FORTIGATE Firewall Setup | PART-I

Firewall konumlandırma ihtiyacı, özellikle son yıllarda birçok firmanın ilkleri arasına girmeye başlamıştır. Öncelikle güvenlik mimarisi, yapısal yönetim gibi birçok örnekle çoğaltabileceğimiz ihtiyaçlar listesini, uygun bir Firewall'u altyapınıza dahil ettikten sonra merkezi yönetimi daha da kolaylaştırabilirsiniz.

• Next Generation Firewall, UTM gibi terimlere bu yazıda değinilmeyecektir.

Bu yazıda, FORTIGATE_VM platformu, (Vmware Workstation' da çalışan sürümü ile ) örneklerle anlatılmaya çalışılacaktır.

İlk bölümde,

1. OVF ( VM çalıştırıcağımız ve hypervisor'e import edeceğimiz yığın dosyasının çalıştırılması )
2. Interface'lere Ip adresi adresi atama işlemi ( CLI üzerinden ilk kurulum aşamasında | MGMT interface için )
3. Web Browser kullanarak temel Fortigate Firewall ayarların yapılandırılması ve Örnek kuralların yazılması.
4. Basit problem giderme adımlarından bahsedilecektir.

Kurulum dosyasını, FORTIGATE' üretici sitesinde kayıt olduktan sonra gerekli yönlendirmeleri takip ederek temin edebilirsiniz.

Link'i alttaki görselde bulabilirsiniz...

Detaylara faza girmeden, OVF dosyasını import ettikten sonra aşağıdaki gibi bir ekran bizleri karşılıyor olacak.

1.Tablo' daki değerler DEMO Lisans kullandığımız için, Memory ve CPU tarafında değişiklik yapılmaması gerekmektedir. Aksi takdirde, Lisans Upload ekranı karşınıza gelecektir. Bu örnekte VMnet1 interface'i, cihaz üzerindeki port1' i temsil etmektedir. VM'i çalıştırılan cihaz ile Host'unuz konuşabilmesi için, HOST ( Fiziksel Cihazınız ) tarafındaki interface ayarları aşağıdaki gibi ayarlanmıştır. Bu örnekte iki adet interface kullanılacaktır. Bunlar port1 (VMnet1 ) ve port2 (VMnet8). Kendi isteğinize göre demo ortamını güncelleyebilirsiniz.

VM tarafında aşağıdaki tabloyu kullanarak ilgili ip adres'inin ayarlanması adımları, vm cihaz ile host'un erişebilirliği açısından önemlidir.

Örnek Fortigate cihazının ip adresi: 192.168.68.1 /24 ( 255.255.255.0 ) olacaktır.

ikinci interface olarak da VMnet8: 192.168.10.1/24 ( 255.255.255.0 ) kullanılacaktır.

Fortigate_VM açıldıktan sonra aşağıdaki gibi bir ekran sizleri karşılıyor olacak...

login: admin, Password' u boş geçebilirsiniz; parola varsayılan olarak bulunmuyor. Hemen sonrasında parolanızı girmeniz istenilmektedir. Parola girme ekranı sonrasında interface ip adresini gireceğiniz ekran sizleri karşılıyor.

1. Config system interface
2. edit port1 ( rakam bitişik yazılmalıdır ! )
3. set ip 192.168.68.1 255.255.255.0
4. set allowaccess ping https snmp ssh ( Fortigate' in belirtilen servislere erişimini verdik )

Not: Port2 için de aynı işlemi uyguluyoruz. ( edit port2 => set ip address 192.168.10.1 255.255.255.0 )

Yukarıdaki adımlardan sonra, Forti_VM'e web browser üzerinden erişibilir durumdasınız :)

Web erişimi sornasında, Firwall'un Dashboard ekranı karşımıza gelmektedir.

1. Bu ekran, Cihaz Hostname, Firewall'un NAT modunda çalıştığını gösteren seçim, SN, Tarih-Saat ve WAN IP adresini göstermektedir. WAN ip adresi şu an unknown. Çünkü, dış dünya ile iletişimim yok ve şimdilik bu özellik kullanılmayacaktır.
2. FIREWALL'ı satın alırken belirli lisansları satın almamız gerekiyor; aksi durumda, Antivurus, Web Filter gibi çok önemli özellikler kullanım dışı olacaktır.
3. Aktif Firewall cihazının CPU / MEMORY durumunu yani performansını takip edebileceğimiz aşama. Bu örnekte varsyılan donanım mimarisi kullanılacaktır.
4. Security Fabric yapısı, bu cihaz ın etkileşimde olduğu ya da direkt bağlı olacağı cihazların kontrolünü gerçekleştireceğimiz kısımdır.
5. Bu sekmede ise, bağlantı türünüzü monitor ediyorsunuz. Eğer ssh yapmış olsaydınız bu bilgiye de ulaşıyor olabilecektiniz.

Artık kural yazma aşamasına geçebiliriz;

Kuralları yazmadan önce, Fortigate Fw'da ilk aşamada tek bir kural vardır.Implicit Deny

Firewall mimarisi gereği, oluşturulan kuralları en üst satırdan başlayarak, en allttaki satıra kadar kontrol edecektir. Eşleştiği satırdaki yetkiler ile işlemini tamamlayacaktır. Aksi taktirde, Implicit Deny satırı istekleri bloklayacaktır.

İlk kurala geçmeden önce oluşturduğumuz network interface'lerine göz atalım.

PORT1 ve PORT2 fiziksel olarak kullandığım interface'ler. Network => Interface altındaki seçenekleri detaylı incelemek için fortigate user manuel'lerinden faydalanmanızı öneririm.

Interface'ler ile ilgili değişiklikleri aşağıdaki tabloyu kontrol ederek gerçekleştirebilirisiniz.

WAN üzerinden internete ( OUTSIDE ) doğru static route tanımının yapılması gerekiyor. Bu tanım olmassa trafik bu yöne iletilemeyeğinden internet çıkışınız ya da diğer lokasyonlarınız varsa, iletişim sorunları yaşıyor olacaksınız. Bu sebeple route'lar önem arz etmektedir.

Birkaç kural örneği yazarak, bu bölümün tamamlanması planlanmaktaktır...

Yukarıdaki tablo üzerinden yola çıkarak ilk kuralı yazmaya başlayabiliriz.

1. Policy & Objects => Addresses => Create New => Address seçimleri ile, ilk önce interface adresleri eklendi. Bu arada, bir adresi ya da group' u kural içerisinden direkt olarak da ekleyebilirsiniz.
2. Policy & Objects => IPv4 Policy => Create New yolunu takip ederek, aşağıdaki gibi bir tablo ile karşılaşacaksınız.

3.Outside ( dışarıya doğru ) 'a doğru olacak şekilde kuralı yazıyoruz. Incoming Interface (port1) ve Source 192.168.68.0/24 network'unden, Outgoing Interface (port2) ve Destination 192.168.10.0/24 network'une doğru olacak şekilde... Bu kural internete çıkış kuralı olacağından "NAT" seçeneğini etkin hâle getiriyoruz.

Dikkatinizi, "Service" kısmına çekmek isterim...HTTP ,HTTPS ve DNS aslında, internete çıkış işlemi için yeterlidir. "Web_Access" ise, yukarıdaki belirtilen üç servisin, Firewall tarafından gruplanmış hâlidir; sadece görebilmeniz açısından eklenmiştir.

Şimdi de, bu kuralın Outside to Inside tarafını yazmaya çalışalım. Örnek vermek gerekirse, VPN, NAT, Başka Network'lerle bağlantı gibi seçenekleri outside interface' i ile gerçekleştirmek isteyebilirsiniz...

Böylece, ilke network kuralı yazılmış bulunmaktadır. FORTIGATE' Firewall'ların ilgili firmware ya da appliance olanlarında kuralları yazarken isim yazma zorunluluğu varsayılanda açık geliyor. Kapatmak istersek, Advanced => Feature Visibility sekmesinden de kapatabilirsiniz.

Özetle,

• FORTIGATE_VM'in download edilip, OVF dosyasının import edilmesi,
• VMware_Hypervisor tarafındaki Interface ayarlarının yapılandırılması
• Komut arabiriminden, default bilgiler ile firewall'un temel ayarlarının yapılandırılması
• Route kavramı, Address ve Basit kural yazım adımları paylaşılmıştır.

Bir sonraki bölümde, biraz daha detaya inerek, farklı özellik ve kavramların anlatılması planlanmaktadır.

Faydalı olması dileğiyle,

Keyifli okumalar.