Fortinet

Fortinet Fortigate Firewall ile Ipsec Vpn Nasıl Yapılır ?

Thu, 20 Mar 2008 22:37:33 GMT

Merhaba ; Öncelikle Fortigate Ipsec Vpn yapısı ile ilgili bilgi verelim.Ipsec vpn yaparak merkez ağımıza bir şubeden yada mobil bir kullanıcının bağlanmasını sağlayarak sanki ofisimizdeymiş gibi çalışırız.Bu konu ile ilgili olarak Ip sec vpn bize merkez networkümüze izin verilen kurallar içerisinde bağlanmamızı sağlayan yapıdır.Güvenliği diğer bağlantı şekillerine nazaran daha güçlü olduğu için en çok rağbet gören sanal özel ağ yapılandırmasıdır.Ipsec vpn iki şekilde yapılır.Side to Side (Fortigate’ten Fortigate cihazına) Client to Side (Mobil bir pc (notebook,pc vs’den Fortigate cihaza)Bu makalede Client to Side ipsec vpn’i göreceğiz.
Öncelikle Fortigate Firewalla bağlanıyoruz ve sırası ile resimdeki adımları gerçekleştiriyoruz.

IPSEC Resim 1

Var olan bir yapıyı inceleyelim.

Burda yapılması gereken create phase1 diyerek aşağıdaki resimdeki gibi yapımızı ayarlıyoruz.

Preshared Key kısmına güvendiğimiz sağlam bir şifre veriyoruz.3 aşamalı encryption sağlayabiliriz.Ama yapılan encryptiona göre performans kaybı yaşanabilir.Bu yüzden önerilen 2 aşamalı encryptiondır.

IPSEC Resim 2

Resimde görüldüğü üzere remote gateway kısmında dialup user seçilmiştir.

Şimdi Phase2 oluşturulmalı ve Phase 1 entegre edilmelidir.

IPSEC Resim 3

Şimdi Ipsec vpn kullananlar için servis tanımlamamız gerekmektedir.Buna network adminler karar vermeli.Bundan sonraki aşama Policy uygulamaktır.

Policy resmi

IPSEC Resim 4

Ipsec servis gurubumuzda neler var.Örneğin http,https,pop3,rdp,ftp gibi servislerimiz bulunmakta.Ipsec profile ile ftp de virus taraması yapabiliriz.Bunlar ile ilgili örnek vermek gerekirse;Merkezimizde word,excel,autocad vb çalışmalar olmakta.Kullanıcımız şehir dışından ftp sunucumuza Kullanıcı adı ve şifre ile bağlanarak ipsec vpn ile transfer edeceği dosyalarda, merkezde koruma sağlamış olacağız.Bu da ağımıza viruslerin bulaşmasını engelleyecektir.Ayrıca kullanıcıların farkında olmadan yapabileceği atakları Fortigate karşılayacak ve karşı hareket ile güvenliğimizi sağlayacaktr.

Merkez ofisimizi ayarladık.Şimdi kullanıcımızı ayarlamamız gerekmekte.Bunun için forticlient yazılımı var.Ipsec vpn modulu ücretsizdir.Download linki ftp://mail.f1bilgisayar.com/fortıclıent/mr6_forticlientsetup_3.0.534.zip

Yazılımını indiriniz.Kurulum esnasında custom seçeneği ile sadece vpn modülünü yükleyiniz.Yükleme tamamlandır ise aşağıdaki resimdeki görüntü olucaktır.Ben full kurduğum için sizde sadece ipsec vpn modülü ve maintanence,logs kısmı görünecektir.

IPSEC Resim 5

Resimdeki gibi tıklayarak aşağıdaki ekranı alırız.

IPSEC Resim 6

Resimde görüldüğü gibi bağlantımız sağlandı.Fortigate izin verilen kurallar ölçüsünde merkezimiz ile haberleşebiliriz.

IPSEC Resim 7

Peki bağlantımız olduğu zaman Fortigate bağlanan kullanıcı görülüyor mu ? Yanıtı aşağıda.

IPSEC Resim 8

Resimde görüldüğü üzere merkez ile bağlantımız yapılmış durumdadır.Benim bilgisayarımın modemden almış olduğu ip monitörde görülmektedir.Merkeze Ping atalım ve smtp için telnet çekelim.Servislerimizde ping yasak iken telnete izin verdim denemek için.

IPSEC Resim 9

İlgili policymiz yukarıdaki gibi servisleri gördük.

Şimdi testleri göreceğiz.

IPSEC Resim 10

Gördüğünüz üzere Vpn yapılandırmamız tamamlanmıştır.

Örnek bir proje aşağıdaki gibi yapılandırılmıştır.

Saygılar İyi Çalışmalar

Fortigate Antispam

Thu, 20 Mar 2008 20:33:06 GMT

Fortinet Fortigate ANTISPAM Servisi Nasıl Kullanılır?

Merhaba;

Bu makalede elimizdeki Fortigate cihazımız ile istenmeyen mailleri engellemek için spam servisimizi kullanmayı anlatacağım. Fortigate üzerinde spam maillerin % 70 e yakınını engellememiz mümkün. Standart korumaya ek tanımlamalar nasıl yapılır bunları da resim resim anlatacağım.

Mail serverımız var ve artık mailleri kendi bünyemizde kullanmak istiyorsak sırası ile aşağıdakileri uygulayacağız.
Öncelikle mail server için mx kayıtlarımızı kendi kullanmış olduğumuz ip adresimize transfer işlemini gerçekleştirmeliyiz.Dsl kullanıcıları mutlaka ilk önce reverse dns kayıtlarını düzeltmeliler.Bunun için öncelikle ip adresimizi dnsadmin@turktelekom.com.tr adresine aşağıdaki gibi bir önek mail atmalıyız.
Merhaba Sayın Yetkili
Mail Server Adımız mail.sunucum.com
Mail Server İp Adresimiz 213.243.12.xxx
Lütfen ters dns kaydı açarmısınız.
Bu işlemi yapmazsanız Hotmail gibi bazı mail sunucuları maillerinizi engeller. Reverse dns kayıtlarını tutan
Rbl veya Dns-Bl sunucuların listelerinde bulunabiliriz. Antispam kullanan reverse dns isteyen yerlere maillerimiz ulaşmaz.

Öncelikle Fortigate cihazımıza bağlanıyoruz. Sırası ile yapılması gerekenler.

1 Adım Servis Aktif Etme
Aşağıdaki adımda sekmelerin işretlerini kontrol ediyoruz.

Şu an servisimizi aktif ettik ve system status ekranından antispam servisimizin yeşil check li olduğunu görüyoruz. Şayet servis aktif edildiği halde hala Yeşil olmadı ise Test Availability kısmına tıklayarak servis güncelleme isteği yapıyoruz.

2. Adım Dışarıdan İçeri Port Yönlendirme
Mail serverımıza maillerin gelmesi için 25 (smtp) yönlendirmemiz gerekmektedir istenirse diğer portlar 110(pop3),443(https),80(http),143(imap) yönlendirilebilir.

Fortigate cihazımızda firewall kısmına tıklarız. Resimdeki adımları sırası ile uygulayınız.

Mail serverımızın ipsine 25 nolu portu yönlendirdik. Şimdi mail serverımızın güvenliğini sağlamak için sırası ile aşağıdaki işlemi yapıyoruz. Gerekli korumayı sağladıktan sonra Policy kısmında kural yazılışını göreceğiz.

Virus korumamızı sağlamak için kutucukları seçiyoruz.

Şimdi dosyaların filtrelenmesini göreceğiz. Fortigate uzantı bazında dosyaları ağ girişinde durdurur. Dosya engellemek için yapılması gereken create new *.dosya_uzantısı yaparak istemediklerimizi engelleriz.

Şimdi gelen maillerin içinde istemediğimiz sözcükler geçiyorsa nasıl engelleyeceğiz bunu göreceğiz. Klasik bilinen ve de fazlası ile bıktıran kelimeleri engellememiz mümkün. Bunun için aşağıdaki adımları tamamlıyoruz.

Şimdi domain bazında engelleme yâda izin vermeyi göreceğiz. Tavsiyemiz aşağıdaki resimdeki gibi bir yapılandırmada bulunmanız. Şirketinize yurt dışından mesela taywandan mail gelmesini istemiyorsanız domain bazında engelleme şansınız bulunmakta.

Ip bazında engellemek için

Şimdi koruma profilimizde yapmış olduğumuz hazırlığı birleştiriyoruz. Tanımlamaları bir araya getirdikçe spam koruma gücüde artacaktır. Lütfen dikkatle uygulayınız. Virus, spam ve saldırı korumasını bu kısımdan sağlıyoruz.

ÖNEMLİ: Bu kısımda mailler Discard ile sisteme alınmayacak. İstenirse maillerin başlığına spam yazılarak içeri alınabilinir.

Şimdi bu yaptığımız hazırlığı policymizde birleştiriyoruz.

Örnek resim aşağıdaki gibidir.

Dışarıdan içeri yaptığımız yönlendirmeyi tanımlıyoruz. Loglamak istiyorsak Log Allowed Traffic kutucuğuna tıklıyoruz. Şu anda sistemimiz spam mailleri engellemeye başlayacak. Cihazımızın system status ekranından spam maillerin durumunu görebiliriz.

Mail serverımızı hem spam maillerden hem virüslerden hem saldırılardan bu şekilde koruruz. Rbl ve Dnsbl tanımlamaları console ekranından yapılmaktadır. Bu işlem için yapılması gerekenler. Console ekranına telnet veya hyperterminal ile bağlanıp aşağıdaki komutları yazıyoruz.

config spamfilter dnsbl

edit 1

set name Mail

config entries

edit 1

set action reject

set server xxx.xxx.com

edit 2

set action reject

set server xxx.xxx.com

end

config firewall profile

edit "Mail_Profile

set smtp block scan bannedword fragmail spamemailbwl spamfsip spamfschksum spamfsurl spamipbwl spamrbl splice

end

bu ilsem ile atamış olduğumuz koruma profili'ne rbl server tanımlamasını eklemiş oluyoruz

rbl adresler bunları firewall a girip antispam desteğini güçlendirebiliriz

bl.spamcop.net sbl-xbl.spamhaus.org blacklist.spambag.org list.dsbl.org unconfirmed.dsbl.org

multihop.dsbl.org rbl-plus.mail-abuse.org dul.dnsbl.sorbs.net ubl.unsubscore.com combined.njabl.org relays.ordb.org

Bir sonraki makalede görüşmek üzere
İyi günler iyi çalışmalar.

Fortinet FortiGate Temel Kurulum

Thu, 20 Mar 2008 08:06:01 GMT

Fortinet FortiGate Temel Kurulum

1 – System - Ana Menu

2 – Router - Yönlendirme

3 – Firewall - Güvenlik Tanımlamaları

4 – Vpn - Özel Ağ Yapılandırması (Ipsec, Pptp, Ssl)

5 – Ips&Idp - Saldırı Tespiti Ve Durdurma

6 – Web Filter - Web Ve İçerik kısıtlamalar

7 – Antivirus & File Block - Virus Koruması-Dosya Engelleme - Grayware Koruması

8 – Antispam BWL List - İstenmeyen Maillerden Kurtulma

9 – Log - Report İzleme ve Raporlama

10-Fortinet Ek Donanım

Merhaba;

Fortinet Ürünlerinden FortiGate U.T.M. ile ilgili temel kurulum bilgilerini aktaracağım.
Kuruluma başlamadan bilinmesi gereken bazı konular var. Önce bunlara cevap verelim.
U.T.M. Nedir? Unified Threat Management – Bütünleşik Tehdit Yönetimi

U.T.M. Neden Tercih Ediliyor? Günümüz bilgisayar teknolojileri fazlası ile ilerledi. Sadece bir firewall ya da antivirus sistemi korumamızda güçsüz kalıyor. Çoklu tehditler her an karşımıza çıkabilir. Örneğin bir web sayfasından bulasan virüs bu esnada sisteme gelen bir trojan ihtiva eden elektronik posta sistemimizin bozulmasına çeşitli kayıplara sebep olmaktadır. Tehlikeler ağ girişinde daha ağa girmeden tespit edilip savuşturulabilir. Gereksiz yere bilgi kaybı, zaman kaybı ve firmaların maddi kayıpları bu sayede engellenmektedir. Fortinet bu konuda firewall, ips&idp, antivirus (malware, spyware, grayware),Web Category Filter, Antispam Koruması, IM&P2P Koruması, Vpn Desteği (SSL, IPSEC, PPTP) ile günümüz kullanıcılarına en üst seviyede güvenlik çözümü sağlamaktadır.

Kurulum – Giriş

SYSTEM

Fortigate cihazımız fabrika değeri olarak 192.168.1.99 ip adresi ile set edilmiştir.Cihaza ulamsak için HTTP,HTTPS,TELNET,SSH,SNMP ile erişebilir yönetimini ve ayarlarını yapabiliriz.Öncelikle bilgisayarımızın ip adresini 192.168.1.250 veriyoruz.Web Browser adres kısmına https://192.168.1.99 yazıyoruz.Sertifika uyarısına devam ederek kullanıcı adi admin password kısmını bos bırakarak cihaza giriyoruz.karşımıza gelen ana ekran aşağıdaki gibidir.

Resimde gorulen cihaz register edilmiş tüm servisleri kullanılan bir cihazdır.Cihazımızı öncelikle https://support.fortinet.com/Login/UserRegistration.aspx linkinden kayıt ediyoruz.Kurulum bitene kadar resimdeki gibi servislerimizin üzerinde yeşil check işreti olacaktır.Register edildikten sonra 15 ile 30 dk arasında servisler aktif olur.Kısaca menüler hakkında bilgi vermek gerekirse
Status Ekranı =

* Sessionlar – cihazımız üzerinden gecen networkteki gelen giden tcp, udp paketlerini görebiliriz.

* İstatistik bilgileri – Saldırılar, virüsler, spamlar ve yapılan itekleri görebiliriz.

* Lisans Durumu – Cihazımızın register başlangıç ve bitiş suresini servis durumunu görebiliriz.

* Tarih zaman

* Log bilgileri

* Komut satiri yönetimi – Web ara yüzünden yapamadığımız işlemler için kullandığımız alan.

* Memory ve Cpu durumunu görebiliriz. Resimdeki sürüm FORTI OS MR 6.

Network Ekranı = Ağ geçidi ip adresimiz, Wan bağlantılarımız,Dns ayarımız,vlan trunk oluşturma,Secondary Ip yapılandırma,Yönetim portlari (https,http,telnet vs) Bu kısımdan modemimizi bridge moduna alarak internet bağlantılarımızı sağlarız.Dikkat edilmesi gereken husus Over ride internal dns ve Retrive default gateway from sunucu kutucuklarının dolu olması gerekmektedir.Dışarıdan cihaza bağlanıp yönetim yapılacaksa http,https e izin vermek gerekir.

Örnek Resim

Dhcp sunucu yapılandırma

Config - Bu bolümden mesajların içeriğine müdahale edebiliriz. Default İngilizcedir.

Admin – Bu kısımdan admin veya user yaratarak cihaza girişleri kontrol altına alırız.
Certificates – Kısmından cihazımızın sertifika üretmesini sağlarız.
Maintanance kısmından backup, restore ve fortiguard antivirus, antispam ve web category filter servisimizi aktif ederiz.

Router
Statick ve Policy Route yaptığımız kısım.

Örnek Resim

Ben daha çok policy üzerinde duracağım. Bu yüzden diğer kısımlar için yakin zamanda yeni makaleler hazırlayacağım.

Policy – Kural
Sistemimizdeki kullanıcıların hangi haklar ile hangi servise erişeceğine karar verdiğimiz kişimdir.
Aşağıdaki ekranda görebileceğiniz gibi çeşitli senaryolar uygulayabiliriz.
Örnek: Finansman, Muhasebe, Yönetim guruplarımız var.
Kullanıcı Hakları hakkında Bilgi
Finansman Hakları: gov.tr,org.tr,net.tr,edu.tr sitelerde filtre uygulanmayacak. ips,idp koruması sağlanacak.Antivirus (Malware,spyware,grayware) koruması olacak.2 MB üzerindeki dosyaları ftp den geçebilirken,mail veya web ara yüzünden 2 MB üzeri dosyalar engellenecek.Zip,Rar için hiç bir kısıtlama engel olmayacak.Web filter uygulanarak istenmeyen siteler engellenecek.Msn den dosya transferi engellenirken P2P Programlarda download engellenecek veya Limit verilecek.Bu kullanıcıların banka ve finans sitelerine erişimlerinde garanti olarak 30 KB hız verilecek,mail vs diğer web sitelerinde 10 KB üzerine çıkamayacak.Http,https,pop3,SMTP,NTV,im portlari,acık olacak.diğer tüm portlara erişimi kapatılacak.

Kelime engellenecek örneğin google’da çocuk pornosu gibi.

Muhasebe Hakları: gov.tr,org.tr sitelerde filtre uygulanmayacak.Antivirus (Malware,spyware,grayware) koruması olacak.1 MB üzerindeki dosyaları web,ftp,pop3,SMTP den engellenecek. Web filter uygulanarak tüm web siteleri engellenecek. Msn, icq, aol, yahoo gibi IM’ler engellenirken P2P Programlarda engellenecek. Sadece öğlen tatilinde 30 dk im,p2p veya izin verilen tüm siteler açılacak. ips, idp koruması sağlanacak. Http,https,pop3,SMTP,NTV,im portlari,acık olacak.
Yönetim Hakları: Her turlu siteye erişim olacak. Antivirus koruması sağlanarak malware, spyware, grayware’ler engellenecek. Kandırmaca şifre sayfaları engellenecek. IM,P2P acık olacak. IM ’ de gelen giden dosyalarda virüs taraması sağlanacak. Ips, idp koruması sağlanacak. Tüm portlar izinli olacak.

Bu kurallarımız içerden dışarı çalışacak. Mail serverımız kendi ofisimizde ise ya da terminal server bağlantımız var ise yapılması gerekenler. Didardan içeri policy oluşturulmalı. Sabit portlar kullanılmamalı. Örneğin Uzak masa ustu için 3389 kullanılır. Bunun yerine dışarıdan 45345 isteklerini içeriye 3389 olarak al ve Terminal Server’a yönlendir demeliyiz. Fortigate firewall da en önemli yer Protection Profile (Koruma Profili) kısmıdır.

Aklımıza gelen her turlu kısıtlama bu bolümden yapılır.Örneğin proxyleri,web chat sitelerini,youtube tarzı multi medya download sitelerini,hacking ile ilgili siteleri gibi birçok siteyi engelleyebiliriz.Su an dünya üzerinde 98.000.000 web sitesi bulunmaktadır.Fortinet firması Fortiguard Center’da 49.000.000 web sitesini kategorize etmiş durumda.Antivirus koruması http,https,ftp,SMTP,pop3,IM,imap,Nntp koruması ve dosya transferi engelleme yapabiliriz.

Kullanıcıların web, antivirus, ips, idp, fileblock gibi haklarını tamamen bu kısımdan ayarlarız.

Fortigate firewall ipsec, ssl, pptp vpn’de de virüs koruması, port engellemesi gibi güvenlik sağlar. Şayet istenirse authentication yapılabilinir. Token cihazlar ile tümleşik çalışabilir. Active directory ile birlikte çalışabilir.
Gelecek Makale Fortigate üzerinde spam ayarları, dmz mail server kullanmak, dnsbl, rbl, email bwl, ip bwl, banned word konuları hakkında bilgi vereceğim. Türkçe karakter kullanmadan yazdığım için üzgünüm.
Saygılarımla.