FortiGate Firewalls Arayüzü
Merhabalar, bu yazımda Fortinet ürünü olan FortiGate firewall cihazının arayüzü ve menüleri hakkında derinlemesine bilgi sahibi olacağız.
Şimdi FortiGate dashboard’unun belirli menü seçeneklerine bakalım ve yapmamız gereken belirli ayarları yapalım.
FortiGate → System / Settings menüsü
Öncelikle sol panelde bulunan System menüsündeki settings arayüzüne bakalım. Bu arayüzdeki önemli yerleri aşağıdaki gibi açıklayarak sıraladım. Şimdi her birinin ne anlama geldiğini öğrenelim.
1. Host name, cihazımıza verdiğimiz isim.
2. Time zone, ana mantığı Log&Report menüsündeki Foeward traffic ekranındaki güncel logların(engellenen ve kayıt tutulan işlemler) date/time kısmının doğru olabilmesi için Time zone’un doğru yapılandırılması gerekmektedir. İstanbul seçilmesi gerekmektedir
3. Set time, NTP seçilirse ntp FortiGuard üzerinden buluyor istanbul saatini ancak manual setting dersek kendimiz girebiliyoruz.
Aşağıdaki görselde, bu 3 tanımın arayüzdeki karşılığını kırmızı çerçeve içinde görmüş oluyoruz.
NOT: Şu anda bu Firewall cihazınız tüm dünyaya açık bir cihazdır. Tarayıcınızdan bağlantıyı kopyalayıp herhangi birine gönderir iseniz giriş yapabilmektedir.
4. HTTPS port, Arayüzün başlangıcında 500 olarak gelen https portunu bilinenden ziyade bilinmeyen(örneğin 443) porta çekmek ilk işiniz olmalıdır çünkü erişimin kolay olması istediğimiz bir şey değildir.
5. SSH port, genelde 22 olarak gelir bu port numarası da ancak bilindik şeylerin aksine bir port numarası ile değiştirilmelidir. SSH portunun çalışma prensibini şu şekilde anlatabiliriz. Cihazımızın arayüzüne bazen http//46…. ile tarayıcıdan ulaşmak zor olmaktadır, cihazın CPU ve belleğinde yükselmeler olmaktadır. Böyle durumlarda cihaza CLI(komut satır arayüzü) ekranından erişip kontrollerini sağlamak istiyorsak işte bunu SSH portu ile yaparız. Bunu yapmak için ek olarak program kullanırız. Bu program aşağıda tanımlamaktayım.
Ancak burda kaçırmamanız gereken en önemli şey bunu “puTTY” programı ile sağlamaktayız. puTTY programı network ve konfigrasyon tarafında çalışırken oldukça yardımcı olmaktadır. hala yaygın kullanım alanına sahiptir. Bu program vasıtasıyla cihazımıza erişim sağlıyoruz diyebiliriz.
puTTy ara yüzündeki host name kısmına ipconfig ile öğrendiğiniz IPv4 adresini girmeniz ve port kısmına ise sisteme girdiğimiz SSH port numarasını girmemiz gerekiyor. buna örnek vermek gerekirse VMware arayüzünden girdiğimiz ekran ile putty üzerinden firewall üzerindeki port ve IPv4 adresiyle eriştiğim komut ekranı aynı diyebiliriz. örneğin firewall üzerindeki SSH port 2222 ise puTTy üzerinde 22 yazarsan bağlantı kurulmaz bu ayrıntıya dikkat et! zaten hemen SSH portunu farklı bir şey yapma amacımız da bu daha güvenilir olması, basitliği azaltmamız.
6. idle timeout, genelde arayüz ilk başlatıldığında 5 gelir ama 50 yapalım. bu 5 dakika içerisinde cihazda bir işlem gerçekleşmese şifre giriş ekranına atıyor anlamına gelmektedir.
7. Password Policy, arayüz ilk başlatıldığında off olarak gelir, Admin ’e çekip minimum 8 karakter olsun , 1 tane büyük harf, 1 tane de özel bir karakter olsun parolalarım diyoruz. Belirlediğimiz parola içerisinde en az 1 tane büyük harf , 1 tane özel karakter olmak zorunda oluyor bu şifre politikasıyla birlikte. Bunu yapma amacımız ise firewall’ımızın dünyaya açık olmasıdır. Dışarıdan gelen birinin hemen erişememesi amacıyla güçlendirme gibi düşünmemiz yanlış olmaz.
Firewall cihazlarımızda zafiyet bulunması durumunda güncelleme yapılır çünkü firewallar dışarıya açık olduğundan saldırganlar girebilir(örneğin giriş ekranında zafiyet var username — password kısmında kod çalıştırılabiliyor diyelim). eğer son sürüm kullanılmasına rağmen zafiyet tespit edilirse dışarıya erişimi kapatılır firewallın.
8. language, dil seçilebilir
9. theme, tema seçilebilir
10. Start Up Settings, Bu kısımda da USB auto-install kısmı ve altında 2 alt başlık olduğunu görürüz. Bu başlıklar Detect configuration ve Detect firmware’dir. Eğer USB auto-install kısmı açık tutulursa fgt_system.conf(konfigrasyon dosyası,) ve image.out (imaj dosyasıdır.) isimleriyle otomatik oluştuğu görülür. Şimdi burayı açık tutmanın zararını anlatmaya gelelim.Alttaki görselde Firewall cihazımızdaki 1 ile gösterilen USB yazan yer, filmlerde cihazın başına gelip fiziksel olarak işlem yapılan yer olarak düşünülebilir. Eğer burayı açık tutarsam cihaza usb içerisinde zararlı bir dosya konfigre edilebilir. Edilmesi için gereken ise zararlı USB belleğimin içinde fgt_system.conf ve image.out isminde dosyalarımın olması. Burda dikkat etmemiz gereken yer aynı isimlere sahip olmasıdır. Yani genel toplamak gerekirse aynı isme sahip olursa cihaz otomatik yükler bu cihazınızın konfigrasyonunu bozabilir. bu sebeple USB auto-install kısmının kapatılması daha yararlı olacaktır.
Ek olarak 2 numaralı gösterilen bölge olan CONSOLE portu, parolası unutulan firewalların parolalarının sıfırlanması için kullanılan porttur. Sıfırlama işlemi fiziksel olarak bu porta özel kablosunun Ethernet ucu console portuna, USB ucu ise kendi bilgisayarınıza takıp ardından puTTY uygulamasını açıp cihazı yeniden başlatıyorsunuz, sonrasında puTTy üzerinden login ekranına geliyorsunuz ve özel olarak belirlenen kullanıcı adı-şifre girdikten sonra içeri girebiliyorsunuz ve sonrasında parolayı sıfırlıya biliyorsunuz . Tüm cihazlarda console portu vardır. son sürümlerde bu durumu açık yaratması düşünüldüğü için fortigate’in bunu kapatığı söylenmişti.
11. email service, notification gelmesi yani birileri Firewall cihazınıza giriş yapmaya çalıştığında notification yani bildirim gelsin gibi düşün, bunu use custom settings kısmından açman lazım.
12. debug logs, cihazımızda sorun olduğunda(örneğin, CPU çok yükselmiş, Memory de garip harekete sahip) bunu Fortinet’Ee yollarız, Fortinet mühendisleri inceleyip şöyle bir sorun var diyor cihazda, donanımsal bir sıkıntı varsa ve lisanslı ürün ise ücretsiz değiştiriyorlar.
FortiGate → System / Administrator ve Admin Profiles menüsü
Artık kullanıcı oluşturma aşamasına gelelim;
Admin Profiles menüsüne basalım ilk olarak, zaten arayüzde prof_admin ve super_admin isimli kullanıcılar geliyor başlangıçta. Bunun haricinde diyelim ki stajyer biri geldi firmamıza, create new ile yeni profil oluşturacağız. ismi stajyer_profile olacak. Stajyerin bazı şeyleri gerçekçi görmesini istiyoruz ama aktif cihazdaki en ufak değişikliğin büyük sorunlara yol açabildiğini de bilmekteyiz. Bunun için bütün permissions kısmına sadece read yetkisi veririz. Read ve Read/Write arasındaki farka gelecek olursak; Read(tüm arayüzü görüyor ancak değişiklik yapamıyor) bir de Read/Write (cihaz üzerinde değişiklik yapabiliyorlar)yetkisi vardır diyebiliriz.
Adımları ile stajyer kullanıcısını Admin Profiles kısmına başarıyla ekledik. Ardından Administrator menüsünde,create new dedim. Burada dikkat etmemiz gereken en önemli şey şu an admin profilinde olduğum için create new butonu çıkıyor olması, eğer şu an stajyer profilinde olsaydım create new butonu çıkmayacaktı.
Username ismi koyulurken boşluk olmamasına, Türkçe karakter olmamasına dikkat etmemiz gerekmektedir. Ek olarak Administrator Profile kısmında bir sürü seçenek sunulmaktadır, Uygun olan seçilmelidir. Biz stajyer profilinden nasıl göründüğünü anlamak için oluşturduğumuz admin profil olan stajyeri seçiyoruz. Ardından admin kullanıcısından çıkarak ve admin2 adlı oluşturduğumuz profille tekrardan giriş yapıyoruz. Tekrardan Administrator menüsüne gelince create new butonu olmamasına dikkat ediyoruz bu durumun nedenini yukarıda anlatmıştık. Bu durumun yanında admin2(stajyer profili) kullanıcısının tüm menülere ve arayüze eksiksiz ulaşabildiğini unutmamak gereklidir.
FortiGate → Log & Report → Events menüsü/ System Events
Ek olarak Dashboard üzerindeki ana ekranımızda ki Administrator penceremize tıkladığımız zaman kimin nerden bağlandığını, hangi ip(WAN ip adresi) ile bağlandığını, hangi method ile bağlandığını görebilmemizi de sağlıyor.
Ek olarak buradaki her bir kullanıcının da kayıtları(log’ları) tutulmaktadır. Diyelim ki bir firmanın Firewall’ını birkaç kişi yönetiyor ve orada yapılan bir değişiklikten ötürü bir sorun yaşandı ve bunun yaşanmamasını istiyor yönetici. Bu işlemi yapan kişi de ne yaptığını tam bilmiyebiliyor. İşte böyle durumlar için FortiGate → Log & Report → Events menüsü → System Events menüsüne geliyoruz ve her kullanıcının neler yaptığı kayıt altında tutulmuş olarak karşımıza çıkmaktadır. Karşımıza çıkan ekranda Zamanı, Level’i, Kullanıcı ismini, Mesajı,Log tanımı vb durumları detaylı bir şekilde görmemizi sağlamaktadır. Örnek olarak kullanıcı şifremizi yanlış olarak girdiğimiz zaman buraya düşen kayıt(log )örneği aşağıdaki resimdeki gibidir;
Burada gördüğümüz gibi risk levelleri farklılık göstermektedir. Örnek olarak yanlış kullanıcı adı — şifre denemelerinde risk seviyesi oldukça yüksek iken giriş-çıkış işlemlerinin risk seviyeleri düşük seviyedir. Buradaki Message kısmında detay anlatılırken verilen ip adresinin WAN adres olduğunu görmüş oluyoruz. log kısmında ise kayıt başlıkları diyebildiğimiz alanı görmüş oluyoruz.
Ek olarak daha detaylı log(kayıt) görmek istiyorsak satırdaki kayıda çift tıklayarak gelen panelde görebiliriz. Örnek olarak admin2 kullanıcısı login succesffull denemiş, bunu daha detaylı görmek istiyorum, admin2 log’unun satırına çift tıkayalım;
Tıkladıktan sonra görselde göründüğü gibi sağ tarafından Log Details adlı pencere gelmektedir. Bu pencerede log için her şey mevuttur. Örneğin giriş yapan kullanıcının ip adresi başta olmak üzere bir çok detaya ulaşmaktayız.
FortiGate → Security Fabric / Automation menüsü
Bu menü ile ne tetiklenirse o işlem yaptırılabiliyor. Örneğin cihazımız Trigger kısmındaki seçenekten Reboot(yeniden başlatma) olursa Action kısmından gördüğümüz gibi ;
ister Komut çalıştırabiliriz,
ister mail gönderebiliyoruz,
Telefona alarm gönderebiliyoruz,
cloud entegrasyonu ile slack üzerinden notification gönderebiliyoruz,
birçok işlem yapabilmemiz mümkündür. Yani cihaz Reboot olursa gitsin otomatik şu komutu çalıştırsın diyebiliyoruz örneğin.
Bu ekranı açmak için FortiGate ara yüzümüzde Security Fabric → Automation ile Automation arayüzüne geliyoruz. Ardından Create new butonuna basarak aşağıdaki ekrana geliyoruz.
FortiGate → System / Firmware menüsü
Firmware menüsüne gelecek olursak, bazen sürümlerimizde zafiyetlerimiz çıkabiliyor ve bu sürümü güncelliyebilmemiz Firmware menüsü üzerinden yapılmaktadır. Current version kısmından da şu anki sürümümüz’ü öğrenebiliyoruz.
Ek bilgi olarak sürümümüz’ü öğrenmenin bir diğer yolu ise goggle da support.fortinet.com yazarak , açılan web sitesine giriş yapıp ardından imaj dosyasını indirerek, FortiGate arayüzüne gelip “select file-browse” kısmından yükleyerek de yapabiliyoruz. Kritik sistemler için buradan da bir kez daha kontrol edebiliyoruz.
FortiGate → System / HA(High Availability)menüsü
Bu arayüzde belirli modlar vardır. Genel HA(High Availability) yapısını anlatacak olursam, yedekli dediğimiz yapı vardır fortiGate de. Bu yedekli yapı örneğin biz diyelim ki bir firmaya 500E model FortiGate aldık. Bu cihazı ve yanına aldığımız aynı 2. cihazı da sunucu odamızda(data center) da yan yana koyuyoruz. Her iki cihazda da lisans var. Ben eğer birine 15.000 bin dolar veriyorsam diğer cihaz da aynı fiyat diyebiliriz. Ancak bu 2. cihaz sadece eğer 1. cihaza bir şey olursa sistemi ayağa kalkıyor ve işlemler 2. cihaz üzerinden devam ediyor. Buna örnek vermemiz gerekirse 100/150 okulu olan bir firma düşünün, tüm okullar bu cihaz üzerinden İnternet’e çıkıyor. Bu cihaz gittiği an okulları tatil bile edebilirsiniz eğer her şey internet üzerinden işleniyor ise. Bu yüzden sistemin hep devam etmesi gereklidir, buna da HA(High Availability)-(Yüksek erişilebilirlik) diyoruz.
Bunu yaparken aynı lisanslarımız, aynı sürümlerimiz ve aynı cihazlarımız olacak sunucu odamızda. Belki yedek cihaz yılda bir kez kullanılıcak ancak yine de aynı parayı ödüyerek sistemimizde 2. cihazı tutmak zorundayız.
Ek olarak ilk cihaza bir firewall kuralı(policy) eklediğimizi düşünelim. Bu cihaz üzerinde bulunan HA portu ile diğer cihaz birbirine bağlanıyor. Bunlar bağlandıktan sonra belirli aralıklarla ilkinde olan kural(policy) veya konfigrasyonları diğerine de gidiyor çünkü bu ikisinin hep eşit olması lazım ki bir sorun olduğunda aynı sistem diğeri üzerinden de gidebilsin. Aşağıdaki görselde 3 ile gösterdiğim port, HA portdur.
Güncelleme yaparken ise;
1. ilk cihazın arayüzüne gidiyoruz ,
2. ardından System →Firmware menüsüne gidiyoruz,
3. select file-browse kısmına tıklıyoruz,
4. ve böylece güncellemeyi başlatırız.
Güncelleme işleminde ilk olarak ilk cihaz değil ikinci cihaz güncellenir. İkinci cihaz güncellendikten sonra ilk cihazın yerine geçer ve ilk cihazda ikincinin yerine geçerek güncellemesini tamamlayarak tekrardan ana konuma geçiyor. Bu şekilde sistem ilerleyişi sekteye uğramadan devam edebiliyor.
Son olarak, HA(High Availability) arayüzünde belirli modlar vardır.Genellikle Active- pasife yapısı oluşturulur. Buradaki “Device priority” ve “Group name” isimlerinin aynısı ikinci cihazda da girilir, girdiğimiz parolanın aynısı ikinci cihazda da girilir. Son olarak, “Monitor interface” üzerinden down olma durumu takip edilebilir
FortiGate → System / FortiGuard menüsü
FortiGuard adlı database’imiz(veri tabanı), fortinin arka planda beslendiği ana kaynaktır. Örneğin siz uyurken yeni bir zafiyet çıktı ve firewall’ın görevi ne kullanıcı zararlı bir web sitesine giderken onu engellemek,bu sebeple yeni bir zafiyetli web sitesi çıktı ve bunu engellememiz gerekiyor. Firewallımız bu engellemeyi yaparken nereden besleniyor dersek FortiGuard üzerinden besleniyor diyebiliriz. Zaten biz parayı da fortiGuard’a veriyoruz çünkü arka planda bunun için çalışan mühendisler, yapay zeka ve dahası bu veri tabanı üzerinden beslenmemiz için çalışıyor diyebiliriz.
FortiGuard arayüzüne gelecek olursak AntiVirus, Intrusion Prevention, Web Filtering gibi güvenlik araçlarının bulunduğu arka plandaki yapıdır.
FortiGuard web sayfasına https://www.fortiguard.com/ linki ile erişebilirsiniz. Web sayfasında Services kısmına geldiğiniz zaman Intrusion Prevention, Web Filtering ,vb. şeyleri de görebilirsiniz.
NOT: Eğer Firewall mülakatına girer iseniz, ya da FortiGate biliyorum derseniz muhtemel olarak karşınıza çıkacak ilk soru “FortiGuard” hakkındadır.!!!!!!!!!!!!
NOT: Mülakatlarda karşımıza çıkacak bir diğer soru ise “Honeypot nedir?”sorusudur.
FortiGate → Network / Interface menüsü
Bu arayüzde, network arayüzleri ile birlikte donanımsal FortiGate cihazı üzerinde bulunan interfaceler bizim sanal cihazımızda gördüğümüz interfacler ile aynı diyebiliriz. Yukarıdaki tanımı anlamanız adına aşağıdaki görsellere bakabilirsiniz;
Diyelim ki benim 3 katlı bir firmam var ve aşağıdaki çizimdeki gibi sağ altta benim bir FortiGate’im var, sağ üstte de bir switchim olsun. Bu fortiGate’imin 3 no’lu portundan switchin 1. portuna veya 48. portuna gitsin. Ben burda ne yaptım, benim 3. bloğum neydi arayüzdeki Physical Interface kısmındaki port1'e bakıp söylüyoruz, örneğin192.168.50.1 diyelim network tarafındaki yapılarla ister bunu yapıyoruz ister de switch de 24 port farklı network olsun 24 port farklı network de olsun diyebiliyoruz.Ek olarak en üst katta firmanın çalışanları varmış gibi düşünüyoruz. Switchden çalışanların masalarına kablolar gidiyor ve eğer ben 192.168.50'li bloktan ip dağıtmasını istediysem(arayüzdeki Physical Interface kısmındaki port1'e bakıp söylüyoruz) çalışanlara sırasıyla o ip bloğundan atama yapar.
ara katta da bir switch olduğunu düşünelim. Bu switche de 4. porttan kablo gittiğini varsayalım. Buna da 192.168.160 die ip bloğu verdim. Ara katta çalışanlara da bu ip bloğundan atama yapılır.
ek olarak tavana access point cihazı veririz. Bu cihaza da switch üzerinden bir kablo gider. Access pointe de sen ip’i 160 lı olarak dağıt diye söyleyebiliriz.
Ek olarak bizim bir WAN portumuz bir de LAN portumuz vardı. Artık firewall üzerinde kurallar yazacağız artık. Interface arayüzünde görüldüğü gibi WAN üzerinden ilerliyeceğiz. Lan port sayısı, WAN port sayısından daha fazla olur genellikle.Örnek olarak Ali internet’e gitsin derken aslında WAN’a doğru gitsin diyeceğiz. Yukarıdaki örnekle birleştirirsek örneğin Ali 3. katta çalışıyor, buraya nerden kablo gitmiş port 3 den kablo gitmiş diyoruz. O zaman Port3 den Wan’a doğru kural yazıcaz ki Ali internete gidebilsin.
Ali →WAN
Port3 →Wan
Yine Network menüsü altında bulunun SD-WAN arayüzüne gelecek olursak, SD-WAN yedekli internet hattı demektir. SD-WAN Zones ve SD-WAN Rules alt birimlerine ayrılır. FortiGate’in kendini öne çıkardığı özelliklerden birisi de SD-WAN özelliğidir. Örneğin firmamızda Türk-telekom var, vodofone var veya başka ISP firmazı var. Biriyle sorun yaşanınca hiç yoktan sistem bir diğeriyle devam etsin mantığı ile çalışır.
SD-WAN Rules kısmında kural yazabiliyoruz. Örneğin firmamızda 100MB’lik hattım var ve bir de 1GB’lik hattım var diyelim. Zoom toplantısına girerken 1GB’lik hat üzerinden kullansın network’ü, kim kullanırsa kulllansın farketmiyor. Böyle bir Kural yazmamız mümkün.
Örneğin kural yazıyoruz ve Source address’e tıkladığımız zaman çıkan listeden bir adres seçebiliyorsun veya ekleyebiliyorsun. Aynı şey User group için de geçerli. Veya bu kişiler internete çıkarken(Zoom uygulamasına) şuradan gitsinler de diyebiliyoruz, arayüzdeki Application kısmına basınca gelen Entries(girdiler) kısmından zoom yazıp seçip hattı bölmek de mümkündür.
Hattı bölmemiz önemlidir çünkü firmalardan en çok gelen taleplerin başında internetimiz yavaş, şuraya giremiyoruz veya internet gidiyor talepleridir.
Son olarak yine Network menüsü altındaki Interfaces arayüzüne gelelim. Arayüzdeki Create New butonuna basarak çıkan seçeneklerden interface seçeneğini seçelim.
Seçtikten sonra gelen ekranda VLAN göreceksiniz. VLAN, normal bilinen LAN networkünün sanal hali gibi düşünülebilir. Bazen cihazınız üzerinde bağlayacağımız portlar (interface)yetmiyor. Bu durumun çözümü için arka planda VLAN’lara ayırarak(netwörkü birbirinden ayırarak) sağlamaya çalışıyoruz.
Örneğin, her depertman toplamı sonucu 200 çalışanlı Bir firma düşünün, tüm çalışanlar 192.168.1'li ip bloğundan adres alıyorlar. Böyle bir durum yanlış network yapılandırılmasıdır çünkü farklı ip’lere bölmeliyiz ki saldırgan 192.168.1'li networke girdi diyelim ki içerde dağılamasın. Buna genel haliyle segmantasyonlara ayırma da diyebiliriz.
Ek olarak cihaz üzerinde Backup almak istiyorsak sağ üstte bulunan admin → Configuration → Backup almamız mümkündür.
Backup dosyamız içerisinde VMware üzerinde FortiGate sanal cihazımız kullanımınıza hazır hale getirmek için yazdığımız kodları gömüş oluruz.
FortiGate → Policy & Objects / Addresses menüsü
Ön bilgilendirme yapacak olursam, addresses ara yüzünde,tanımladığım network (eklediğim Adres ) , Policy & Objects menüsündeki Firewall Policy arayüzünde kural yazabilmemiz içindir. Şimde hep birlikte ne anlatmak istediğime bakalım.
Adresses ara yüzüne geldiğimiz zaman ip alan birisi var örneğin Ali kullanıcısı pazarlama bölümünde çalışıyor ve ip adresi 192.168.50.150 diyelim. Geliyoruz Adresses ara yüzündeki create new butonuna basıyoruz ve oluşturuyoruz. Bizim ana işlemimiz firewall da kural üzerine, kural olmazsa hiçbir şey olmaz. Bu sebeple bu cihazı kullanırken çoğu zamanımız Firewall Policy tarafında geçiyor. Bu kuralları yazabilmemiz için bazı tanımlamaların yapılması gerekiyor. Bu tanımlamalar da adresses arayüzündeki create new ile oluşturuyoruz.
Ek bilgi:Adresses kısmındaki Interface Subnet altında çıkan adresleri (network → Interface →create new) kısmından oluşturuyoruz.Bir tane örnek oluşturmak gerekirse aşağıdaki görselde oluşturalım.
Az önceki tanımdaki gibi kuralları yazabilmemiz için bazı tanımlamaların yapılması gerekiyor demiştik . Bu tanımlama için Adresses ara yüzündeki create new → address seçiyoruz Adres ekliyoruz.
Örnek olarak Network tanımlama(adres tanımlama yapacak olursam)pazarlama ve pazarlama biriminde çalışan eleman için yaparsam. Örnek olarak;
1. İlk olarak Subnet ile network tanımlayalım(Adres ekleyelim)
İlk olarak bu Type kısmından subnet olarak adres tanımlama kısmımızı göreceğiz.
yukarıdaki gibi ilk olarak ismi koyuyoruz(boşluk ve Türkçe karakterden kaçınalım), ardından ip giriyoruz(/24 ile subneti tüm ağı kapsayacak şekilde yapılandırıyoruz buradaki ip random verdiğimiz bir ip adresi çünkü amacımız nasıl yapıldığını anlamak), interface seçimi yapabiliyoruz(yukarıda anlattığım gibi oluşturduklarımızdan birini seçebiliriz, any ile hepsini de alabiliriz.) diyerek tamamlayarak çıkıyoruz ve addresses kısmında gelmiş olduğunu görürüz. Şimdi de pazarlama biriminde çalışan eleman için yaparsam;
ip kısmında tek kullanıcı için /32 subnetini kullanmam gerekiyor. yani bu 255.255.255.255(bunu yazınca da /32 çevirir otomatik ve buradaki ip random verdiğimiz bir ip adresi çünkü amacımız nasıl yapıldığını anlamak) yazmam ile eş değer de diyebilmemiz mümkündür. Tamamladıktan sonra addresses arayüzüne gelirsek adres tanımlama yaptıklarımdan sonra aşağıdaki gibi görünecektir.
2. olarak IP Range ile network tanımlayacak(Adres ekleyecek) olursak;
İkinci olarak bu Type kısmından IP Range bize ne gibi kolaylık sağlıyor dersek, Bütün personelime tek tek 200–201–201… gibi girmek yerine IP Range belirliyerek hepsini birden girmiş oldum. Bunları girdikten sonra firewall da kural olarak giriyoruz. IP Range ile Network tanımlama(adres tanımlama yapacak olursam) ;
İle Network tanımlama yaptıktan sonra Addresses arayüzüne gelirsek;
3. olarak FQDN ile network tanımlayacak(Adres ekleyecek) olursak;
FQDN kullanımı ise diyelim ki bir kariyer firmasına domain eklemek istiyorum, onu tanımlamak istiyor isem kullanırız.
İle Network tanımlama yaptıktan sonra Addresses arayüzüne gelirsek;
Buradaki amaç şu şekilde anlatılabilir. Biz diyelim ki şöyle bir kural yazacağız, Ali kullanıcısı techcareer.net ‘e gitsin kuralı yazacağız. Bu kuralı yazabilmemiz için, Firewall Policy arayüzünden create new deyince çıkan pencereden destination kısmına basınca bu techcareer.net adresini tanımlayabilmemiz lazımdır. Yani bir nevi techcareer.net URL’ini firewall da tanımladık dememiz yanlış olmaz. Aşağıdaki görselde daha net görmemiz gerekirse;
Şeklindedir. Artık neden öncelikle Addresses kısmından network ekleyip ardından Firewall kuralı yazmaya geçtiğimiz konusunda daha fazla bilgi sahibi olduk. Buradan buraya gitsin diyebilmemiz için önce adres kısmından ekliyorum,ardından da firewall kurallar arayüzünden bunu seçiyorum. Yani adres eklemeden kural oluşturamam, zemin hazırlıyoruz dememiz yanlış olmaz.
4. olarak Geography ile network tanımlayacak(Adres ekleyecek) olursak;
Geography de ise firewall da port yönlendirmesi ile dışarıdan içeriye belirli kurallar yazabiliyoruz. Örnek olarak Geography kullanırsak;
İle Network tanımlama yaptıktan sonra Addresses arayüzüne gelirsek;
— — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — —
PORT YÖNLENDİRME(WAN →LAN)
Firewall kural yazmadan önce değineceğim bir diğer konu ise PORT YÖNLENDİRME başlığı, biz kullanıcılarımıza hep LAN → WAN kural yazdırıyoruz şu anki yapıda şimdi de WAN → LAN ‘a kural olsun. WAN dan LAN’a olan kuralı tanımlayıcak olursam aslında hepimiz bu kural sayesinde sitelere gidebiliyoruz.
Firewall da “VIP” dediğimiz port yönlendirme olay vardır. Bu port yönlendirme dediğimiz olay aslında bizim WAN → LAN’a doğru olan kurallarımızdır. Bu kurala örnek vermem gerekirse ben goggle.com’a giderken goggle’ın bir sunucusu var ve bu sunucunun ip adresi 172.217.17.142(komut istemi üzerinden goggle ping atarak örendik)’dir. Web tarayıcısına goggle yazıp gittiğin zaman arka planda isteğim 172.217.17.142 adresli sunucuya gidiyor. Yani benim bu sunucuya istek göndermem için firewall üzerinde bir kural olması gerekiyor. Bu kurala da WAN → LAN diyoruz.
WAN ne demek tüm dünya,yani dünyada bulunan Ayşe,Ali WAN → LAN ile içeriye doğru gitsin, yani web tarayıcısına goggle yazınca x.x.x.x ip adresli sunucuya gidiyor. Bu sunucu üzerinde bir web servis çalışıyor, bu web servis üzerinde ne çalışıyorsa(yazılımcılar ne koydu ise ) ben onu görüyorum. Yani dış ip’den iç ip’e doğru gidiyoruz biz.
Buna en büyük örnek goggle mühendisleri bu firewall üzerinden WAN →LAN’a doğru bir kural yazarak WAN ile türkiyeden gelenler(dünyadan) a sunucsuna yönlendirilsin(her sunucdaki web servis üzerine ne konursa o görülür!!) ve 23 nisan paylaşımı görsün ama WAN ile almanyadan gelen ise b sunucusuna gitsin ve görmesin gibi. Yani hangi resim yüklüyse ben onu görmekteyim.Bu böyle yapılmaktadır.
NOT: Yukarıda anlattığım “PORT YÖNLENDİRME” konusu mülakatlarda sıkça karşımıza çıkan sorulardan biridir.
— — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — —
Firewall da kurallar yukarıdan aşağıya doğrudur
Firewall kural yazmadan önce bilinmesi ve unutulmaması gereken en önemli şey Firewall da kurallar yukarıdan aşağıya doğrudur.
Yani ilk olarak 1 ile gösterdiğim yerde yazdığımız kural ile insanlara goggle’a izin verdiyseniz goggle’a giderler, youtube için izin verdiyseniz youtube’a giderler. İstediğiniz kadar 2 numaralı kuralda ALi, Veli, vb. kişiye instegramı engelleyin, ilk kuralda izin verdiyseniz ilk kuralla internete çıkar bir anlamı olmaz. Ancak 2 numaralı kuralı en üste çıkarırsanız kullanıcı kurala gelir ve instegrama çıkamaz. O yüzden Firewall da kurallar yukarıdan →aşağı doğrudur.
Bu sebeple engellemeniz gereken kuralı en üste yazmamız daha sağlıklı olacaktır. Önce engellemeler sonra normal kurallar yazmamız gereklidir.
NOT:Mülakatlarda “Firewall da kurallar yıkarıdan aşağıya doğrudur” sorusu sıkça karşımıza çıkar.
— — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — —
Son olarak en çok dikkat edilmesi gereken konuların birine değinmek istiyorum. Makale yazarken dikkat edilmesi gereken şeylerden biri de örneğin bir bankanın(veya yüksek güvenlikli herhangi bir kuruluş) firewall ekibinde çalışıyorsunuz bunun hakkında uygulama yapamamanız olacaktır çünkü Firewall Policy(firewall kuralları) olduğu ekranı paylaşırken gerçek hayattaki kendi ekibinin isimleri, network bilgisi bölümleri de oluyor. Bu nedenle bunu paylaşmak bir çok güvenlik sorununu da yanında getirebilir.
Yazımın sonuna gelecek olursam, FortiGate hakkında derinlemesine bilgi sahibi olduk. Buna ek olarak gerekli sistem ayarları nelerdir ve önemli gördüğüm FortiGate menülerini örnek görselleriyle öğrenmiş bulunmaktayız. Umarım sizlere yardımcı olabilmişimdir.
Bir sonraki yazımda görüşmek dileğiyle.
