forti̇gate ayarlari

http://docs.fortinet.com/fortigate/admin-guides

Fortinet ürünleri üzerine yazılmış detaylı konu anlatımlarının ve açıklamalarının olduğı ve eski

verisonlarınında bulunduğu dökümantasyon sitesi. GLI ve CLI dökümanları bulundurmaktadır.

Fortigate üzerine sorunlarımızız çözüm merkezi

http://kb.fortinet.com/kb/microsites/microsite.do

FortiNet Ürün Ailesi

FortiGate : Fortinet firmasının amiral ürünü oluğu , çıkış noktasında firewall görevi gören UTM cihazdır. UTM firewallın

taşıdığı tüm özellikleri taşıyabilmektedir.

FortiManager : Büyük yapılı netwokrlerde , birden fazla fortinet cihazını yönetimini sağlıyan cihazdır , bu cihaz üzerinden ,

Konfig yapılmasından , polciylerin uygulanmasına kadar bir çok özellikleri barındır , Ayrıca fortigate cihazları için internet

üzerinden yaptığımız updateleri manager üzerinden yapmamız sağlıyor.

FortiAnalyzer : Fortigate tarafınadan oluşan trafik utm loglarını analiz edilip gelişmiş olarak raporlama sunan cihazdır.

Fortimail : Fortigate üzeirnde bulunan mail sec özelliklerinini barındıran bu konuda çok geşmişmiş özellikleride sunan cihazdır ,

Ayrıca mail server olarakya yapılandırılabilir.

FortiDB : Database güvenliği üzerine yoğunlaştırılmış ve bu konuda çok kullanılmamakla birlikte ileri düzeyde çözümler sunan

üründür.

FortiWeb : Web güvenliği üzerine yoğunlaştırılmış ve bu konuda çok kullanılmamakla birlikte ileri düzeyde çözümler sunan

üründür.

FortiBalancer : Loadbalancing üzerine üzerine yoğunlaştırılmış ve bu konuda çok kullanılmamakla birlikte ileri düzeyde

çözümler sunan üründür.

Fortiscan : Güvenlik tarafması ve zafiyet tarafaması gibi yine fortigate ile birlikte gelen özellikler üzerine yoğunlaştırılmış ve

bu konuda çok kullanılmamakla birlikte ileri düzeyde çözümler sunan üründür.

Forticache : Dns ve Web cache üzerine hizmet sunan ve bu konuda geliştirilmiş bir üründür.

FortiSwitch : Swicth görevi gören bu konuda hizmet sunan cihazıır , POE ürünleride mevcuttur.

FortiClient : Fortonetyazılımdıır, Bu Cientlara fortinet ürünlerimiz üzerinden bir takım yönetimlerin sağladığı ve antivirüs ,

ant,spam Vpn gibi hizmetleride gören bir yazılımdır , Ücretsiz bir yazılımdır ,

FortiDNS : Fortigate üzerinde kullanılan DNS özellliği üzerine yoğunlaştırılmış ve dns servisi üzerine hizmet veren sunucu

görevi örmektedir.

FortiAP : Klasik ap özelliği görmektedir , sadece fortigate üzerindeki forti ap controller panelinden yönetilir. AP sadece fortigate

yapılarda kulalnılabilir , tek başına forti apler kullanılamaz. Çalışması için ethernet takıp ip alınması yeterlidir. Ondan sonra

otomatik olarak controllera ( fortigate ) gelmektedir.

http://docs.fortinet.com/fortigate/admin-guides

http://kb.fortinet.com/kb/microsites/microsite.do

FortiGate

Fortigate Özellikleri

FIREWALL: Cihaz ile internet çıkışı ve internetten geliş ile ilgili tüm izinler ayarlanabilir.

VPN : dışarıdan (mesela evden internete başlanarak) iç networke şifeli bir network kanalı ile ulaşılabilir.

IM FILTERING: Messenger gibi mesajlaşma uygulamaları belli kullanıcılar için izin verilebilir veya yasaklanabilir.

P2P FILTERING: Kullanıcılar arası veri alışverişini sağlayan, trafiği boğan ve zararlı içeriklerin de yayılmasına neden olan P2P

uygulamalarını (Kazaa, Skype, bitTorrent, eDonkey, Gnutella vb.) kişi bazlı kısıtlayabilir veya komple engelleyebilir.

TRAFFIC SHAPING: işle ilgili uygulamalara ağda öncelik verilerek, Messenger gibi çok gerekli olmayan uygulamalara düşük

bant genişliği ayrılabilir.

Antivirus: Gelen ve giden mail eklentilerini, tüm ftp ve http trafiğini (web tabanlı mailler dahil) web performansını düşürmeden

tarar. Antivirus getaway gelen virus ve wormları networke girmeden önce kestiğinden zarar verebilecek durumları önceden

önlemiş olur. Fortinetin dünya çapındaki antivirus ekibi çıkan virusleri en hızlı şekilde takip eder ve müşterilerine gerçek zamanlı

update imkanı sunar. Bu sayede belirli zaman peryotları ile değil virus çıktığı anda update yapılmış olur.

Firewall:Güçlü içerik denetleme firewallu belgelenmiş, maximum performanslı ve ölçülebilir bir ürün sunar. Policy bazlı kural

yazma ile tek bir kuralda birçok kontrol saglar. Tek bir kuralda kaynağı, hedefi ve kullandğı servisi belirtilmiş paket nat, traffic

shaping, loglama Autentication (Active directory, local, lap, radius) ve protection profile uygulanabilir. Protection profile

sayesinde kurala uyan paketlere antivirüs taraması, antispam taraması, wel fitering, ips/ids ve im/p2p kontrolu yapılabilir.

Intrusion Detection:Uyarı tabanlı 1300 den fazla bilinen saldırı barındıran özelleştirilebilir veritabana sahiptir.Fortigate host

tabanlı antivirus programlarından kaçan saldırıları durdurur. Antivirus güncellemelerinde olduğu gibi saldırı imzaları

güncellemeleri de fortiprotect update network ile gerçekleştirilir. Bu sayede yeni saldırı çıkar çıkmaz update yapılır güncellem

süresinin dolması beklenmez.

VPN:Günümüzün en populer ve güvenli VPN türlerini destekler. Ipsec, PPTP, L2TP, based ve SSL VPN esnek bir şekilde

yapılmaktadır. VPN ’i 2 lokasyonumuz arasında yapabildiğimiz gibi dışardan dial-up kullanıcılarıda güvenli bir şekilde VPN

yapabilmektedir. Gelen VPN paketlerin protection profile uygulama bildiğinden, ips, antivirus, proxy serverlarımızı kullanacak

olanlar için url fintering gibi denetlemeler uygulanarak tam koruma sağlanmış olunur.

AntiSpam:Blaclist website ve domain tabanlı, kelime taraması (her kullanıcı için ayrı configure edilebilirlik) ve dinamik

puanlama sistemi ile güçlü ve doğru sonuç alınmaktadır.

Traffic Shaping:Traffic Shaping ile network trafiği, paket sınıfı, kuyruk disiplini vs kriterlere göre kısıtlama yapılabilir. Böylece

kendi iş önceliğimize göre trafiği şekillendirebiliriz. Ftp ve web hızını düşürüp SQL bağlantılarının performansı garanti altına

alınabilir. Bunu policy bazlı yapabildiğimizden ZAMAN ve kişi bazında düzenleme yapılabilir.

Web Filtering:15 milyondan fazla domain ve milyarlarca web sayfası ile url filitrelemek tam bir kontrol sağlar. 56 kategoride

filitreleme imkanı sunmaktadır. Ayrıca kelime ve blac-list oluşturma imkanımızla da filitreleme yapılabilir.

Hight Availability:Birden fazla cihaz bir arada çalıştırılarak hem yük paylaşımı hem yedekleme sağlanabilmektedir. Bir cihazın

devre dışı kalması durumda diğer cihaz 3 sn gibi bir sürede Hiçbir oturumu kaybetmeden devreye girmektedir.

IM/p2p:Chat araçlarının en populerleri olan aim, icq, msn ve yahoo paylaşım proğramlarında bitTorrent, eDonkey, gnutella,

kazaa, skype, winNY proğramlarının logon, file transfer (dosya boyutu belirtilebilir) blok audio kontrolleri yapılabilmektedir.

Ayrıca standart portlar dışında çalışan benzer proğramlar da kontrol edilebilir. Bu proğramlar aracılığı ile gelen paketler

protection da belirtilen virus vb. taramalardan geçirilebilir. Yasaklanan proğramları kullanan kullanıcıların listesi gelmektedir. Bu

listeden istenilen kullanıcılara izin verilebilir. Bunun terside geçerlidir

Detay Özellikler

AĞ ÖZELLİKLERİ Birden fazla internet (WAN) bağlantısı

desteği

PPPoE desteği

DHCP Client/Server desteği

Kural tabanlı önlendirme (Policy-Based Routing)

Dinamik Yönlendirme (Dynamic Routing; RIP v1 & v2, OSPF,

BGP, & Multicast)

Çoklu Bölge desteği (Multi-Zone)

Bölgeler arası yönlendirme (Route Between Zones)

VLAN kar arası yönlendirme

ANTIVIRUS/WORM TESBİT ve ENGELLEME (ICSA

Sertifikalı)

HTTP, SMTP, POP3, IMAP, FTP, IM ve Encrypted VPN’de

virus tarayabilme

Güncellemeleri oluşunca merkezden gönderme (Push

Update)

Karantinaya alma

Dosya büyüklüğüne göre engelleme

Dosya tipine göre engelleme

YÖNETİM

Console Interface (RS-232)

WebUI (HTTP/HTTPS Web Arabirimi)

Telnet

Multi-language Support

Komut Satırı Yönetim Arabirimi (Command Line Interface)

Secure Command Shell (SSH)

Merkezi Yönetim Desteği (FortiManager System)

ERİŞİM

Rol Tabanlı Yönetim

Farklı Yönetici yetki ve seviyeleri

TFTP ve Web ile güncelleyebilme

Sistem Yazılımını Fabrika ayarlarına alabilme

FortiManager cihazı ile merkezden erişebilme

KULLANICI YETKİLENDİRME

İç kullacılar

Windows Active Directory (AD) Desteği

External RADIUS/LDAP Database Desteği

IP/MAC Address Eşleştirebilme

Xauth over RADIUS for IPSEC VPN

RSA SecurID

FIREWALL (ICSA Sertifikalı)

NAT, PAT, Transparent (Bridge)

Routing Mode (RIP v1 & v2, OSPF, BGP, & Multicast)

Policy-Based NAT

Virtual Domains (NAT/Transparent mode)

VLAN Tagging (802.1Q)

User Group-Based Authentication

SIP/H.323 NAT Traversal

WINS Desteği

Özelleştirilebilir Kurallar

VPN (ICSA Sertifikalı)

PPTP, IPSec, ve SSL

Dedicated Tunnels

Şifreleme (DES, 3DES, AES)

SHA-1/MD5 Kimlik Doğrulama

PPTP, L2TP, VPN geçiş desteği

Hub ve Spoke VPN Desteği

IKE Certificate Authentication

IPSec NAT Traversal

Dead Peer Detection

RSA SecurID Support

ANTISPAM

Online Blacklist/Open Relay Database Server

MIME Header Kontrolü

Kelime filtreleme

IP Adresi Karaliste/İzinliListe

Otomatik güncelleme

WEB İÇERİK FILTRELEME

URL/Keyword/Phrase Engelleme

URL Hariç Listesi

LOG/İZLEME

Yerel Log kayıtları

Syslog/WELF sunucuya loglama imkanı

http://www.cyber-security.org/cw/forum/karaliste.asp

İçerik Grupları

Java Applet, Cookies, ActiveX Engelleme

FortiGuard Web Filteleme Desteği (56 kategori, 50 milyon

web)

Anlık ve geçmiş için grafik rapor desteği

SNMP desteği

Virus ve Saldırılarda email uyarma imkanı

VPN Tunel İzleme

FortiAnalyzer cihazı ile detaylı kayıt ve raporlar

DİNAMİK SALDIRI ENGELLEME SİSTEMİ (IPS/IDS) (ICSA

Sertifikalı)

2000den fazla saldırıyı engelleyebilme

Ayarlanabilir Dinamik Saldırı İmza Listesi

Saldırı veri tabanını otomatik güncelleme

Davranış tabanlı saldırı tesbiti

YEDEKLİ CİHAZ KULLANIMI (HIGH AVAILABILITY)

Active-Active, Active-Passive desteği

Stateful Failover (FW and VPN)

HATA tesbit ve uyarı sistemi

Link durumu izleme

Link failover

TRAFİK BİÇİMLENDİRME

Kural tabanlı trafik biçimlendirme

Diffserv Ayarları

Guaranti/Maksimum/öncelikli hız ayarlayabilme

INSTANT MESSENGER - ACCESS KONTROLÜ

AOL-IM

Yahoo

MSN

Kaynak : fortigateturkiye.com - - ICQ

Grafik Arayüz İle Yönetim

Bu bölümde grafik arayüz üzerine fortigate cihazının nasıl yapılandırılacağını not edeceğim , Cli ( komut ) ile nasıl

yapılandırılacağını ilerde detaylıca anlatacağım ;

Garafik arayüzü ile yapılandırmak basit ve kolaydır , Ama grafik arayüznünde her şeyi yapmamıza müsade etmez bunla birlikte

cli yönetim daha zor ve çetrefilli olsada % 100 yakın bir yönetim sunar . Örneiğin Bgp ayarlarını garafik ile yapmak son

derece yüzeyse olsada cli ile bgp ayarlarını yapacağımız zaman çok daha detaylıca ayarlıyabiliriz ( hold time – keepalive vs.) .

Cihaza Bağlantı Kurma

Cihaza konsol olduktan sonra defaultta belli bir ip ile gelir bunu cihazın üzerinde görebiliriz. Ayrıca yoksada cihaza konsol

olup cihaza ip verebiliriz. Cihaza konsol olduktan sonra ;

Kullan adı : admin

Şifre : Boş

Olacak şekilde giriş yapabiliriz , Daha sonra hangi porttan bağlanacakcaksak o porta ip verbeiliriz.

config system interface edit port 1 set ip 192.168.1.11 255.255.255.0 set alias “yonetim_interface “ set allowaccess ping https ssh http telnet

İlgili kod bloğu ile port 1 interfacesine yonetim interface adında bir isimle http https sssh ping servislernin açıldığı bir yapılandırma yapıldı.

Bu şekilde yapılandırılıktan sonra herhangi bir internet browser üzerinden http:\\192.168.1.11 adresi ile bağlanıp admin

kullanıcısı ile giriş yapıp garafik arayüzü ile yapılandırabiliriz.

Garafik arayüzü ile bağlandıldığı zaman bizi aşağıdaki gibi bir pencer beklemektedir.;

FortiOS 5 ile fortigate teki menü yönetimi şu şekildedir , önceki sürümlerde ufak değişiklikler olsada genel olarak yapı

yukarıdaki resimlerdeki gibidir.

+ System + Router + Policy + Firewall Objects + Security Profiles + VPN + User&Device

+ WİFİ Controller + Log&Report

System

Bu alan fortigate cihazımızın sistem ayarlarını yaptığımız alandır ,

Bu menülerin İşlevleri şu şekildedir.

Dashboard : Bu alanda cihazımızın monitoring ( izlenildiği ) edildiği ve bu monitoring ekranlarının yapılandırıldığı alandır ,

Network : Cihazıımızın interface ve dns gibi ayarlarının yapıldığı alandır ,

Config : Cihazımızın networkteki rolünü , lisans durumlarını , gördüğümüz ve ayarladığımız alandır

Admin : Cihazımızın admin kullanıcısnın ve yönetim ayarlarını yapıldığı alandır , http portu ssh portu idle timout vs vs .

Certificates : Cihazımızın sertifikalarını gördüğümüz ve yönettiğimiz alandır .

Monitör : System bölümüzüm monitör ( izlendiği ) edildiği alandır ,Örneiğin dhcp servesimiz varsa bu servisimizin izlenmesi

gibi.

Dashboard

Fortigate cihazını monitoring ettiğimiz alandır , Bu alanda cihazımızın bazı özelliklerini tek bir ekranda görebiliriz , Örneğin

cihazımızın portlarının durumunu, lisans durumu , sistem durumunu , işlemci durumunu vs vs görebiliriz ,

Yukarıdaki ekranda Clı console ekranı var burada cli komutlarını çalıştırdığımız ekrandır . Aynı şekilde System İnformation

ekranında sistemimiz ile ilgili bilgiler vardır ,

Ekranında İlgili ekrana yeni Widget ekleyebiliriz ayrıca yeni bir monitoring Ekranıda ekliyebiliriz.

Add Dashboard : Yeni monitoring ekranı ekliyebiliriz.

Edit Dashboard : monitoring ekranımızı edit ederek düzenliyebiliriz.

Delete Dashboard : Monitöring ekranımızı silebiliriz , Şimdi benim tek ekranım olduğu için onu silmeme izin vermiyor zira

system ing-formation ayarları sadece bu menü altındadır o yüzden bir tane monitörün ekranı her zaman vardır ,

Dashboard / System İnformation

Dashboard / System İnformation : Sistem bilgilerini gördüğümüz ve değiştirebileceğimiz ekrandır , Hostname ,

Serinumarası , Operation Modu vs vs

Hostname : Cihazın İsmini yazıldığı ekrandır , Özellikle ssh ve telnet gibi bağlantılarda bize çok yardımcı olur . [ Change ]

diyerek değiştirebiliriz.

Seri Number : Cihazın seri numarasını yazdığı ekrandır .

Operation Mode : BU alanda cihazımızın Modu ayarlıyabiliriz , Fortigate cihazları iki moda’da ayarlıyabiliriz. Bunlar NAT ve

Transparent Mode ‘dur [ Change ] şeçeneiğini seçerek cihazımızın operasyon modunu değiştirebiliriz.

Nat :Cihazın default modu nat modudur , bu normalde getway olarak kullanılan cihazların olduğu moddur , L3 düzeyinde çalışır ,

Route mode aktiftir ,

Transparemnt Mode : Cihazın özelliklerini görüp network yapısnı mozmasını enlelleyip bunla birlikte istenidiği gibi yine

policylerimizin aktif edildiğini UTM yönetimini sağlamak gibi yine bir çok özelliği sağlıyabilir. Eğer bu seçenek seçilir ise tüm

interfaceler tek bir inteface gibi görünür ve sadece managment ipsi girilerek erişim sağlanailir. Ayrıca bir atnede default getway

girilerek sadece cihazımızın bu modda sadece kötü görevi görmesini sağlıyabiliriz. L3 ilgilendirmeyen her şeyi yapabiliriz. BU

modda iken cihaz genelde ADSL / ME ile Firewall Arasına konur ve mantık olarak paketler gir çık yaparlar.

ME --- Tranparemnt fortigate ---- Linux Firewall şeklinde olabilir , ilerde örnek ile detaylıca bu işliyebilirim.

HA Status : Cihazımın yedekliliğinin ayarladığı aldandır , ilerde detaylıca anlatocağım

System Time : Taraih ve saat bilgilernin olduğu alandır .

Firmware Version : Cihazımızın firmware versionun görrüyoruz , Benim burada fortios v5,0 verisonun ulanıldığı görüyorum ,

Ayrıca burada [ Update ] şekilerek firmware verisonu update edilebilir.

System Configuration : Bu alnda cihazımızın konfiğini backup alıp yada restore edebiliriz yada yeni bir konfig oluştuabiliriz.

Current Administrator : Admin şifresini değiştirbeiliriz.

Uptime : Son Uptime süresini görebiliriz.

Virtual Domain : VDOM fortigateimizin VOM lara bölerek her birisnde farklı bir yapılandırma yapbiliriz , Gnellikle çok büyük bir

karmaşık networklerde ugulyabiliriz. Lisanssız olarak 10 tane VOM oluşturabiliriz. Kısaca şöyle diyebiliriz 2 tane VDOM var

bunlardan birinde UTM kontrolünü yaprız diğerinde Policy yönetimini yaparıız . Tabi böyle olunca yapı daha detaylıca

yönetebiliriz fakat çok büyük networklerde bu yönetm kullanılır.Konu ile ilgili olarak örneiği detaylıca ilerde anlatacağım.

Network

Cihazımızın mevcut interfaclerini yapılandırdığımız yeni interfacler eklediğimiz vlanları ekleyip yönettiğimiz ve loopback gibi

yönetim interfaceleri oluşturduğumuz gibi dns ayarlarınıda bu ekrandan yapabiliriz.

Network / İnterface

İnterfacelerin ayarlarının yapıldığı ve vlan loopback interfacelerinin oluşturulduğu alandır , Yine interfacelere paralel olarak

DHcp server yapılandırmasınında yapıldığı alandır . Genel görünüm aşağıdaki gibidir ,

Network / İnterface

Port Editleme / Edit Port 1

Port bir üzerinde örnek yapıladnırma yapacağım , İnterface ekranında port 1 seçip edit ettiğimizde. Aşağıdak ekranlar

gelmektedir , Eklarnları parça parça açıklamları ile birlikte yer almaktadır .

Name port ismidir , İşte buarada parantez içinde mac adreside vardır ,

Alias : Portların özel olarak olarak isimlendirerek ilerde cihazımıızın yönetimini kolaylaştırıcaktır.

Type : Fiziksel interface buradda , portumuzun fiziksel durumunu görypruz , vlan ve loopback gibi sanal interfacelerde olabilir .

Adressing mode : İnterfaceimizin ip adrenin nasıl olacağını seçiyoruz i buarada manual seçilmiş yani biz elle ip gireceğiz

demektgdir ve buna istinaden 192.168.100.1 /24 ipsi verilmiştir , Aşağıdaki dhcp şekildiğindeki ekran görülmejtedir ,

Adress mode : Dhcp bu seçilirse ip adresimizi dhcp serverdan almaktadır ,

Status : Connected : anlık durumyunu görüyoruz

Obtained IP / Netmask : İp adresini ve subnetmaskı göryoruz , RENEW butonu ile yeni ip almasını sağlıyabiliriz.

Expiry Date : Dhcp seerverdan aldığımız ionin bitiş süresin, görüyoruz

Acquired DNS : Dns adresimizi görüyoruz

Default Getway : Getway adresimizi görüyoruz

Distance : Default getwayimizin distance değerini ayarlıyabiliyoruz

Retrieve default geteway from server : Default gateway adresini dhcp serverdan al .

Override internal DNS : DNs server adresini dhcp erverdan al :

Not : Retrieve default geteway from server ve Override internal DNS : seçenlekleri seçilir ise Acquired DNS : ve Default

Getway alanları aktif olur ve ipleri ancak öyle alır.

Adminstrative access : Admin erişiminiin yllarının aktif edildiği alandır , Buarda https https ping sssh vs vs gibi seçlibeilir. Öylece

ssh üzerinden bu interface bağlantı kurbailiriz.

Dhcp server seçeneiiği Enable edilerek ilgili portta dhcp server ayarlarını aktif ediyoruz.

Adres Range : Dhcp serverımızın dağıtacaı ip aralıklarını belirliyoruz . Ekranda 192.168.2.133’den 192.168.2.254’ kadar ip

dağıtacak .

Netmask : Dhcp serverda dağıtılacak iplerin netmasklarını beliyoruz ekranda /24 ‘dür.

Default Getaeway :Specify seçilerek defalult gateway adresini elle veriyoruz. Ekranda 192.168.2.132’dir

Dns Server : Specify sçeileek DNS adreside dağıyılması sağlanır . Fortigateimizde dns serverımızın 2008.91.112.53 olduğu için

dhcp serverda bu adress dağıtılıyor.

Advanced ;

Bu alnda dhcp serverızın gelmişmiş ayralrını yapıyrouz ,

Mode : Server ve relay olarak iki mod seçneği vardır , Server direk bu dhcp serverı referans alır ve dağıtır , Relay başka bir

dhcp server var ise onu ayarlıyarajk kendisine gelen ip isteklerini relay’i olduğu servera gönderiir.

MAC Address Access Control List : Bu alnda mac adresine göre dhcp iplerinin revervasyonu yapılarak dağıtılmamlarını

sağlıyabiliriz , yada bu mac adresinin networkümüzfe ip almasını blocklamamızı sağlıyabiliriz.

Type : Rgula ve ipsec olmak üzere iki seçenektir , Regualar gerçek bir dhcpo server varlığını ayarları

İpsec ile iosoec vpn’De clientları salacakları ipleri ayarladığımız dhcp modutur.

Secondary ip adres aktif edilerek interfacemize ikinci bir ip verebiliriz ve bu ipyi yapılandırbailiriz.

Administrative Status : Burda portun admşn durumnu ayarlarız . Ekran up seçili ama istersek down yaparak Admşn downd’da

bırabiliriz portu . Böyelce fiziksel olarak up olasa bile bir işe yaramaz.

Port Ekleme / Vlan Oluşturma :

İnterface ekranında > Creatnew diyerek yeni bir interface oluşturabiliriz.

İlgili ekranda ;

Name : İnterfacemiz isim veriyoruz.

Type : VLAN , Loopback gibi seçenekler oalbilir

İnterface : BU sanal interfacnein bağlı olacağı fiziksel interfacsi belirliyoruz

Vlan ID : İnterfacesi vlan seçiğimiz için bu alanada vlan idmizi yazıyoruz , ,

Diğer seçenekler yukarıdaki interface edilmek ile y-ayndırı .

Network / DNS

Dns ayaralnın yapıldığı alandır , Buarada Use fortiguard seçil iken dhcp server alır sns srevr yada Specify diyerek elle bir dns

suncucu ayarlıyabiliriz. Buarada ayarlı olan dns server aynı zaman dhcp serverda dağıtılacak olan dns adresindir.

CONFIG

Cihazımızın genek konfigğin yapıldığı alandır , Ha ile cihazımızın networkteki rolünü lisans ekranları ile cihazımız üzerinde

lisansları detaylıca göebiliriz ve yönetebiliriz.

Config / Ha (High Availability )

Cihazımızın networkteki rolü ayarladığımı alandır , Küçük networklerde olmasa büyük networklerde yedeklilik olarak çalılan iki

cihazımız labilir bu cihazlarımızın bu ekran rollerini belirterek onların tam performanslı çalışmasını sağlıyabiliriz. Örneiğini iki

tane FW var bunları Aktif / Pasif çalıştırıp yedeklidiğini sağlyabiliriz , Yada Akitf / Aktif yaparak cihazmızın ve networkümüzün

performansını artıabiliriz.

Aşağıdaki Ekranda ;

Mode ile Ha modunu belirliyoruz burada , Aktif / Pasif - Aktif / Aktif ve Standalone yani tek cihaz seçenekleri seçilebilir.

Device prirty değerli büyük olan master olur

Cluster settings ile detaylıca port ve priority değerlerini ayarlıyabiliriz .

Not : Bu başlık ilerde la yapılarak detaylıca açıklancaktor.

Config / SNMP

İlerde detaylıca açıklamları girilecektir.

Config / Relacment messages


Config / FortiGuard

Lisansarımızın takip edildiği alandır

Config / FortiSandbox


Config / Advanced


Config / Messaging Servers


Config / Features


ADMIN

Admin ayarlarını yapılandırdığımız alandır , Admin Kullanıcı bağlantılar ve port numaraları ,password politikalarının belirlendiği

alandır .

ADMIN / Admin Profiles

Bu alnda admin kullanıcılları içşn profil alanları olturabiliriz , Örneiğin Router politiklarını belirliyecek bir kullanıclar için router

admin diye bir plitka oluşturup daha sonra bu kullanıcıları bu router polikalalrına ekleriz . Böylee bu kullanıcı sadece router

polikalarını belirliyebilir , Yada aynı şekilde Vpn politikaları ve bu politikaları yöneckeek kullanıcılar oluşturabiliriz.

prof_admin ve super_admin vardır defaultta iki tane glir , BU ikiside tam yetkili kullanıcı profilleridid.rBizler

Create New diyerek yeni bir kullanıcı politikası belirliyeiliriz.

Benim amacım Vpn operasyonlarını yönetmek için kullanacağım bir plitika belirlemek istiyorum . Bunun için ;

System Configuration : Vpn ayarlarını yaparken burdaki ayarları görmek ne yapacağımızı bilmek adına önemli o yüzden Read only yani sadece okuyabiliriz.

Router Configuration : Vpn ayarlarını yaparken burdaki ayarları görmek ne yapacağımızı bilmek adına önemli o yüzden Read only yani sadece okuyabiliriz.

Firewall Configuration : Vpn ayarlarını yaparken burdaki ayarları görmek ne yapacağımızı bilmek adına önemli o yüzden Read only yani sadece okuyabiliriz.

Security Profile Configuration : Vpn ayarlarını yaparken burdaki ayarları görmek ne yapacağımızı bilmek adına önemli o yüzden Read only yani sadece okuyabiliriz.

Vpn Configuration : Operasyonun temel amacı bu cpn konfii olduğu için read – Write seçeneiğini seçiyoruz .

User & Device : Vpn için bu alanında önemli olmasından doayı ve direk bağlantılı olduğu içn bu operayona bu

seçeneiğide read – write olatak aktif ediyoruz.

Bunlar dışındaki hiç bir seçeneiğin vpn ile ilgili olmamıasından dolyı none yaparak görüntlenmesini dahi

engelliyoruz.

Yukarıdaki Admin Profiles ekranına vpn operasyon politkalarıda eklenmiştir.

ADMIN / Administrator

Cihazımız için admin kullanıcıları lyruduğumuz alandır , default olarak admin kullanıcısı şifresi şekilde gelir bundan sonraki

kullanıcıların hepisni biz elle ekleri.z.

Admin / Administrator > Create New diyerek yeni kullanıcı ekranı ekliyebiliriz.

Adminisrtator : Kullanıcı adı

Type : Kullanıcı tipini belirliyoruz , Regular gerçek bir kulalnıcı

Comments : Açıkalma yazıyoruz

Admin Profile : Kullanıcyı hangi yönetim politikalarına bağlı kalacağını seçiyoruz.

Restrict this Admin Login from Trusted Hosts Only : Seçeneiği ile bellir iplerin bu kullanıcı ile

bağlantı kurmasını ayarlıyabiliriz. Access listlere çok benzemektedir.

ADMIN / Settings

Dil ayarlarını, bağlantılar için port ayarlarını ve time out ayarlarının yapıldığı ve Şifreleme politikalarının belirlendiği alandır .

Administrators Settings

Bu alanda cihaza uzakten erişim portları ve eirşim sağladıktan sonraki ayarların yapıldığı alandır , Grafik arayüz ile : System > Adim > Setings Central Management Status :

FortiManager IP/Domain Name: nek.com

Fortigate cihazının dahil olduğu dmonine ayarlaınır.

Administration Settings http port ( 1580 ) http protokolü ile hangi hani portran erişim sağlıyacağımızı ayarlıyoruz.

https port ( 443 ) htts protokolü ile hangi hani portran erişim sağlıyacağımızı ayarlıyoruz.

telnet port (1523 ) telnet protokolü ile hangi hani portran erişim sağlıyacağımızı ayarlıyoruz.

ssh port ( 1522 ) ssh protokolü ile hangi hani portran erişim sağlıyacağımızı ayarlıyoruz.

idle timeout : telnet ssh http https vs ve ile cihaza bağalntı kurduktan sonra kaç işlem yapmılmadığı taktirde oturumum sonlandırılacağını ayarlıyoruz. Burası öncelli en fazla 3-5 dk olmaıs güvenlik için olumlu olur.

Nedir : Uzak erişim için port , protokol ve oturum süresi ayarlanır.

Enable Password Policy Minimum lenght Şifrelerin minimun karakter uzunluklarını belirliyoruz. 8-64

arasında oalbilir Must Contain Şifrenin içerisinde olması gereken değerleri ayarlıyoruz Apply Password Policy to bu şifreleme politikalarının nerelerde kullanacağını beliriyoruz ,

admin password ve Ipsec preshard key olmak üzere iki seçenek var . eğer çok komlike bir politika yok ise ikiside aktif olabilir , ama aşırı komlike bir politika var ise o zaman Ip sev preshard key aktif etmemek iyi olur yoksa diğer kullanıcılarda bu politikaya uygun şirfre kullanmak kulalnım zorunluğuna neden olabilir

Enable Password Expiration Bu şifrelerin kaç gün aktif olarak kalacağını beliriyoruz , belirlediğimiz gün kadar şirfre aktif kalıyor d aha sonra bizden şifre dğeiştirmemizi zorunlu olarak talep ediyor.

Nedir : Şifrelemler ile ilgili politika belirlemek için kullanır aktif edilir ise

CERTIFICATE

Cihazın sertifl ayarlarının yapıldığı vpn için özel sertifkaların oluşturulduğu alandır , İlerde lab çalışmaları yaptığım zaman

daha detaylıca bilgi sahip olacağım ondan sonra buraya detaylıca açıklamlarıda ekliyebiliriz.

MONITOR

Sistem üzerineki başlığın yada bölün altında tanımlı olan yapılandırmanın ev servislerin izleendiği alandır , bu alan hemen

hemen tüm başlıkların altına vardır hepsi kendi ilgili başlıa ile ilgili olrak bir monitörüng ekranı bizlere sunmaktadır , System

mensü altında monitör alanında bizim bu sürümüze göre sadece DHCP Monitör vardır .

DHCP Monitör

Dhcp Serverlarımızın dağıtttığı iplerin durumlarını ve kiralma süreleirnin ne zaman biteceğini gördüğümüz bunla birlikte mac

adresleirninde olduğpu önitörüng alandır , bu alanda dhcp ip almış bir clientın oturumu düşülemez yada ipsini bıraktırılamaz

sdace monitör edilebilir. Eğer Dhcp server tarafından dağıtıan bir ipnin düşürülmesini bırakılmasını istiyorsak bunu cli

ekranından yapacağız ,

ROUTER

Routing işlemlerin yapıldığı bir newai fw routera dönüştürebileceğimizde alandır ,

Ststic Route : Static routerlarızı yapılandırdığımız alandır ,

Policy Routes : Policy Routerlarımızı yapılandırıdğımız alandır , Kaynak ip intrface gibi bir takıl ayarlarıda vermek mümkğndüğr.

Dynamic : Rip , OSPF BGP Multicast gibi dinamik yönlendirme protokolerinin çalıştırıldığı ve yönetildii aladnır .

Monitör : Routingermizi monitör ettiğimiz alandır. Karmaşık networkler için filitrelee özelliğide sunar bizlere.

Genel olarak fortigate kullanılan routingler bunlar fortigate genel olarak getway görevi gördüğü için zaten gelmişmiş düzeyde bir rotinge

ihtiyaçtan duymayız .

Çok öneli Not : Fortigate bir firewall olduğu için roting yapıldıktan sonra mutlaka ilgili networklerle alakalı policy lerinde gerekli izinleirn verilmiş olması gerekmektedir.

Not : Genel olarak tüm routing tabolarını görmek için Router >monitör > routing monitör pencerisi kullanır ;

Static / Static Routes Sttic routlarımızın yzıldığı alandır , Static routlar hedef mask ve getwaye mantığı ile çalışırlar , Fortigate fw ‘Da buna ilavae olarak birde port

yani device bilgisi girmemizi ister . Bu alandada yine o networke hangi port üzeirnden gidecekse onu seçeriz.

Garaik arayüzü ile Nasıl yapılır Garaik arayüz çıktısı

Rouer > Static route > create new

Static Route Distance Değeri

Default olarak static routelar 10 Distance değrini alırlar bunu ayarlamak için ; GA( Garafik arayüz) Advanced sekmesini kullanıabiliriz.

CLI ( Komutu arayuzu ) ilgili route edit edildikten sonra : Fortigate-VM (2) # “ set distance 40 ” komutu kullanır.

Aynı şekilde Priority değerleride ayarlanabilir.

Static / Policy Routes

Kaynak ip ve interface girilip yine hedef ip interface gibi gelişmiş bir takım ayarların olduğu static route göre daha esnek

yönetilen bile routin protokolüdür. Yukarıdaki gibi ekranı vardır . Aynı şekilde protokol bile seçebiliyoruz UDP TCP vs vs .

Dynamic Dinamik routing protokoleirnin yapılandırıldığı alandı r,i buarad OSPF , RIP BGO vs vs ayarlanabilir.

Ben RIP ve OSPF bildiiğim için ve kullanım ornıan düşük olmasından dolayı burda sadece BGp açılıyacağımç

Dynamic / BGP Bgp Nedir ?

Başka routerlar ile komuşuluk kurarark kendisinden tanımlı olan networkleri komşu routera duyurması ile routing tablosunu oluşturan

protokoldür . Her bir router kendisine direk bağlı router ile komşuluk oluşturması yeterli olur , böylece bir router başka bir routerdan aldığı networkleride networkü aldığı router hariç diğer tüm routerlara gönderiri , böylece fulll mesh diye tabir edilen örümcek ağı bir network alış

verişi oluşturulur.

iBGP ( İnternal BGP ) : aynı Autonomous System numarası içerisindeki routerların oluşturdukları networktür ,

eBGPP (External BGP ):Farklı Autonomous System numarası içerisindeki routerların oluşturdukları networktür ,

Not : Bgp üzerine ilgli detaylı konu anlatımı , “ Muhammet YILDIRIM Bgp konu anlatımı” isimli bgp kitapcığında mevcuttur. Burda

sadece Fotigate üzerine olan yapılandırma ele alınacaktır

iBGP : Ayn As numarasında oldukları için bu network şeması ibgp

bir şemadır. 200 AD

eBGP : Farklı As numarasında oldukları için bu network şeması

ebgp bir şemadır. 20 AD

Grafik ile yapılandırma ekrnaında Router > dynamic > BGP ile yapılandıdırız.

Local AS : Kendi bgp As numlarımızı ayrladığımız alandır Router ID : Bgp miz için ayarladığımız router ID mizi girdiğimiz alandır

Neigbors : Bgp komşularımıznı ayarladığımız alandır İd’ye bgp komşu ip adresini yazıyoruz Remote As ise AS numberının yazıyoruz daha

sonra ADD ederek komşumuzu başlatırıtoruz

Network : Komşularımıza duyurmak istediğimiz networkleri yazdığımız alandır , bu alanda yazdığımız networklerin komşlarımıza gitmesi

için kendi üzerimizde tanımlı ve up olması gerekmektedir ,

Garafik arayüzünde BGp ayarları çok basit olarak kalır bu yüzden BGP konuşturcaksak mutlaka Clı modundan detaylıca yapılandırmmaız

gerekecektir , Garafik arayüzü asla yeterli değildir , Network update yöntemlerinden tutunda , update down sürelerine kadar , bgp

üzerinden default route anonsune varıncaya kadar vs vs , Aşağıdaki Clı ekranı ile BGp nasıl ileri düzeyde yapılandırılır ve bu yapılandırmanın ne işe yaradığını detaylıca açıklamaktayı

Mardin Merkez Firewall Bgp Yapılandırması config router bgp

set as 100 set log-neighbour-changes enable

set router-id 172.16.0.2

set distance-internal 5 end

Genel bgp konfiği yapılır ,

AS number olarak 100 verimiş ve Router id ise : 172.16.0.2

set distance-internal 4-5 ile iBGp distance değerini 200’den 5E

düşdük böylece routing bua göre düzenlenir.

config neighbor

edit "172.16.0.1"

set remote-as 100

set password "nek"

set advertisement-interval 260

set keep-alive-timer 13

set holdtime-timer 39

set connect-timer 60

set soft-reconfiguration enable

set capability-default-originate enable

end

config neighbor

edit "172.16.0.121"

set remote-as 100

set capability-default-originate enable

set password "nek123"

set weight 100

next

end

config neighbor altında bgpmizin komşuluk tanımları yapılır .

edit 172.16.0.1 diyerek yeni bir komşu başlığı açılmış ve o

komşuya ait as numberı ve passwordu giriyoruz.

advertisement-interval 260

bu tanım ile ilgili komşumuza duyurmak istediğimiz ( anons )

network lerin saniye cinsinden süresini yazıyoruz,

benim bu satırımın anlamı 172.16.0.2 komşuma 260 saniyede bir

anons ettiğim networkleri duyuruyor.

Set keep-alive-timer 13

13 saniyede bir komşunu ayakta olup omadığını yokla


Keep-alive ile 39 saniye ulaşmaz isen komşuluüu düşür ,

set connect-timer 60 ne olduğunu bulamadım . am def 60

tanımlanırsa sıkıntı olmaz

set weight 100

benim iki tane komşum var buu komşularımıın hnagisnin aktif

olmasını yani öncellikli olamsını istiyorsam ona weight değerini yüksek girerim . Burda ben 172.16.0.121 komşuma 100 değerini

girdim böylece diğeri defaut olaral 0 olduğu için master olarak

172.16.0.121 koşumu seçiyor.

set soft-reconfiguration enable : Bgp komşuluğunu düşürmeden

gelen talepleri ayarlar

set capability-default-originate enable : : 172.16.0.1 komşuma

diyorumki senin dfault routun benim benim üzimden default route

alabilrisin ,

config network

edit 0

set prefix 192.168.10.0 255.255.255.0 end

config network

edit 0

set prefix 192.168.11.0 255.255.255.0

end

config network

edit 0

set prefix 192.168.12.0 255.255.255.0

end

config network

edit 0

set prefix 10.150.24.0 255.255.255.248

next

yada ;

config router bgp

config redistribute connected

set status enable

end

config network

altında bizler sahip olduğumuz ve anons yapmak istediğimi

networkleri tanımlıyor ciscodaki network 0.0.0.0 mask 0.0.0.0 komutu ile aynı mantıktadır fakat yazılırken edit 0 diyilerek yeni bir

ve tek network anaos edebiliriz

her edit 0 altında tek ip anaos edilir bu yüzden network anaos ettikten sonra tekrar end – edit 0 diyerek yeni anons alanları

oluşturulur

yandaki kod blokları ile 192.168.10.0/24

192.168.11.0/24

192.168.12.0/24 10.150.24.0/28

Networkleri anaos ediliyor.

Yada ,

config redistribute "connected" iktif ederek lokalde tanımlı tüm

ipleri otomatik olarak anons edebiliriz , bur seçeneği seçmek büyük

networklerd sorun oalbilir ama küçük networklerde sourn

oluşturmaz .

keep-alive-timer , Hold Time ve advertisemen time default-originate

Bgp belli aralıklarla komşularını yoklar bunun için open mesajı yollar bu opan mesajında belli paketler olur bunlardan en çok kullanılanı

Keep ve hold dur . Hold Time : Keepalive mesajı almadıktan ne kadar sonra komşuluğun biteceğini belirten süredir.

Keepalive : İki komşu Router (Peer) biribirlerine periyodik olarak bu mesajı gönderirler. Her 60 saniyede bir Keepalive mesajı gönderilir. Bu

mesaj sayesinde BGP komşuluğu Active olarak kalır.

config neighbor

edit "172.16.0.1" set remote-as 100

set password "nek"

set advertisement-interval 260 set keep-alive-timer 25


end

ile tanımlanır .

Ben bu tanımları A routeruna girersem B router komşusu için otomatik olarak B routerundada bu değerler geçerli olur . Bu değerlerin anlamı

şudur.

3/1 dir default olarak aşağıdaki gibidir. Last read 00:00:03, hold time is 180, keepalive interval is 60 seconds

Bunun anlamı ise ; Her 60 saniyede bir komşusuna ordmaısın diye bir soru paketi yollar eğer bu soruya evet burdayım derse sıkınıt yok ama

bir cevap almazsa 60 sn sonra ( 120 sn ) 2. Bir ordamısın diye paket yollar bu sefer cevap alırsa sorun yok fakat 2. Sorduğundada cevap alamazsa 60 sn (180 ( 3. Ve son kez ordmaısın diye sorar eğer yine cevap almazsa bu sefer komşuluğu düşürür ve komşuluk down duruma

gelir.

Yani bizim komşuluklarımızda bir sorun olrusa hold time süresi kadar bekler bgp bu zaman zarfında düzelmezse komşuluğu düşürür.

Last read diye bir dk değişkeni var bu değişken 60 saniyeye geldiğinde komşusuna ordamısın diye soru sorar cevap alırsa bu süreyi 0’lar ve

tekrardan 0 ‘dan saymaya başlar eğer cevap almazsa 60’dan sonra devam eder saymaya ve 60 saniye sonra yani 120 sn bir daha ordamısın diye sorar eğer cevap alırsa süreri 0 lar cevap alamazsa 120’den sonra devam eder 180 sn son kez ordamısın diye sorrar eğer cevap almazsa

bu sefer komşuluğu düşürür ve saymaya devam eder , aşağıda 100 sn’deki bir keepalive mesajının süresni görmekteyiz.

Last read 00:01:33, hold time is 180, keepalive interval is 60 seconds

Diğer bu unsurda burda keepalive ne kadar ise hold time bunun 3 kaı olur aşağıda ankara_sube_fw konfgte 35 – 25 girilmesine rağmen 35’E 11’in otomatik aktif olduğunu görüyoruz

mardin_merkez_fw # get router info bgp neighbors 172.16.0.1

BGP neighbor is 172.16.0.1, remote AS 100, local AS 100, internal link

BGP version 4, remote router ID 172.16.0.1 BGP state = Established, up for 00:14:40

Last read 00:00:03, hold time is 35, keepalive interval is 11 seconds

Configured hold time is 180, keepalive interval is 60 seconds Neighbor capabilities:

Route refresh: advertised and received (old and new)

Address family IPv4 Unicast: advertised and received Address family IPv6 Unicast: advertised and received

Received 881 messages, 3 notifications, 0 in queue

Sent 965 messages, 26 notifications, 0 in queue

Route refresh request: received 0, sent 0

Minimum time between advertisement runs is 30 seconds

ankara_sube_fw # get router info bgp neighbors 172.16.0.2

BGP neighbor is 172.16.0.2, remote AS 100, local AS 100, internal link BGP version 4, remote router ID 172.16.0.2

BGP state = Established, up for 00:08:39

Last read 00:00:10, hold time is 35, keepalive interval is 11 seconds Configured hold time is 35, keepalive interval is 25 seconds

Neighbor capabilities:

Route refresh: advertised and received (old and new) Address family IPv4 Unicast: advertised and received

Address family IPv6 Unicast: advertised and received

Received 844 messages, 2 notifications, 0 in queue Sent 930 messages, 20 notifications, 0 in queue

Route refresh request: received 0, sent 0

Minimum time between advertisement runs is 30 seconds

advertisement-interval :

Bu alanda tanımlanan saniye ile router sahip olduğu networkleri anos edeceği aralığı belirtir , Bu alanda otomatik bir sayaç varıdr bu bu

sayaç 30 sn de bir networkleri komşuya update edilmesini sağlar , Yukarıdaki çıktıda Minimum time between advertisement runs is 30

seconds alanında ilgili değerleri görebiliriz.

set capability-default-originate enable Komdu komşsunun altına tanımlanırve o komşuya default route olarak kendimizi tanımlamamızı sağlar , Örneiğin bgp üzerinden bir

komşumuza default routea anons edebiliriz . böylece diğer routerda 1 sey yapmak gerekmez .

BGp ile Yedekllik : Yukarıdaki örneği referans alırsak iki router iki hat üzerinden komşuluk kuruyor bgp’de hold timr düşük tutulursa olası kopmlarda kullanıcılar kesintiyi en alt düzeyde hissederler , Ayrıca şube tarafının internet çkışlarındaki default route sorunudada merkezden set

capability-default-originate enable komutunu vererek sube tarafına bgp’den aktarıyoruz

MONITOR Router mensü ile monitör edebileceğimiz servislerin görüldüğü alandır bu alnda benim versionuma göre sadece Routing Monitör

vardır ,

Router / Routeing Monitör Cihazmızın yölendime tablsonun olduğu ekrandır bu ekrandan roting işlemlerimizide görebiliriz.

Benim detaylı bir network yapıl olmadığı için kendi üzerine tanımlı olan networkleri conncted olarak gösteriyor bunla birlikte Dhcp

serverdan aldığı default route’da tyine bu tabloda göebilmekteyiz.

FIREWALL OBJECTS Firewallımız için genel olarak sağda solda kullanılacak lan bir takım objelerin oldturulduğu alandır , Bu alanda obje mantığı ile fortigate

yönetşmizi çok daha esnek ve çok daha merkeziyetçi bir şekilde yönetebilrii.z Örneiğin burda bir server ipsi tanımlıyabiliriz daha sonra bu

server ipisni değiştiği zaman sadece merkez obje üzerinde değişiklik yparak tüm firewalımızda etkin olmasını sağlıyabiliriz.

Örnek 1-) Bant genişliği diye bir obje oluştururum bu onjeyi bir çok yerden kullandıktan sonra dğeişiklik yapmak istersem tek tek her yeri

gezmek yerinde sadece objemi değiştirerk bu değişikliğin etkin olmasını sağlıyabilirim.

Firewall objelerinin yönetildiği alandır , bunlardan en çok kullanılan , polciy kurallarını uygularken ip adresinlerini bir

editiket ile oluşturup aslında policylerde ipler yerinde firwallıumzda bu etikleri ayarlarız. Örnek vermek gerekirse

ALL > diye bir etiketimiz var o etikete 0.0.0.0/0.0.0.0 olacaktır , böylece bizim all diye kullandığımız tüm etiketler aslında

0.0.0.0/0.0.0.0 ipsini kullanmış olacağız.

Örnek 2-) Server ipsimzi var 192.168.100.50/24 diye server onjei larak oluşturup bunu kullanıyoruz . Daha sonra bu server

ipsi değiştiği zaman sadece onjemizde bu değişikliği yapmak yereli olur , Böyelce polciylere dokunmadan değişikiğin etkin

omasını sağlıyabiliriz.

Adress : Adres onjelerin oluşturulduğu alandır , daha onra bu

objeleri guruplandıabirizde.

Service : Servis objelerinin oluşturulduğu alandır , Daha sonra bu

objeleri gruplandırbailirizde

Schedule : Zaman objelerinin oluşturulduğu alandır , Daha sonra bu

objeleri gruplandırbailirizde

Traffic Shaper : Trafiğimizi şekillendimek için bantgenişlikleri

objelerinin oluşturulduğu alandır , Daha sonra bu objeleri

gruplandırbailirizde

Virtual Ips : Port ve ip yönlendirilmelerinin yapıldığı objelerinin

oluşturulduğu alandır .

Monitör : Objelerimizin monitör edildiği alandır.

ADRESSS / ADDRESSES

Adres onjelerimizin oluşturulduğu alandır , Bu alnda networküzde kullanacağımız ipleri ve network iplerini obje oluşturarak daha sonra bu onjeleri grıuplandırrabiliriz.

Menü > Firewalll Onjects > Adress > Addresses > Create New

Bu adres onjesinde ;

Name : objemizin ismini “ c_kampus “

Type : Adresimizini tipi “subnet “

Subnet / Ip Range : ip adresi ve subnetmask “ 192.168.12.0/23

Interface : Bu adresin ilgili olduğu interface “ port4 (c_kampus) “

Show in address List : bimiyorum

Comments : Açıklama “ c_kampus_network ipsi

“

Yuarıdaki örnek bir netork yapısındaki ip objelerinin yapılandırma listesi görülmektedir , görüleceği üzere ilgili ip aralıkları tanımlanmıştır.

ADRESSS / GORUPS

Oluşturudğumuz network onjelerinin daha genel yönetimi için gruplandıoldığı alandır ,

Menü > Firewalll Onjects > Adress > Groups > Create New

Yan tarafta c kampusune ait olan 192.168.14.0/23

ve 192.168.24.0/24 network onjeleri “c_kampus “ adı altında birleştirilmiştir.

Aşağıdaki adress gruplarını görmekteyiz , burada her yerleşke için bir grup oluşturulmuş ve o yerleşkeye ait ip ıobjeleri bu grupların altında

toplanmıştr

SERVICE / SERVICES

BU alnda fortigate üzerine kullancağımız servisleri ve bu servisleri kullandığı portları yapılandırdığımız ve gruplandırdığımız alandır , Örneiğin özel bir ERP programız var ve bu program 8500 – 8501- 8502- 8565 portlarını kullanıyor olsun . Bu bu alnda bu portlardan

oluşan özel bir ERP servisi diye servis tanımlıyabiliriz.

Daha sonra eğer iki’ veya daha fazla öyle tanımlanmış servisimiz var ise bunları bu grup altındada toplayabiliriz. ERP dışında İK içinde başka bir prgram varsa oda 9864 portu kullanıyor onun içinde bir servis onjesi tanımlandır ve daha sonra group

altında ERP ve İK ‘yı tanımlayıp şirket servisleri diye bir leştirip bunları yönetebiliriz.

Menü >Firewall objects > Services > Services > Create New

NEK_ERP adında yeni bir servis tanımlıyoruz

Bu servis 8500 ‘den 8505’e kadar TCP portlarını içeriyorz

Buarada source öneli değildir esas olan destination

portladır o yüzen sadece detsiation tanım yapmamız

yeterli olacaktır.

Oluşturduğumuz servis objeleierini bu alnda goruplandırabiliriz.

Menü >Firewall objects > Services > Groups > Create New

NEK_ERP_YAZILIMLARI isminde bir grup oluşturup NEK_IP ve NEK_ERP servislerini bu gruba dahil ediyoruz.

Aşağıdaki Servis groups’un genel görünmü mevcuttur.

SCHEDULE / SCHEDULE

Görev zamanları , bu alanda cihazımıznda kulalnacaımız zaman objeleirni oluşturabiliriz. Daha sonra bu objeleri prolciylerde uygulyababiliyoruz , Örneiin mesai içi diye bir zaman oluşturup bu zaman dilimini media uygulamlarının mesai saatleri içinde

yasaklanması içşn kullanabilirim , Yada mesai dışı diye bir zaman objesi oluşturup bu objeyi ilgili polciylere uygularak mesai içinde ve

dşında arklı rafik akışı politikaları belirliyebilirim.

150 kişilik bir gündüz vardiyası var diyelim bu groupun bantgenişlik performansını artırmak için videoları , sosyal mediayı , online

oyunları vs vs yasaklıyan bir poliy oluşturup . Birde 20 kişlik bir gece vardiyası vardır tabi 20 kişinin kullanacağı bantgenişliği düşük olacağı için benim onlara kısıtlama politikaları uygulamama gerekyoktur o yüzden 2. Vardiyanın her şeyini serbest yapabilirim.

Bu şekilde farklı zaman dilimleri için farklı politikalar belirliyebilirim.

BU zaman politikaları 2 türlüdür bunlar ;

- Recurring Schedule : Her zaman aktif olacak bir zaman politika objesidir.

- New One-time Schedule : Tek sefer çalışacak zaman politka objesidir.

Recurring Schedule

Manü > Firewall > Objects > Schedule > Schedule > Create New > Recurring

Her zaman aktif olacak bir zaman politika objesidir. Yani burda oluşturduğumzu zaman objesni her zaman kullanabiliriz , Belli bir zaman

aralığını yada kullanım ömrü yoktur , Örneiğin mesai saat diye bir obje oluşturup işte pazartesden – cumaya 8 – 17 zaman aralığını seçeriz

ve bu obje her zaman kullanılbilecek bir şekilde hazır olur .

Yukarıdaki zaman objesinde Mesai saatleri diye bir isim verdim ve bu objemin mesai saatleri olan Pazartesi Salı çarşnba Perşembe ve

Cuma günleri 08:30 – 17:30 arasında çalışacağını ve aktif olacağını belirledim.

New One-time Schedule

Belli zaman aralıklarında tkfi olacak firewall objesi oluştururz , bu alanda oluşturudğumuz objenin bir başlama ve bitme zamanı vardır v

sadee o zamanlar arasında aktif olur , o zamanalr dışında objemiz çalışmaz , Çok fazla kullanılan bir seçenek değildir , Genellikle operasyonel zamanlar kullanır örneiğin benim gece 02:00 ile 04:00 araında 2 saatlik bir network operasyonum vardır , bu zamanlar

firewalumun alışagelmiş s sıkı ve takı politakları yerinde her şeyi serbest odluğu bir polika oluşturuş o zaman zarfındada network

operasyonumu herhangi bir engellem sorunu olmaksızın çalıştırabilriim . Zaten 2 saat sonra politikam pasif olacaı için herhangi bir güvenlik açışı oluşturmaz.

Manü > Firewall > Objects > Schedule > Schedule > Create New > New One-time Schedule

ERP VE VOCICE OPERASYON isminde bir zaman objesi oluşturyoum ve bu objenin 2014.07.08 tariinde 23 ile 24 arasında aktif olmasını sağlıyorum . böylece o zaman diliminde oluşturuğum policylerime bu amanobjesizini isediğim gibi ekliyebilirim böylece sadece belirttiğim

1 saatte araılığında aktif olacak daha sonra pasif olacaktır.

SCHEDULE / GROUPS

Yukarıda oşuştrudğumuz zamanobjelerini groupandırbailriiz bir çatı altında toplarız ve yönetimini dah esnek v daha kolay bir hale getirebiliriz.

TARAFFIC SHAPER / Tarafik Şekillendirici

Bu alanda tarafikiğiiz için band genişlikleri oluşturarak bunları ile polciylerde kullanabiliriz. Örneiğin bizim bir lab zonuuz

var ve bu alanda internet kullanıyor kullancılar , bu alnda multimedia aşğırı kullanılmayacağı için bu zonumuzun internete

çıkışlarında 1Mb gibi sadece dökümantasyon okumalarını ve internette gezinmelerini sağlıyacak tarafik bantgenişliğini

kendilerine sunabilriiz. Yada Suncularımız var biz tarafiğimizin büyük bir kısmını sadece suncularımızın kullanmasını

sağlıyabilriiz.

Bu alnda oluşturaln traffic shaperlar sadece birer nesnelerdir , bunları esas olrak polciylerde kullanıyoruz.

“ Traffic Shaping ile network trafiği, paket sınıfı, kuyruk disiplini vs kriterlere göre kısıtlama yapılabilir. Böylece kendi iş önceliğimize göre trafiği şekillendirebiliriz. Ftp ve web hızını düşürüp SQL bağlantılarının performansı garanti altına alınabilir. Bunu policy bazlı yapabildiğimizden ZAMAN ve kişi bazında düzenleme yapılabilir.” Garafik arayüzü ; Menü > Firewall Objects > Traffic Shaper > Ceate New

Ankara_sube isminde bir bantgenişliği oluşturuyoruz , .ve bu bantgenişliğinin trafik deperş maximum 4 Mb ,

İlgili Polciylerde

Traffic Shaping : Aktif ediyoruz

Shared Traffic Shaping : (Paylaşılan Trafik Şekillendirme ) Bu alanda kaynağın hedefe giderkenki kullanacağı ban

genişliğini beliyoruz. Bu seçenekte bu kullanıcı internetten bir şey indirdiği yada video izlediği zaman etkilenmez çünkü bu

seçenek sadece kaynağı hedefe olan tarafiğini belirliyoruz .Ama diyelimki bir web suncumuz var o zaman u seçenekte

kaynak lokal olduğu için dılarıya paket çıkışlarında seçilmiş olan bantgenişliğini uygular.

Shared Traffic Shaping Reverse Direction : (Paylaşılan Trafik Şekillendirme Ters Yön ) Bu seçenek ile birlikte ilgili

polciyden hedeften kaynağa gelirkende uygulanacak tarafik bantgenişliği kartı seçiliyor. Örneğin bu alnda 1 mb bir kart

seçersek kullancılar internette gezinirken hedeften loakal ynai ters trafik aktığı için 1 mb kullanılır bantgenişliğini.

Buna ek olarak Per-Ip tarafic de vardır oda yanıdır sadece ondan maximimum bağkantıda seçebiliyoruz

Traffic Shaping – PER –Ip

İp başına düşen bandgeişliği , bu aldna oluşturudğumuz bandgenişliğini bellir grıuplar araısnda değil her ip başına düşecek

şekidle ayarlıyabiliriz. Örneiğin 8mb hattım var bunu 30 kişi kullanıyor , bu durumda her ip için 273 kb bir bangenişliği

ayarlıyabilirim .

Bu şekilde interneti hoyratça kullanaın birnin bangenişliğini baltalamasına izin vermeyip herkesin eşit ve adil bir

bandgenişliği kullanım paylaşımı yapabilirim.

Menü > Firewall Objects > Traffic Shaper >Per-IP > Ceate New

Menüsüden oluşturulur ;

Utgulama :

Policy altında > traffic shaping aktif edilir Direction seçeniği seçilir

Per-ıp traffic shaping seçneiği aktif edildikten sonra ilgili firewall objesi olarak oluştruduğumuz obje seçilir.

Vırtual Ips

Port Yönlendirme / port forwarding / Virtual IP / VIP

Dışardan herhangi bir portuma herhangi bir prtotokülün herhangi bir portua gelen istekleri iç networkümüzdeki başka bir ipye yönlendirilmesidir. Genel olarak , kamera sistemlerinin internet üzerinden zilenmesi , web sunucumuz yayınlanması , uzakmasaüstü teleplerinin serverlara gitmesi , vs vs çoğaltabiliriz bunları . Fortigate firewall olduğu için cisco yada linu tablı olduğu gibi sadece port yönlendirmek yeterli değildir bunla birlikte tıpkı juniperde oldğu gibi ilgili polciyleride yapılandırmak gerekiyor , Aşağıdaki örnekte port yönlendirmeyi detaylı olarak anlamak mükünüd.r

Port Yönlendirme Seneryosu -1

Şekildeki gibi Çift wanımız ve içerde faliyet gösteren 3 tane serverımız var , Amaç ; 1-) Wan 1 ve Wan 2’e gelen ERP uygulamaızın portları olan -8765 arasındaki portları uygulama serverımız olan192.168.10.5’E yönlendir. 2-) Wan 1 ve Wan 2’e gelen http / https 8080 isteklerini Linux web serverımıza 80. Port üzerinden yönlendir. 3-) Wan 1 ve Wan 2’e gelen uzak masaüstü isteklerini 3389 yani default portutan gelen istekleri içeride Windows server 2012 yani 192.168.10.6’a 3389 porttan yönlendir. 1-) Port Yönlendirmler Yapılır

Menü >Firewall Objects >Virtual IP > Virtual IP > Create New

Bu alnda port eşleşmelerini yapıyoryuz . Benim buda yaptığım eşleşme ; Wan 10 üzerinden 192.168.1.100 ipsine gelen 3389 isteklerini 192.168.10.6 ipsinine 3389 portundan yönlendir. External ip : dış bacak Mapped : İç networkteki server ipsiz External service port : Dış istek portu Map to Port : İç networkteki hedef port Ayrıca color seçip fazla yönlendielerin odluğu FW yönetimi kolaylaştırbailiriz.

Yukarıda görüldüğü gibi tüm port yönlendirmlerini başarılı bir şekilde yapmışış , 2-) Port Yönlendirmlerini Grouplandırıyoruz

Menü >Firewall Objects >Virtual IP > VIP Group > Create New

Yukarda oluşturudğumuz yonlendimleri bu alnda grouplanıdrıyoruz , Böylece polciylerde daha kolay bir şekilde uygulayabileceğiz. Wan2_port_yönlendirme isminde İlgili interface Port8 ( Wan 2 ) Wan 2 olduğu için yukarıda wan 2’ye tanımladığımız port yönlendimelerini göebiliyoruz sadece gruplandırma yaparken .

Yukarıdaki görüldüğü gibi ilgili port yönlendimeler gerekli şekilde gruplandırılmıştır.

VIP Groups > port yönekendirmelerini grouplandırbailiri bu alanda,

VIRTUAL Ips / IP Pools

Dış bacak olarak tek bir ip değilde bir havuzumuz var ise örneiğin /28 bir havuz var haliyle bu havuzun 14 tane kullanıbailir dış baçak nternet ipsi olacaktır bunlara gelen istekleri toplu şekilde bu alnda yönetebiliriz ,

Monitör

Monitör / Traffic Shaper Monitör

Traffic sahaper larımıznı monitör ettiğimiz alandı

Security Profiles

Güvenlik politkalarının belirlendiği alandır bu alnda antivirüs’ten url filtreleme kadar bir çok ayar yapılabilir.

Antivürs : Firewall üzerinden geçen paketlerin UTM olarak

antivirüs koruması sağlar

Web Filter : Web filitreleme yapılmasını sağlar , url filitreleme gibi

içerdir contend te filitreleme mümkündür

Application Control : Networkümüzde kullanılan uygulamalrın

yönetildiği alandır .

Intrusion Protection : Zafiyet tarafaması , networkümüzde oluşacak

olası güvenlik açıkları için zafiyet tarafası yaparak bizleri falaketler öncesinde haberdar ederek güvenlik önlemleri almamızı sağlar.

Client Reputation : Bilmiyoum ne işe yaradığını .

ANTİ VİRÜS

Firewall üzerinden geçen paketlerin UTM olarak antivirüs koruması sağlar , İki mod vardır bunalr proxy ve Flow-based

Anti virüs için birden fazla profil oluşurulabiliniliyor , Bu farklı anti virüs profilleri değişik polcylerde kullanbabiliriz. Anti virüs

porfillerinde şu servisler kullanılabilir.

Web : http Email : smtp pop3 IMAP File trasfer : Ftp SMB Protokolleri için kullanabiliriz biz bu profilleri . anti virüs fortigate ile g-birlikte gelmesine rağmen kulnanım için lisansa ihtiyaç duyarız bir lisans aldıktan sonra eğer süresi biter ise yine anti virüs açık olur ama bu sefer güncellemleri yapmaz , anti virüslerin güncel olmasından dolayı güncelleme yapmıyan bir anti virüs yazılımı bizim pekte fazla işimizi görmez anca piyasda var olan genel virüslere karşı bizi korur yada en son databasinde kaln imzalara göre güvenlik sağlar. AntiVirus > Profiles Altında New diyerek yeni bir anti virüs politikası belirliyebiliriz , bu plitikada ykarıda belirttiğim protoklerden hangisnin kullanılacağınıda aynı zaman seçebiliriz

WEB FILTRE

Web filitreleme politikalarımızın yapıldığı aladnır , Bu alanda birden fazla web filitreleme politikası yaparak çeşitlik şekillerde

arklı polcylerde bunları kullanabiliriz.

Web fililtreleme lisanslı olduğu için özelliği kullanmak için aktif bir tane liansımızın olması gerekmektedir ,

WEB FILTER / Profilies

Sağ üste bulunan create new + butonuna tıklıyraka yeni bir politka oluşturabilriiz ,

Aşağıdaki web filitreleme politikamıza detaylıca inceliyeck olursak bölüm bölüm ;

Fortigate’te web filitreleme aşağıdaki başlıklar altında toplanabilir.

Allow : Bu katageori altınaki içeriklere izin verir.

Monitör : Bu katagori altındaki içeriklere izin verir fakat öel olarak monitör ederek raporlama sunar ,

Bloack : Bu katagorideki içeriklere izin verme engelle.

Warning : Bu katagorti altındaki içeriklere belli zaman aralılığınca yasakla o zaman dilimi geçtikten sonra aktif olarak izin verir.

Authenticate : Kimlik doğrulama yaparak izin veriri.

Local Categories : lokal networkümzdeki bir takım içeriklerein tanımlandığı alandır.

Adult / Mature Content : Yetişkin içerik , Burada kumpar bahis xxx gibi katagoriler mevcuttur.

Bandwidth Consuming : Ban genişliği sömürücü : Bu alnda bizim band genişliğimizi sömüren alt katagoriler vardır bunlar ;

File Sharing and Storage : Dosya paylaşımı ve depolama ; rapidshare , dosya.tc , filesave gibi dosya

sitelerinin var olduğu katagoridir.

Freeware and Software Downloads : Yazılım ve dosya indirme , tamindir , inddir , vs vs

Internet Telephony : İnternet telefon siteleri ,

Internet Radio and TV : Rodyo ve tv siteleri startv.com.tr , atv.com.tr gibi.

Peer-to-peer File Sharing : Uçtan uca dosya paylaşımı

Streaming Media and Download : Media ve dowload siteleri , örneiğin muhammetyildirim.com ‘daki

herhangi bir video

Quota on Categories with Monitor, Warning and Authenticate Actions : Bu sçenek ile yasak olan

catagorilerde belli bir zaman izin vermemize yardımcı olur :

Örneiğin oyun yasak ama ben perosnlerrin 1 saat oyun catagerisinde gezinmelerine izin veririm.

Yada multimedia yasak ama ben her perosnelin 30 dk boyunca multi media kullanmasına izin

vererek 30 dk lık bir kota uygulayabilirim.

Securty Risk : Güvenlik risklerinin toplandığı katagori , serils.com gibi.

General Interest - Personal : Personel için uygulanacak içerik ,

General Interest - Business : Yöneticler için uygulanacak web filitreleme içeriği .

Unrated : derecelendirilmemiş

Enable Safe Search : ile güvenli arama sitelerini etkinleştirebiliriz.

Enable Web Site Filter : İle elle web siteleri ekleyip bunları monitör edip yada engelliyebiliriz ,

www.muhammetyildirim.com gibi tam adres yazılmakla birlikte sadece muhammet eklenerek içinde

muhammet geçen hiç bir url ‘yi açmamasını sağlıyabiliriz.

Block Invalid URLs : Geçersiz url leri engelle ,

HTTP POST Action : İle http sayfalarını arka planda başka bir sayfa açılmasına izin verip yada

engelliyebiliriz.

Remove ActiveX Filter : ActiveX filitresini kaldırıyoruz

http://192.168.1.11/p/utm/wf/profile/edit/default/



http://www.muhammetyildirim.com/

Remove Java Applet Filter : Jaba için filitreyi kaldır .

Remove Cookie Filter : Cookie ler için filitreleri kaldırın

Log all search keywords : Tüm arama anahtar kelimeleri Log

Provide Details for Blocked HTTP 4xx and 5xx Errors : Engellenen HTTP 4xx ve 5xx Hataları Ayrıntıları sağlayın

Rate Images by URL (Blocked images will be replaced with blanks) : URL'ye göre oranı Görüntü (Bloke görüntüleri boşlukları ile

değiştirilecektir)

Web Content Filter : Web İçerik Filtreleme

Allow Websites When a Rating Error Occurs : Bir Değerlendirme Hata Oluşuyor web sitelerine izin

Rate URLs by Domain and IP Address: Domain ve IP Adresi oranı URL'ler

Block HTTP Redirects by Rating : Blok HTTP Derecelendirme yönlendirir

Allow Blocked Override : Kullanıcı bazlı filitrelme yapmak mümkündür

WEB FILTER / Rating Overrides

BU alnda ilgili ilgili katagoriler için yeni siteler oluturbailiyoruz , Oluşturudğumuz site kayıtlarını ilgili katagoriler altında

WEB FILTER / Web Overrides

Filitreler için kullanıcı yetkilendimlerinin oluşturulduğu alandır . Lisans olmaıdğı için detaylı test edemiyorum

APPLICATİON SENSORS

Uygulamlarımızın kontrollerinin ev yönetiminin ağladnığı aldnır , Tüm uygulamlar ve imzaları bu balık altında tanımlanır ve bu

uygulamlardan hangisine izin verip hangisine yasak yetirileceiğini ayarlıyabiliriz.

Yeni uygulama ekleme ; Menü > Security Profiles > Application Control >Aplication List > Create New

Daha sonra ekli uygulamları application sensors ekranında düzenliyebiliriz.

Sağ üste bulunan Create new butonu ile yeni application politikası belirliyebiliriz. Daha sonra bu politasaya uygun uygulamları

bu politaka başlığı alıtına yönetebiliriz.

Bu alanda uygulamları ;

Monitör ederek izleyebilir ve loglayabiliriz

Bloack diyerek uygulamalrın çalışmasını engelliyebiliriz

Traffic Shaping ederek uygulamlara belli bir bantgenişliği sağlıya biliriz , Örneiğin oyun oynama yasak değil ama 100 kb band

genişliği ile oynasınlar böylece benim trafiğimi engellemesinler , yada dosya pyaşımı aktif oslun ama düşük bantgenişliği ile

kullanılabilsin

Ben yukarıda traffic shaping uygularak youtube uygulamalrını düzşük bantgenişliğinde kulanımasını ayarlıyorum . Daha sonra

hangi policylerde bu aktif olacaksa onalrı seçiyoruz.

INTRUSION PROTECTION

İzafiyet taraması , networkümüzde ve sistemimizde ilerde oluşabilecek olası sorunlar için genel taramlar yapar.

İlerde daha detaylıca anlatım yapacağım .

CLIENT REPUTATION

İlerde daha detaylıca anlatım yapacağım .

USER & DEVICE

Cihaz için gerekli olan kimlik doğrulmların yapıldığı alanlar için obje oluşturulduğu alandır . User : Kullanıcılar oluşturulduğu ve grouplandırıldığı alandır , İstenirse LDAP server TACAC+ ve RADIUS serverdan kullanıcılarımızı çekerek sekronize edebiliriz. Device : Networkümüzde oluştrudğumuz cihazlaırın oluşturulduğu alandır . Authentication : Kimlik doğrulama alanların yapılandırmasının yapıldığı alandır , istenirse bu alan LDAP server , RADIUS Server gibi server ile sekronize edebiebilir. Endpoint Protection : Fortinetin son kullanıcı denetim yazılımı olan FortiClient ları ayarladığımız ve yönettiimiz alandır . Monitör : Bu ilşlerin monitörüize ediliği alandır . Two-Factor Authentication :

Not : Bu alandaki özelliklerle ilgili ilerde detaylı şekilde alıştırma yapılacaktır.

VPN

Fortigate üzerinde client to site ve site to site olmak üzere iki vpn çeşidi yapılabilir ,

Client to site için : SSL VPN

Site to Site : IPSEC VPN

Kulalnılır ,

IPSEC : Site to site ve client to site olmak üzere iki türlü vpnde yapmak mümkünüdr. Client özel bir yazlım ile internet üzerinden fortigate loigin olup ordan sonra vpn işlemini gerçekletiriyor SSL-VPN Client to Site : Kullanıcı internet üzerinden özel bir yazlımıa dahi ihtiyaç duymadan kolaylıkla eriişebilir ve gerekli hizmetleri alabilir

Not : Bu alandaki özelliklerle ilgili ilerde detaylı şekilde alıştırma yapılacaktır.

IPsec Güvenlik Nasıl Sağlanır ?[değiştir | kaynağı değiştir]

IPSec’ in güvenlik mimarisini oluşturan üç temel unsur vardır:

1.Bütünlük (integrity); hedefe ulaşan verinin kaynaktan gelen veri ile aynı olup olmadığı kontrol edilir.

Ağ üzerinden gönderilen mesajın gerçekten gönderilen mesaj olup olmadığını anlamak için, mesajı

alan bilgisayarın hesapladığı mesaj özeti (message digest) değeri ile mesajı gönderinin ilettiği mesaj

özeti değerleri karşılaştırılır. Sonuç farklıysa iletilen mesaja iletim sırasında müdahale edildiği anlaşılır.

Mesajları özetlemek için MD5 ve SHA-1 algoritmaları kullanılır.

2.Kimlik doğrulama (Authentication); iletişimde bulunan her iki tarafın da birbirlerinin kimliklerinin

doğrulanması için kullanılır. İletişimde bulunan bilgisayarların birbirlerinin kimliklerini doğrulamaları için

aynı kimlik doğrulama metodunu kullanması gerekir. IPSec protokolünü kullanarak iletişim kuracak

bilgisayarlar, kimlik doğrulama işlemi için çeşitli yöntemler kullanabilirler. Bunları şöyle sıralayabiliriz:

Önpaylaşımlı anahtar (preshared key) (MS-CHAP)

Kerberos (Windows tabanlı ağlar için)

Sertifika yetkilisi (certificate authority)

3.Gizlilik (Confidentiality); gönderilen verinin ağ üzerinden şifrelenmiş bir şekilde iletilmesini

belirtmek için kullanılır. Bu durumda, ağdaki paketler bir izleyici (sniffer) aracılığıyla yakalansalar bile

içerikleri şifrelenmiş olduğu için taşınan verilerin üçüncü şahıslar tarafından okunması engellenmiş

olur. Şifreleme işleminde en çok kullanılan yöntemler DES ve 3DES yöntemleridir.

Bu işlemler yapılırken veri paketi farklı algoritmalarla şifrelenir. Bu işleme Encrypiton denir. Veri

paketi hedefe ulaştığında şifrelenen veri paketi açılır ve kullanılabilir hale getirilir. Bu

işlemede Decryption denir.

IPsec çift mod end-to-end ise, İnternet Katmanı Internet Protokolü Suite Yaklaşık Katmanı

3 OSI modelde olduğu güvenlik düzeni işletim. SSL, TLS ve SSH gibi yaygın kullanımı, bazı diğer

Internet güvenlik sistemleri, bu modellerin alt katmanlara faaliyet, SSL VPN bir örnek olmaktır. Çünkü

trafiği korumak için kullanılabilir. Çünkü uygulama kullanımı ise IPsec kullanmak için tasarlanmış

olması gerekmez. IPsec daha yığıtın bir alt düzey olarak bir at çalışma, esnek TLS / SSL veya diğer

yüksek katman protokolleri bu düzeyde uygulamaların tasarım dahil olmalıdır.

IPsec Protokolleri[değiştir | kaynağı değiştir]

IP Doğrulama Başlığı[değiştir | kaynağı değiştir]

Çeşitli matematiksel algoritmalar kullanılarak gönderilen veri paketine bir numara verilir. Daha sonra

veri paketi hedefe ulaştığında aynı algoritma kullanılarak verilen numara tespit edilmeye çalışılır.

Gönderilen veri paketi ağ üzerinde herhangi bir değişikliğe ve veri kaybına uğramışsa numara farklı

olacağından veri paketi kabul edilmez.

IPsec protokolleri IP datagramlarının bütünlüğünü korumak için hash mesaj

doğrulama kodlarını (HMAC) kullanır.

MD5 ve SHA gibi hash algoritmaları kullanarak IP datagramı ve bir gizli

anahtarı temel alan HMAC'i çıkartırlar.

http://tr.wikipedia.org/w/index.php?title=IPsec&veaction=edit&vesection=1

http://tr.wikipedia.org/w/index.php?title=IPsec&action=edit&section=1

http://tr.wikipedia.org/wiki/OSI

http://tr.wikipedia.org/wiki/SSL

http://tr.wikipedia.org/wiki/TLS

http://tr.wikipedia.org/wiki/SSH

http://tr.wikipedia.org/wiki/TLS

http://tr.wikipedia.org/wiki/SSL



http://tr.wikipedia.org/wiki/IP



Daha sonra bu HMAC IPsec protokol başlığına eklenir ve paketin alıcısı eğer

gizli anahtara erişimi varsa bu HMAC'i kontrol edebilir.

Kapsüllenen Güvenlik Yükü[değiştir | kaynağı değiştir]

IP Doğrulama başlığı tarafından numarası verilmiş IP paketlerini bizim belirlediğimiz algoritmalar

yardımıyla şifrelemek ve hedefte aynı algoritmalar yardımıyla şifrelenen paketi açmaktır. Bu

işlemi IP paketlerini kapsurulur ve istemciden istemciye olan iletişim, tünel protokolü kullanılarak

kapsüllenir. Kaynak ve hedef istemci bilgisayarların, IPSec kullanacak şekilde konfigüre edilmelerine

gerek yoktur ve bu yüzden yerel ağda IPSec protokolü tarafından desteklenen herhangi bir LAN

protokolünü (örneğin TCP/IP, IPX/SPX, AppleTalk, NetBEUI) kullanabilirler. Bu modda, geçityolu bir

tünel server, router, firewall veya VPN cihazı kullanılabilir.






WİFİ CONTROLLER

Networkümüzdeki FortiAP’leri yönetmemizi sağlıyan aryüzüdr, Bir ap networke dahil odluktan sonra otomatik olarak bu

controllera login olur ve daha sonra bu controller üzerinden update işlemleri yayın yönetimi , client izleme , sinyal yönetimi gibi

bir çok yönetimiin sağlandığı alandır ,

Not : FortiAP’ler sadece fortigate networklerde çalışmaktadır onun dışıdna standalone olarak çalışmazlar.

LOG & REPORT

Log Config : fortianalzyer ve fortibulutunda logların saklanması

WAN OPT. & CACHE

Wan ve cach operasyonlaırmızın yapıldığı alandır .

POLICY

Fortigate Policy Yönetimi Policy networklerde trafiği yönetmemize yardımcı olan araçlardır . Policy lerdi detaylı şekilde yapılandırarak network

akışımı A’dan Z’ye düzeniyebilriiz. Forigate policy ayarları çin ana menu > Policy altında tanımlanır.

Defaulttta Deny all/ deny olarak bütün network akışlarını ve tarafiği kpatan bir policy vardır , böylece fortigate kapalı

olarak hazır olur biz izin vermek istediğiğimiz akışları açarak izin veriyoruz.

Not : Policy sadece trafaiği analiz edip aksiyon alır ama policylerin çalışması için Routing dediğimiz her türlü yönlendirme

işlemlerinin yapılmış olması gerekyor. Roting ile networkleri detaylıca yönlendiririz policy ile bu networklerdeki tarafik

akışlarını düzenliyebiliriz. İkisi bir birinden ayrıdır. Ama ikisininde bir biri ile onay lar olmadlıdır.

Örneiğin : Eğer bir 192.168.20.0 diye bir networke roting var ise policylerdende bu networke erişim için onay verilmesi

lazım , çünkü yukarıdada dediğim gibi defaulta kapalı olur tüm tarafik.

Her şey Serbest;

Tüm networklerin , tüm conlardan ( portlardan ) tüm hedeflere giderkne her şeyi açık ve her şeye izin veren bir polciy

oluşturma

Temelde iki tür Policy vardır ;

-Firewall Policy

-Adress

-User Identity

-Device Identity

-VPN Policy

-Firewall Policy

Menü > Policy > Policy > Create New

UTM bazlı uygulanan pllicylerdir , BU policylerrde kaynak hedef ip , kaynak user , kaynak device olmak üzere 3 farklı

soruce göre uygulayabiliyoruz , En çok kullanılnı olan adress bazlı polciylerin ekran çıkıtsı aşağıdaki gibidir.

Policy tipini , policy subtype türünün belirlenip , giriş interface kaynak ip ve çıkış interface hedef ip gibi bir takım ayarlar yapılıyor. Schedule ile firewall objelerde oluşturduğumuz ilgili zaman objesini kullabiliriz , Service : ile bu policyde izin verilecek servisleri seçiyoruz , all yapılarak ehrşeye izin verilmiştir, Aciton : ile bu policynin ststusunu beliyoruz , ben burda ACEPT ederek izin vermişim yada DENY verilerek yasaklamak içinde polciyler oluşturulabilir.

Kaynak adres ve ipden gelen ipleri hedefe giderken çıkış ipisine ve porta NAT’La İstersek ip havuzuda oluşturup ordanda nat yapmasını sağlıyabilriiz.

Policy’den geçen trafaiğini loglanııp loglanmıyacağını ayarlaıdğımız alandır.

Bu policyde ugulanacak güvenlik politikalarını belirlediğimiz alandır , Burda Securty pofile alaında oluşturudğumuz değişik profilleri uygulayabiliriz , Anti virüs Web filtre App. Control gibi çeşitli başlıklardaki güvenlik önlemlerini aktif edebiliriz. Bu alanın aktif olması için ilgili lisansların aktif olması gerekmektedir ,

Traffic shaping ( trafik şekillendiric ) bu alanda daha önce oluşturduğumuz bant genişliklerini aktif ederek ilgili polcinin bellir bir kbantgenişliği kullanmasını sağlıyoruz , Sosyal media için bir shape olşturulmuş ve bu shape 2048’e olarak bant geniliği verilmiş ve bu shape bu polciyde aktif edilerek bant geniliğinin 2048’dne yukar çıkmamsını sağlıyoruz. Shared Traffic Shaper – kaynaktan hedefe giderken Shared traffic shaper reverse direction : Karşı yönlenden gelirkende bu bant genişliğini uygula .

Enable web cache : Wenable Wan optimazation: Disclaimer Comment Gibi ayarlarda bu alnda yapılır.

VPn Policy :

Cpn bağlantılar için kullanılan policyler , policy type : VPn seçildiğinde aşağıdaki gibi bir ekrandan gerekli yapılandırma yapılır .

Burada kullanıcı kimlik doğrulama , Securty SSL-VPn portal türü Aciton gibi özelliklerde belirlenebilir.

Yukarıdaki alanda genel olarak tenik açıklamar yer almaktadır , aşağıda ise fortigate ile igli çeşitli konular yapılmış lab

çalışmalarımı yazıyor olacağım.

Fortigate Lab Çalışmalarım

NAT AYARLARI Örnek seneryo şu şekildedir.

1-) Router > Policy Route > Create : İle yeni birer routing kuralı oluşturuyoruz , Böylece Firewall iki lokal

netwok içinde aşağıdaki şekilde policy oluşturulurçü.

Nedir ;Lokal port 3’den gelen istekler için dış bacak olarak port1(Wan ) kullan ve getway olarakta 192.168.1.1 yani ADSL getwayine git .

Nedir ;Lokal port 2’den gelen istekler için dış bacak olarak port1(Wan ) kullan ve getway olarakta 192.168.1.1 yani ADSL getwayine git .

2-) Policy > Policy > Policy > Create new :ile her iki network içinde birertane policy oluşturuyoruz ,

Source interface / zone :Burda iç lokal network interfaceimizi seçiyoruz ,

Source Adress :Burda all diyerek tüm kaynak networklerini kapsamasını sağlıyoruz

kuralımızın.

Destination interface / Zone :Burada dış bacak networkümüzün interfaceini

Source interface / zone :Burda iç lokal network interfaceimizi seçiyoruz ,

Source Adress :Burda all diyerek tüm kaynak networklerini kapsamasını sağlıyoruz

kuralımızın.

Destination interface / Zone :Burada dış bacak networkümüzün interfaceini

seçiyoruz.

Destination Address :All diyerek tüm networklere giderken bu kuralıızın geçerli

olmasını sağlıyoruz.

Schedule :Always kural her zaman geçerlidir.

Service : Bu kurala tabi olacak servisleri belirliyoruz , burda any diyerek tüm servisler

açılmıştır istenirse internet için ( http , https , dns ) açılarak sadece internet sağanabilir.

Aciton : Accept Kuralını aktif halde kalmasını sağlıyoruz.

Enable NAT : En önemlisi bu seçenek aktif edilerek bu kural çalışırken aynı zamandada

nat işlemininde yapılmasını sağlıyoruz ,

seçiyoruz.

Destination Address :All diyerek tüm networklere giderken bu kuralıızın geçerli

olmasını sağlıyoruz.

Schedule :Always kural her zaman geçerlidir.

Service : Bu kurala tabi olacak servisleri belirliyoruz , burda any diyerek tüm servisler

açılmıştır istenirse internet için ( http , https , dns ) açılarak sadece internet sağanabilir.

Aciton : Accept Kuralını aktif halde kalmasını sağlıyoruz.

Enable NAT : En önemlisi bu seçenek aktif edilerek bu kural çalışırken aynı zamandada

nat işlemininde yapılmasını sağlıyoruz ,

Ne Oldu : Bu seneryo test edilmiştir ve çalıştığı gözlenmiştir

Fortigate Load Balancing Aktif / Pasif Master Slave

Yukarıdaki gibi bir netork yapımız oldğuunu düşünelim , Wan 1 ve Wan 2 olmak üzere iki tane wanımız var ,

bunlardan Wan 1 bizim birincil yani master getwayimiz Wan 2 ise İkinci yani yedek hattımız olsun , Bu yapıya

uygul olacak şekilde fortigate cihazımızı yapılandıralım ,

1-) Wan 1 İp yapılandırması :

2-) Wan 2 İp yapılandırması : Bu noktada wan ip ipimizi dhcp’den alcaız bu yüzden interface altında bulunan “IP

address is in same subnet as the others.” Seçeneiğini seçerek dhcp’Den aynı zamanda kendisi içinde default route almasını sağlıyoruz , İknci olarakta budefault routun distance değerini 15 yapıyoruzki esas default rouumuzu pasif etmesin , Distance değeri düşük olan master route olur. 3-) Fortigate için Default route oluşturuyoruz 4-) İki Wan içinde Policy oluştuuryourz : Burada Out portunu sırasıyla Wan 1 ve Wan 2 seçip Nat seçeniğinide aktif etmemiz gerekiyor.

5-) Getwaylerimizi sürekli kontol etmek için ICMP ping aksiyonlarını başlatıyoruz , Bu konuyu daha önce hiç yazmadığım için burda detaylıca yazacağım

Router > Static > Settings and select Create New Altında New diyerek ;

ECMP Load Balancing Method olarak Spillover seçip aşağıdak gibi iki tane aksiyon oluşturyoz.

Interface wan1

Ping Server 172.20.120.2

Detect Protocol ICMP Ping

Ping Interval (seconds)

5

Failover Threshold 5

Interface wan2

Ping Server 10.41.101.100

Detect Protocol ICMP Ping

Ping Interval (seconds)

5

Failover Threshold 5

Yukarıdaki yapıdan sonra eğer bizim master hattımızda herhangi bir sorn olursa ikinci hattımız devreye girecektir

,Aktif Pasif çalışma yapısıdr bu ilerde Aktif aktif olarak nasıl yapılur onuda işleyeceğim.

Port Yönlendirme Seneryosu -1

Şekildeki gibi Çift wanımız ve içerde faliyet gösteren 3 tane serverımız var , Amaç ; 1-) Wan 1 ve Wan 2’e gelen ERP uygulamaızın portları olan -8765 arasındaki portları uygulama serverımız olan192.168.10.5’E yönlendir. 2-) Wan 1 ve Wan 2’e gelen http / https 8080 isteklerini Linux web serverımıza 80. Port üzerinden yönlendir. 3-) Wan 1 ve Wan 2’e gelen uzak masaüstü isteklerini 3389 yani default portutan gelen istekleri içeride Windows server 2012 yani 192.168.10.6’a 3389 porttan yönlendir. 1-) Port Yönlendirmler Yapılır

Menü >Firewall Objects >Virtual IP > Virtual IP > Create New

Bu alnda port eşleşmelerini yapıyoryuz . Benim buda yaptığım eşleşme ; Wan 10 üzerinden 192.168.1.100 ipsine gelen 3389 isteklerini 192.168.10.6 ipsinine 3389 portundan yönlendir. External ip : dış bacak Mapped : İç networkteki server ipsiz External service port : Dış istek portu Map to Port : İç networkteki hedef port Ayrıca color seçip fazla yönlendielerin odluğu FW yönetimi kolaylaştırbailiriz.

Yukarıda görüldüğü gibi tüm port yönlendirmlerini başarılı bir şekilde yapmışış , 2-) Port Yönlendirmlerini Grouplandırıyoruz

Menü >Firewall Objects >Virtual IP > VIP Group > Create New

Yukarda oluşturudğumuz yonlendimleri bu alnda grouplanıdrıyoruz , Böylece polciylerde daha kolay bir şekilde uygulayabileceğiz. Wan2_port_yönlendirme isminde İlgili interface Port8 ( Wan 2 ) Wan 2 olduğu için yukarıda wan 2’ye tanımladığımız port yönlendimelerini göebiliyoruz sadece gruplandırma yaparken .

Yukarıdaki görüldüğü gibi ilgili port yönlendimeler gerekli şekilde gruplandırılmıştır. 3-) Policy Yönetimi Menü > Policy >Policy >Create New

Yukarıdaki gerekli yonlendimeleri ve gruplandırmları yapmıştık şimdi ise firewalın en öneli ayağı olan policy ler ile bu yönlendimeleri ve gruplandırmayı trafik akışımızda kullanacaız . Policy’de olmayan bir şey yok demektir FW’ için . Burda dışarıdan içeride doğru bir trafik akışı olduğu için Source Interface/Zone : Wan 2 ( port 8 ) seçilmiştir. Source Address : All yapılaral her ipye açılmıştır Destination Zone : Any yani şu değilse hepsi mantığı . Destination Adress : Çok önemli buarda destinaiyon için bizim port yönlendimesi oluşturudğumuz adresleme kartını kullanıyoruz . Yani orda Wan2_port_yonlendime seçilmiştir , Bu yönlendime grup adıdır ve bu gruba dahil olan kartları yukarıda biz belirlemiştik , Eğer burda bir grup oluşturmasaydık yine tek bir yönlendime kartınıda seçebiliriz. Enable NAT : Bu zaten olmazsa olmaımız Wan çıkışlarında ve girişlerinde.

Yukarıdaki policy’ ekranındada görüşdüğü gibi iki policy’De başarılı bir şekildeeklenmiştir , Bu şekilde port yönlendime yapılmıştır aşağıda Bu işlemleri komut ekranında nasıl yapılır onu anlatacağım.

İpsec VPN ( Site to Site )

Yukarıdaki gibi bir network yapısın , internet üzerinden iki lokasyon arasında ip sec vpn yapılarak lokal networklerin bir birleri ile

güvenli iletişim kurmasını sağlıyacağız. İpsec vpn sonunda iki sube arasında güvenli bir tünnel açılacak ve bağlantı

kurulacaktır.

İpsec vpn Yapılandırma için aşağıdaki adımalr uygulanır ;

1-) İlgili interfaceler doğru şekilde yapılandırılmalıdır ( ip ,port subnet vs vs .ayrıca hedef wan ipye ping olup olmadığı test edilir )

2-) İpsec vpn yapılandırılır , Phase 1 , phase 2 ( FAZ 1 ve FAZ 2 )

3-) Çift yönlü olarak policy’ler oluştuulur .

4-) İlgili statik routing yapılır.

1-) İnterfacelerin Yapılandırması

Mardın Fortigate FW Ankara Fortigate FW

İlgili interfacelere gerekli ip yapılandırması yapılmıştır , benim iki lokasyon içinde lokal portlarım port 1 Wan tarafım ise port5 olacak şekilde yapılandırmışşımdır. Not : Bu işlemden sonra Wan iplere ( internet ip ) ping erişimlerinin olup olmadığına bakılmalı mutlaka

1-) İp sec Vpn Yapılandırılması

1.1) Faz 1 yapılandırılması

Menü >VPN > IPSEC > AUTO Key >Create Phase 1

Name : Vpnimiz için bir name belirliyoruz ,

Remote Getway Burada getway ile nasıl iletişim kurcağımızı belirliyoruz , ben sahip bir internet ipsi üzerinden bağlantı

kuracağım için bu “ static ip address “ seçeniğini seçiuorum

İp adress : : Burada ipsec vpn yapmak istediğimiz larşı taraftaki internet ipsini yazıyoruz . Bu ip çok önemli komşuluğu bu ip

üzerinden kuacaktır. Bu ipye mutlaka ping eirşiminin olması gerkemketdir.

Mode : Main Mode

Authentication Method : Şifreleme türünü belirliyoruz ben buarada “ preshared key “ diyip bir özel bir şifreleme ile komşuluk

kuracağını belirtiyorum

Pre-Shared Key : Bağlantı kurarken kimlik doğrulama yapacağımı şifreyi yazıyorum ben burada şifre olarak g....c...guz

beirledim.

Pr propasal : Burada datayı şifrtlem methotlarını belirliyorum.

Key life :

1.2) Faz 2 yapılandırılması

Menü >VPN > IPSEC > AUTO Key >Create Phase 2

Name : isim verdim

Phase 1 : bizm faz2 yaptığım için faz 1 isteyecektir faz 1 ‘De şifrelem yapar faz 2’De komşuluk kurup

daha trafiğini yönetir. O yüzden bu alanda sadece iki ayar yaptım ve ok dedim.

Bu mantıkla aynı şekilde Nakara Firewall üzerindende ipsec vpn yapılandırması yapıyoruz.

3-) Çift yönlü olarak policy oluşturyoruz.

Mardin’den Ankaraya giderken Ankaradan Mardine Gelirken

Yukarda görüldüğü gibi çift yönlü olarak 2 tane policy oluşturdum bu plicylers ayesinde vri tarafiime izin verecek fortigate . aynı şekilde ankara fw üzerindede gerekli iki policy oluşturuduyor.

Polciy görünümüm şu şekildedir.

Ankara polciy çıktısı;

4-) Static Routing Yapıyoruz

Bu noktadan sonra static routing yapıyoruz

İlgili routing işleminde yaptıktan sonra artık sistemimiz sorunzu şekilde çalışmaktadır , Aynı routingi işlemin tersini ankara fw’da

yapmak gerekiyor.

Test ; Ankara PC’Den

Not : Bu network yapısı lab edilerek çalıştığı gölenmiştir ayrıca istenirse bir lokasyonun default route diğer lokasyona çevrilerek

o lokasyon üzerinden intenete çıkmasıda sağlanabilir bunla birlikte antivirüs url filtre gibi bir çok özellikle kullanılabilir.

Menü > Vpn > Monitör > Ipsec Monitör

İle ipsec vpn bağlantımızın oyurumunu görüyoruz , Burdan istersek vpn bağlantıımızınn down – up’da edebilriiz.

Ekstra-1)

İkinci bir site to site bağlantısıd aoluşturabiliyorum istersem yukarda ben oluşturdum

Mantık diğer ikinc gibi aynı . ardahan diye başa bir fw oluştudum onun üzerine yapılandırdım.

forti̇gate ayarlari

Technology