Merhabalar,
Bu makalede, Fortigate firewall kurulumunu ve sonrasında hazırlayacağım makalelerde ise, konfigürasyonlarının nasıl yapılacağını, bir eğitim serisi halinde açıklamaya çalışacağım.
Güvenlik duvarları, bir kurumun en vazgeçilmez ihtiyaçlarından biridir. Dış dünyadan ya da iç network’ten gelebilecek, bilinçli ya da bilinçli olmayan güvenlik ihlallerini önlemede olmazsa olmazlarımız arasındadır. Bundan dolayı firewall üzerine de bir eğitim serisi hazırlayarak, hem şu an eğitim verdiğim öğrencilerime, hem de öğrencim olmayan, hali hazırda zaten sistem-network birimlerinde çalışmakta olan arkadaşlarımız için de bir kaynak oluşturmayı uygun gördüm.
Şimdi kısa tanımlarla bir giriş yapalım.
Firewall nedir?
İnternet ortamından iç network’e, iç network’ten internet ortamına, ya da sadece iç network’te, bir kaynaktan gelip, bir hedefe ulaşmak isteyen tüm paketlerin içeriğini kontrol eden, zararlı olarak algılanan her türlü içeriğin trafiğini kesen, bunun dışında davranışsal olarak da zararlı olabilecek her türlü durumu algılayıp önlem alabilen, yazılımsal ya da donanımsal güvenlik ürünlerinin genel adıdır.
Gelen ve giden tüm ağ trafiği kontrol edilip belirli filtrelerden geçirilerek, ağ trafiği içerisindeki zararlı eylemler durdurulmuş olur.
Kendi üzerinde, önceden tanımlanan kurallar çerçevesinde, paketlerin ulaşması gereken yerlere gidip gitmeyeceğine karar verilmiş olur.
Yapılarına Göre Firewall Sistemleri
a. Donanım tabanlı
Donanım tabanlı firewall cihazları, özel donanımlar üzerinde çalışan sistemlerdir.
b. Yazılım tabanlı
Yazılım tabanlı olan Firewall uygulamaları, genelde istemci veya sunucular üzerindeki işletim sistemlerine kurulur.
UTM (Unified Threat Management) Güvenlik Duvarları nedir?
UTM (Unified Threat Management) adı verilen “Birleşik Tehdit Yönetimi” olarak adlandırdığımız güvenlik cihazları, son dönemin popüler güvenlik duvarları haline gelmiştir. Artık bu güvenlik duvarları ile IPS, IDS, Uygulama Filtreleme, Web Filtreleme, Hotspot, VPN, 5651 Log Yönetimi gibi özelliklere de sahip olabilmekteyiz. UTM’ler, sadece saldırılara karşı koruyan geleneksel güvenlik duvarları gibi değil, aynı zamanda çoklu sistemler tarafından kullanılan içerik filtreleme, spam mail filtreleme, saldırı tespit sistemleri, casus yazılım engelleme ve anti virüs görevlerini de yürüten gelişmiş cihazlardır. Ayrıca UTM cihazları tümleşik yönetim, kontrol ve log tutabilme servislerini de sağlamaktadırlar. Günümüzde, loglamanın da oldukça önem taşıdığını ve yasal zorunluluk da olduğunu düşünürsek, oldukça kullanışlı cihazlar olduklarını da görebiliriz.
Fortigate nedir?
Fortigate, Fortinet firmasının, güvenlik ve network çözümleri kapsamında, UTM cihazları ihtiyacını karşılamak için ürettiği komple bir güvenlik çözümüdür. Bilgi Teknolojileri altyapılarında güvenlik, kontrol, loglama ve performans-raporlama gibi hizmetleri sunar.
Fortigate Firewall özellikleri nelerdir?
- WAN Hızlandırma ve Ölçeklendirme (Wide Area Network Acceleration)
- Antivirüs
- Antispam
- VPN
- Web Filtering
- Application Control
- IPS (Intrusion Prevention System)
- Wifi Controller
- Captive Portal – Hotspot
Fortinet Güvenlik Ürünleri
Fortinet güvenlik ürünleri portföyü aşağıdaki gibidir. Bu makalede Fortigate kurulumunu yapacağız.
Hangi ürünün, ne amaçla kullanılabileceğini ise aşağıdaki diyagramda görebilirsiniz.
Bütün ürünlerin ne olduğunu açıklayabiliriz elbette. Fakat şu an bizim konumuz Fortigate Firewall olduğu için bu makalede tüm ürünlerin açıklamasını yapmayacağım. Eğer diğer ürünlerle de ilgileniyorsanız, resmi web sitesinden ilgili ürünler için dökümanlara ulaşabilirsiniz.
Fortigate kurulum adımları
Deneme sürümünü aşağıdaki adresten kayıt olarak indirebilirsiniz. Vmware ve Hyper-V ortamları için ayrı ayrı sanal makine formatlarında download edebilirsiniz. Ben burada vmware için hazırlanmış olan sanal makineyi download ettim.
zip dosyasını açtığımızda klasör içeriği aşağıdaki gibi olacaktır.
Şimdi bu dosyaların hangi amaçla kullanıldığını kısaca açıklayalım.
fortios.vmdk : VMDK formatındaki FortiGate-VM sistem hard disk’idir.
datadrive.vmdk : VMDK formatındaki FortiGate-VM log diskidir.
FortiGate-VM64.ovf : Intel e1000 Ethernet kart sürücüleri entegre edilmiş ovf template dosyasıdır.
FortiGate-VM64.hw04.ovf : Eski sürüm VMware ESX server (v3.5) için kullanılan ovf template dosyasıdır.
FortiGate-VMxx.hw07_vmxnet3.ovf : VMware vmxnet3 sürücüleri entegre edilmiş ovf template dosyasıdır.
FortiGate-VM64.vapp.ovf : FortiGate-VM64.ovf ile hemen hemen aynıdır. Tek farkı, ovf dosyasını import ederken aşağıdaki gibi ayarlamaları yapmanıza ve arabirimleri konfigüre etmenize olanak sağlar.
Sizler kullanacağınız platforma uygun olan ovf dosyasıyla kurulumu yapmalısınız. Ben vmware workstation üzerinde kurulum yapacağım için kullanacağım ovf dosyası, FortiGate-VM64.ovf olacaktır.
Şimdi kuruluma başlayalım.
FortiGate-VM64.ovf dosyasına çift tıklıyoruz ve import seçenekleri ekrana geliyor. Lisans anlaşması seçeneğini işaretleyip Next ile devam ediyoruz.
Sanal makine ismini belirliyoruz ve Import ile işlemi bitiriyoruz.
Sanal makine default özelliklerini de aşağıdaki gibi görüyoruz. CPU ve Memory ayarlarını değiştirmiyorum, çünkü deneme sürümünde bu değerleri çok fazla yükseltmenize izin verilmiyor. Fakat bu şekilde de çok rahat kullanabiliyoruz. Network Adapter 1 kartını, management network için kullanacağım. NAT network’üne alacağım. Hemen bu ayarı da yapalım.
Öncelikle vmware workstation virtual network editor açarak, NAT network IP bloğunu kontrol edeceğim.
Edit > Virtual Network Editor seçiyorum.
VMnet8, NAT network için ayrılmış sanal network olarak görünmekte. IP bloğu ise 192.168.96.0 olarak ayarlı. Şimdi bu bloktan bir IP seçip, Fortigate Firewall’a web arabiriminden erişebilmek için, management IP olarak kullanmak üzere not edeceğim.
Fortigate Management IP olarak 192.168.96.5 kullanacağım.
Daha sonra da sanal makine özelliklerinden Network Adapter olan kartı, NAT network’e çekeceğim. Bunun için 2 yol var:
- Birinci yöntem ilgili network kartını seçip sağ tarafta 1 ile gösterilen NAT seçimini yapmak
- İkinci yöntem, 2 ile gösterilen Custom seçimi yapmak ve az önce yukarıda NAT network’ün bağlı olduğu sanal network’ü seçmek.
Ben burada Custom işaretleyip, VMnet8 seçtim.
Sonrasında ise sanal makineyi başlatmak için Power on seçiyorum.
Sistem açıldığında login oluyoruz. Default username:admin / default password ise boş password’dür ve password adımını sadece enter’a basarak geçiyoruz.
Şimdi management IP tanımını yapalım.
Komut satırında sırasıyla aşağıdaki komutları uygulayalım:
config system interface
edit port1
set ip 192.168.96.5 (bu sizin belirlediğiniz management IP olacak) 255.255.255.0
Can’t change dynamic IP hatası alırsanız, bu portun DHCP den IP alacak şekilde ön tanımlı geldiğini anlarız. Bu durumda öncelikle bu portu, static IP alacak şekilde yapılandırmak gerekecektir.
Bunun için aynı komut satırında set mode static komutunu uyguluyoruz.
Artık statik IP tanımını tekrar yapabiliriz. Az önceki set ip 192.168.96.5 255.255.255.0 komutunu yeniden uyguluyorum. Ve sonrasında aşağıdaki komutları uygulayarak devam ediyorum.
set allowaccess https http ping ssh (http, https, ping ve ssh erişimine açma izni verdik)
end (port konfigürasyonunu bitirmiş olduk ve arabirim konfigürasyonundan çıkmış olduk)
Artık web arabiriminden bağlanabiliriz. Web browser açarak, Management IP yi yazıp, web arabirimine erişiyoruz.
Admin kullanıcısı ve boş password ile erişim sağlıyoruz.
Sanal makinenizin deneme lisansının süresi geçmiş olabilir. Web arabiriminden bağlandığınızda böyle bir durumla karşılaşırsanız ya yeni bir lisans girişi yapmalısınız ya da komut satırından yeni bir deneme süresi elde etmelisiniz.
Komut satırından fabrikasyon reset yaparak, yeni bir demo ortamı elde edeceğim.
Bunun için az önceki gibi sanal makine konsolunda komut satırında aşağıdaki komutu uygulayabilirsiniz.
NOT: Bu adımı sadece deneme süresi geçtiğine dair web arabiriminde uyarı alırsanız yapınız. Bu hatayı almıyorsanız, sonraki adımlara geçebilirsiniz.
execute factoryreset
Tabi bu durumda az önce tanımladığımız management IP de resetlenecek 🙂 Bu durumda yukarıdaki komutları yeniden uygulayarak, management IP tanımını yeniden yapıyoruz.
Tekrar web arabirimden bağlanıyoruz.
İlk login işleminde admin password boş olduğu için değiştirilmesi istenmekte. Change Password ile yeni password’ümü belirliyorum.
Ve yönetim konsolu karşımızda.
İlk olarak yapacağımız birkaç işlemi hemen gerçekleştirelim. Örneğin hostname, time zone, dns server vs gibi ayarları yapalım öncelikle.
System > Settings altından hostname, time zone, http ve https port ayarları, ssh port ayarları, NTP server kullanıyorsanız NTP server ayarları, arabirim dil ayarları gibi çeşitli ayarları değiştirebilirsiniz.
Size önerim, http ve https port numaralarını, öncelikle başka bir değerle değiştirmenizdir. Çünkü http ve https portları tahmin edilebilir durumda. Bunları değiştirerek, yetkisiz erişim denemelerine karşı, önleyici bir katman daha oluşturmuş olursunuz. http port olarak 8086, https için ise 44343 değerlerini belirledim. Yeniden login olmayı gerektirecektir. Bu ayarlardan sonra, http://management-IP:8086 ile bağlantı sağlayacağım.
DNS ayarlarını yapmak için
Network > DNS altındaki ayarları değiştirebilirsiniz.
Bu adımlardan sonrası ise, sırasıyla sol taraftaki menüler altından neler yapabileceğimizle ilgili olacaktır. Bu arabirimin yönetimini de farklı makalelerde adım adım açıklayarak bir eğitim serisi haline dönüştürmeyi hedefliyorum.
Son olarak, donanımsal Fortigate kurulumu yapacaksanız işiniz daha kolaydır. Çünkü donanımsal üründe, management IP ön tanımlı olarak 192.168.1.99 olarak gelir. Siz bilgisayarınıza statik olarak bu bloktan bir IP verip, ethernet kablosuyla direkt olarak firewall management portuna bağlantı sağlarsanız, web arabiriminden cihazın yönetim arayüzüne ulaşıp, management IP yi değiştirerek network ortamınıza katabilirsiniz. Aradaki tek fark bu olacaktır.
Yararlı olması dileğiyle.
Yusuf İşleyen
Gayet açık bir dil ile yazılmış, adım adım uygulayıp denedim. Devamını bekliyoruz hocam 🙂 Elinize sağlık