FortiGate ve Cisco VPN 3000 Concentrator’un Birlikte Çalışması

Bu teknik not bir FortiGate-800 Antivirus Firewall ve Cisco Systems VPN 3000 Concentrator arasında IPSec VPN tüneli kurmayı anlatmaktadır. Konfigürasyon örneğinde iki VPN peer’ı birbirini kabul etmek için preshared key kullanıyor. Bu teknik not aşağıdaki bölümlerden oluşmaktadır:
 
Ağ Topolojisi

FortiGate-800’ü Konfigüre Etme

VPN 3000 Concentrator’u Konfigüre Etme

VPN Tünelini İzleme ve Test Etme

Ağ Topolojisi

Şekil 1 örnek bir ağ konfigürasyonunu göstermektedir. VPN 3000 Concentrator ardındaki özel Network_2’teki bilgisayarlar FortiGate-800 birimi aracılığıyla Network_1’e erişebilirler. Network_2’deki bilgisayarlar tarafından üretilen tüm trafik bir FortiGate firewall şifreleme kuralına tabidir.

Şekil 1: FortiGate-800 – VPN 3000 Concentrator IPSec VPN örneği

Altyapı Gereksinimleri

Bu teknik bülten boyunca aşağıdaki örnek konfigürasyon esas alınmıştır:

·         Ağ cihazlarına atanan IP adresleri Şekil 1’deki gibidir.

·         FortiGate-800 birimi NAT modunda çalışmaktadır.

·         Tüm VPN gateway’lerine statik genel IP adresi atanmıştır.
 

FortiGate-800’ü Konfigüre Etme

Bir FortiGate birimi uzak bir VPN peer’dan bağlantı isteği aldığında güvenli bir bağlantı oluşturmak ve VPN peer’ı onaylamak için IPSec faz 1 parametrelerini kullanır. Daha sonra eğer firewall kuralı bağlantıya izin verirse FortiGate birimi tüneli IPSec faz 2 parametrelerini kullanarak oluşturur ve firewall şifreleme kuralını uygular. Anahtar yönetimi, kimlik denetimi ve güvenlik hizmetleri dinamik olarak IKE protokolü aracılığıyla görüşülür.

Bu fonksiyonları desteklemek için aşağıdaki genel konfigürasyon adımları FortiGate birimine uygulanmalıdır:
 

  • FortiGate biriminin remote peer’ı onaylamak ve güvenli bir bağlantı oluşturmak için ihtiyaç duyduğu faz 1 parametrelerini tanımlayın. Aşağıdaki “Faz 1 parametrelerini tanımlama” başlığına bakınız
  • FortiGate biriminin remote peer ile bir VPN tüneli oluşturmak için gereksinim duyduğu faz 2 parametrelerini tanımlayın.
  •  İzin verilen servisleri ve IP kaynağı ve hedef adresi arasındaki izin verilen trafik yönünü kontrol etmek için bir firewall şifreleme kuralı oluşturun. Tek bir şifreleme kuralı VPN tünelindeki hem gelen hem giden IP trafiğini kontrol eder. “Firewall şifreleme kuralı tanımlama” başlığına bakınız. “Firewall şifreleme kuralı tanımlama” başlığına bakınız.


Faz 1 Parametrelerini Tanımlama

Faz 1 yapılandırması FortiGate biriminin VPN 3000 Concentrator cihazını onaylarken ve güvenli bir bağlantı oluştururken kullandığı parametreleri tanımlar. Bu örnekte VPN 3000 Concentrator cihazını onaylamak için bir preshared key kullanılacaktır. Aynı preshared key FortiGate-800 ve VPN 3000 Concentrator cihazında da belirlenmelidir.

Faz 1 parametrelerini tanımlamadan önce şunlara ihtiyacınız vardır:

  •     Uzak ağ geçidi için bir isim belirleyin.
  •     Genel arabirimin remote gateway’e IP adresini temin edin.
  •     Preshared key için özel bir değer belirleyin.

Key en az 6 basılabilir karakter içermelidir ve sadece ağ yöneticisi tarafından bilinmelidir. Bilinen mevcut saldırılara karşı en iyi korumayı sağlamak için en az 16 karışık şekilde seçilmiş alfanumerik karakter içermelidir.

Faz 1 parametrelerini tanımlamak için:

1. VPN > IPSEC > Phase 1’e gidin

2. Yeni Oluştur (Create New)’u seçin, aşağıdaki bilgileri girin ve Tamam’ı seçin:
 
Gateway Name                 Uzak ağ geçidi için bir isim yazın (Örneğin, Cisco3005).
 
Remote Gateway             Static IP Address
 
IP Address                         192.168.4.2

Mode                                    Main

Authentication Method    Preshared Key
 
Pre-shared Key                 Preshared key’i girin.
 
Peer Options                      Herhangi bir peer ID’sini kabul edin.
 
Advanced
Aşağıdaki Gelişmiş seçenekleri seçin:
 

  • DH grubunda default VPN 3000 Concentrator ayarı için 2’yi seçin (Netscreen standart ayarıdır). FortiGate ayarı mevcut VPN 3000 Concentrator ayarıyla özdeş olmalıdır.
  • Eğer VPN peer’ları NAT cihazı aracılığıyla bir bağlantı kuracaklarsa Nat-traversal Enable seçeneğini seçin.


3. Mütekabil VPN 3000 Concentrator ayarları ile karşılaştırabilmek için gelecekte referans almak üzere gelişmiş kimlik denetimi, şifreleme ve DH grubu ayarlarını bir yere not edin.

4. OK’i seçin.


Faz 2 Parametrelerini Tanımlama

Temel faz 2 ayarları IPSec faz 2 parametrelerini faz 1 konfgürasyonu ile birleştirir ve VPN tünelin uzak uç noktasını belirler. Faz 2 parametrelerini tanımlamadan önce tünel için bir isim belirlemelisiniz.

Faz 2 parametrelerini tanımlamak için

 VPN > IPSEC > Phase 2’ye gidin.
 Yeni Oluştur (Create New)’u seçin, aşağıdaki bilgiyi girin:

Tunnel Name
Tünel için bir isim girin (örneğin, cisco_3005).
 
Remote Gateway
Daha önceden tanımladığınız gateway’i seçin (örneğin Cisco3005).
 
Advanced
Şu gelişmiş ayarları seçin:
 

  • Clear Enable replay detection. VPN 300 Concentrator’ları replay detection’u desteklemek, bu yüzden bu seçenek etkinleştirilmemelidir.
  • DH grubunu 2’ye ayarlayın. İlgili VPN 3000 Concentrator ayarı FortiGate ayarıyla özdeş olmalıdır.
  • Autokey Keep Alive ayarını Enable hale getirin.


3. Mütekabil VPN 3000 Concentrator ayarları ile karşılaştırabilmek için gelecekte referans almak üzere gelişmiş kimlik denetimi, şifreleme ve DH grubu ayarlarını bir yere not edin.

4. OK’i seçin.


Firewall Şifreleme Kuralını Tanımlama

Firewall kuralları bir kaynak adres ve hedef adres arasındaki tüm IP trafiğini kontrol eder. Bir firewall şifreleme kuralına şifrelenmiş paketlerin iletimi, VPN trafiğinin izin verilen yönünü belirlemek ve kurala tabi olacak VPN tünelini seçmek için gereklidir. VPN tüneli ile hem gelen hem de giden IP trafiğini kontrol etmek için tek bir şifreleme kuralı gereklidir.

Bir kural tanımlamadan önce IP kaynak ve hedef adreslerini tanımlamalısınız. Bir gateway-to-gateway konfigürasyonunda:
 

  •     Kaynak IP adresi, FortiGate birimi ardındaki özel ağa tekabül eder.
  •     Hedef IP adresi Netscreen-204 cihazının ardındaki özel ağa işaret eder.

FortiGate birimi ardındaki ağın IP kaynak adresini tanımlamak için:

    Firewall>Address’e gidin.
    Yeni Oluştur (Create New)’u seçin. Aşağıdaki bilgiyi girin ve OK’i seçin.

 Address Name
 Bir adres ismi girin (Örneğin, Network_1)
 
IP Range/Subnet
FortiGate birimi ardındaki özel ağın IP adresini girin (örneğin, 172.11.12.0/24).

VPN 3000 Concentrator’a iletilen IP paketlerinin hedef adresini belirlemek:

 Firewall>Address’e gidin.
 Create New’u seçin, aşağıdaki bilgiyi girin ve OK’i seçin:
 
Address Name
Adres adı girin (örneğin, Network_2).
 
IP Range/Subnet
VPN 3000 Concentrator ardındaki özel ağın IP adresini girin (örneğin, 10.180.2.0/24).
 

Firewall Şifreleme kuralını tanımlamak için:

    Firewall>Policy’e gidin.
    Create New seçin, aşağıdaki bilgileri girin ve OK’i seçin:
 
Interface/Zone

Source (Kaynak)
Dahili (özel) ağ için arabirimi seçin.
Örneğin, port1.

Destination (Hedef)
Harici (genel) ağ arabirimini seçin.
Örneğin, external.
 
Address Name
Source
Network_1
Destination
Network_2
 
Schedule
Gerektiği şekilde.
 
Service
Gerektiği şekilde.
 
Action
ENCRYPT
 
VPN Tunnel
cisco_3005

    Kuralı, kural listesinde benzer kaynak ve hedef adresleri bulunan kuralların üzerine yerleştirin.

VPN 3000 Concentrator’u Konfigüre Etme

VPN 3000 Concentrator’u bir FortiGate birimi ile tünel oluşturmak amacıyla konfigüre etmek için VPN 3000 Concentrator genel arabiriminde IPSec LAN-to-LAN bağlantısı tanımlamak gerekir.

IPSec LAN-to-LAN bağlantısı yapılandırdığınızda FortiGate peer IP adresini ayarlarsınız, kimlik denetimi, şifreleme ve IKE teklif ayarlarını seçer ve yerel ve uzak ağları tanımlarsınız. Girdiğiniz Preshared Key, kimlik denetimi, şifreleme ve IKE teklif ayarları daha önce FortiGate biriminde yapılandırdığınız ayarla özdeş olmalıdır.

Not: Şekil 1’de gösterildiği gibi takip eden prosedür, VPN 3000 Concentrator yüklendiğinde Ethernet 2 (genel) arabirimi (IP adresi 192.168.4.2) Network_1’e (IP adresi 172.11.12.0/24) yöneltilen IP paketlerini FortiGate biriminin harici arabirimine (IP adresi 192.168.100.99) ileten bir router’a yönlendirmek üzere yapılandırılmış olarak kabul etmektedir. Yerel özel ağ, Network_2’ye atanan IP adresi 10.180.2.0/24.


IPSec LAN-to-LAN bağlantısını konfigüre etme

1.       Bir web tarayıcı kullanarak VPN 3000 Concentrator yönetim arabirimine bağlanın.

2.       Configuration>Tulleling and Security>IPSec>LAN-to-LAN’a gidin.

3.       Add (Ekle)’yi seçin.

4.       Aşağıdaki bilgileri girin ve Apply (Uygula)’yı seçin:
 
Enable
Seçeneği seçin.
 
Name

LAN-to-LAN bağlantısı için bir isim yazın (örneğin, FortiGate-800)
 
Interface
Ethernet 2 (Genel) (192.168.4.2)
 
Connection Type
Bi-directional (Çift yönlü)
 
Peers
FortiGate arabiriminin harici (genel) ağa IP adresini yazın (örneğin, 192.168.100.99)
 
Digital Certificate
None (Use Preshared Keys)
 
Certificate Transmission
Identity certificate only.
 
Preshared Key
Preshared key’i girin.
 
Authentication
ESP/SHA/HMAC-160
 
Encryption
3DES-168
 
IKE Proposal
IKE-3DES-MD5
 
Network Autodiscovery
Seçeneği kaldırın.
 
IPSec NAT-T
Eğer FortiGate biriminde phase 1 Nat-traversal Enable seçeneğini seçtiyseniz IPSec NAT-T seçeneğini seçin.
 
Bandwidth policy
Boş.
 
Routing
Boş.
 
Local Network
   
Şu seçenekleri seçin:
 

  • Network List listesinden Use IP Adress/Wildcard-mask below’u seçin.
  • IP Adresi alanına 10.180.2.0 yazın.
  •  Wildcard Mask alanına 0.0.0.255 yazın.

 
Remote Network

Şu seçenekleri seçin:
 

  • Network List listesinden Use IP Adress/Wildcard-mask below’u seçin.
  • IP adresi alanına 172.11.12.0 yazın.
  • ·  Wildcard Mask alanına 0.0.0.255 yazın.



5.    Kimlik denetimi, şifreleme ve Diffie-Hellman grup ayarlarının daha önce not ettğiniz ilgili faz 1 ve 2 FortiGate ayarlarıyla özdeş olduğunu onaylayın.

6.    Configuration>Tunneling and Security>IPSec>IKE Proposals’a gidin.

7.    Active Proposals listesinde 4. adımda seçtiğiniz IKE proposals’ı seçin (IKE-3DES-MD5) ve listenin başına götürün.

8.    Apply’ı seçin ve sonra sağ üst köşedeki Save simgesini seçin.


VPN Tünelini İzleme ve Test etme

FortiGate birimi IPSec VPN tünellerini görüntülemek ve test etmek için birtakım araçlar sunar:
 

  • Tüm IPSec VPN tünellerinin durumunu görüntülemek için IPSec VPN tünel listesini görüntüleyebilirsiniz. Liste tüm aktif tünellerin durumunun yanı sıra tunnel time out değerlerini de gösterir. IPSec VPN tünellerin durumunu görüntülemek için VPN>IPSec>Phase 2’ye gidin.
  • IPSec VPN tünellerindeki hareketi izlemek için monitörü kullanabilirsiniz ve bu tünelleri başlatabilir veya durdurabilirsiniz. Ekran tüm aktif tüneller için adreslerin, proxy ID’lerinin ve timeout bilgisinin bir listesini sağlar. Tüm tünellerin listesini görüntülemek için VPN>IPSEC>Monitor’e gelin.
  • Tüm aktif IKE oturumlarının bir listesini görüntüleyebilir ve aktiviteyi port numarasına göre izleyebilirsiniz. Aktif IKE oturumlarının listesini görüntülemek için System>Status>Session’a gidin.
  • Bir VPN’in doğru şekilde yapılandırılıp yapılandırılmadığını saptamak amacıyla uzak ağdaki bir bilgisayara bağlantıyı test etmek için FortiGate biriminin ardındaki ağa bir ping komutu verin. FortiGate VPN Guide’da “Configuring IPSec VPNs” (IPSec VPN’leri yapılandırmak) bölümünde “Using the ping generator to keep a tunnel open” (Tüneli açık tutmak için bir ping üreticisi kullanmak)’a bakınız. Uzak ağa yönlendirilen ilk veri paketi FortiGate birimi tarafından durdurulduğunda VPN tüneli otomatik olarak  oluşacaktır.
  •  VPN olaylarının log kaydını tutmak için FortiGate birimini yapılandırabilirsiniz. IPSec VPN’ler için faz 1 ve faz 2 kimlik denetimi ve şifreleme olayları log olur. VPN olaylarını log’lamak için Log&Report > Log Config > Log Setting’e gidin. VPN olaylarını süzmek için Log&Report > Log Config > Log Filter’a gidin. Olay log’larını görüntülemek için Log&Report >Log Access > Event’a gidin.