FortiGate cihazları gün geçtikte meşhur olmaktadır ve bu cihazlar meşhur olduğu gibi büyük ölçüde gelişmektedir. Bu araçlar her gün meşhurlaştığı gibi cihazı almak isteyen kullanıcı sayısı da orantılı bir biçimde ilerlemektedir. Bu cihazları kullanan kullanıcı sayısı arttığı gibi kullanıcıların cihaz için yenilikler istemesi de artmaktadır.
Bu yeniliklerden en önemlisi ise FortiGate cihazı ile Vpn client tüneli oluşturma gibi bir özelliktir. Bugün de tam olarak bunu öğreneceğiz.
FortiGate Nedir?
FortiGate, Unified Threat Management (UTM) Türkçe karşılığı ise Fortinet Bütünleşik Tehdit Yönetimi adlı ağ güvenlik sorunlarına karşı çözüm arayan ve bu güvenlik sorunlarına karşı çözümler arayan şirketlerin en başında gelmektedir. FortiGate, ağ sorunlarına karşı çözümlerde birçok ilke imza atmış ve kurulduğu ilk günden beri hem kendi sektöründe popülerliği artarken hem de hızla gelişmektedir.
FortiGate'nin birbirinden farklı amaçlar ile oluşturulmuş, ağ sorunlarına karşı hazırlanmış cihazları mevcuttur. FortiGate'nin ilgilendiği ağ güvenlik türleri şunlardır,
Güvenlik Duvarı, Vpn, Trafik Şekillendirme
Uygulama kontrolü
IPv6 Desteği
Antispam
VoIP Desteği
WAN Optimizasyonu Ve Web Önbelleğini Alma
2. Ve 3. Ağ Katmanına Yönlendirme
Web Filtrelemesi
Güvenlik Açığı Yönetimi
Veri Kaybını Önleme (DLP)
Antivirüs, Antispyware, Antimalware
Gördüğünüz gibi günümüzde yaygın olan sorunlara karşı çözümler üretmeye çalışmış ve hâlâ da çözümler üretmeye ve cihazları ile hem hızlı hem de daha iyi çalışması için çalışılan bir cihazdır.
Tünel Protokolü Nedir?
Tünel protokolü, ağda bulunan yük taşıma görevini üstlenebilir. Tüm bilgisayarlarda yük taşıma protokolü vardır ve bu protokol size ağların güvenliği için ve buna benzer önemli durumlar için yaratılmıştır. Yük taşıma protokolü yerine Tünel protokolü yapabilirsiniz. Tünel protokolünün en önemli özelliği ise güvenilmeyen, güvenlik hatası veren ağlar için bir güvenli tünel oluşturarak güvenlik hatalarını veya ağın güvenli olmamasına karşı koyabilir.
FortiGate İle VPN Client Tüneli Oluşturma
Bu işlemi FortiGate 100d cihazı ile yapacağız.
İlk olarak FortiGate 100d aracını çalıştırıp ayarlara giriyoruz. Ayarlardan sonra güvenlik duvarı politikasında kullanmamız için gereken Lan ve WAN için gerekli olan Ip adresini yazıyoruz.
Bunu nasıl yapacağız sorusuna ise,
İlk olarak "Policy & Objects" kısmına geliyoruz. Burada bize birden fazla alt seçenek çıkacaktır. Biz bu seçeneklerden "Addresses" kısmına girip boşlukları dolduruyoruz.
Burada şimdi diyebilirsiniz ki aynı işlemi iki kere niçin yapıyoruz?
Aslında biz burada aynı işlemi iki kere yapmıyoruz, dikkatlice görsellere bakarsak "Name" kısmında birinin LAN diğer görselde ise WAN yazacaktır. Kısaca LAN ve WAN'a Ip adresini tanıtıyoruz.
Ip adresleri LAN ve WAN'a tanıttıktan sonra internetin bağlantılı olduğu "interface" kısmında DHCP serverini aktif etmemiz gerekir. Biz de bu işlemi yapmak için interface kısmına giriş yapıyoruz. Buraya giriş yapmak için ise ayarlardan "Network" bölümünü bulup alt seçeneklerden ise "interface" kısmını bulmanız gerekir.
En üstte bulunan "DHCP Serveri" aktif hale getiriyoruz ve bize verilen boşluklarda netmask ve Ip adresi yazmamızı ister.
Gerekli boşlukları doldurduğumuza göre şimdi ise Vpn kullanmak için kullanıcı oluşturalım.
Vpn için kullanıcı oluşturmanın iki yöntemi vardır biri Local kullanıcı diğeri ise kullanıcı grubudur. Biz ilk olarak local kullanıcı oluşturmayı öğrenelim.
Ayarlardan "User & Device" kısmına geliyoruz. Burada bize birkaç tane alt seçenek verecektir, biz burada "User Defınition" kısmına girip sol üstte bulunan "Create New" kısmına tıklayacağız, böylelikle kullanıcı oluşturmuş olacağız.
Yeni kullanıcı oluştur dedikten sonra, bizlere kullanıcı seçenekleri sunacaktır. Biz local kullanıcı yapacağımız için "Local User" diyeceğiz.
Local user dedikten sonra "Next" diyerek devam ediyoruz.
Kullanıcı adımızı ve şifremizi belirliyoruz ve belirlendikten sonra "Next" diyoruz
Next dedikten sonra bizden E-mail adresi istemektedir. İsterseniz E-mail adresinizi yazabilirsiniz ama zorunlu bir şey değildir.
Tüm işlemleri gerçekleştirdikten sonra bize en sonda "Create" tuşu gelecektir. O tuşa basarak Local kullanıcımızı oluşturmuş olduk.
Şimdi ise kullanıcı grubu oluşturalım. Bunu için tekrardan "User & Device" kısmına geliyoruz. Bu sefer alt seçeneklerden "User Groups" tıklıyoruz.
Name ve Memberse kendi kafanıza göre bir şeyler verebilirsiniz. Kullanıcıları seçtikten sonra "Ok" diyerek kullanıcı grubunu oluşturmuş olduk.
Artık Vpn ayarlarlarımızı oluşturabiliriz. Bunun için
"VPN" bölümünü buluyoruz, Vpn bölümünde alt seçeneklerden ise "IPsec Tunnels" kısmına giriş yapıyoruz.
Bunları yaptıktan sonra solda bulunan "Create" diyerek IPsec Vpn oluşturmuş oluruz.
IPsec vpn oluşturduktan sonra "IPsec Wizard" kısmına geliyoruz ve oluşturduğumuz vpn'e bir isim ekliyoruz, "Template Type" ise Custom olarak kalabilir ve next diyerek devam ediyoruz.
Karşımıza yeni doldurmamız gereken alanlar çıkacaktır. Bu ayarları şöyle yapmamız gerekmektedir,
"Enable IPsec Interface Mode " adlı üzerinde tik işareti olan kutudan tik işaretini kaldırıyoruz.
"Remote Gateway" adlı bölümde birçok seçeneğimiz olacaktır lakin biz Dialup User diyoruz.
"interface" kısmı ise internetin bağlı olduğu interface (Port) seçmeniz gerekir.
Nat Traversal kısmına Enable diyoruz.
Son olarak ise" Dead Peer Detection" kısmına On demand diyoruz.
Bu ayarları yaptıktan sonra next diyoruz. Next dedikten sonra tekrardan yeni bir bizim doldurmamız gereken boşluklar geliyor. Onları dolduralım,
"Mode" bölümü Aggressive olacak şekilde ayarlayın.
?Accept Type? bölümünü Peer ID from dialup group olarak ayarlayın
User group? kısmı ise oluşturduğunuz kullanıcı grubunu seçiyoruz.
Bu boşlukları uygun bir şekilde doldurduktan sonra next diyerek devam ediyoruz.
Bizi burada "XAUTH" bölümü ilgilendiriyor. Bu bölümde 2 tane doldurmamız gereken alan mevcuttur.
"Type" kısmını auto server diyoruz.
"User Group" kısmı ise oluşturduğumuz kullanıcı grubunu seçiyoruz.
Gerekli boşlukları doldurduktan sonra next diyerek devam ediyoruz.
Best dedikten sonra karşımıza yeni ekran çıkacaktır. Burada ayarları da hemen yapalım.
İki tane alt alta bulunan "Encryption" kısmı mevcuttur. Üste bulunana 3DES,
Altta bulunana ise AES256 olacaktır.
Encryption hemen altında bulunan "Enable Replay Detection" kısmını tik atarak aktif hale getiriyoruz.
Enable Replay Detection hemen altın bulunan "Enable Perfect Forward Secrecy(PFS)" kısmı aktif olacaktır, bunu disable diyerek kapatıyoruz.
"Auto Keep Alive? kısmını tik atarak aktif ediyoruz.
Seconds'ı 3600 olarak ayarlıyoruz.
Bu ayarları kayıt ettikten sonra oluşturduğumuz Vpn için 2 tane Policy, biri WAN diğeri ise LAN için oluşturmamız gerekmektedir. Bunu için ise " Policy & Objecets" kısmına geliyoruz ve bize burada gelecek alt seçeneklerden "IPv4 Policy" kısmına giriş yapıyoruz.
Giriş yaptıktan sonra karşımıza "Create New" yarısı çıkacaktır. Buna tıklıyoruz böylece yeni bir Policy oluşturmaya başlıyoruz.
İnternetinizin bağlı olduğu interface (Port) seçiyoruz.
Source kısmı yapacağımız Policy'dir. İlk olarak WAN yaptığımız için "IPsec_WAN" diyoruz.
Destination Adress kısmını all yani hepsi olacak şekilde belirtiyoruz.
Schedule kısmını always yani her zaman olacak şekilde belirtiyoruz.
Service kısmı ise DHCP servisi olması gerekmektedir. Bu yüzden DHCP seçeneğini seçiyoruz.
Vpn Tunnel kısmında ise Vpn tünelimizi Client üzerinden yapacağımız için Client_Vpn dememiz gerekmektedir.
Geriye kalan güvenlik ayarlarını da (antivirüs, Firewall, vb.) seçmek size kalmış, isterseniz seçebilirsiniz.
Son olarak da ikinci Policy'mizi oluşturuyoruz. Bu Policy ise LAN için oluşturacağız.
Bu kısımda yukarıda işlemleri neredeyse aynısı yapacağız ama birkaç farklı ayar yapmamız gerekmektedir. Bunlar ise,
Incoming İnterface kısmına LAN Policy yaptığımız için oraya LAN diyoruz.
Service kısmına all diyerek tüm servisler ile çalışmasını istiyoruz.
Bunlar harici diğer ayarları aynısıdır.
Ok dedikten sonra Vpn client arasında Tünel oluşturma işlemini gerçekleştirmiş oluyoruz.
FortiGate cihazı ile vpn client tüneli oluşturma işlemi böyle olmaktadır. Bu tünel ile birlikte ağı eğer şüpheli veya tehlikeli görünüyorsa bile tünel yardımı ile hem ağ güvenli hem de vpn ile giriş yaptığı web siteler Vpn olarak algılamayacaktır.
Bu yeniliklerden en önemlisi ise FortiGate cihazı ile Vpn client tüneli oluşturma gibi bir özelliktir. Bugün de tam olarak bunu öğreneceğiz.
FortiGate Nedir?
FortiGate, Unified Threat Management (UTM) Türkçe karşılığı ise Fortinet Bütünleşik Tehdit Yönetimi adlı ağ güvenlik sorunlarına karşı çözüm arayan ve bu güvenlik sorunlarına karşı çözümler arayan şirketlerin en başında gelmektedir. FortiGate, ağ sorunlarına karşı çözümlerde birçok ilke imza atmış ve kurulduğu ilk günden beri hem kendi sektöründe popülerliği artarken hem de hızla gelişmektedir.
FortiGate'nin birbirinden farklı amaçlar ile oluşturulmuş, ağ sorunlarına karşı hazırlanmış cihazları mevcuttur. FortiGate'nin ilgilendiği ağ güvenlik türleri şunlardır,
Güvenlik Duvarı, Vpn, Trafik Şekillendirme
Uygulama kontrolü
IPv6 Desteği
Antispam
VoIP Desteği
WAN Optimizasyonu Ve Web Önbelleğini Alma
2. Ve 3. Ağ Katmanına Yönlendirme
Web Filtrelemesi
Güvenlik Açığı Yönetimi
Veri Kaybını Önleme (DLP)
Antivirüs, Antispyware, Antimalware
Gördüğünüz gibi günümüzde yaygın olan sorunlara karşı çözümler üretmeye çalışmış ve hâlâ da çözümler üretmeye ve cihazları ile hem hızlı hem de daha iyi çalışması için çalışılan bir cihazdır.
Tünel Protokolü Nedir?
Tünel protokolü, ağda bulunan yük taşıma görevini üstlenebilir. Tüm bilgisayarlarda yük taşıma protokolü vardır ve bu protokol size ağların güvenliği için ve buna benzer önemli durumlar için yaratılmıştır. Yük taşıma protokolü yerine Tünel protokolü yapabilirsiniz. Tünel protokolünün en önemli özelliği ise güvenilmeyen, güvenlik hatası veren ağlar için bir güvenli tünel oluşturarak güvenlik hatalarını veya ağın güvenli olmamasına karşı koyabilir.
FortiGate İle VPN Client Tüneli Oluşturma
Bu işlemi FortiGate 100d cihazı ile yapacağız.
İlk olarak FortiGate 100d aracını çalıştırıp ayarlara giriyoruz. Ayarlardan sonra güvenlik duvarı politikasında kullanmamız için gereken Lan ve WAN için gerekli olan Ip adresini yazıyoruz.
Bunu nasıl yapacağız sorusuna ise,
İlk olarak "Policy & Objects" kısmına geliyoruz. Burada bize birden fazla alt seçenek çıkacaktır. Biz bu seçeneklerden "Addresses" kısmına girip boşlukları dolduruyoruz.
Burada şimdi diyebilirsiniz ki aynı işlemi iki kere niçin yapıyoruz?
Aslında biz burada aynı işlemi iki kere yapmıyoruz, dikkatlice görsellere bakarsak "Name" kısmında birinin LAN diğer görselde ise WAN yazacaktır. Kısaca LAN ve WAN'a Ip adresini tanıtıyoruz.
Ip adresleri LAN ve WAN'a tanıttıktan sonra internetin bağlantılı olduğu "interface" kısmında DHCP serverini aktif etmemiz gerekir. Biz de bu işlemi yapmak için interface kısmına giriş yapıyoruz. Buraya giriş yapmak için ise ayarlardan "Network" bölümünü bulup alt seçeneklerden ise "interface" kısmını bulmanız gerekir.
En üstte bulunan "DHCP Serveri" aktif hale getiriyoruz ve bize verilen boşluklarda netmask ve Ip adresi yazmamızı ister.
Gerekli boşlukları doldurduğumuza göre şimdi ise Vpn kullanmak için kullanıcı oluşturalım.
Vpn için kullanıcı oluşturmanın iki yöntemi vardır biri Local kullanıcı diğeri ise kullanıcı grubudur. Biz ilk olarak local kullanıcı oluşturmayı öğrenelim.
Ayarlardan "User & Device" kısmına geliyoruz. Burada bize birkaç tane alt seçenek verecektir, biz burada "User Defınition" kısmına girip sol üstte bulunan "Create New" kısmına tıklayacağız, böylelikle kullanıcı oluşturmuş olacağız.
Yeni kullanıcı oluştur dedikten sonra, bizlere kullanıcı seçenekleri sunacaktır. Biz local kullanıcı yapacağımız için "Local User" diyeceğiz.
Local user dedikten sonra "Next" diyerek devam ediyoruz.
Kullanıcı adımızı ve şifremizi belirliyoruz ve belirlendikten sonra "Next" diyoruz
Next dedikten sonra bizden E-mail adresi istemektedir. İsterseniz E-mail adresinizi yazabilirsiniz ama zorunlu bir şey değildir.
Tüm işlemleri gerçekleştirdikten sonra bize en sonda "Create" tuşu gelecektir. O tuşa basarak Local kullanıcımızı oluşturmuş olduk.
Şimdi ise kullanıcı grubu oluşturalım. Bunu için tekrardan "User & Device" kısmına geliyoruz. Bu sefer alt seçeneklerden "User Groups" tıklıyoruz.
Name ve Memberse kendi kafanıza göre bir şeyler verebilirsiniz. Kullanıcıları seçtikten sonra "Ok" diyerek kullanıcı grubunu oluşturmuş olduk.
Artık Vpn ayarlarlarımızı oluşturabiliriz. Bunun için
"VPN" bölümünü buluyoruz, Vpn bölümünde alt seçeneklerden ise "IPsec Tunnels" kısmına giriş yapıyoruz.
Bunları yaptıktan sonra solda bulunan "Create" diyerek IPsec Vpn oluşturmuş oluruz.
IPsec vpn oluşturduktan sonra "IPsec Wizard" kısmına geliyoruz ve oluşturduğumuz vpn'e bir isim ekliyoruz, "Template Type" ise Custom olarak kalabilir ve next diyerek devam ediyoruz.
Karşımıza yeni doldurmamız gereken alanlar çıkacaktır. Bu ayarları şöyle yapmamız gerekmektedir,
"Enable IPsec Interface Mode " adlı üzerinde tik işareti olan kutudan tik işaretini kaldırıyoruz.
"Remote Gateway" adlı bölümde birçok seçeneğimiz olacaktır lakin biz Dialup User diyoruz.
"interface" kısmı ise internetin bağlı olduğu interface (Port) seçmeniz gerekir.
Nat Traversal kısmına Enable diyoruz.
Son olarak ise" Dead Peer Detection" kısmına On demand diyoruz.
Bu ayarları yaptıktan sonra next diyoruz. Next dedikten sonra tekrardan yeni bir bizim doldurmamız gereken boşluklar geliyor. Onları dolduralım,
"Mode" bölümü Aggressive olacak şekilde ayarlayın.
?Accept Type? bölümünü Peer ID from dialup group olarak ayarlayın
User group? kısmı ise oluşturduğunuz kullanıcı grubunu seçiyoruz.
Bu boşlukları uygun bir şekilde doldurduktan sonra next diyerek devam ediyoruz.
Bizi burada "XAUTH" bölümü ilgilendiriyor. Bu bölümde 2 tane doldurmamız gereken alan mevcuttur.
"Type" kısmını auto server diyoruz.
"User Group" kısmı ise oluşturduğumuz kullanıcı grubunu seçiyoruz.
Gerekli boşlukları doldurduktan sonra next diyerek devam ediyoruz.
Best dedikten sonra karşımıza yeni ekran çıkacaktır. Burada ayarları da hemen yapalım.
İki tane alt alta bulunan "Encryption" kısmı mevcuttur. Üste bulunana 3DES,
Altta bulunana ise AES256 olacaktır.
Encryption hemen altında bulunan "Enable Replay Detection" kısmını tik atarak aktif hale getiriyoruz.
Enable Replay Detection hemen altın bulunan "Enable Perfect Forward Secrecy(PFS)" kısmı aktif olacaktır, bunu disable diyerek kapatıyoruz.
"Auto Keep Alive? kısmını tik atarak aktif ediyoruz.
Seconds'ı 3600 olarak ayarlıyoruz.
Bu ayarları kayıt ettikten sonra oluşturduğumuz Vpn için 2 tane Policy, biri WAN diğeri ise LAN için oluşturmamız gerekmektedir. Bunu için ise " Policy & Objecets" kısmına geliyoruz ve bize burada gelecek alt seçeneklerden "IPv4 Policy" kısmına giriş yapıyoruz.
Giriş yaptıktan sonra karşımıza "Create New" yarısı çıkacaktır. Buna tıklıyoruz böylece yeni bir Policy oluşturmaya başlıyoruz.
İnternetinizin bağlı olduğu interface (Port) seçiyoruz.
Source kısmı yapacağımız Policy'dir. İlk olarak WAN yaptığımız için "IPsec_WAN" diyoruz.
Destination Adress kısmını all yani hepsi olacak şekilde belirtiyoruz.
Schedule kısmını always yani her zaman olacak şekilde belirtiyoruz.
Service kısmı ise DHCP servisi olması gerekmektedir. Bu yüzden DHCP seçeneğini seçiyoruz.
Vpn Tunnel kısmında ise Vpn tünelimizi Client üzerinden yapacağımız için Client_Vpn dememiz gerekmektedir.
Geriye kalan güvenlik ayarlarını da (antivirüs, Firewall, vb.) seçmek size kalmış, isterseniz seçebilirsiniz.
Son olarak da ikinci Policy'mizi oluşturuyoruz. Bu Policy ise LAN için oluşturacağız.
Bu kısımda yukarıda işlemleri neredeyse aynısı yapacağız ama birkaç farklı ayar yapmamız gerekmektedir. Bunlar ise,
Incoming İnterface kısmına LAN Policy yaptığımız için oraya LAN diyoruz.
Service kısmına all diyerek tüm servisler ile çalışmasını istiyoruz.
Bunlar harici diğer ayarları aynısıdır.
Ok dedikten sonra Vpn client arasında Tünel oluşturma işlemini gerçekleştirmiş oluyoruz.
FortiGate cihazı ile vpn client tüneli oluşturma işlemi böyle olmaktadır. Bu tünel ile birlikte ağı eğer şüpheli veya tehlikeli görünüyorsa bile tünel yardımı ile hem ağ güvenli hem de vpn ile giriş yaptığı web siteler Vpn olarak algılamayacaktır.