Fortigate Kurulumu
Bu Makalemizde fortigate kurulumundan bahsedeceğiz.Yazımızda firewall nedir,fortigate temel kurulum ve yapılandırma gibi konular ele alınmıştır.
Genel olarak UTM cihazların yapısına bakıldıgında hangi işlevlere sahip olduklarını ve Fortigate’de bu işlevlerin nasıl gerçekleştirildiğini başlıklar altında sıralayabiliriz :
1.İnternet bağlantısının sağlanması ; biz örneğimizde bir ADSL bağlantı kuracağız.
2.Cihaza bağlı olacak networklerin tanımlanması ve aralarındaki “route” işleminin sağlanması ve gerekiyorsa DHCP servisinin açılması.
3.UTM özelliklerinin, lisans kaydı ile servislerinin ayağa kaldırılması.
4.Firewall tanımlamalarının yapılması, policyler için spesifik ip adres ve gruplarının tanımlanması, port yönlendirmek için sanal sunucu tanımlarının yapılması.
5.Anti-virüs gateway, anti-spam gateway, IPS/IDS, web filtreleme, IM ve P2P sınırlamalarının firewall policylerine dahil edilebilmesi için gerekli profillerin hazırlanması ve bu profillerin oluşturulacak özel firewall policylere eklenerek filtrelemenin aktif edilmesi.
1.İNTERNET BAĞLANTISI
Ana sayfada soldaki barda system>network linki açılır. Gelen sayfa fortigate üzerindeki portların durumlarını ve iplerini görüp değiştirebileceğimiz yerdir.
İnternet bağlantısının sağlanacağı “wan1” portunu yapılandırmak için sağdaki edit ile “wan1” yapılandırma sayfası açılır. (RESİM 2)
Burada yapılan işlem şudur, bridge moda alınmış adsl modem fortigate’in wan1 interface’ne takılmıştır. Bu sayfada telekom ile gerçekleştirilmesi gereken authentication işlemi için ADSL kullanıcı adı ve şifre girilir. Alttaki iki kutucukta “default gateway ve dns”in telekom tarafından atanmasını istediğimizi belirtmiş oluyoruz. “administrative access” altındaki seçeneklerde dışarıdan bu interface’e nasıl bağlanacağımızı belirlemeye yarar.
2.NETWORKLERİN TANIMLANMASI
Resim 1‘de görünen interface tablosundaki wan, dmz ve internal interfacelerin her biri farklı bir networktür. Edit butonlarıyla her interface’in yapılandırma sayfasına girerek ip’leri ve networkleri tanımlanır.
Örneğin resim 3’deki gibi , internal interface’i için manual ip verildiğini görüyoruz; addressing mode’da manual seçip , IP netmask kısmında ip ve subneti yazmak yeterlidir.Yine alttaki administrative access kısmında bu interface’e hangi portlardan erişebileceğimizi belirleriz.
Belirtilen networkler routing servisinde “connected” biçimide otomatik olarak algılanır.Bunun haricinde fortigate’e bağlı olmayan ama erişilmesi gereken farklı networkler de varsa static olarak ekleyebiliriz.
Hatta fortigate’de “policy based routing” özelliği sayesinde tanımlı networklerde bile ekstra istenen bir öncelikli rota var ise hatta öncelikleri farklı birden fazla rota varsa bile ; bu route kuralları policy route olarak oluşturulup öncelik sırasına göre yukarıdan aşağı biçimde kaydedilir.
DHCP servisini hem server hem de relay olarak kullanmak mümkün. Herhangi bir interfacede o network için DHCP çalıştırabiliriz fortigate üzerinde ; ayrıca bir client makinada yüklü DHCP için fortigate’i relay olarak çalıştırabiliriz.
System>DHCP altında ip dağıtılmasını istediğimiz interface seçilip “server” edit tıklatılarak DHCP yapılandırması yapılır.
Relay olarak çalıştırmak için ise, yine system>dhcp altında ip dağıtılacak networkün bağlı oldugu interface’de relay olarak çalışılacak DHCP server tanımlanır.
3.LİSANS BİLGİSİ
Ana sayfada, “licence information” bölümünde fortigate’in servisleri hakkında bilgi bulunur, lisansın aktif olup olmadığı, ne zaman güncellemenin biteceği burada görülür.
Süresi dolmuş veya pasif görünen servisleri aktif edebilmek için system>maintanence altında “fortiguard center” sekmesindeki “antivirus,ips ; web filtering,anti spam” servislerini açıp alt sekmelerindeki “update now” ve “enable web filter ve enable antispam” kutucukları işaretlenip “test availability” butonları tıklanarak güncelleme gerçekleştirilir. (Bu işlem öncesinde fortinet.com adresinde ürün register edilmiş olmalıdır. Bu işlem ardından güncellemenin gerçekleşmesi yarım saate kadar sürebilir.)
4.FIREWALL YAPILANDIRMASI
Fortigate üzerinde oluşturacağımız kurallar için birden fazla değişken bileşen mevcut, bunlar;
1.kaynak (Source) : burada bir ip veya network ya da oluşturabileceğimiz bir grup ip tanımlayabiliriz.
2.hedef (Destination) : burada da ip veya ip grubu tanımlıyoruz
3.takvim (Schedule) : kuralın uygulanacağı gün ve saati
4.servis (Service) : hangi uygulamanın, yani hangi portun bu kuralla belirtiriz.
5.profil (profile) : en detaylı filtreleme ayarları için hazırladığımız “protection profile” burada seçip işlenir.
6.eylem (action) : Oluşturulan kural için uygulanacak olan eylem belirtilir.
Ana sayfada, soldaki menude firewall>policy tabından kural tablosuna erişebilir,görebilir ve düzenleyebiliriz.
Ip ve ip gruplarının tanımlanması işlemi firewall>address tabı altında “creat new” butonuyla ip tanımlaması yapabiliriz.
Burada tanımlamış oldugumuz tekli ip’leri yukarıdaki “group” sekmesine gelerek bir grup altına toplayabiliriz.
Fortigate üzerinde port yönlendirme veya sanal sunucu yapılandırma işlemi bir kaç aşamada gerçekleştirilmektedir. Bu aşamalar şu şekildedir;
1- Öncelikle firewall>virtual ip tabında WAN’dan gelinecek ip ve LAN’da yönlendirileceği ip; ve eğer isteniyorsa “port forwarding” seçilerek, spesifik olarak wan port ve lan port belirtilerek bir tanımlama yapılır.
Bu oluşturulan virtual ip’ler de grup altında toplanabilir; ip gruplama yaptığımız gibi burada da aynı mantıkla grup oluşturabiliriz. Resim 12’de yukarıda görülen “VIP Group” Sekmesi altında yeni bir grup tanımlanıp virtual ip’ler o grup içinde toplanabilir.
2- Oluşturduğumuz virtual ip veya VIP grup için bir kural yazıp izin vermemiz gerekmektedir. Burada dikkat edilmesi gereken nokta, kural oluştururken yapacağımız seçimler. Internet interface’mizi WAN1’de , dışarıdan erişilecek bilgisayarın ise DMZ interface’nde olduğunu düşünecek olursak şu şekilde olmalıdır kural;
Kaynak : WAN1
Hedef : DMZ Hedef adres: “oluşturduğumuz virtual ip veya VIP grup”
5.PROTECTİON PROFİLE YAPILANDIRMALARI
Protection profile dediğimiz öğeler, içlerinde UTM bileşenlerinin belirlenmiş fonksiyonlarını içerirler. Bunlar antivirüs, content filtering, antispam, ips,ids, p2p, im öğeleridir.
Oluşturacağımız bir protection profiled yukarıda saydığımız bilşenlerinin hangisinin aktif uygulanacağını ve ne şekilde uygulanacağını kapsar. Daha sonra firewall policy içerisinde protection profile devreye alınır.
Firewall>protection profile sekmesinde mevcut p. profile’ları görüntüleyebiliriz. “scan,strict,unfiltered,web” isimlerinde 4 tane profil hazır gelir. Genelde bunlar kullanılmaz. Kendi ihtiyaçlarımıza yönelik olacak genel çıkış ve genel giriş olarak 2 tane profil oluştururuz “creat new” seçeneğini kullanarak.
Oluşturulan “genel_çıkış” profili bizim “internal’dan wan’a“ doğru gerçekleşecek bağlantı isteklerini yöneten kuralların içine koyacağımız profil olacaktır.Bu profil içinde gerekli düzenlemeleri yapacağız.
Profilin içinde bahsettiğimiz öğelerin teker teker yapılandırması yapılacaktır, burada şirketin belirleyeceği politikalara ve güvenlik önlemlerine göre yapılandırma yapılır.
Öncelikle antivirüs ; LAN içerisindeki kullanıcıların internet virus kapma potansiyelleri her zaman yüksek olduğu için fortigate’in sağladığı antivirüs gateway özelliğini burada etkinleştirmiş olunur. “antivirüs” sekmesini genişlettiğimizde yapılabilecek ayarlar gelecektir, burada av özelliğinin hangi servisler veya portlar için kullanılacağını, hangi eylemleri gerçekleştireceğini normal bir av. Yazılımı yapılandırır gibi belirleyebiliriz.
Webfiltering; burada ise önceden belirlemiş olacağımız url veya content şablonlarının filtrelenmesini sağlayabiliriz, yani manual web content filtering yapılabilir. Önceden belirlenecek şablonları ise soldaki ana menüde “web filter” altında oluşturulabilir.
İddialı Fortiguard web filtering; UTM özelliklerinden bir diğeri olan ve fortigate’in olduğu web filtering kısmında ise yapabileceğimiz ayarlamalar şöyle, filtrelemenin uygulanacağı servisleri belirtmek, istisnai olabileceği durumları, gerçekleşecek eylemleri belirtmek ve tabi ki asıl olarak kategorilerin belirtilerek eylemin durdurma veya izin verme eylemlerinden hangisi olacağını seçmek.Bunun yanında gerçekleşecek eylem için log da tutturulabilir. “Local Categories” kategorisi ise bizim yine daha önce ana menüde “web filter>fortiguard web filter” altında oluşturmuş olacağımız local rating ve categorinin seçilebileceğikategoridir.
Spam filtering; öncelikle spam filterleme işleminin hangi servisler için çalışacağını belirtmek gereklidir. Burada şu bilinmelidir, pop3 servisi ile çekilen mailler zaten mail sunucusuna düşmüş maillerdir ve bu maillerden spam olanlar için ancak mailin subject kısmında spam olduğuna dair bir ekleme yapılabilir. Smtp için ise yine istenirse bu ekleme yapılabilir ya da spam algılanan mail discard ettirilebilir. Burada yapılabilecek diğer ayarlar ise spam algılama sisteminin neleri referans alacağını belirtmek olacaktır. Ip adresin kara listede olması, mail adresinin kara listede olması ya da hello dns lookup sorgu testi, belirlenen sözcükler gibi.. Burada kullanılacak referansları dosyaları da kendimiz ana menüdeantispam altında oluşturabiliriz.
Ids,ips ; fortigate saldırı tespit ve durdurma sistemi hemen imza tabanlı çalışır hem de davranış algısı yöntemiyle çalışır. Kendi içinde bulunan ve güncellenen saldırı imzalarına ve davranış şekillerine göre ne derece hassas olacağını ise bu sekme altındaki 5 seviye seçeneklerden istenilenler seçilerek belirtilir. Örneğimizdeki “genel çıkış” profile için çok hassas olunmasına pek gerek yok, ancak “WAN’dan LAN’a” olan genel giriş profilinde ips,ids daha fazla önem kazanmaktadır. Tavsiye edilen, ilk 3 düzeyinişaretlenmesi olacaktır genel giriş profilinde.
Content archive ; bölümünde hangi servislerde içeriklerin taranacağı ve tanımlanacağı belirtilir. Varsayılan olarak tümü seçili olmalıdır.
Anında mesajlaşma ve bilgisayarlar arası dosya paylaşımını sağlayan programların engellenmesi, limitlenmesi veya izin verilmesi bu bölümde sağlanmaktadır. En çok kullanılan p2p ve im programları limitlendirilebilinmektedir. Mesajlaşma programları için giriş yapma,ses transferi ve dosya transferi işlemleri ayrı ayrı engellenebilmekedir. Dosya paylaşım programları için ise ister tam engel ister download limiti konabilmektedir. Fortigate’i diğerlerinden ayıran bir özellik burada karşımıza çıkmaktadır ; “kişi bazlı msn engelleme.” Bir çok program msn engellemek için bilinen portları , en fazla değişebilen msn portlarını da engelleyerek çözüm üretmeye çalışırlar. Ancak Fortigate kişi bazlı izin verebilme imkanı sunar, örneğin ahmet@hotmail.com çıkabilsin ama sofi@hotmail.com çıkamasın gibi filtreler konabilir ip’den bağımsız olarak. Ana menüdeki IM bölümünde mevcut p2p ve im istatistikleri ve msn bağlantıları da görülebilmektedir. Oradan da bağlı kullanıcılara kalıcı veya geçici engel koyma veya izin verme işlemi gerçekleştirilebilir.
Voip ; ip üzerinden ses görüşmesi sağlayan voip teknolojisinin kullanımına dair, hesap kaydı engelleme, konuşma süresi limitleme, çağrı yapma gibi işlemleri de bu bölümde engellemek mümkündür.
Logging ; protection profilimiz içerisinde uyguladığımız tüm faaliyetlerin ayrı ayrı loglanmasını seçebileceğimiz ve monitoring işlemleri için gereki olan bülümüdür. Profil içerisindeki filtrelemelerimizin istatistiklerini ana sayfadaki status ekranında izleyebilmek içinburada onları işaretlemeliyiz.
Bir protection profile içerisinde nelerin nasıl yapılandırılabileceğinden genel çıkış profile içerisinde bahsedildi. Genel çıkış profile “LAN’dan WAN’a” doğru gerçekleştirilen bağlantılar için olacağından profil içindeki yapılandırmalarda bu mantıkla yapıldı. Aynı yapılandırmalar “WAN’dan LAN’a” doğru yapılacak bağlantılar için de incoming connections mantığı çerçevesinde “genel giriş” profile olarak oluşturulabilir.
Bu oluşturulan profillerin aktif edilmesi ise firewall policylerinin içerisine dahil edilmesiyle gerçekleşir. Firewall policy oluşturma kısmında alttaki protection policy kutucuğu doldurularak istenilen profil seçilip uygulanır.
