Benim Blog

Bir başka WordPress sitesi

Uncategorized

FORTIGATE FIREWALL İNCELEME VE KURULUM

Global dünyada her şey değişirken firewall endüstrisi de epey yol alıyor. Hala opensource bir cihazın da muadilleri kadar işlevsel olduğunu düşünsem de, yeni nesil firewall cihazlarında gerek arayüzleri gerekse de işlevsellikleri göz önüne alındığında küçük büyük demeden büyük bir yarışın başladığı aşikar. Sektörde lider konumdaki Checkpoint, Palo Alto, Mcafee, Juniper gibi ağır abilerin yanında bugün bahsedeceğimiz Fortigate gibi yeni nesil firewall cihazları da daha düşük maliyetlerle rakiplerine gözdağı vermeye başladığını söyleyebiliriz. Özellikle alışılmış ve sanki özellikle zorlaştırılmış yönetimler yerine sürükle bırak menüleri, yeni nesil firewall cihazlarını orta ölçekli işletmeler için daha cazip konuma taşıyacaktır.

Hangi model olursa olsun, eğer lisanslı bir firewall cihazı kullanıyorsanız, opensource yapılara nazaran bazı eksileriniz olacaktır. Bunların başında aldığınız neredeyse her hizmetin bir maliyetinin olması. Mesela web filter olsun diyorsunuz lisans değişiyor, vpnde kullanacaktık dediğinizde yine bambaşka paketler sizleri karşılıyor. Burada firmanız için önem sıralamasını çıkartıp, ilk satın alımda talepleri vendor tarafına iletmekte fayda var.

Öncelikle Fortigate 60E cihazını inceleyeceğiz. Cihaza ait teknik materyallere buradan ulaşabilirsiniz.

Cihazın fiziksel bağlantılarını yaptıktan sonra web arayüzüne https://192.168.1.99 üzerinden bağlanıyoruz.

Default username : admin, şifre ise boş geçiyoruz.

FortiOS 6.0.11 yazılımı ile birlikte bizi aşağıdaki gibi bir ekran karşılayacak, şimdilik yeni cihazlar bu firmware ile geliyor. Orta konsolda update ile güncellemenizi şiddetle öneririm. İkinci kısım; admin şifrenizi sol menüdeki “Users& Device” kısmından güncellemeniz.

Burada ivedi şekilde yapmanız gereken iki kısım var, eğer yeni bir yazılım varsa ilk onu güncellemeniz. İkinci kısım ise size tanımlanan kullanıcı adı ile lisansınızı aktive etmeniz. Tüm adımları cihaz size video desteği ile anlatıyor. Eğer networkte daha önce Juniper kullandıysanız, şuan yaptıklarınız oyunmuş gibi gelebilir.

Yeni nesil firewall cihazlarında en sevdiğim özellikten bahsedeceğim. İncelediğimiz cihaz üzerinde 7 internal, 1 dmz ve 2 wan portu mevcut. 7 internal port aynı anda bir switch gibi de başlangıç konumundayken çalışabiliyor. Özellikle bir ayar gerektirmiyor. Ama iyi olan kısım bu isimlere çok takılmayın, çünkü 7 internal porttan birini iptal edip, 6 internal, 2 dmz ve 2 wan çevirebiliyorum. Hemde bunu sürükle bırak ile yapıyoruz.

 Üstteki internal kısmına çift tıklayarak veya sağ tıklayıp Edit ile ayrıntıları görebiliyoruz.

Burada interface members kısmından sadece o portların üzerindeki çarpıya tıkladığımda artık o portlar elimde bağımsız bir yapıya dönüşüyor, sağ konsolda gördüğünüz gibi artık switch ortamımda değiller. Birebir onları başka işler için kullanabiliyoruz. Hemen alt satırdaki Role kısmı, bize o networkün hangi işlevde tanımlanacağını hazırlıyor. Lan kısmını seçip DMZ döndürdüğümde, ikonlar ve gelecek policy içerikleri de değişiyor.

Bulunduğu network nasıl çalışsın; manuel ip blok mu tanımlayalım, DHCP üzerinden mi çeksin veya bir adsl yapısı gibi bağlantı mı varda oradan PPPoE bağlayalım. Bunlar için size özgürlük sağlıyor.

Bir diğer kısım erişimler. Bu network için hangi izinler aktif olmalı. En basitinden hiçbir komuta başlamadan ssh veya webten erişimi FGM-Access ile  saniyeler içerisinde açabilirsiniz.

Yeni bir policy eklemek istediğinizde yine tıkla çalıştır mantığıyla ilerleyebiliyoruz. İnterface kısmını ikonlarına göre seçebiliriz, mouse ile üzerinde beklediğimizde o interface ait bilgileride görebiliyoruz. Gördüğünüz gibi anvirus, web filter gibi kurallarda yine policy üzerinden ekleniyor.

Eğer bir port yönlendirme yapmak istiyorsanız üst resimdeki sol menüden önce Virtual IPs ile sunucunuzun hangi portta olduğunu ve ip adresini, hangi portlara izin verleceğini, nereden nereye kurallar olmalı gibi ana tanımları yapabilirsiniz.

Web filter ayarlarıda gayet eğlenceli. İsterseniz kategori bazında isterseniz daha alt kategorilerde izin veya yasaklar getirebiliyorsunuz. Ana kategoriye çift tıkladığınızda alt kategorilere ulaşabiliyorsunuz.

Fortigate tarafı sizler için hiç üşenmeden 2138 uygulama imzasını eklemiş, isterseniz bunlar arasından kategori bazlı engelleme veya izlemede yapabiliyorsunuz.

Device inventory de yine güzel uygulamalardan. Otomatik olarak size networkteki cihazlar hakkında bilgi veriyor. Ve isterseniz policy oluştururkende device bazında işlem yapmanıza olanak sağlıyor. Örneğin internal network üzerinden DMZ networke Android cihazlar ulaşamasın demeniz 10 saniyenizi alıyor.

Bunun dışındaki diğer özellikler, irili ufaklı tüm firewall cihazlarında karşınıza çıkan standart özellikler.  Yeni nesil firewall cihazlarına baktığınızda birçok farklı yorumlar çıkartabilirsiniz ancak benim gördüğüm, network çalışanları içinde taşların yerinden oynayacağı. Çünkü bundan sonraki aşama yeni nesil switch ve router cihazlar olacaktır. Belkide ileride network diyagramını elle çizersiniz, onlar sizler için şekillendirir.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir