Fortigate Firewall SSL VPN Yapılandırması

by Posted on

Merhabalar,

Bu yazımda Fortigate Firewall cihazında SSL VPN yapılandırmasından bahsedeceğim.

VPN nedir?

VPN (Virtual Private Network) Türkçeye çevrildiğinde sanal özel ağ anlamı çıkmaktadır. VPN yapılarak bir ağa bağlanıldığında şifreli bir tünel oluşturulur ve bu tünel içerisinden iletişim güvenli bir şekilde sağlanır. Fortigate cihazında SSL VPN ve IPsec VPN olarak iki çeşit VPN türü bulunmaktadır. Bu yazıda SSL VPN’den bahsedeceğim.

SSL VPN Yapılandırması Nasıl Yapılır ?

Öncelikle portal ayarlarını yapılandıralım. Full-access portalı düzenleyeceğim. İstenilirse farklı bir portal da oluşturulabilir.

Limit Users to One SSL-VPN Connection at a Time: Bu seçenek aktif edilirse bir kullanıcı bir bağlantı gerçekleştirebilecektir. Aynı kullanıcı ile bağlantı sağlanmaya çalışılırsa uyarı verecektir.

Enable Split Tunneling: Kapalı olması halinde tüm trafik SSL VPN‘den geçecektir. Routing Address dışında bir adrese gitmeye çalışırken de firewall kurallarına göre erişim verilmiş olacaktır. Bu şekilde yapılandırılması halinde kullanıcılar kurumun internetini kullanacağından kuralların daha kısıtlı bir şekilde yapılandırılması önerilir.

Açık olması durumunda Routing Address dışındaki networklere veya web sitelerine erişirken kendi internet hatlarını kullanacaklardır. Sadece Routing Address kısmında belirttiğimiz networkler için VPN trafiğine girecektir.

Routing Adress: SSL VPN yapacak kullanıcıların Route tablosuna yazılmasını istediğimiz networkler buraya girilmelidir. Burası boş bırakılması durumunda cihaz üzerindeki bütün networkleri Route tablosunda erişimi olmasa bile görebilecektir. Saldırgan bakış açısı ile baktığımız zaman bulgu olarak değerlendirilebilir. Windows bilgisayarlarda cmd ekranında route print komutu girilerek Route tablosu görüntülenebilir.

Source IP Pools: Kullanıcıların bağlantı sağladıktan sonra hangi IP aralığından IP alacakları burada belirtilir. Default olarak 10 IP verilebilecek şekilde yapılandırma mevcuttur. İstenilirse bu network ve aralık artırılabilir.

Tunnel Mode Client Options: Bu kısımda, kullanıcının indirmiş olduğu FortiClient uygulamasında kullanıcıya giriş esnasında parolayı kaydetme seçeneği ve otomatik bağlantı seçeneği gibi özellikler yapılandırılmaktadır.

SSL-VPN Portals yapılandırmasını tamamladık. SSL VPN için Local User oluşturmamız gerekiyor. Active Directory ortamı kurumda bulunuyorsa LDAP kullanıcıları Firewall’a entegre edilebilir. LDAP kullanıcı ve parolaları ile VPN yapabilirler. Bu yazıda Local User ile yapılandıracağız.

SSL-VPN Settings yapılandırmasına geçelim.

Listen on Interface(s): Burada dinleyeceğimiz interfaceleri seçmemiz gerekiyor. Wan portu internet bacağı olduğundan wan portunu seçiyoruz.

Listen on Port: SSL VPN yapılacak portu burada belirlememiz gerekiyor. Defaut olarak 443 gelmektedir. Eğer FortiGate cihazına web arayüzünden 443 portundan erişim sağlanıyorsa ve SSL VPN 443 port üzerinden yapılandırılırsa web arayüzüne erişim kaybedilir. Bu portun değiştirilmesi önerilir. 10443. port üzerinden yapılandıralım.

Restrict Access: Hangi IP’lerden bağlanılacağı buradan seçilebilir. Coğrafya bazlı kısıt uygulanabilir. Örneğin istenilirse Türkiye IP adresleri seçilebilir.

Idle Logout: Kullanıcının boşta kaldığı süre sonunda Logout olması sağlanır. Default olarak 300 saniyedir.

Address Range: Portal kısmında belirttiğimiz IP aralığı burada otomatik olarak gelmektedir veya yan sekmeden istediğiniz aralıkları dahil edebilirsiniz.

DNS Server: Eğer lokalde bir DNS serverınız var ise Specify kısmından belirtebilirsiniz.

Authentication/Portal Mapping: Bu kısımdan Create New butonuna tıklayarak localde oluşturduğum okan.ozener isimli kullanıcıyı ekledim ve portal olarak full-access portalını seçtim.

SSL VPN Setting yapılandırması tamamlandı. Policy oluşturduktan sonra VPN için yapılandırmayı tamamlamış olacağız.

Policy oluşturuyoruz.

Policy yukarıdaki şekilde oluşturulur. İstenilirse Service kısıtlanabilir.

SSL VPN yapılandırması Policy oluşturduktan sonra tamamlanmıştır.

VPN yapabilmek için FortiClient VPN uygulamasını indirmemiz gerekmektedir.

https://www.fortinet.com/support/product-downloads linke giderek indirebilirsiniz.

İndirilip kurulum yapıldıktan sonra FortiClient VPN yapılandırmasını yapalım.

Remote Gateway: Dış IP adresimizi buraya yazıyoruz.

Customize port: SSL-VPN Setting kısmında belirttiğimiz portumuzu buraya yazıyoruz.

Username: Oluşturduğumuz kullanıcı adımızı buraya yazıyoruz.

Save dedikten sonra oluşturduğumuz kullanıcının parolasını girip bağlantıyı sağlarız.

Published by admin