı tabanlı 1300 den fazla bilinen saldırı barındıran özelleştirilebilir veritabana sahiptir.Fortigate host
tabanlı antivirus programlarından kaçan saldırıları durdurur. Antivirus güncellemelerinde olduğu gibi saldırı imzaları
güncellemeleri de fortiprotect update network ile gerçekleştirilir. Bu sayede yeni saldırı çıkar çıkmaz update yapılır güncellem
süresinin dolması beklenmez.
VPN:Günümüzün en populer ve güvenli VPN türlerini destekler. Ipsec, PPTP, L2TP, based ve SSL VPN esnek bir şekilde
yapılmaktadır. VPN ’i 2 lokasyonumuz arasında yapabildiğimiz gibi dışardan dial-up kullanıcılarıda güvenli bir şekilde VPN
yapabilmektedir. Gelen VPN paketlerin protection profile uygulama bildiğinden, ips, antivirus, proxy serverlarımızı kullanacak
olanlar için url fintering gibi denetlemeler uygulanarak tam koruma sağlanmış olunur.
AntiSpam:Blaclist website ve domain tabanlı, kelime taraması (her kullanıcı için ayrı configure edilebilirlik) ve dinamik
puanlama sistemi ile güçlü ve doğru sonuç alınmaktadır.
Traffic Shaping:Traffic Shaping ile network trafiği, paket sınıfı, kuyruk disiplini vs kriterlere göre kısıtlama yapılabilir. Böylece
kendi iş önceliğimize göre trafiği şekillendirebiliriz. Ftp ve web hızını düşürüp SQL bağlantılarının performansı garanti altına
alınabilir. Bunu policy bazlı yapabildiğimizden ZAMAN ve kişi bazında düzenleme yapılabilir.
Web Filtering:15 milyondan fazla domain ve milyarlarca web sayfası ile url filitrelemek tam bir kontrol sağlar. 56 kategoride
filitreleme imkanı sunmaktadır. Ayrıca kelime ve blac-list oluşturma imkanımızla da filitreleme yapılabilir.
Hight Availability:Birden fazla cihaz bir arada çalıştırılarak hem yük paylaşımı hem yedekleme sağlanabilmektedir. Bir cihazın
devre dışı kalması durumda diğer cihaz 3 sn gibi bir sürede Hiçbir oturumu kaybetmeden devreye girmektedir.
IM/p2p:Chat araçlarının en populerleri olan aim, icq, msn ve yahoo paylaşım proğramlarında bitTorrent, eDonkey, gnutella,
kazaa, skype, winNY proğramlarının logon, file transfer (dosya boyutu belirtilebilir) blok audio kontrolleri yapılabilmektedir.
Ayrıca standart portlar dışında çalışan benzer proğramlar da kontrol edilebilir. Bu proğramlar aracılığı ile gelen paketler
protection da belirtilen virus vb. taramalardan geçirilebilir. Yasaklanan proğramları kullanan kullanıcıların listesi gelmektedir. Bu
listeden istenilen kullanıcılara izin verilebilir. Bunun terside geçerlidir
Detay Özellikler
AĞ ÖZELLİKLERİ Birden fazla internet (WAN) bağlantısı
ANTIVIRUS/WORM TESBİT ve ENGELLEME (ICSA
desteği
Sertifikalı)
PPPoE desteği
HTTP, SMTP, POP3, IMAP, FTP, IM ve Encrypted VPN’de
DHCP Client/Server desteği
virus tarayabilme
Kural tabanlı önlendirme (Policy-Based Routing)
Güncellemeleri oluşunca merkezden gönderme (Push
Dinamik Yönlendirme (Dynamic Routing; RIP v1 & v2, OSPF,
Update)
BGP, & Multicast)
Karantinaya alma
Çoklu Bölge desteği (Multi-Zone)
Dosya büyüklüğüne göre engelleme
Bölgeler arası yönlendirme (Route Between Zones)
Dosya tipine göre engelleme
VLAN kar arası yönlendirme
YÖNETİM
ERİŞİM
Console Interface (RS-232)
Rol Tabanlı Yönetim
WebUI (HTTP/HTTPS Web Arabirimi)
Farklı Yönetici yetki ve seviyeleri
Telnet
TFTP ve Web ile güncelleyebilme
Multi-language Support
Sistem Yazılımını Fabrika ayarlarına alabilme
Komut Satırı Yönetim Arabirimi (Command Line Interface)
FortiManager cihazı ile merkezden erişebilme
Secure Command Shell (SSH)
Merkezi Yönetim Desteği (FortiManager System)
KULLANICI YETKİLENDİRME
FIREWALL (ICSA Sertifikalı)
İç kullacılar
NAT, PAT, Transparent (Bridge)
Windows Active Directory (AD) Desteği
Routing Mode (RIP v1 & v2, OSPF, BGP, & Multicast)
External RADIUS/LDAP Database Desteği
Policy-Based NAT
IP/MAC Address Eşleştirebilme
Virtual Domains (NAT/Transparent mode)
Xauth over RADIUS for IPSEC VPN
VLAN Tagging (802.1Q)
RSA SecurID
User Group-Based Authentication
SIP/H.323 NAT Traversal
WINS Desteği
Özelleştirilebilir Kurallar
VPN (ICSA Sertifikalı)
ANTISPAM
PPTP, IPSec, ve SSL
Online Blacklist/Open Relay Database Server
Dedicated Tunnels
MIME Header Kontrolü
Şifreleme (DES, 3DES, AES)
Kelime filtreleme
SHA-1/MD5 Kimlik Doğrulama
IP Adresi Karaliste/İzinliListe
PPTP, L2TP, VPN geçiş desteği
Otomatik güncelleme
Hub ve Spoke VPN Desteği
IKE Certificate Authentication
IPSec NAT Traversal
Dead Peer Detection
RSA SecurID Support
WEB İÇERİK FILTRELEME
LOG/İZLEME
URL/Keyword/Phrase Engelleme
Yerel Log kayıtları
URL Hariç Listesi
Syslog/WELF sunucuya loglama imkanı
İçerik Grupları
Anlık ve geçmiş için grafik rapor desteği
Java Applet, Cookies, ActiveX Engelleme
SNMP desteği
FortiGuard Web Filteleme Desteği (56 kategori, 50 milyon
Virus ve Saldırılarda email uyarma imkanı
web)
VPN Tunel İzleme
FortiAnalyzer cihazı ile detaylı kayıt ve raporlar
DİNAMİK SALDIRI ENGELLEME SİSTEMİ (IPS/IDS) (ICSA
YEDEKLİ CİHAZ KULLANIMI (HIGH AVAILABILITY)
Sertifikalı)
Active-Active, Active-Passive desteği
2000den fazla saldırıyı engelleyebilme
Stateful Failover (FW and VPN)
Ayarlanabilir Dinamik Saldırı İmza Listesi
HATA tesbit ve uyarı sistemi
Saldırı veri tabanını otomatik güncelleme
Link durumu izleme
Davranış tabanlı saldırı tesbiti
Link failover
TRAFİK BİÇİMLENDİRME
INSTANT MESSENGER - ACCESS KONTROLÜ
Kural tabanlı trafik biçimlendirme
AOL-IM
Diffserv Ayarları
Yahoo
Guaranti/Maksimum/öncelikli hız ayarlayabilme
MSN
Kaynak : fortigateturkiye.com - - ICQ
Grafik Arayüz İle Yönetim
Bu bölümde grafik arayüz üzerine fortigate cihazının nasıl yapılandırılacağını not edeceğim , Cli ( komut ) ile nasıl
yapılandırılacağını ilerde detaylıca anlatacağım ;
Garafik arayüzü ile yapılandırmak basit ve kolaydır , Ama grafik arayüznünde her şeyi yapmamıza müsade etmez bunla birlikte
cli yönetim daha zor ve çetrefilli olsada % 100 yakın bir yönetim sunar . Örneiğin Bgp ayarlarını garafik ile yapmak son
derece yüzeyse olsada cli ile bgp ayarlarını yapacağımız zaman çok daha detaylıca ayarlıyabiliriz ( hold time – keepalive vs.) .
Cihaza Bağlantı Kurma
Cihaza konsol olduktan sonra defaultta belli bir ip ile gelir bunu cihazın üzerinde görebiliriz. Ayrıca yoksada cihaza konsol
olup cihaza ip verebiliriz. Cihaza konsol olduktan sonra ;
Kullan adı : admin
Şifre : Boş
Olacak şekilde giriş yapabiliriz , Daha sonra hangi porttan bağlanacakcaksak o porta ip verbeiliriz.
config system interface
edit port 1
set ip 192.168.1.11 255.255.255.0
set alias “yonetim_interface “
set allowaccess ping https ssh http telnet
İlgili kod bloğu ile port 1 interfacesine yonetim interface
adında bir isimle http https sssh ping servislernin açıldığı bir
yapılandırma yapıldı.
Bu şekilde yapılandırılıktan sonra herhangi bir internet browser üzerinden http:\\192.168.1.11 adresi ile bağlanıp admin
kullanıcısı ile giriş yapıp garafik arayüzü ile yapılandırabiliriz.
Garafik arayüzü ile bağlandıldığı zaman bizi aşağıdaki gibi bir pencer beklemektedir.;
FortiOS 5 ile fortigate teki menü yönetimi şu şekildedir , önceki sürümlerde ufak değişiklikler olsada genel olarak yapı
yukarıdaki resimlerdeki gibidir.
+ System
+ Router
+ WİFİ Controller
+ Policy
+ Log&Report
+ Firewall Objects
+ Security Profiles
+ VPN
+ User&Device
System
Bu alan fortigate cihazımızın sistem ayarlarını yaptığımız alandır ,
Bu menülerin İşlevleri şu şekildedir.
Dashboard : Bu alanda cihazımızın monitoring ( izlenildiği ) edildiği ve bu monitoring ekranlarının yapılandırıldığı alandır ,
Network : Cihazıımızın interface ve dns gibi ayarlarının yapıldığı alandır ,
Config : Cihazımızın networkteki rolünü , lisans durumlarını , gördüğümüz ve ayarladığımız alandır
Admin : Cihazımızın admin kullanıcısnın ve yönetim ayarlarını yapıldığı alandır , http portu ssh portu idle timout vs vs .
Certificates : Cihazımızın sertifikalarını gördüğümüz ve yönettiğimiz alandır .
Monitör : System bölümüzüm monitör ( izlendiği ) edildiği alandır ,Örneiğin dhcp servesimiz varsa bu servisimizin izlenmesi
gibi.
Dashboard
Fortigate cihazını monitoring ettiğimiz alandır , Bu alanda cihazımızın bazı özelliklerini tek bir ekranda görebiliriz , Örneğin
cihazımızın portlarının durumunu, lisans durumu , sistem durumunu , işlemci durumunu vs vs görebiliriz ,
Yukarıdaki ekranda Clı console ekranı var burada cli komutlarını
ekranında sistemimiz ile ilgili bilgiler vardır ,
çalıştırdığımız ekrandır . Aynı şekilde System İnformation
Ekranında İlgili ekrana yeni Widget ekleyebiliriz ayrıca yeni bir monitoring Ekranıda ekliyebiliriz.
Add Dashboard : Yeni monitoring ekranı ekliyebiliriz.
Edit Dashboard : monitoring ekranımızı edit ederek düzenliyebiliriz.
Delete Dashboard : Monitöring ekranımızı silebiliriz , Şimdi benim tek ekranım olduğu için onu silmeme izin vermiyor zira
system ing-formation ayarları sadece bu menü altındadır o yüzden bir tane monitörün ekranı her zaman vardır ,
Dashboard / System İnformation
Dashboard / System İnformation : Sistem bilgilerini gördüğümüz ve değiştirebileceğimiz ekrandır , Hostname ,
Serinumarası , Operation Modu vs vs
Hostname : Cihazın İsmini yazıldığı ekrandır , Özellikle ssh ve telnet gibi bağlantılarda bize çok yardımcı olur . [ Change ]
diyerek değiştirebiliriz.
Seri Number : Cihazın seri numarasını yazdığı ekrandır .
Operation Mode : BU alanda cihazımızın Modu ayarlıyabiliriz , Fortigate cihazları iki moda’da ayarlıyabiliriz. Bunlar NAT ve
Transparent Mode ‘dur [ Change ] şeçeneiğini seçerek cihazımızın operasyon modunu değiştirebiliriz.
Nat :Cihazın default modu nat modudur , bu normalde getway olarak kullanılan cihazların olduğu moddur , L3 düzeyinde çalışır ,
Route mode aktiftir ,
Transparemnt Mode : Cihazın özelliklerini görüp network yapısnı mozmasını enlelleyip bunla birlikte istenidiği gibi yine
policylerimizin aktif edildiğini UTM yönetimini sağlamak gibi yine bir çok özelliği sağlıyabilir. Eğer bu seçenek seçilir ise tüm
interfaceler tek bir inteface gibi görünür ve sadece managment ipsi girilerek erişim sağlanailir. Ayrıca bir atnede default getway
girilerek sadece cihazımızın bu modda sadece kötü görevi görmesini sağlıyabiliriz. L3 ilgilendirmeyen her şeyi yapabiliriz. BU
modda iken cihaz genelde ADSL / ME ile Firewall Arasına konur ve mantık olarak paketler gir çık yaparlar.
ME --- Tranparemnt fortigate ---- Linux Firewall şeklinde olabilir , ilerde örnek ile detaylıca bu işliyebilirim.
HA Status : Cihazımın yedekliliğinin ayarladığı aldandır , ilerde detaylıca anlatocağım
System Time : Taraih ve saat bilgilernin olduğu alandır .
Firmware Version : Cihazımızın firmware versionun görrüyoruz , Benim burada fortios v5,0 verisonun ulanıldığı görüyorum ,
Ayrıca burada [ Update ] şekilerek firmware verisonu update edilebilir.
System Configuration : Bu alnda cihazımızın konfiğini backup alıp yada restore edebiliriz yada yeni bir konfig oluştuabiliriz.
Current Administrator : Admin şifresini değiştirbeiliriz.
Uptime : Son Uptime süresini görebiliriz.
Virtual Domain : VDOM fortigateimizin VOM lara bölerek her birisnde farklı bir yapılandırma yapbiliriz , Gnellikle çok büyük bir
karmaşık networklerde ugulyabiliriz. Lisanssız olarak 10 tane VOM oluşturabiliriz. Kısaca şöyle diyebiliriz 2 tane VDOM var
bunlardan birinde UTM kontrolünü yaprız diğerinde Policy yönetimini yaparıız . Tabi böyle olunca yapı daha detaylıca
yönetebiliriz fakat çok büyük networklerde bu yönetm kullanılır.Konu ile ilgili olarak örneiği detaylıca ilerde anlatacağım.
Network
Cihazımızın mevcut interfaclerini yapılandırdığımız yeni interfacler eklediğimiz vlanları ekleyip yönettiğimiz ve loopback gibi
yönetim interfaceleri oluşturduğumuz gibi dns ayarlarınıda bu ekrandan yapabiliriz.
Network / İnterface
İnterfacelerin ayarlarının yapıldığı ve vlan loopback interfacelerinin oluşturulduğu alandır , Yine interfacelere paralel olarak
DHcp server yapılandırmasınında yapıldığı alandır . Genel görünüm aşağıdaki gibidir ,
Network / İnterface
Port Editleme / Edit Port 1
Port bir üzerinde örnek yapıladnırma yapacağım , İnterface ekranında port 1 seçip edit ettiğimizde. Aşağıdak ekranlar
gelmektedir , Eklarnları parça parça açıklamları ile birlikte yer almaktadır .
Name port ismidir , İşte buarada parantez içinde mac adreside vardır ,
Alias : Portların özel olarak olarak isimlendirerek ilerde cihazımıızın yönetimini kolaylaştırıcaktır.
Type : Fiziksel interface buradda , portumuzun fiziksel durumunu görypruz , vlan ve loopback gibi sanal interfacelerde olabilir .
Adressing mode : İnterfaceimizin ip adrenin nasıl olacağını seçiyoruz i buarada manual seçilmiş yani biz elle ip gireceğiz
demektgdir ve buna istinaden 192.168.100.1 /24 ipsi verilmiştir , Aşağıdaki dhcp şekildiğindeki ekran görülmejtedir ,
Adress mode : Dhcp bu seçilirse ip adresimizi dhcp serverdan almaktadır ,
Status : Connected : anlık durumyunu görüyoruz
Obtained IP / Netmask : İp adresini ve subnetmaskı göryoruz , RENEW butonu ile yeni ip almasını sağlıyabiliriz.
Expiry Date : Dhcp seerverdan aldığımız ionin bitiş süresin, görüyoruz
Acquired DNS : Dns adresimizi görüyoruz
Default Getway : Getway adresimizi görüyoruz
Distance : Default getwayimizin distance değerini ayarlıyabiliyoruz
Retrieve default geteway from server : Default gateway adresini dhcp serverdan al .
Override internal DNS : DNs server adresini dhcp erverdan al :
Not : Retrieve default geteway from server ve Override internal DNS : seçenlekleri seçilir ise Acquired DNS : ve Default
Getway alanları aktif olur ve ipleri ancak öyle alır.
Adminstrative access : Admin erişiminiin yllarının aktif edildiği alandır , Buarda https https ping sssh vs vs gibi seçlibeilir. Öylece
ssh üzerinden bu interface bağlantı kurbailiriz.
Dhcp server seçeneiiği Enable edilerek ilgili portta dhcp server ayarlarını aktif ediyoruz.
Adres Range : Dhcp serverımızın dağıtacaı ip aralıklarını belirliyoruz . Ekranda 192.168.2.133’den 192.168.2.254’ kadar ip
dağıtacak .
Netmask : Dhcp serverda dağıtılacak iplerin netmasklarını beliyoruz ekranda /24 ‘dür.
Default Getaeway :Specify seçilerek defalult gateway adresini elle veriyoruz. Ekranda 192.168.2.132’dir
Dns Server : Specify sçeileek DNS adreside dağıyılması sağlanır . Fortigateimizde dns serverımızın 2008.91.112.53 olduğu için
dhcp serverda bu adress dağıtılıyor.
Advanced ;
Bu alnda dhcp serverızın gelmişmiş ayralrını yapıyrouz ,
Mode : Server ve relay olarak iki mod seçneği vardır , Server direk bu dhcp serverı referans alır ve dağıtır , Relay başka bir
dhcp server var ise onu ayarlıyarajk kendisine gelen ip isteklerini relay’i olduğu servera gönderiir.
MAC Address Access Control List : Bu alnda mac adresine göre dhcp iplerinin revervasyonu yapılarak dağıtılmamlarını
sağlıyabiliriz , yada bu mac adresinin networkümüzfe ip almasını blocklamamızı sağlıyabiliriz.
Type : Rgula ve ipsec olmak üzere iki seçenektir , Regualar gerçek bir dhcpo server varlığını ayarları
İpsec ile iosoec vpn’De clientları salacakları ipleri ayarladığımız dhcp modutur.
Secondary ip adres aktif edilerek interfacemize ikinci bir ip verebiliriz ve bu ipyi yapılandırbailiriz.
Administrative Status : Burda portun admşn durumnu ayarlarız . Ekran up seçili ama istersek down yaparak Admşn downd’da
bırabiliriz portu . Böyelce fiziksel olarak up olasa bile bir işe yaramaz.
Port Ekleme / Vlan Oluşturma :
İnterface ekranında > Creatnew diyerek yeni bir interface oluşturabiliriz.
İlgili ekranda ;
Name : İnterfacemiz isim veriyoruz.
Type : VLAN , Loopback gibi seçenekler oalbilir
İnterface : BU sanal interfacnein bağlı olacağı fiziksel interfacsi belirliyoruz
Vlan ID : İnterfacesi vlan seçiğimiz için bu alanada vlan idmizi yazıyoruz , ,
Diğer seçenekler yukarıdaki interface edilmek ile y-ayndırı .
Network / DNS
Dns ayaralnın yapıldığı alandır , Buarada Use fortiguard seçil iken dhcp server alır sns srevr yada Specify diyerek elle bir dns
suncucu ayarlıyabiliriz. Buarada ayarlı olan dns server aynı zaman dhcp serverda dağıtılacak olan dns adresindir.
CONFIG
Cihazımızın genek konfigğin yapıldığı alandır , Ha ile cihazımızın networkteki rolünü lisans ekranları ile cihazımız üzerinde
lisansları detaylıca göebiliriz ve yönetebiliriz.
Config / Ha (High Availability )
Cihazımızın networkteki rolü ayarladığımı alandır , Küçük networklerde olmasa büyük networklerde yedeklilik olarak çalılan iki
cihazımız labilir bu cihazlarımızın bu ekran rollerini belirterek onların tam performanslı çalışmasını sağlıyabiliriz. Örneiğini iki
tane FW var bunları Aktif / Pasif çalıştırıp yedeklidiğini sağlyabiliriz , Yada Akitf / Aktif yaparak cihazmızın ve networkümüzün
performansını artıabiliriz.
Aşağıdaki Ekranda ;
Mode ile Ha modunu belirliyoruz burada , Aktif / Pasif - Aktif / Aktif ve Standalone yani tek cihaz seçenekleri seçilebilir.
Device prirty değerli büyük olan master olur
Cluster settings ile detaylıca port ve priority değerlerini ayarlıyabiliriz .
Not : Bu başlık ilerde la yapılarak detaylıca açıklancaktor.
Config / SNMP
İlerde detaylıca açıklamları girilecektir.
Config / Relacment messages
İlerde detaylıca açıklamları girilecektir.
Config / FortiGuard
Lisansarımızın takip edildiği alandır
Config / FortiSandbox
İlerde detaylıca açıklamları girilecektir.
Config / Advanced
İlerde detaylıca açıklamları girilecektir.
Config / Messaging Servers
İlerde detaylıca açıklamları girilecektir.
Config / Features
İlerde detaylıca açıklamları girilecektir.
ADMIN
Admin ayarlarını yapılandırdığımız alandır , Admin Kullanıcı bağlantılar ve port numaraları ,password politikalarının belirlendiği
alandır .
ADMIN / Admin Profiles
Bu alnda admin kullanıcılları içşn profil alanları olturabiliriz , Örneiğin Router politiklarını belirliyecek bir kullanıclar için router
admin diye bir plitka oluşturup daha sonra bu kullanıcıları bu router polikalalrına ekleriz . Böylee bu kullanıcı sadece router
polikalarını belirliyebilir , Yada aynı şekilde Vpn politikaları ve bu politikaları yöneckeek kullanıcılar oluşturabiliriz.
prof_admin ve super_admin vardır defaultta iki tane glir , BU ikiside tam yetkili kullanıcı profilleridid.rBizler
Create New diyerek yeni bir kullanıcı politikası belirliyeiliriz.
Benim amacım Vpn operasyonlarını yönetmek için kullanacağım bir plitika belirlemek istiyorum . Bunun için ;
System Configuration : Vpn ayarlarını yaparken burdaki ayarları görmek ne yapacağımızı bilmek adına önemli o yüzden
Read only yani sadece okuyabiliriz.
Router Configuration : Vpn ayarlarını yaparken burdaki ayarları görmek ne yapacağımızı bilmek adına önemli o yüzden Read
only yani sadece okuyabiliriz.
Firewall Configuration : Vpn ayarlarını yaparken burdaki ayarları görmek ne yapacağımızı bilmek adına önemli o yüzden
Read only yani sadece okuyabiliriz.
Security Profile Configuration : Vpn ayarlarını yaparken burdaki ayarları görmek ne yapacağımızı bilmek adına önemli o
yüzden Read only yani sadece okuyabiliriz.
Vpn Configuration : Operasyonun temel amacı bu cpn konfii olduğu için read – Write seçeneiğini seçiyoruz .
User & Device : Vpn için bu alanında önemli olmasından doayı ve direk bağlantılı olduğu içn bu operayona
seçeneiğide read – write olatak aktif ediyoruz.
Bunlar dışındaki hiç bir seçeneiğin vpn ile ilgili olmamıasından dolyı none yaparak görüntlenmesini dahi
engelliyoruz.
Yukarıdaki Admin Profiles ekranına vpn operasyon politkalarıda eklenmiştir.
bu
ADMIN / Administrator
Cihazımız için admin kullanıcıları lyruduğumuz alandır , default olarak admin kullanıcısı şifresi şekilde gelir bundan sonraki
kullanıcıların hepisni biz elle ekleri.z.
Admin / Administrator > Create New diyerek yeni kullanıcı ekranı ekliyebiliriz.
Adminisrtator : Kullanıcı adı
Type : Kullanıcı tipini belirliyoruz , Regular gerçek bir kulalnıcı
Comments : Açıkalma yazıyoruz
Admin Profile : Kullanıcyı hangi yönetim politikalarına bağlı kalacağını seçiyoruz.
Restrict this Admin Login from Trusted Hosts Only : Seçeneiği ile bellir iplerin bu kullanıcı ile
bağlantı kurmasını ayarlıyabiliriz. Access listlere çok benzemektedir.
ADMIN / Settings
Dil ayarlarını, bağlantılar için port ayarlarını ve time out ayarlarının yapıldığı ve Şifreleme politikalarının belirlendiği alandır .
Administrators Settings
Bu alanda cihaza uzakten erişim portları ve eirşim sağladıktan sonraki ayarların yapıldığı alandır ,
Grafik arayüz ile : System > Adim > Setings
Central Management
Status :
FortiManager IP/Domain Name: nek.com
Fortigate cihazının dahil olduğu dmonine ayarlaınır.
Administration Settings
http port ( 1580 )
https port ( 443 )
telnet port (1523 )
ssh port ( 1522 )
idle timeout :
http protokolü ile hangi hani portran erişim sağlıyacağımızı ayarlıyoruz.
htts protokolü ile hangi hani portran erişim sağlıyacağımızı ayarlıyoruz.
telnet protokolü ile hangi hani portran erişim sağlıyacağımızı ayarlıyoruz.
ssh protokolü ile hangi hani portran erişim sağlıyacağımızı ayarlıyoruz.
telnet ssh http https vs ve ile cihaza bağalntı kurduktan sonra kaç
işlem yapmılmadığı taktirde oturumum sonlandırılacağını ayarlıyoruz.
Burası öncelli en fazla 3-5 dk olmaıs güvenlik için olumlu olur.
Nedir : Uzak erişim için port , protokol ve oturum süresi ayarlanır.
Enable Password Policy
Minimum lenght
Must Contain
Apply Password Policy to
Enable Password Expiration
Şifrelerin minimun karakter uzunluklarını belirliyoruz. 8-64
arasında oalbilir
Şifrenin içerisinde olması gereken değerleri ayarlıyoruz
bu şifreleme politikalarının nerelerde kullanacağını beliriyoruz ,
admin password ve Ipsec preshard key olmak üzere iki
seçenek var . eğer çok komlike bir politika yok ise ikiside aktif
olabilir , ama aşırı komlike bir politika var ise o zaman Ip sev
preshard key aktif etmemek iyi olur yoksa diğer kullanıcılarda bu
politikaya uygun şirfre kullanmak kulalnım zorunluğuna neden
olabilir
Bu şifrelerin kaç gün aktif olarak kalacağını beliriyoruz ,
belirlediğimiz gün kadar şirfre aktif kalıyor d aha sonra bizden
şifre dğeiştirmemizi zorunlu olarak talep ediyor.
Nedir : Şifrelemler ile ilgili politika belirlemek için kullanır aktif edilir ise
CERTIFICATE
Cihazın sertifl ayarlarının yapıldığı vpn için özel sertifkaların oluşturulduğu alandır , İlerde lab çalışmaları yaptığım zaman
daha detaylıca bilgi sahip olacağım ondan sonra buraya detaylıca açıklamlarıda ekliyebiliriz.
MONITOR
Sistem üzerineki başlığın yada bölün altında tanımlı olan yapılandırmanın ev servislerin izleendiği alandır , bu alan hemen
hemen tüm başlıkların altına vardır hepsi kendi ilgili başlıa ile ilgili olrak bir monitörüng ekranı bizlere sunmaktadır , System
mensü altında monitör alanında bizim bu sürümüze göre sadece DHCP Monitör vardır .
DHCP Monitör
Dhcp Serverlarımızın dağıtttığı iplerin durumlarını ve kiralma süreleirnin ne zaman biteceğini gördüğümüz bunla birlikte mac
adresleirninde olduğpu önitörüng alandır , bu alanda dhcp ip almış bir clientın oturumu düşülemez yada ipsini bıraktırılamaz
sdace monitör edilebilir. Eğer Dhcp server tarafından dağıtıan bir ipnin düşürülmesini bırakılmasını istiyorsak bunu cli
ekranından yapacağız ,
ROUTER
Routing işlemlerin yapıldığı bir newai fw routera dönüştürebileceğimizde alandır ,
Ststic Route : Static routerlarızı yapılandırdığımız alandır ,
Policy Routes : Policy Routerlarımızı yapılandırıdğımız alandır , Kaynak ip intrface gibi bir takıl ayarlarıda vermek mümkğndüğr.
Dynamic : Rip , OSPF BGP Multicast gibi dinamik yönlendirme protokolerinin çalıştırıldığı ve yönetildii aladnır .
Monitör : Routingermizi monitör ettiğimiz alandır. Karmaşık networkler için filitrelee özelliğide sunar bizlere.
Genel olarak fortigate kullanılan routingler bunlar fortigate genel olarak getway görevi gördüğü için zaten gelmişmiş düzeyde bir rotinge
ihtiyaçtan duymayız .
Çok öneli Not : Fortigate bir firewall olduğu için roting yapıldıktan sonra mutlaka ilgili networklerle alakalı policy lerinde gerekli
izinleirn verilmiş olması gerekmektedir.
Not : Genel olarak tüm routing tabolarını görmek için Router >monitör > routing monitör pencerisi kullanır ;
Static / Static Routes
Sttic routlarımızın yzıldığı alandır , Static routlar hedef mask ve getwaye mantığı ile çalışırlar , Fortigate fw ‘Da buna ilavae olarak birde port
yani device bilgisi girmemizi ister . Bu alandada yine o networke hangi port üzeirnden gidecekse onu seçeriz.
Garaik arayüzü ile Nasıl yapılır
Garaik arayüz çıktısı
Rouer > Static route > create new
Static Route Distance Değeri
Default olarak static routelar 10 Distance değrini alırlar bunu ayarlamak için ;
GA( Garafik arayüz) Advanced sekmesini kullanıabiliriz.
CLI ( Komutu arayuzu ) ilgili route edit edildikten sonra : Fortigate-VM (2) # “ set distance 40 ” komutu kullanır.
Aynı şekilde Priority değerleride ayarlanabilir.
Static / Policy Routes
Kaynak ip ve interface girilip yine hedef ip interface gibi gelişmiş bir takım ayarların olduğu static route göre daha esnek
yönetilen bile routin protokolüdür. Yukarıdaki gibi ekranı vardır . Aynı şekilde protokol bile seçebiliyoruz UDP TCP vs vs .
Dynamic
Dinamik routing protokoleirnin yapılandırıldığı alandı r,i buarad OSPF , RIP BGO vs vs ayarlanabilir.
Ben RIP ve OSPF bildiiğim için ve kullanım ornıan düşük olmasından dolayı burda sadece BGp açılıyacağımç
Dynamic / BGP
Bgp Nedir ?
Başka routerlar ile komuşuluk kurarark kendisinden tanımlı olan networkleri komşu routera duyurması ile routing tablosunu oluşturan
protokoldür . Her bir router kendisine direk bağlı router ile komşuluk oluşturması yeterli olur , böylece bir router başka bir routerdan aldığı
networkleride networkü aldığı router hariç diğer tüm routerlara gönderiri , böylece fulll mesh diye tabir edilen örümcek ağı bir network alış
verişi oluşturulur.
iBGP ( İnternal BGP ) : aynı Autonomous System numarası içerisindeki routerların oluşturdukları networktür ,
eBGPP (External BGP ):Farklı Autonomous System numarası içerisindeki routerların oluşturdukları networktür ,
Not : Bgp üzerine ilgli detaylı konu anlatımı , “ Muhammet YILDIRIM Bgp konu anlatımı” isimli bgp kitapcığında mevcuttur. Burda
sadece Fotigate üzerine olan yapılandırma ele alınacaktır
iBGP : Ayn As numarasında oldukları için bu network şeması ibgp
bir şemadır. 200 AD
eBGP : Farklı As numarasında oldukları için bu network şeması
ebgp bir şemadır. 20 AD
Grafik ile yapılandırma ekrnaında
Router > dynamic > BGP ile yapılandıdırız.
Local AS : Kendi bgp As numlarımızı ayrladığımız alandır
Router ID : Bgp miz için ayarladığımız router ID mizi girdiğimiz alandır
Neigbors : Bgp komşularımıznı ayarladığımız alandır İd’ye bgp komşu ip adresini yazıyoruz Remote As ise AS numberının yazıyoruz daha
sonra ADD ederek komşumuzu başlatırıtoruz
Network : Komşularımıza duyurmak istediğimiz networkleri yazdığımız alandır , bu alanda yazdığımız networklerin komşlarımıza gitmesi
için kendi üzerimizde tanımlı ve up olması gerekmektedir ,
Garafik arayüzünde BGp ayarları çok basit olarak kalır bu yüzden BGP konuşturcaksak mutlaka Clı modundan detaylıca yapılandırmmaız
gerekecektir , Garafik arayüzü asla yeterli değildir , Network update yöntemlerinden tutunda , update down sürelerine kadar , bgp
üzerinden default route anonsune varıncaya kadar vs vs , Aşağıdaki Clı ekranı ile BGp nasıl ileri düzeyde yapılandırılır ve bu
yapılandırmanın ne işe yaradığını detaylıca açıklamaktayı
Mardin Merkez Firewall Bgp Yapılandırması
config router bgp
set as 100
set log-neighbour-changes enable
set router-id 172.16.0.2
set distance-internal 5
end
config neighbor
Genel bgp konfiği yapılır ,
AS number olarak 100 verimiş ve
Router id ise : 172.16.0.2
set distance-internal 4-5 ile iBGp distance değerini 200’den 5E
düşdük böylece routing bua göre düzenlenir.
config neighbor altında bgpmizin komşuluk tanımları yapılır .
edit 172.16.0.1 diyerek yeni bir komşu başlığı açılmış ve o
komşuya ait as numberı ve passwordu giriyoruz.
edit "172.16.0.1"
set remote-as 100
set password "nek"
set advertisement-interval 260
advertisement-interval 260
bu tanım ile ilgili komşumuza duyurmak istediğimiz ( anons )
network lerin saniye cinsinden süresini yazıyoruz,
benim bu satırımın anlamı 172.16.0.2 komşuma 260 saniyede bir
anons ettiğim networkleri duyuruyor.
set keep-alive-timer 13
set holdtime-timer 39
Set keep-alive-timer 13
13 saniyede bir komşunu ayakta olup omadığını yokla
set connect-timer 60
set soft-reconfiguration enable
set holdtime-timer 39
Keep-alive ile 39 saniye ulaşmaz isen komşuluüu düşür ,
set capability-default-originate enable
end
set connect-timer 60 ne olduğunu bulamadım . am def 60
tanımlanırsa sıkıntı olmaz
config neighbor
edit "172.16.0.121"
set remote-as 100
set capability-default-originate enable
set password "nek123"
set weight 100
next
set weight 100
benim iki tane komşum var buu komşularımıın hnagisnin aktif
olmasını yani öncellikli olamsını istiyorsam ona weight değerini
yüksek girerim . Burda ben 172.16.0.121 komşuma 100 değerini
girdim böylece diğeri defaut olaral 0 olduğu için master olarak
172.16.0.121 koşumu seçiyor.
set soft-reconfiguration enable : Bgp komşuluğunu düşürmeden
gelen talepleri ayarlar
end
set capability-default-originate enable : : 172.16.0.1 komşuma
diyorumki senin dfault routun benim benim üzimden default route
alabilrisin ,
config network
edit 0
set prefix 192.168.10.0 255.255.255.0
end
config network
edit 0
set prefix 192.168.11.0 255.255.255.0
end
config network
edit 0
set prefix 192.168.12.0 255.255.255.0
end
config network
edit 0
set prefix 10.150.24.0 255.255.255.248
next
yada ;
config router bgp
config redistribute connected
set status enable
end
config network
altında bizler sahip olduğumuz ve anons yapmak istediğimi
networkleri tanımlıyor ciscodaki network 0.0.0.0 mask 0.0.0.0
komutu ile aynı mantıktadır fakat yazılırken edit 0 diyilerek yeni bir
ve tek network anaos edebiliriz
her edit 0 altında tek ip anaos edilir bu yüzden network anaos
ettikten sonra tekrar end – edit 0 diyerek yeni anons alanları
oluşturulur
yandaki kod blokları ile
192.168.10.0/24
192.168.11.0/24
192.168.12.0/24
10.150.24.0/28
Networkleri anaos ediliyor.
Yada ,
config redistribute "connected" iktif ederek lokalde tanımlı tüm
ipleri otomatik olarak anons edebiliriz , bur seçeneği seçmek büyük
networklerd sorun oalbilir ama küçük networklerde sourn
oluşturmaz .
keep-alive-timer , Hold Time ve advertisemen time default-originate
Bgp belli aralıklarla komşularını yoklar bunun için open mesajı yollar bu opan mesajında belli paketler olur bunlardan en çok kullanılanı
Keep ve hold dur .
Hold Time : Keepalive mesajı almadıktan ne kadar sonra komşuluğun biteceğini belirten süredir.
Keepalive : İki komşu Router (Peer) biribirlerine periyodik olarak bu mesajı gönderirler. Her 60 saniyede bir Keepalive mesajı gönderilir. Bu
mesaj sayesinde BGP komşuluğu Active olarak kalır.
config neighbor
edit "172.16.0.1"
set remote-as 100
set password "nek"
set advertisement-interval 260
set keep-alive-timer 25
set holdtime-timer 35
end
ile tanımlanır .
Ben bu tanımları A routeruna girersem B router komşusu için otomatik olarak B routerundada bu değerler geçerli olur . Bu değerlerin anlamı
şudur.
3/1 dir default olarak aşağıdaki gibidir.
Last read 00:00:03, hold time is 180, keepalive interval is 60 seconds
Bunun anlamı ise ; Her 60 saniyede bir komşusuna ordmaısın diye bir soru paketi yollar eğer bu soruya evet burdayım derse sıkınıt yok ama
bir cevap almazsa 60 sn sonra ( 120 sn ) 2. Bir ordamısın diye paket yollar bu sefer cevap alırsa sorun yok fakat 2. Sorduğundada cevap
alamazsa 60 sn (180 ( 3. Ve son kez ordmaısın diye sorar eğer yine cevap almazsa bu sefer komşuluğu düşürür ve komşuluk down duruma
gelir.
Yani bizim komşuluklarımızda bir sorun olrusa hold time süresi kadar bekler bgp bu zaman zarfında düzelmezse komşuluğu düşürür.
Last read diye bir dk değişkeni var bu değişken 60 saniyeye geldiğinde komşusuna ordamısın diye soru sorar cevap alırsa bu süreyi 0’lar ve
tekrardan 0 ‘dan saymaya başlar eğer cevap almazsa 60’dan sonra devam eder saymaya ve 60 saniye sonra yani 120 sn bir daha ordamısın
diye sorar eğer cevap alırsa süreri 0 lar cevap alamazsa 120’den sonra devam eder 180 sn son kez ordamısın diye sorrar eğer cevap almazsa
bu sefer komşuluğu düşürür ve saymaya devam eder , aşağıda 100 sn’deki bir keepalive mesajının süresni görmekteyiz.
Last read 00:01:33, hold time is 180, keepalive interval is 60 seconds
Diğer bu unsurda burda keepalive ne kadar ise hold time bunun 3 kaı olur aşağıda ankara_sube_fw konfgte
35 – 25 girilmesine rağmen 35’E 11’in otomatik aktif olduğunu görüyoruz
mardin_merkez_fw # get router info bgp neighbors 172.16.0.1
BGP neighbor is 172.16.0.1, remote AS 100, local AS 100, internal link
BGP version 4, remote router ID 172.16.0.1
BGP state = Established, up for 00:14:40
Last read 00:00:03, hold time is 35, keepalive interval is 11 seconds
Configured hold time is 180, keepalive interval is 60 seconds
Neighbor capabilities:
Route refresh: advertised and received (old and new)
Address family IPv4 Unicast: advertised and received
Address family IPv6 Unicast: advertised and received
Received 881 messages, 3 notifications, 0 in queue
Sent 965 messages, 26 notifications, 0 in queue
Route refresh request: received 0, sent 0
Minimum time between advertisement runs is 30 seconds
ankara_sube_fw # get router info bgp neighbors 172.16.0.2
BGP neighbor is 172.16.0.2, remote AS 100, local AS 100, internal link
BGP version 4, remote router ID 172.16.0.2
BGP state = Established, up for 00:08:39
Last read 00:00:10, hold time is 35, keepalive interval is 11 seconds
Configured hold time is 35, keepalive interval is 25 seconds
Neighbor capabilities:
Route refresh: advertised and received (old and new)
Address family IPv4 Unicast: advertised and received
Address family IPv6 Unicast: advertised and received
Received 844 messages, 2 notifications, 0 in queue
Sent 930 messages, 20 notifications, 0 in queue
Route refresh request: received 0, sent 0
Minimum time between advertisement runs is 30 seconds
advertisement-interval
:
Bu alanda tanımlanan saniye ile router sahip olduğu networkleri anos edeceği aralığı belirtir , Bu alanda otomatik bir sayaç varıdr bu bu
sayaç 30 sn de bir networkleri komşuya update edilmesini sağlar , Yukarıdaki çıktıda Minimum time between advertisement runs is 30
seconds alanında ilgili değerleri görebiliriz.
set capability-default-originate enable
Komdu komşsunun altına tanımlanırve o komşuya default route olarak kendimizi tanımlamamızı sağlar , Örneiğin bgp üzerinden bir
komşumuza default routea anons edebiliriz . böylece diğer routerda 1 sey yapmak gerekmez .
BGp ile Yedekllik :
Yukarıdaki örneği referans alırsak iki router iki hat üzerinden komşuluk kuruyor bgp’de hold timr düşük tutulursa olası kopmlarda
kullanıcılar kesintiyi en alt düzeyde hissederler , Ayrıca şube tarafının internet çkışlarındaki default route sorunudada merkezden set
capability-default-originate enable komutunu vererek sube tarafına bgp’den aktarıyoruz
MONITOR
Router mensü ile monitör edebileceğimiz servislerin görüldüğü alandır bu alnda benim versionuma göre sadece Routing Monitör
vardır ,
Router / Routeing Monitör
Cihazmızın yölendime tablsonun olduğu ekrandır bu ekrandan roting işlemlerimizide görebiliriz.
Benim detaylı bir network yapıl olmadığı için kendi üzerine tanımlı olan networkleri conncted olarak gösteriyor bunla birlikte Dhcp
serverdan aldığı default route’da tyine bu tabloda göebilmekteyiz.
FIREWALL OBJECTS
Firewallımız için genel olarak sağda solda kullanılacak lan bir takım objelerin oldturulduğu alandır , Bu alanda obje mantığı ile fortigate
yönetşmizi çok daha esnek ve çok daha merkeziyetçi bir şekilde yönetebilrii.z Örneiğin burda bir server ipsi tanımlıyabiliriz daha sonra bu
server ipisni değiştiği zaman sadece merkez obje üzerinde değişiklik yparak tüm firewalımızda etkin olmasını sağlıyabiliriz.
Örnek 1-) Bant genişliği diye bir obje oluştururum bu onjeyi bir çok yerden kullandıktan sonra dğeişiklik yapmak istersem tek tek her yeri
gezmek yerinde sadece objemi değiştirerk bu değişikliğin etkin olmasını sağlıyabilirim.
Firewall objelerinin yönetildiği alandır , bunlardan en çok kullanılan , polciy kurallarını uygularken ip adresinlerini bir
editiket ile oluşturup aslında policylerde ipler yerinde firwallıumzda bu etikleri ayarlarız. Örnek vermek gerekirse
ALL > diye bir etiketimiz var o etikete 0.0.0.0/0.0.0.0 olacaktır , böylece bizim all diye kullandığımız tüm etiketler aslında
0.0.0.0/0.0.0.0 ipsini kullanmış olacağız.
Örnek 2-) Server ipsimzi var 192.168.100.50/24 diye server onjei larak oluşturup bunu kullanıyoruz . Daha sonra bu server
ipsi değiştiği zaman sadece onjemizde bu değişikliği yapmak yereli olur , Böyelce polciylere dokunmadan değişikiğin etkin
omasını sağlıyabiliriz.
Adress : Adres onjelerin oluşturulduğu alandır , daha onra bu
objeleri guruplandıabirizde.
Service : Servis objelerinin oluşturulduğu alandır , Daha sonra bu
objeleri gruplandırbailirizde
Schedule : Zaman objelerinin oluşturulduğu alandır , Daha sonra bu
objeleri gruplandırbailirizde
Traffic Shaper : Trafiğimizi şekillendimek için bantgenişlikleri
objelerinin oluşturulduğu alandır , Daha sonra bu objeleri
gruplandırbailirizde
Virtual Ips : Port ve ip yönlendirilmelerinin yapıldığı objelerinin
oluşturulduğu alandır .
Monitör : Objelerimizin monitör edildiği alandır.
ADRESSS / ADDRESSES
Adres onjelerimizin oluşturulduğu alandır , Bu alnda networküzde kullanacağımız ipleri ve network iplerini obje oluşturarak daha sonra bu
onjeleri grıuplandırrabiliriz.
Menü > Firewalll Onjects > Adress > Addresses > Create New
Bu adres onjesinde ;
Name : objemizin ismini “ c_kampus “
Type : Adresimizini tipi “subnet “
Subnet / Ip Range : ip adresi ve subnetmask “
192.168.12.0/23
Interface : Bu adresin ilgili olduğu interface “
port4 (c_kampus) “
Show in address List : bimiyorum
Comments : Açıklama “ c_kampus_network ipsi
“
Yuarıdaki örnek bir netork yapısındaki ip objelerinin yapılandırma listesi görülmektedir , görüleceği üzere ilgili ip aralıkları tanımlanmıştır.
ADRESSS / GORUPS
Oluşturudğumuz network onjelerinin daha genel yönetimi için gruplandıoldığı alandır ,
Menü > Firewalll Onjects > Adress > Groups > Create New
Yan tarafta c kampusune ait olan 192.168.14.0/23
ve 192.168.24.0/24 network onjeleri “c_kampus “
adı altında birleştirilmiştir.
Aşağıdaki adress gruplarını görmekteyiz , burada her yerleşke için bir grup oluşturulmuş ve o yerleşkeye ait ip ıobjeleri bu grupların altında
toplanmıştr
SERVICE / SERVICES
BU alnda fortigate üzerine kullancağımız servisleri ve bu servisleri kullandığı portları yapılandırdığımız ve gruplandırdığımız alandır ,
Örneiğin özel bir ERP programız var ve bu program 8500 – 8501- 8502- 8565 portlarını kullanıyor olsun . Bu bu alnda bu portlardan
oluşan özel bir ERP servisi diye servis tanımlıyabiliriz.
Daha sonra eğer iki’ veya daha fazla öyle tanımlanmış servisimiz var ise bunları bu grup altındada toplayabiliriz.
ERP dışında İK içinde başka bir prgram varsa oda 9864 portu kullanıyor onun içinde bir servis onjesi tanımlandır ve daha sonra group
altında ERP ve İK ‘yı tanımlayıp şirket servisleri diye bir leştirip bunları yönetebiliriz.
Menü >Firewall objects > Services > Services > Create New
NEK_ERP adında yeni bir servis tanımlıyoruz
Bu servis 8500 ‘den 8505’e kadar TCP portlarını
içeriyorz
Buarada source öneli değildir esas olan destination
portladır o yüzen sadece detsiation tanım yapmamız
yeterli olacaktır.
Oluşturduğumuz servis objeleierini bu alnda goruplandırabiliriz.
Menü >Firewall objects > Services > Groups > Create New
NEK_ERP_YAZILIMLARI isminde bir grup oluşturup NEK_IP
ve NEK_ERP servislerini bu gruba dahil ediyoruz.
Aşağıdaki Servis groups’un genel görünmü mevcuttur.
SCHEDULE / SCHEDULE
Görev zamanları , bu alanda cihazımıznda kulalnacaımız zaman objeleirni oluşturabiliriz. Daha sonra bu objeleri prolciylerde
uygulyababiliyoruz , Örneiin mesai içi diye bir zaman oluşturup bu zaman dilimini media uygulamlarının mesai saatleri içinde
yasaklanması içşn kullanabilirim , Yada mesai dışı diye bir zaman objesi oluşturup bu objeyi ilgili polciylere uygularak mesai içinde ve
dşında arklı rafik akışı politikaları belirliyebilirim.
150 kişilik bir gündüz vardiyası var diyelim bu groupun bantgenişlik performansını artırmak için videoları , sosyal mediayı , online
oyunları vs vs yasaklıyan bir poliy oluşturup . Birde 20 kişlik bir gece vardiyası vardır tabi 20 kişinin kullanacağı bantgenişliği düşük
olacağı için benim onlara kısıtlama politikaları uygulamama gerekyoktur o yüzden 2. Vardiyanın her şeyini serbest yapabilirim.
Bu şekilde farklı zaman dilimleri için farklı politikalar belirliyebilirim.
BU zaman politikaları 2 türlüdür bunlar ;
Recurring Schedule : Her zaman aktif olacak bir zaman politika objesidir.
New One-time Schedule : Tek sefer çalışacak zaman politka objesidir.
Recurring Schedule
Manü > Firewall > Objects > Schedule > Schedule > Create New > Recurring
Her zaman aktif olacak bir zaman politika objesidir. Yani burda oluşturduğumzu zaman objesni her zaman kullanabiliriz , Belli bir zaman
aralığını yada kullanım ömrü yoktur , Örneiğin mesai saat diye bir obje oluşturup işte pazartesden – cumaya 8 – 17 zaman aralığını seçeriz
ve bu obje her zaman kullanılbilecek bir şekilde hazır olur .
Yukarıdaki zaman objesinde Mesai saatleri diye bir isim verdim ve bu objemin mesai saatleri olan Pazartesi Salı çarşnba Perşembe ve
Cuma günleri 08:30 – 17:30 arasında çalışacağını ve aktif olacağını belirledim.
New One-time Schedule
Belli zaman aralıklarında tkfi olacak firewall objesi oluştururz , bu alanda oluşturudğumuz objenin bir başlama ve bitme zamanı vardır v
sadee o zamanlar arasında aktif olur , o zamanalr dışında objemiz çalışmaz , Çok fazla kullanılan bir seçenek değildir , Genellikle
operasyonel zamanlar kullanır örneiğin benim gece 02:00 ile 04:00 araında 2 saatlik bir network operasyonum vardır , bu zamanlar
firewalumun alışagelmiş s sıkı ve takı politakları yerinde her şeyi serbest odluğu bir polika oluşturuş o zaman zarfındada network
operasyonumu herhangi bir engellem sorunu olmaksızın çalıştırabilriim . Zaten 2 saat sonra politikam pasif olacaı için herhangi bir güvenlik
açışı oluşturmaz.
Manü > Firewall > Objects > Schedule > Schedule > Create New > New One-time Schedule
ERP VE VOCICE OPERASYON isminde bir zaman objesi oluşturyoum ve bu objenin 2014.07.08 tariinde 23 ile 24 arasında aktif olmasını
sağlıyorum . böylece o zaman diliminde oluşturuğum policylerime bu amanobjesizini isediğim gibi ekliyebilirim böylece sadece belirttiğim
1 saatte araılığında aktif olacak daha sonra pasif olacaktır.
SCHEDULE / GROUPS
Yukarıda oşuştrudğumuz zamanobjelerini groupandırbailriiz bir çatı altında toplarız ve yönetimini dah esnek v daha kolay bir hale
getirebiliriz.
TARAFFIC SHAPER / Tarafik Şekillendirici
Bu alanda tarafikiğiiz için band genişlikleri oluşturarak bunları ile polciylerde kullanabiliriz. Örneiğin bizim bir lab zonuuz
var ve bu alanda internet kullanıyor kullancılar , bu alnda multimedia aşğırı kullanılmayacağı için bu zonumuzun internete
çıkışlarında 1Mb gibi sadece dökümantasyon okumalarını ve internette gezinmelerini sağlıyacak tarafik bantgenişliğini
kendilerine sunabilriiz. Yada Suncularımız var biz tarafiğimizin büyük bir kısmını sadece suncularımızın kullanmasını
sağlıyabilriiz.
Bu alnda oluşturaln traffic shaperlar sadece birer nesnelerdir , bunları esas olrak polciylerde kullanıyoruz.
“ Traffic Shaping ile network trafiği, paket sınıfı, kuyruk disiplini vs kriterlere göre kısıtlama yapılabilir.
Böylece kendi iş önceliğimize göre trafiği şekillendirebiliriz. Ftp ve web hızını düşürüp SQL
bağlantılarının performansı garanti altına alınabilir. Bunu policy bazlı yapabildiğimizden ZAMAN ve kişi
bazında düzenleme yapılabilir.”
Garafik arayüzü ;
Menü > Firewall Objects > Traffic Shaper > Ceate New
Ankara_sube isminde bir bantgenişliği oluşturuyoruz , .ve bu bantgenişliğinin trafik deperş maximum 4 Mb ,
İlgili Polciylerde
Traffic Shaping : Aktif ediyoruz
Shared Traffic Shaping : (Paylaşılan Trafik Şekillendirme ) Bu alanda kaynağın hedefe giderkenki kullanacağı ban
genişliğini beliyoruz. Bu seçenekte bu kullanıcı internetten bir şey indirdiği yada video izlediği zaman etkilenmez çünkü bu
seçenek sadece kaynağı hedefe olan tarafiğini belirliyoruz .Ama diyelimki bir web suncumuz var o zaman u seçenekte
kaynak lokal olduğu için dılarıya paket çıkışlarında seçilmiş olan bantgenişliğini uygular.
Shared Traffic Shaping Reverse Direction : (Paylaşılan Trafik Şekillendirme Ters Yön ) Bu seçenek ile birlikte ilgili
polciyden hedeften kaynağa gelirkende uygulanacak tarafik bantgenişliği kartı seçiliyor. Örneğin bu alnda 1 mb bir kart
seçersek kullancılar internette gezinirken hedeften loakal ynai ters trafik aktığı için 1 mb kullanılır bantgenişliğini.
Buna ek olarak Per-Ip tarafic de vardır oda yanıdır sadece ondan maximimum bağkantıda seçebiliyoruz
Traffic Shaping – PER –Ip
İp başına düşen bandgeişliği , bu aldna oluşturudğumuz bandgenişliğini bellir grıuplar araısnda değil her ip başına düşecek
şekidle ayarlıyabiliriz. Örneiğin 8mb hattım var bunu 30 kişi kullanıyor , bu durumda her ip için 273 kb bir bangenişliği
ayarlıyabilirim .
Bu şekilde interneti hoyratça kullanaın birnin bangenişliğini baltalamasına izin vermeyip herkesin eşit ve adil bir
bandgenişliği kullanım paylaşımı yapabilirim.
Menü > Firewall Objects > Traffic Shaper >Per-IP > Ceate New
Menüsüden oluşturulur ;
Utgulama :
Policy altında > traffic shaping aktif edilir
Direction seçeniği seçilir
Per-ıp traffic shaping seçneiği aktif edildikten sonra ilgili firewall objesi olarak oluştruduğumuz obje seçilir.
Vırtual Ips
Port Yönlendirme / port forwarding / Virtual IP / VIP
Dışardan herhangi bir portuma herhangi bir prtotokülün herhangi bir portua gelen istekleri iç networkümüzdeki
başka bir ipye yönlendirilmesidir. Genel olarak , kamera sistemlerinin internet üzerinden zilenmesi , web
sunucumuz yayınlanması , uzakmasaüstü teleplerinin serverlara gitmesi , vs vs çoğaltabiliriz bunları .
Fortigate firewall olduğu için cisco yada linu tablı olduğu gibi sadece port yönlendirmek yeterli değildir bunla
birlikte tıpkı juniperde oldğu gibi ilgili polciyleride yapılandırmak gerekiyor , Aşağıdaki örnekte port yönlendirmeyi
detaylı olarak anlamak mükünüd.r
Port Yönlendirme Seneryosu -1
Şekildeki gibi Çift wanımız ve içerde faliyet gösteren 3 tane serverımız var ,
Amaç ;
1-) Wan 1 ve Wan 2’e gelen ERP uygulamaızın portları olan -8765 arasındaki portları uygulama serverımız
olan192.168.10.5’E yönlendir.
2-) Wan 1 ve Wan 2’e gelen http / https 8080 isteklerini Linux web serverımıza 80. Port üzerinden yönlendir.
3-) Wan 1 ve Wan 2’e gelen uzak masaüstü isteklerini 3389 yani default portutan gelen istekleri içeride
Windows server 2012 yani 192.168.10.6’a 3389 porttan yönlendir.
1-) Port Yönlendirmler Yapılır
Menü >Firewall Objects >Virtual IP > Virtual IP > Create New
Bu alnda port eşleşmelerini yapıyoryuz .
Benim buda yaptığım eşleşme ;
Wan 10 üzerinden 192.168.1.100 ipsine
gelen 3389 isteklerini 192.168.10.6 ipsinine
3389 portundan yönlendir.
External ip : dış bacak
Mapped : İç networkteki server ipsiz
External service port : Dış istek portu
Map to Port : İç networkteki hedef port
Ayrıca color seçip fazla yönlendielerin
odluğu FW yönetimi kolaylaştırbailiriz.
Yukarıda görüldüğü gibi tüm port yönlendirmlerini başarılı bir şekilde yapmışış ,
2-) Port Yönlendirmlerini Grouplandırıyoruz
Menü >Firewall Objects >Virtual IP > VIP Group > Create New
Yukarda oluşturudğumuz yonlendimleri
bu alnda grouplanıdrıyoruz , Böylece
polciylerde daha kolay bir şekilde
uygulayabileceğiz.
Wan2_port_yönlendirme isminde
İlgili interface Port8 ( Wan 2 )
Wan 2 olduğu için yukarıda wan 2’ye
tanımladığımız port yönlendimelerini
göebiliyoruz sadece gruplandırma
yaparken .
Yukarıdaki görüldüğü gibi ilgili port yönlendimeler gerekli şekilde gruplandırılmıştır.
VIP Groups > port yönekendirmelerini grouplandırbailiri bu alanda,
VIRTUAL Ips / IP Pools
Dış bacak olarak tek bir ip değilde bir havuzumuz var ise örneiğin /28 bir havuz var haliyle bu havuzun 14 tane kullanıbailir dış baçak
nternet ipsi olacaktır bunlara gelen istekleri toplu şekilde bu alnda yönetebiliriz ,
Monitör
Monitör / Traffic Shaper Monitör
Traffic sahaper larımıznı monitör ettiğimiz alandı
Security Profiles
Güvenlik politkalarının belirlendiği alandır bu alnda antivirüs’ten url filtreleme kadar bir çok ayar yapılabilir.
Antivürs : Firewall üzerinden geçen paketlerin UTM olarak
antivirüs koruması sağlar
Web Filter : Web filitreleme yapılmasını sağlar , url filitreleme gibi
içerdir contend te filitreleme mümkündür
Application Control : Networkümüzde kullanılan uygulamalrın
yönetildiği alandır .
Intrusion Protection : Zafiyet tarafaması , networkümüzde oluşacak
olası güvenlik açıkları için zafiyet tarafası yaparak bizleri falaketler
öncesinde haberdar ederek güvenlik önlemleri almamızı sağlar.
Client Reputation : Bilmiyoum ne işe yaradığını .
ANTİ VİRÜS
Firewall üzerinden geçen paketlerin UTM olarak antivirüs koruması sağlar , İki mod vardır bunalr proxy ve Flow-based
Anti virüs için birden fazla profil oluşurulabiliniliyor , Bu farklı anti virüs profilleri değişik polcylerde kullanbabiliriz. Anti virüs
porfillerinde şu servisler kullanılabilir.
Web : http
Email : smtp pop3 IMAP
File trasfer : Ftp SMB
Protokolleri için kullanabiliriz biz bu profilleri . anti virüs
fortigate ile g-birlikte gelmesine rağmen kulnanım için lisansa
ihtiyaç duyarız bir lisans aldıktan sonra eğer süresi biter ise
yine anti virüs açık olur ama bu sefer güncellemleri yapmaz ,
anti virüslerin güncel olmasından dolayı güncelleme
yapmıyan bir anti virüs yazılımı bizim pekte fazla işimizi
görmez anca piyasda var olan genel virüslere karşı bizi korur
yada en son databasinde kaln imzalara göre güvenlik sağlar.
AntiVirus > Profiles
Altında New diyerek yeni bir anti virüs politikası belirliyebiliriz ,
bu plitikada ykarıda belirttiğim protoklerden hangisnin
kullanılacağınıda aynı zaman seçebiliriz
WEB FILTRE
Web filitreleme politikalarımızın yapıldığı aladnır , Bu alanda birden fazla web filitreleme politikası yaparak çeşitlik şekillerde
arklı polcylerde bunları kullanabiliriz.
Web fililtreleme lisanslı olduğu için özelliği kullanmak için aktif bir tane liansımızın olması gerekmektedir ,
WEB FILTER / Profilies
Sağ üste bulunan create new + butonuna tıklıyraka yeni bir politka oluşturabilriiz ,
Aşağıdaki web filitreleme politikamıza detaylıca inceliyeck olursak bölüm bölüm ;
Fortigate’te web filitreleme aşağıdaki başlıklar altında toplanabilir.
Allow : Bu katageori altınaki içeriklere izin verir.
Monitör : Bu katagori altındaki içeriklere izin verir fakat öel olarak monitör ederek raporlama sunar ,
Bloack : Bu katagorideki içeriklere izin verme engelle.
Warning : Bu katagorti altındaki içeriklere belli zaman aralılığınca yasakla o zaman dilimi geçtikten sonra aktif olarak izin verir.
Authenticate : Kimlik doğrulama yaparak izin veriri.
Local Categories : lokal networkümzdeki bir takım içeriklerein tanımlandığı alandır.
Adult / Mature Content : Yetişkin içerik , Burada kumpar bahis xxx gibi katagoriler mevcuttur.
Bandwidth Consuming : Ban genişliği sömürücü : Bu alnda bizim band genişliğimizi sömüren alt katagoriler vardır bunlar ;
File Sharing and Storage : Dosya paylaşımı ve depolama ; rapidshare , dosya.tc , filesave gibi dosya
sitelerinin var olduğu katagoridir.
Freeware and Software Downloads : Yazılım ve dosya indirme , tamindir , inddir , vs vs
Internet Telephony : İnternet telefon siteleri ,
Internet Radio and TV : Rodyo ve tv siteleri startv.com.tr , atv.com.tr gibi.
Peer-to-peer File Sharing : Uçtan uca dosya paylaşımı
Streaming Media and Download : Media ve dowload siteleri , örneiğin muhammetyildirim.com ‘daki
herhangi bir video
Quota on Categories with Monitor, Warning and Authenticate Actions : Bu sçenek ile yasak olan
catagorilerde belli bir zaman izin vermemize yardımcı olur :
Örneiğin oyun yasak ama ben perosnlerrin 1 saat oyun catagerisinde gezinmelerine izin veririm.
Yada multimedia yasak ama ben her perosnelin 30 dk boyunca multi media kullanmasına izin
vererek 30 dk lık bir kota uygulayabilirim.
Securty Risk : Güvenlik risklerinin toplandığı katagori , serils.com gibi.
General Interest - Personal : Personel için uygulanacak içerik ,
General Interest - Business : Yöneticler için uygulanacak web filitreleme içeriği .
Unrated : derecelendirilmemiş
Enable Safe Search : ile güvenli arama sitelerini etkinleştirebiliriz.
Enable Web Site Filter : İle elle web siteleri ekleyip bunları monitör edip yada engelliyebiliriz ,
www.muhammetyildirim.com gibi tam adres yazılmakla birlikte sadece muhammet eklenerek içinde
muhammet geçen hiç bir url ‘yi açmamasını sağlıyabiliriz.
Block Invalid URLs : Geçersiz url leri engelle ,
HTTP POST Action : İle http sayfalarını arka planda başka bir sayfa açılmasına izin verip yada
engelliyebiliriz.
Remove ActiveX Filter : ActiveX filitresini kaldırıyoruz
Remove Java Applet Filter : Jaba için filitreyi kaldır .
Remove Cookie Filter : Cookie ler için filitreleri kaldırın
Log all search keywords : Tüm arama anahtar kelimeleri Log
Provide Details for Blocked HTTP 4xx and 5xx Errors : Engellenen HTTP 4xx ve 5xx Hataları Ayrıntıları sağlayın
Rate Images by URL (Blocked images will be replaced with blanks) : URL'ye göre oranı Görüntü (Bloke görüntüleri boşlukları ile
değiştirilecektir)
Web Content Filter : Web İçerik Filtreleme
Allow Websites When a Rating Error Occurs : Bir Değerlendirme Hata Oluşuyor web sitelerine izin
Rate URLs by Domain and IP Address: Domain ve IP Adresi oranı URL'ler
Block HTTP Redirects by Rating : Blok HTTP Derecelendirme yönlendirir
Allow Blocked Override : Kullanıcı bazlı filitrelme yapmak mümkündür
WEB FILTER / Rating Overrides
BU alnda ilgili ilgili katagoriler için yeni siteler oluturbailiyoruz , Oluşturudğumuz site kayıtlarını ilgili katagoriler altında
WEB FILTER / Web Overrides
Filitreler için kullanıcı yetkilendimlerinin oluşturulduğu alandır . Lisans olmaıdğı için detaylı test edemiyorum
APPLICATİON SENSORS
Uygulamlarımızın kontrollerinin ev yönetiminin ağladnığı aldnır , Tüm uygulamlar ve imzaları bu balık altında tanımlanır ve bu
uygulamlardan hangisine izin verip hangisine yasak yetirileceiğini ayarlıyabiliriz.
Yeni uygulama ekleme ; Menü > Security Profiles > Application Control >Aplication List > Create New
Daha sonra ekli uygulamları application sensors ekranında düzenliyebiliriz.
Sağ üste bulunan Create new butonu ile yeni application politikası belirliyebiliriz. Daha sonra bu politasaya uygun uygulamları
bu politaka başlığı alıtına yönetebiliriz.
Bu alanda uygulamları ;
Monitör ederek izleyebilir ve loglayabiliriz
Bloack diyerek uygulamalrın çalışmasını engelliyebiliriz
Traffic Shaping ederek uygulamlara belli bir bantgenişliği sağlıya biliriz , Örneiğin oyun oynama yasak değil ama 100 kb band
genişliği ile oynasınlar böylece benim trafiğimi engellemesinler , yada dosya pyaşımı aktif oslun ama düşük bantgenişliği ile
kullanılabilsin
Ben yukarıda traffic shaping uygularak youtube uygulamalrını düzşük bantgenişliğinde kulanımasını ayarlıyorum . Daha sonra
hangi policylerde bu aktif olacaksa onalrı seçiyoruz.
INTRUSION PROTECTION
İzafiyet taraması , networkümüzde ve sistemimizde ilerde oluşabilecek olası sorunlar için genel taramlar yapar.
İlerde daha detaylıca anlatım yapacağım .
CLIENT REPUTATION
İlerde daha detaylıca anlatım yapacağım .
USER & DEVICE
Cihaz için gerekli olan kimlik doğrulmların yapıldığı alanlar
için obje oluşturulduğu alandır .
User : Kullanıcılar oluşturulduğu ve grouplandırıldığı alandır ,
İstenirse LDAP server TACAC+ ve RADIUS serverdan
kullanıcılarımızı çekerek sekronize edebiliriz.
Device : Networkümüzde oluştrudğumuz cihazlaırın
oluşturulduğu alandır .
Authentication : Kimlik doğrulama alanların
yapılandırmasının yapıldığı alandır , istenirse bu alan LDAP
server , RADIUS Server gibi server ile sekronize edebiebilir.
Endpoint Protection : Fortinetin son kullanıcı denetim yazılımı
olan FortiClient ları ayarladığımız ve yönettiimiz alandır .
Monitör : Bu ilşlerin monitörüize ediliği alandır .
Two-Factor Authentication :
Not : Bu alandaki özelliklerle ilgili ilerde detaylı şekilde alıştırma yapılacaktır.
VPN
Fortigate üzerinde client to site ve site to site olmak üzere iki vpn çeşidi yapılabilir ,
Client to site için : SSL VPN
Site to Site : IPSEC VPN
Kulalnılır ,
IPSEC : Site to site ve client to site olmak üzere iki türlü
vpnde yapmak mümkünüdr.
Client özel bir yazlım ile internet üzerinden fortigate loigin
olup ordan sonra vpn işlemini gerçekletiriyor
SSL-VPN Client to Site : Kullanıcı internet üzerinden özel bir
yazlımıa dahi ihtiyaç duymadan kolaylıkla eriişebilir ve
gerekli hizmetleri alabilir
Not : Bu alandaki özelliklerle ilgili ilerde detaylı şekilde alıştırma yapılacaktır.
IPsec Güvenlik Nasıl Sağlanır ?[değiştir | kaynağı değiştir]
IPSec’ in güvenlik mimarisini oluşturan üç temel unsur vardır:
1.Bütünlük (integrity); hedefe ulaşan verinin kaynaktan gelen veri ile aynı olup olmadığı kontrol edilir.
Ağ üzerinden gönderilen mesajın gerçekten gönderilen mesaj olup olmadığını anlamak için, mesajı
alan bilgisayarın hesapladığı mesaj özeti (message digest) değeri ile mesajı gönderinin ilettiği mesaj
özeti değerleri karşılaştırılır. Sonuç farklıysa iletilen mesaja iletim sırasında müdahale edildiği anlaşılır.
Mesajları özetlemek için MD5 ve SHA-1 algoritmaları kullanılır.
2.Kimlik doğrulama (Authentication); iletişimde bulunan her iki tarafın da birbirlerinin kimliklerinin
doğrulanması için kullanılır. İletişimde bulunan bilgisayarların birbirlerinin kimliklerini doğrulamaları için
aynı kimlik doğrulama metodunu kullanması gerekir. IPSec protokolünü kullanarak iletişim kuracak
bilgisayarlar, kimlik doğrulama işlemi için çeşitli yöntemler kullanabilirler. Bunları şöyle sıralayabiliriz:

Önpaylaşımlı anahtar (preshared key) (MS-CHAP)

Kerberos (Windows tabanlı ağlar için)

Sertifika yetkilisi (certificate authority)
3.Gizlilik (Confidentiality); gönderilen verinin ağ üzerinden şifrelenmiş bir şekilde iletilmesini
belirtmek için kullanılır. Bu durumda, ağdaki paketler bir izleyici (sniffer) aracılığıyla yakalansalar bile
içerikleri şifrelenmiş olduğu için taşınan verilerin üçüncü şahıslar tarafından okunması engellenmiş
olur. Şifreleme işleminde en çok kullanılan yöntemler DES ve 3DES yöntemleridir.
Bu işlemler yapılırken veri paketi farklı algoritmalarla şifrelenir. Bu işleme Encrypiton denir. Veri
paketi hedefe ulaştığında şifrelenen veri paketi açılır ve kullanılabilir hale getirilir. Bu
işlemede Decryption denir.
IPsec çift mod end-to-end ise, İnternet Katmanı Internet Protokolü Suite Yaklaşık Katmanı
3 OSI modelde olduğu güvenlik düzeni işletim. SSL, TLS ve SSH gibi yaygın kullanımı, bazı diğer
Internet güvenlik sistemleri, bu modellerin alt katmanlara faaliyet, SSL VPN bir örnek olmaktır. Çünkü
trafiği korumak için kullanılabilir. Çünkü uygulama kullanımı ise IPsec kullanmak için tasarlanmış
olması gerekmez. IPsec daha yığıtın bir alt düzey olarak bir at çalışma, esnek TLS / SSL veya diğer
yüksek katman protokolleri bu düzeyde uygulamaların tasarım dahil olmalıdır.
IPsec Protokolleri[değiştir | kaynağı değiştir]
IP Doğrulama Başlığı[değiştir | kaynağı değiştir]
Çeşitli matematiksel algoritmalar kullanılarak gönderilen veri paketine bir numara verilir. Daha sonra
veri paketi hedefe ulaştığında aynı algoritma kullanılarak verilen numara tespit edilmeye çalışılır.
Gönderilen veri paketi ağ üzerinde herhangi bir değişikliğe ve veri kaybına uğramışsa numara farklı
olacağından veri paketi kabul edilmez.
IPsec protokolleri IP datagramlarının bütünlüğünü korumak için hash mesaj
doğrulama kodlarını (HMAC) kullanır.
MD5 ve SHA gibi hash algoritmaları kullanarak IP datagramı ve bir gizli
anahtarı temel alan HMAC'i çıkartırlar.
Daha sonra bu HMAC IPsec protokol başlığına eklenir ve paketin alıcısı eğer
gizli anahtara erişimi varsa bu HMAC'i kontrol edebilir.
Kapsüllenen Güvenlik Yükü[değiştir | kaynağı değiştir]
IP Doğrulama başlığı tarafından numarası verilmiş IP paketlerini bizim belirlediğimiz algoritmalar
yardımıyla şifrelemek ve hedefte aynı algoritmalar yardımıyla şifrelenen paketi açmaktır. Bu
işlemi IP paketlerini kapsurulur ve istemciden istemciye olan iletişim, tünel protokolü kullanılarak
kapsüllenir. Kaynak ve hedef istemci bilgisayarların, IPSec kullanacak şekilde konfigüre edilmelerine
gerek yoktur ve bu yüzden yerel ağda IPSec protokolü tarafından desteklenen herhangi bir LAN
protokolünü (örneğin TCP/IP, IPX/SPX, AppleTalk, NetBEUI) kullanabilirler. Bu modda, geçityolu bir
tünel server, router, firewall veya VPN cihazı kullanılabilir.
WİFİ CONTROLLER
Networkümüzdeki FortiAP’leri yönetmemizi sağlıyan aryüzüdr, Bir ap networke dahil odluktan sonra otomatik olarak bu
controllera login olur ve daha sonra bu controller üzerinden update işlemleri yayın yönetimi , client izleme , sinyal yönetimi gibi
bir çok yönetimiin sağlandığı alandır ,
Not : FortiAP’ler sadece fortigate networklerde çalışmaktadır onun dışıdna standalone olarak çalışmazlar.
LOG & REPORT
Log Config : fortianalzyer ve fortibulutunda logların saklanması
WAN OPT. & CACHE
Wan ve cach operasyonlaırmızın yapıldığı alandır .
POLICY
Fortigate Policy Yönetimi
Policy networklerde trafiği yönetmemize yardımcı olan araçlardır . Policy lerdi detaylı şekilde yapılandırarak network
akışımı A’dan Z’ye düzeniyebilriiz. Forigate policy ayarları çin ana menu > Policy altında tanımlanır.
Defaulttta Deny all/ deny olarak bütün network akışlarını ve tarafiği kpatan bir policy vardır , böylece fortigate kapalı
olarak hazır olur biz izin vermek istediğiğimiz akışları açarak izin veriyoruz.
Not : Policy sadece trafaiği analiz edip aksiyon alır ama policylerin çalışması için Routing dediğimiz her türlü yönlendirme
işlemlerinin yapılmış olması gerekyor. Roting ile networkleri detaylıca yönlendiririz policy ile bu networklerdeki tarafik
akışlarını düzenliyebiliriz. İkisi bir birinden ayrıdır. Ama ikisininde bir biri ile onay lar olmadlıdır.
Örneiğin : Eğer bir 192.168.20.0 diye bir networke roting var ise policylerdende bu networke erişim için onay verilmesi
lazım , çünkü yukarıdada dediğim gibi defaulta kapalı olur tüm tarafik.
Her şey Serbest;
Tüm networklerin , tüm conlardan ( portlardan ) tüm hedeflere giderkne her şeyi açık ve her şeye izin veren bir polciy
oluşturma
Temelde iki tür Policy vardır ;
-Firewall Policy
-Adress
-User Identity
-Device Identity
-VPN Policy
-Firewall Policy
Menü > Policy > Policy > Create New
UTM bazlı uygulanan pllicylerdir , BU policylerrde kaynak hedef ip , kaynak user , kaynak device olmak üzere 3 farklı
soruce göre uygulayabiliyoruz , En çok kullanılnı olan adress bazlı polciylerin ekran çıkıtsı aşağıdaki gibidir.
Policy tipini , policy subtype türünün belirlenip ,
giriş interface kaynak ip ve çıkış interface hedef
ip gibi bir takım ayarlar yapılıyor.
Schedule ile firewall objelerde oluşturduğumuz
ilgili zaman objesini kullabiliriz ,
Service : ile bu policyde izin verilecek servisleri
seçiyoruz , all yapılarak ehrşeye izin verilmiştir,
Aciton : ile bu policynin ststusunu beliyoruz , ben
burda ACEPT ederek izin vermişim yada DENY
verilerek yasaklamak içinde polciyler
oluşturulabilir.
Kaynak adres ve ipden gelen ipleri hedefe
giderken çıkış ipisine ve porta NAT’La
İstersek ip havuzuda oluşturup ordanda nat
yapmasını sağlıyabilriiz.
Policy’den geçen trafaiğini loglanııp
loglanmıyacağını ayarlaıdğımız alandır.
Bu policyde ugulanacak güvenlik politikalarını
belirlediğimiz alandır , Burda Securty pofile
alaında oluşturudğumuz değişik profilleri
uygulayabiliriz ,
Anti virüs Web filtre App. Control gibi çeşitli
başlıklardaki güvenlik önlemlerini aktif
edebiliriz.
Bu alanın aktif olması için ilgili lisansların
aktif olması gerekmektedir ,
Traffic shaping ( trafik şekillendiric ) bu alanda
daha önce oluşturduğumuz bant genişliklerini
aktif ederek ilgili polcinin bellir bir
kbantgenişliği kullanmasını sağlıyoruz ,
Sosyal media için bir shape olşturulmuş ve
bu shape 2048’e olarak bant geniliği verilmiş
ve bu shape bu polciyde aktif edilerek bant
geniliğinin 2048’dne yukar çıkmamsını
sağlıyoruz.
Shared Traffic Shaper – kaynaktan hedefe
giderken
Shared traffic shaper reverse direction : Karşı
yönlenden gelirkende bu bant genişliğini
uygula .
Enable web cache :
Wenable Wan optimazation:
Disclaimer
Comment
Gibi ayarlarda bu alnda yapılır.
VPn Policy :
Cpn bağlantılar için kullanılan policyler , policy type : VPn seçildiğinde aşağıdaki gibi bir ekrandan gerekli yapılandırma yapılır .
Burada kullanıcı kimlik doğrulama , Securty SSL-VPn portal türü Aciton gibi özelliklerde belirlenebilir.
Yukarıdaki alanda genel olarak tenik açıklamar yer almaktadır , aşağıda ise fortigate ile igli çeşitli konular yapılmış lab
çalışmalarımı yazıyor olacağım.
Fortigate Lab Çalışmalarım
NAT AYARLARI
Örnek seneryo şu şekildedir.
1-) Router > Policy Route > Create : İle yeni birer routing kuralı oluşturuyoruz , Böylece Firewall iki lokal
netwok içinde aşağıdaki şekilde policy oluşturulurçü.
Nedir ;Lokal port 3’den gelen istekler için dış bacak
olarak port1(Wan ) kullan ve getway olarakta
192.168.1.1 yani ADSL getwayine git .
Nedir ;Lokal port 2’den gelen istekler için dış bacak
olarak port1(Wan ) kullan ve getway olarakta
192.168.1.1 yani ADSL getwayine git .
2-) Policy > Policy > Policy > Create new :ile her iki network içinde birertane policy oluşturuyoruz ,
Source interface / zone :Burda iç lokal network interfaceimizi seçiyoruz ,
Source Adress :Burda all diyerek tüm kaynak networklerini kapsamasını sağlıyoruz
Source interface / zone :Burda iç lokal network interfaceimizi seçiyoruz ,
Source Adress :Burda all diyerek tüm kaynak networklerini kapsamasını sağlıyoruz
kuralımızın.
kuralımızın.
Destination interface / Zone :Burada dış bacak networkümüzün interfaceini
Destination interface / Zone :Burada dış bacak networkümüzün interfaceini
seçiyoruz.
seçiyoruz.
Destination Address :All diyerek tüm networklere giderken bu kuralıızın geçerli
Destination Address :All diyerek tüm networklere giderken bu kuralıızın geçerli
olmasını sağlıyoruz.
Schedule :Always kural her zaman geçerlidir.
Service : Bu kurala tabi olacak servisleri belirliyoruz , burda any diyerek tüm servisler
açılmıştır istenirse internet için ( http , https , dns ) açılarak sadece internet sağanabilir.
Aciton : Accept Kuralını aktif halde kalmasını sağlıyoruz.
Enable NAT : En önemlisi bu seçenek aktif edilerek bu kural çalışırken aynı zamandada
nat işlemininde yapılmasını sağlıyoruz ,
olmasını sağlıyoruz.
Schedule :Always kural her zaman geçerlidir.
Service : Bu kurala tabi olacak servisleri belirliyoruz , burda any diyerek tüm servisler
açılmıştır istenirse internet için ( http , https , dns ) açılarak sadece internet sağanabilir.
Aciton : Accept Kuralını aktif halde kalmasını sağlıyoruz.
Enable NAT : En önemlisi bu seçenek aktif edilerek bu kural çalışırken aynı zamandada
nat işlemininde yapılmasını sağlıyoruz ,
Ne Oldu : Bu seneryo test edilmiştir ve çalıştığı gözlenmiştir
Fortigate Load Balancing Aktif / Pasif Master Slave
Yukarıdaki gibi bir netork yapımız oldğuunu düşünelim , Wan 1 ve Wan 2 olmak üzere iki tane wanımız var ,
bunlardan Wan 1 bizim birincil yani master getwayimiz Wan 2 ise İkinci yani yedek hattımız olsun , Bu yapıya
uygul olacak şekilde fortigate cihazımızı yapılandıralım ,
1-) Wan 1 İp yapılandırması :
2-) Wan 2 İp yapılandırması : Bu noktada wan ip ipimizi dhcp’den alcaız bu yüzden interface altında bulunan “IP
address is in same subnet as the others.” Seçeneiğini seçerek dhcp’Den aynı zamanda kendisi
içinde default route almasını sağlıyoruz , İknci olarakta budefault routun distance değerini 15
yapıyoruzki esas default rouumuzu pasif etmesin , Distance değeri düşük olan master route olur.
3-) Fortigate için Default route oluşturuyoruz
4-) İki Wan içinde Policy oluştuuryourz : Burada Out portunu sırasıyla Wan 1 ve Wan 2 seçip Nat
seçeniğinide aktif etmemiz gerekiyor.
5-) Getwaylerimizi sürekli kontol etmek için ICMP ping aksiyonlarını başlatıyoruz , Bu konuyu daha
önce hiç yazmadığım için burda detaylıca yazacağım

Router > Static > Settings and select Create New Altında New diyerek ;
ECMP Load Balancing Method olarak Spillover seçip aşağıdak gibi iki tane aksiyon oluşturyoz.
Interface
wan1
Interface
wan2
Ping Server
172.20.120.2
Ping Server
10.41.101.100
Detect Protocol
ICMP Ping
Detect Protocol
ICMP Ping
Ping Interval
(seconds)
5
Ping Interval
(seconds)
5
Failover Threshold
5
Failover Threshold
5
Yukarıdaki yapıdan sonra eğer bizim master hattımızda herhangi bir sorn olursa ikinci hattımız devreye girecektir
,Aktif Pasif çalışma yapısıdr bu ilerde Aktif aktif olarak nasıl yapılur onuda işleyeceğim.
Port Yönlendirme Seneryosu -1
Şekildeki gibi Çift wanımız ve içerde faliyet gösteren 3 tane serverımız var ,
Amaç ;
1-) Wan 1 ve Wan 2’e gelen ERP uygulamaızın portları olan -8765 arasındaki portları uygulama serverımız
olan192.168.10.5’E yönlendir.
2-) Wan 1 ve Wan 2’e gelen http / https 8080 isteklerini Linux web serverımıza 80. Port üzerinden yönlendir.
3-) Wan 1 ve Wan 2’e gelen uzak masaüstü isteklerini 3389 yani default portutan gelen istekleri içeride
Windows server 2012 yani 192.168.10.6’a 3389 porttan yönlendir.
1-) Port Yönlendirmler Yapılır
Menü >Firewall Objects >Virtual IP > Virtual IP > Create New
Bu alnda port eşleşmelerini yapıyoryuz .
Benim buda yaptığım eşleşme ;
Wan 10 üzerinden 192.168.1.100 ipsine
gelen 3389 isteklerini 192.168.10.6 ipsinine
3389 portundan yönlendir.
External ip : dış bacak
Mapped : İç networkteki server ipsiz
External service port : Dış istek portu
Map to Port : İç networkteki hedef port
Ayrıca color seçip fazla yönlendielerin
odluğu FW yönetimi kolaylaştırbailiriz.
Yukarıda görüldüğü gibi tüm port yönlendirmlerini başarılı bir şekilde yapmışış ,
2-) Port Yönlendirmlerini Grouplandırıyoruz
Menü >Firewall Objects >Virtual IP > VIP Group > Create New
Yukarda oluşturudğumuz yonlendimleri
bu alnda grouplanıdrıyoruz , Böylece
polciylerde daha kolay bir şekilde
uygulayabileceğiz.
Wan2_port_yönlendirme isminde
İlgili interface Port8 ( Wan 2 )
Wan 2 olduğu için yukarıda wan 2’ye
tanımladığımız port yönlendimelerini
göebiliyoruz sadece gruplandırma
yaparken .
Yukarıdaki görüldüğü gibi ilgili port yönlendimeler gerekli şekilde gruplandırılmıştır.
3-) Policy Yönetimi
Menü > Policy >Policy >Create New
Yukarıdaki gerekli yonlendimeleri ve gruplandırmları
yapmıştık şimdi ise firewalın en öneli ayağı olan policy ler
ile bu yönlendimeleri ve gruplandırmayı trafik akışımızda
kullanacaız . Policy’de olmayan bir şey yok demektir FW’
için .
Burda dışarıdan içeride doğru bir trafik akışı olduğu için
Source Interface/Zone : Wan 2 ( port 8 ) seçilmiştir.
Source Address : All yapılaral her ipye açılmıştır
Destination Zone : Any yani şu değilse hepsi mantığı .
Destination Adress : Çok önemli buarda destinaiyon için
bizim port yönlendimesi oluşturudğumuz adresleme
kartını kullanıyoruz . Yani orda Wan2_port_yonlendime
seçilmiştir , Bu yönlendime grup adıdır ve bu gruba dahil
olan kartları yukarıda biz belirlemiştik , Eğer burda bir
grup oluşturmasaydık yine tek bir yönlendime kartınıda
seçebiliriz.
Enable NAT : Bu zaten olmazsa olmaımız Wan
çıkışlarında ve girişlerinde.
Yukarıdaki policy’ ekranındada görüşdüğü gibi iki policy’De başarılı bir şekildeeklenmiştir , Bu şekilde port
yönlendime yapılmıştır aşağıda Bu işlemleri komut ekranında nasıl yapılır onu anlatacağım.
İpsec VPN ( Site to Site )
Yukarıdaki gibi bir network yapısın , internet üzerinden iki lokasyon arasında ip sec vpn yapılarak lokal networklerin bir birleri ile
güvenli iletişim kurmasını sağlıyacağız. İpsec vpn sonunda iki sube arasında güvenli bir tünnel açılacak ve bağlantı
kurulacaktır.
İpsec vpn Yapılandırma için aşağıdaki adımalr uygulanır ;
1-) İlgili interfaceler doğru şekilde yapılandırılmalıdır ( ip ,port subnet vs vs .ayrıca hedef wan ipye ping olup olmadığı test edilir )
2-) İpsec vpn yapılandırılır , Phase 1 , phase 2 ( FAZ 1 ve FAZ 2 )
3-) Çift yönlü olarak policy’ler oluştuulur .
4-) İlgili statik routing yapılır.
1-) İnterfacelerin Yapılandırması
Mardın Fortigate FW
Ankara Fortigate FW
İlgili interfacelere gerekli ip yapılandırması yapılmıştır , benim iki lokasyon içinde lokal portlarım port 1 Wan tarafım ise port5
olacak şekilde yapılandırmışşımdır.
Not : Bu işlemden sonra Wan iplere ( internet ip ) ping erişimlerinin olup olmadığına bakılmalı mutlaka
1-) İp sec Vpn Yapılandırılması
1.1) Faz 1 yapılandırılması
Menü >VPN > IPSEC > AUTO Key >Create Phase 1
Name : Vpnimiz için bir name belirliyoruz ,
Remote Getway Burada getway ile nasıl iletişim kurcağımızı belirliyoruz , ben sahip bir internet ipsi üzerinden bağlantı
kuracağım için bu “ static ip address “ seçeniğini seçiuorum
İp adress : : Burada ipsec vpn yapmak istediğimiz larşı taraftaki internet ipsini yazıyoruz . Bu ip çok önemli komşuluğu bu ip
üzerinden kuacaktır. Bu ipye mutlaka ping eirşiminin olması gerkemketdir.
Mode : Main Mode
Authentication Method : Şifreleme türünü belirliyoruz ben buarada “ preshared key “ diyip bir özel bir şifreleme ile komşuluk
kuracağını belirtiyorum
Pre-Shared Key : Bağlantı kurarken kimlik doğrulama yapacağımı şifreyi yazıyorum ben burada şifre olarak g....c...guz
beirledim.
Pr propasal : Burada datayı şifrtlem methotlarını belirliyorum.
Key life :
1.2) Faz 2 yapılandırılması
Menü >VPN > IPSEC > AUTO Key >Create Phase 2
Name : isim verdim
Phase 1 : bizm faz2 yaptığım için faz 1 isteyecektir faz 1 ‘De şifrelem yapar faz 2’De komşuluk kurup
daha trafiğini yönetir. O yüzden bu alanda sadece iki ayar yaptım ve ok dedim.
Bu mantıkla aynı şekilde Nakara Firewall üzerindende ipsec vpn yapılandırması yapıyoruz.
3-) Çift yönlü olarak policy oluşturyoruz.
Mardin’den Ankaraya giderken
Ankaradan Mardine Gelirken
Yukarda görüldüğü gibi çift yönlü olarak 2 tane policy oluşturdum bu plicylers ayesinde vri tarafiime izin verecek fortigate . aynı
şekilde ankara fw üzerindede gerekli iki policy oluşturuduyor.
Polciy görünümüm şu şekildedir.
Ankara polciy çıktısı;
4-) Static Routing Yapıyoruz
Bu noktadan sonra static routing yapıyoruz
İlgili routing işleminde yaptıktan sonra artık sistemimiz sorunzu şekilde çalışmaktadır , Aynı routingi işlemin tersini ankara fw’da
yapmak gerekiyor.
Test ; Ankara PC’Den
Not : Bu network yapısı lab edilerek çalıştığı gölenmiştir ayrıca istenirse bir lokasyonun default route diğer lokasyona çevrilerek
o lokasyon üzerinden intenete çıkmasıda sağlanabilir bunla birlikte antivirüs url filtre gibi bir çok özellikle kullanılabilir.
Menü > Vpn > Monitör > Ipsec Monitör
İle ipsec vpn bağlantımızın oyurumunu görüyoruz , Burdan istersek vpn bağlantıımızınn down – up’da edebilriiz.
Ekstra-1)
İkinci bir site to site bağlantısıd aoluşturabiliyorum istersem yukarda ben oluşturdum
Mantık diğer ikinc gibi aynı . ardahan diye başa bir fw oluştudum onun üzerine yapılandırdım.