14 Eyl 2009

Fortigate Kurulum

Fortinetle ilgili makaleler

Fortinet FortiGate Temel Kurulum Version 3.0 MR 6 – MR7

  1. System – Ana Menu
  2. Router – Yonlendirme
  3. Firewall – Guvenlik Tanimlamalari
  4. Vpn – Ozel Ag Yapilandirmasi (Ipsec,Pptp,Ssl)
  5. Ips&Idp – Saldiri Tespiti Ve Durdurma
  6. Web Filter – Web Ve Icerik kisitlamalar
  7. AntiVirus & File Block – Virus Korumasi-Dosya Engelleme – Grayware Korumasi
  8. AntiSpam BWL List – Istenmeyen Maillerden Kurtulma
  9. Log – Report Izleme ve Raporlama
  10. Fortinet Ek Donanim

Fortinet Urunlerinden FortiGate U.T.M. ile ilgili temel kurulum bilgilerini aktaracagim. Kuruluma baslamadan bilinmesi gereken bazi konular var.Once bunlara cevap verelim.

U.T.M. Nedir? Unified Threat Management – Butunlesik Tehdit Yonetimi
U.T.M. Neden Tercih Ediliyor? Gunumuz bilgisayar teknolojileri fazlasi ile ilerledi.Sadece bir firewall yada antivirus sistemi korumamizda gucsuz kaliyor. Coklu tehditler her an karsimiza cikabilir.Ornegin bir web sayfasindan bulasan virus bu esnada sisteme gelen bir trojan ihtiva eden elektronik posta sistemimizin bozulmasina cesitli kayiplara sebeb olmaktadir. Tehlikeler ag girisinde daha aga girmeden tesbit edilip savusturulabilir.Gereksiz yere bilgi kaybi,zaman kaybi ve firmalarin maddi kayiplari bu sayede engellenmektedir.Fortinet bu konuda firewall,ips&idp,antivirus (malware,spyware,grayware),Web Category Filter,Antispam Korumasi,IM&P2P Korumasi,Vpn Destegi (SSL,IPSEC,PPTP) ile gunumuz kullanicilarina en ust seviyede guvenlik cozumu saglamaktadir.

Kurulum – Giriş

{gallery}f1/fortigate-kurulum/1{/gallery}

SYSTEM

Fortigate cihazimiz fabrika degeri olarak 192.168.1.99 ip adresi ile set edilmistir..Cihaza ulasmak icin HTTP,HTTPS,TELNET,SSH,SNMP ile erisebilir yonetimini ve ayarlarini yapabiliriz.Oncelikle bilgisayarimizin ip adresini 192.168.1.250 veriyoruz.Web Browser adres kismina https://192.168.1.99 yaziyoruz.Sertifika uyarisina devam ederek kullanici adi admin password kismini bos birakarak cihaza giriyoruz.Karsimiza gelen ana ekran asagidaki gibidir.

{gallery}f1/fortigate-kurulum/2{/gallery}

Resimde gorulen cihaz register edilmis tum servisleri kullanilan bir cihazdir.Cihazimizi oncelikle https://support.fortinet.com/Login/UserRegistration.aspx linkinden kayit ediyoruz.Kurulum bitene kadar resimdeki gibi servislerimizin uzerinde yesil check isreti olucaktir.Register edildikten sonra 15 ile 30 dk arasinda servisler aktif olur.Kisaca menuler hakkinda bilgi vermek gerekirse
Status Ekrani

  • Sessionlar – Cihazimiz uzerinden gecen networkteki gelen giden tcp,udp paketlerini gorebiliriz.
  • Istatistik bilgileri – Saldirilar,virusler,spamlar ve yapilan itekleri gorebiliriz.
  • Lisans Durumu – Cihazimizin register baslangic ve bitis suresini servis durumunu gorebiliriz.
  • Tarih zaman
  • Log bilgileri
  • Komut satiri yonetimi – Web arayuzunden yapamadigimiz islemler icin kullandigimiz alan.
  • Memory ve Cpu durumunu gorebiliriz.Resimdeki versiyon FORTI OS MR 6 .

Network Ekrani
Ag gecidi ip adresimiz ,Wan baglantilarimiz,Dns ayarimiz,vlan trunk olusturma,Secondary Ip yapilandirma,Yonetim portlari (https,http,telnet vs) Bu kisimdan modemimizi bridge moduna alarak internet baglantilarimizi saglariz.Dikkat edilmesi gereken husus Over ride internal dns ve Retrive default gateway from server kutucuklarinin dolu olmsi gerekmektedir.

{gallery}f1/fortigate-kurulum/3{/gallery}

Disardan cihaza baglanip yonetim yapilacaksa http,https e izin vermek gerekir. Örnek Resim

{gallery}f1/fortigate-kurulum/4{/gallery}

Dhcp sunucu yapilandirma

{gallery}f1/fortigate-kurulum/5{/gallery}

Config – Bu bolumden mesajlarin icerigine mudahale edebiliriz.Default ingilizcedir.

{gallery}f1/fortigate-kurulum/6{/gallery}

Operation mode – Bu kısımdan cihazımızı transparent veya route – nat mode da ayarlayabiliriz

{gallery}f1/fortigate-kurulum/7{/gallery}

Admin – Bu kisimdan admin veya user yaratarak cihaza girisleri kontrol altina aliriz.Cihaza dışarıdan erişim ayarlarını yapabiliriz
dışarıdan cihazımıza 443 nolu port yerine 12443 nolu port yazarak erişmemizi bu alandan ayarlıyoruz.

{gallery}f1/fortigate-kurulum/8{/gallery}

Maintanance kismindan backup,restore ve fortiguard antivirus,antispam ve web category filter servisimizi aktif ederiz.

{gallery}f1/fortigate-kurulum/9{/gallery}

Router
Statick ve Policy Route yaptigimiz kisim.

{gallery}f1/fortigate-kurulum/10{/gallery}

Policy – Kural
Sistemimizdeki kullanicilarin hangi haklar ile hangi servise erisecegine karar verdigimiz kisimdir.asagida gorebileceginiz gibi cesitli senaryolar uygulayabiliriz.
Ornek : Finansman,Muhasebe,Yonetim guruplarımiz var.
Kullanici Haklari Hakkinda Bilgi
Finansman Haklari : gov.tr,org.tr,net.tr,edu.tr sitelerde filitre uygulanmayacak. ips,idp korumasi saglanacak.Antivirus (Malware,spyware,grayware) korumasi olucak.2 mb uzerindeki dosyalari ftp den gecebilirken,mail veya web aryuzunden 2 mb uzeri dosyalar engellenecek.Zip,Rar için hiç bir kisitlama engel olmayacak.Web filter uygulanarak istenmeyen siteler engellenecek.Msn den dosya transferi engellenirken P2P Programlarda download engellenecek veya Limit verilecek.Bu kullanicilarin banka ve finans sitelerine erisimlerinde garanti olark 30 kb hiz verilecek,mail vs diger web sitelerinde 10 kb uzerine cikamayacak.Http,https,pop3,smtp,ntp,im portlari,acik olucak.Diger tum portlara erisimi kapatilacak.
Kelime engellenecek ornegin google’da cocuk pornosu gibi.
Muhasebe Haklari : gov.tr,org.tr sitelerde filitre uygulanmayacak.Antivirus (Malware,spyware,grayware) korumasi olucak.1 mb uzerindeki dosyalari web,ftp,pop3,smtp den engellenecek. Web filter uygulanarak tum web siteleri engellenecek.Msn,icq,aol,yahoo gibi IM’ler engellenirken P2P Programlarda engellenecek.Sadece oglen tatilinde 30 dk im,p2p veya izin verilen tum siteler acilacak.ips,idp korumasi saglanacak. Http,https,pop3,smtp,ntp,im portlari,acik olucak.
Yonetim Haklari : Her turlu siteye erisim olucak.Antivirus korumasi saglanarak malware,spyware,grayware’ler engellenecek.Kandirmaca sifre sayfalari engelenecek.IM,P2P acik olucak.IM ’ de gelen giden dosyalarda virus taramasi saglanacak.Ips,idp korumasi saglanacak.Tum portlar izinli olucak.

Bu kurallarimiz icerden disari calisacak.Mail serverimiz kendi ofisimizde ise yada terminal server baglantimiz var ise yapilmasi gerekenler.Disardan iceri policy olusturulmali.Sabit portlar kullanilmamali.Ornegin Uzak masa ustu icin 3389 kullanilir.Bunun yerine disaridan 45345 isteklerini iceriye 3389 olarak al ve Terminal Server’a yonlendir demeliyiz.Fortigate firewall da en onemli yer Protection Profile (Koruma Profili) kismidir.

{gallery}f1/fortigate-kurulum/11{/gallery}

Aklimiza gelen her turlu kisitlama bu bolumden yapilir.Ornegin proxyleri,web chat sitelerini,youtube tarzi multi medya download sitelerini,hacking ile ilgili siteleri gibi bir cok siteyi engelleyebiliriz.Su an dunya uzerinde 98.000.000 web sitesi bulunmaktadir.Fortinet firmasi Fortiguard Center’da 49.000.000 web sitesini kategorize etmis durumda.Antivirus korumasi http,https,ftp,smtp,pop3,IM,imap,Nntp korumasi ve dosya transferi engelleme yapabiliriz.
Kullanicilarin web,antivirus,ips,idp,fileblock gibi haklarini tamamen bu kisimdan ayarlariz.

{gallery}f1/fortigate-kurulum/12{/gallery}

Bu kısımda kısıtlamalar HTTPS üzerindende yapılıcaksa işaretlenmelidir.

{gallery}f1/fortigate-kurulum/13{/gallery}

Ips ayarlarını burdan yapmanız önerilir.Cihazınız sisteminize yetiyorsa her kutucuğa veya mr 7 versiyonundaki hali ile protect client demeniz gerekmekte.

{gallery}f1/fortigate-kurulum/15{/gallery}

Msn veya benzeri uygulamaların internet çıkışını engellemek 2. olarak bu kısımdan alternatif seçenekler bulunmakta.

{gallery}f1/fortigate-kurulum/16{/gallery}

Dışardan içeriye girişleri aşağıdaki şekilde ayarlayabilirsiniz.

{gallery}f1/fortigate-kurulum/17{/gallery}

Fortigate One to One Nat Tanimlamasi

{gallery}f1/fortigate-kurulum/18{/gallery}

Policyde port seçmeyi,loglama ve koruma uygulamayi unutmayiniz

{gallery}f1/fortigate-kurulum/19{/gallery}

Zamanlı çalışma örneği

{gallery}f1/fortigate-kurulum/20{/gallery}

Servis ayarları ekran görüntüleri

{gallery}f1/fortigate-kurulum/21{/gallery}

Adres yapılandırması

{gallery}f1/fortigate-kurulum/22{/gallery}

Web url filtering : Bu bize manuel sitelere erişim veya yasak vermemizi sağlar Kelime engellemesi yapabilirsiniz.

{gallery}f1/fortigate-kurulum/23{/gallery}

Örnek Policy

{gallery}f1/fortigate-kurulum/24{/gallery}

Dosya Engelleme

{gallery}f1/fortigate-kurulum/25{/gallery}

Grayware Koruması ve ayarları

{gallery}f1/fortigate-kurulum/26{/gallery}

Msn (IM) P2P log ve block ekranı

{gallery}f1/fortigate-kurulum/27{/gallery}

Fortigate firewall ipsec,ssl,pptp vpn’de de virus korumasi,port engellemesi gibi guvenlik saglar.Sayet istenirse authentication yapilabilinir.Token cihazlar ile tumlesik calisabilir.Active directory ile birlikte calisabilir.