FortiGate ve NetScreen-204 IPSec VPN’in Birlikte Çalışması

Bu teknik not FortiGate-800 Antivirüs Firewall ve bir Juniper Netscreen-204 cihazı arasında IPSec VPN tabanlı bir kuralın oluşturulmasını anlatmaktadır. Konfigürasyon örneğinde iki VPN eşi birbirlerini onaylamak için preshared key kullanmaktadır. Bu teknik notta aşağıdaki bölümler yer almaktadır:
 

Ağ Topolojisi

FortiGate-800’ü Konfigüre Etmek

Netscreen-204 Cihazını Konfigüre Etmek

VPN Tünelini Kontrol ve Test Etme

 Ağ Topolojisi

Şekil 1 örnek bir ağ yapılandırmasını gösteriyor. Private Network_2’de Netscreen-204 cihazı arkasındaki bilgisayarlar private Network-1’e FortiGate-800 aracılığıyla ulaşabilirler. Network_2’deki bilgisayarlar tarafından üretilen tüm trafikler bir FortiGate firewall şifreleme kuralına tabidir.


Şekil 1: FortiGate-800’den NetScreen-204’e IPSec VPN örneği



Altyapı Gereksinimleri

Bu teknik bülteni boyunca aşağıdaki örnek yapılandırma varsayılacaktır:

  •     Ağ cihazlarına atanan IP adresleri Şekil 1’de gösterilmiştir.
  •     FortiGate-800 birimi NAT modunda çalışmaktadır.
  •     Tüm VPN gatewaylerine statik IP adresleri atanmıştır.


 
FortiGate-800’ü Konfigüre Etmek

Bir FortiGate birimi uzak bir VPN peer’dan bir bağlantı isteği alırsa güvenli bir bağlantı oluşturmak ve VPN peer’ı onaylamak için IPSec faz 1 parametrelerini kullanır. daha sonra eğer Firewall kuralı bağlantıya izin verirse FortiGate birimi IPSec faz 2 parametrelerini kullanarak tünel oluşturur ve firewall şifreleme kuralını uygular. Anahtar yönetimi, kimlik denetimi ve güvenlik hizmetleri dinamik olarak IKE protokolü ile görüşülür.

Bu işlevleri desteklemek için aşağıdaki genel yapılandırma adımları FortiGate birimine uygulanmalıdır:

  • Uzak peer’ı onaylamak ve güvenli bir bağlantı oluşturmak için FortiGate birimine gereken faz 1 parametrelerini tanımlayın. “Faz 1 parametrelerini tanımlama” konu başlığına bakınız
  • FortiGate biriminin uzak peer ile VPN tüneli oluşturmak için gerek duyduğu faz 2 parametrelerini tanımlayın.
  • “Faz 2 parametrelerini tanımlama” başlığına bakınız.
  • İzin verilen hizmetleri ve IP kaynağı ve hedef adresler arasındaki izin verilen trafiği kontrol etmek için firewall şifreleme kuralı oluşturun. Tek bir şifreleme kuralı VPN tünelindeki hem gelen hem giden IP trafiğini kontrol eder.  “Firewall şifreleme kuralı tanımlama” başlığına bakınız.


Faz 1 Parametrelerini Tanımlama

Faz 1 yapılandırması FortiGate biriminin Netscreen-204 cihazını onaylarken ve güvenli bir bağlantı oluştururken kullandığı parametreleri tanımlar. Bu örnekte Netscreen-204 cihazını onaylamak için bir preshared key kullanılacaktır. Aynı preshared key FortiGate-800 ve Netscreen-204 cihazında da belirlenmelidir.

Faz 1 parametrelerini tanımlamadan önce şunlara ihtiyacınız vardır:

  •     Uzak ağ geçidi için bir isim belirleyin.
  •     Genel arabirimin remote gateway’e IP adresini temin edin.
  •     Preshared key için özel bir değer belirleyin.

Key en az 6 basılabilir karakter içermelidir ve sadece ağ yöneticisi tarafından bilinmelidir. Bilinen mevcut saldırılara karşı en iyi korumayı sağlamak için en az 16 karışık şekilde seçilmiş alfanumerik karakter içermelidir.

Faz 1 parametrelerini tanımlamak için:

1. VPN > IPSEC > Phase 1’e gidin

2. Yeni Oluştur’u seçin, aşağıdaki bilgileri girin ve Tamam’ı seçin:
 
Gateway Name                    Uzak ağ geçidi için bir isim yazın (Örneğin, Netscreen-204).
 
Remote Gateway                 Static IP Address
 
IP Address                            192.168.4.2
 
Mode                                       Main

Authentication Method       Preshared Key
 
Pre-shared Key                    Preshared key’i girin.
 
Peer Options                         Herhangi bir peer ID’sini kabul edin.
 
Advanced                               DH grubu için 2’yi seçin (Netscreen standart ayarıdır).                                                                       FortiGateayarı mevcut Netscreen ayarıyla özdeş olmalıdır.


Faz 2 Parametrelerini Tanımlama

Temel faz 2 ayarları IPSec faz 2 parametrelerini faz 1 konfgürasyonu ile birleştirir ve VPN tünelin uzak uç noktasını belirler. Faz 2 parametrelerini tanımlamadan önce tünel için bir isim belirlemelisiniz.

Faz 2 parametrelerini tanımlamak için

VPN > IPSEC > Phase 2’ye gidin.
Yeni Oluştur’u seçin, aşağıdaki bilgiyi girin ve Tamam’ı seçin.
 
Tunnel Name
Tünel için bir isim girin (örneğin, ns_204).
 
Remote Gateway
Daha önceden tanımladığınız gateway’i seçin (örneğin Netscreen-204).
 
Advanced
Şu gelişmiş ayarları seçin:

Clear Enable replay detection (default halde Netscreen ayarı kapalıdır). FortiGate ayarı mevcut Netscreen ayarıyla özdeş olmalıdır.

DH grubunu 2’ye ayarlayın (Netscreen default ayarı). FortiGate ayarı mevcut Netscreen ayarıyla özdeş olmalıdır.

Keylife’ı 3600 saniyeye ayarlayın (Netscreen default ayarı). FortiGate ayarı mevcut Netscreen ayarıyla özdeş olmalıdır.

Autokey Keep Alive ayarını Enable yapın. (standart olarak Netscreen ayarı “on” haldedir). FortiGate ayarı mevcut Netscreen ayarıyla özdeş olmalıdır.

Quick Mode Identities altında Specify a Selector’u seçin. (route-tabanlı bir yapılandırma için Use wildcard selector seçeneği seçilmelidir).
 
Firewall Şifreleme Kuralını Tanımlama


Firewall kuralları bir kaynak adres ve hedef adres arasındaki tüm IP trafiğini kontrol eder. Bir firewall şifreleme kuralına şifrelenmiş paketlerin iletimi, VPN trafiğinin izin verilen yönünü belirlemek ve kurala tabi olacak VPN tünelini seçmek için gereklidir. VPN tüneli ile hem gelen hem de giden IP trafiğini kontrol etmek için tek bir şifreleme kuralı gereklidir.

Bir kural tanımlamadan önce IP kaynak ve hedef adreslerini tanımlamalısınız. Bir gateway-to-gateway konfigürasyonunda:
 

  •     Kaynak IP adresi, FortiGate birimi ardındaki özel ağa tekabül eder.
  •     Hedef IP adresi Netscreen-204 cihazının ardındaki özel ağa işaret eder.


FortiGate birimi ardındaki ağın IP kaynak adresini tanımlamak için:

Firewall>Address’e gidin.

Yeni Oluştur (Create New)’u seçin. Aşağıdaki bilgiyi girin ve OK’i seçin.

Address Name            Bir adres ismi girin (Örneğin, Network_1)
 
IP Range/Subnet         FortiGate birimi ardındaki özel ağın IP adresini girin                                          (örneğin,172.11.12.0/24).

Netscreen-204 cihazına iletilen IP paketlerinin hedef adresini belirlemek:

Firewall>Address’e gidin.
Create New’u seçin, aşağıdaki bilgiyi girin ve OK’i seçin:

 
Address Name
Adres adı girin (örneğin, Network_2).
 
IP Range/Subnet
Netscreen-204 cihazı ardındaki özel ağın IP adresini girin (örneğin, 192.168.40.0/24).
 

Firewall Şifreleme kuralını tanımlamak için:

Firewall>Policy’e gidin.
Create New seçin, aşağıdaki bilgileri girin ve OK’i seçin:

Interface/Zone
Source (Kaynak)
Dahili (özel) ağ için arabirimi seçin.
Örneğin, port1.
Destination (Hedef)
Harici (genel) ağ arabirimini seçin.
Örneğin, external.
 

Address Name
Source
Network_1
Destination
Network_2
 
Schedule
Gerektiği şekilde.
 
Service
Gerektiği şekilde.
 
Action
ENCRYPT
 
VPN Tunnel
ns_204

    Kuralı, kural listesinde benzer kaynak ve hedef adresleri bulunan kuralların üzerine yerleştirin.

 
Netscreen-204 Cihazını Konfigüre Etme

Bir Netscreen-204 cihazını yapılandırmak FortiGate birimini konfigüre etmeye benzer:
 

  • Cihazın FortiGate birimini onaylaması ve güvenli bir bağlantı oluşturabilmesi için gereken AutoKey parametrelerini (faz 1 IPSec)’i konfigüre edin ve uzak ağ geçidini tanımlayın.
  • Cihazın FortiGate birimiyle bir VPN tüneli oluşturması için gereken AutoKey IKE (faz 2 IPSec) parametrelerini yapılandırın.
  • IP kaynak ve hedef adreslerini tanımlamayı kapsayan VPN yapılandırmasını tamamlama ve iki yönlü kuralları oluşturma.


Uzak ağ geçidini ve Netscreen-203 AutoKey parametrelerini tanımlamak

    Bir web tarayıcısı kullanarak Netscreen-204 konfigürasyon arabirimine bağlanın.
    VPNs>AutoKey Advanced>Gateway’e gidin ve Yeni’yi seçin.
    Aşağıdaki bilgiyi girin ve OK’i seçin.

 
Gateway Name
FortiGate800
 
Security Level
Custom
 
Remote Gateway Type
   

Static IP Address’i seçin ve IP Adress/Hostname alanına 192.168.100.99 girin.
 
Preshared Key
Preshared key’i girin. Değer daha önce FortiGate-800 konfigürasyonunda belirlediğiniz preshared key ile eş olmalıdır.
 
Outgoing Interface
ethernet3’ü seçin.
 
Advanced
Şu gelişmiş ayarlarını seçin:
 

  • Security Level altında User Defined’ı Custom’a getirin ve daha sonra ilk ve ikinci listeden pre-g2-3des-sha ve pre-g2-3des-md5’i seçin.
  • Mode (Initiator) altında Main (ID Protection)’ı seçin.




Netscreen-204 AutoKey IKE parametrelerini tanımlama

    VPNs>AutoKey IKE’ye gidin ve Yeni’yi seçin.
    Aşağıdaki bilgileri girin ve OK’i seçin.

 
VPN Name
Fortinet
 
Security Level
Custom
 
Remote Gateway
Predefined’ı seçin ve daha sonra listeden FortiGate800’ü seçin.
 
Advanced
Advanced seçeneklerini seçin:
Security Level altında User Defined’ı Custom’a getirin ve daha sonra ilk ve ikinci listeden g2-esp-3des-md5 ve g2-esp-3des-sha’yı seçin.

Bind to altında Tunnel Zone’u seçin ve daha sonra listeden Untrust-Tunnel’i seçin.
 

VPN Konfigürasyonunu Tamamlama

Kural tabanlı LAN-to-LAN AutoKey IKE VPN’in nasıl konfigüre edildiği hakkında daha fazla bilgi için Netscreen ScreenOS 4.0.0 dökümantasyonuna bakınız. VPN konfigürasyonunu tamamlamak için aşağıdaki adımları gerçekleştirmelisiniz:

    Güvenlik alanlarına bağlı fiziksel arabirimlere IP adresleri atayın.
    Yerel ve uzak uçlar için adres defteri girişleri yapın. Bu durumda “uçlar”, FortiGate birimi ve Netscreen-204 cihazı ardındaki özel ağlardır.
    Network_1’ yöneltilen paketlerin Network_1’e iletildiğinden emin olmak için harici router’a standart bir yol belirleyin.
    Tünelden iki yönlü geçmek için VPN trafiği için gereken kuralları konfigüre edin.

 
VPN Tünelini Kontrol ve Test Etme

FortiGate birimi IPSec VPN tünellerini görüntülemek ve test etmek için birtakım araçlar sunar:

    Tüm IPSec VPN tünellerinin durumunu görüntülemek için IPSec VPN tünel listesini görüntüleyebilirsiniz. Liste tüm aktif tünellerin durumunun yanı sıra tunnel time out değerlerini de gösterir. IPSec VPN tünellerin durumunu görüntülemek için VPN>IPSec>Phase 2’ye gidin.
    IPSec VPN tünellerindeki hareketi izlemek için monitörü kullanabilirsiniz ve bu tünelleri başlatabilir veya durdurabilirsiniz. Ekran tüm aktif tüneller için adreslerin, proxy ID’lerinin ve timeout bilgisinin bir listesini sağlar. Tüm tünellerin listesini görüntülemek için VPN>IPSEC>Monitor’e gelin.
    Tüm aktif IKE oturumlarının bir listesini görüntüleyebilir ve aktiviteyi port numarasına göre izleyebilirsiniz. Aktif IKE oturumlarının listesini görüntülemek için System>Status>Session’a gidin.
    Bir VPN’in doğru şekilde yapılandırılıp yapılandırılmadığını saptamak amacıyla uzak ağdaki bir bilgisayara bağlantıyı test etmek için FortiGate biriminin ardındaki ağa bir ping komutu verin. FortiGate VPN Guide’da “Configuring IPSec VPNs” (IPSec VPN’leri yapılandırmak) bölümünde “Using the ping generator to keep a tunnel open” (Tüneli açık tutmak için bir ping üreticisi kullanmak)’a bakınız. Uzak ağa yönlendirilen ilk veri paketi FortiGate birimi tarafından durdurulduğunda VPN tüneli otomatik olarak  oluşacaktır.
    VPN olaylarının log kaydını tutmak için FortiGate birimini yapılandırabilirsiniz. IPSec VPN’ler için faz 1 ve faz 2 kimlik denetimi ve şifreleme olayları log olur. VPN olaylarını log’lamak için Log&Report > Log Config > Log Setting’e gidin. VPN olaylarını süzmek için Log&Report > Log Config > Log Filter’a gidin. Olay log’larını görüntülemek için Log&Report >Log Access > Event’a gidin.

Yazdir Yazdır Düzelt Hata Bildir Tavsiye Et Tavsiye Et Sayfayı Paylaş: FacebookDeliciousTechnoratiYahoo!My SpaceTwitterDiggGoogle BookmarksLink Edinmicrosoft favoritesTwShotStumbleupon Metin Boyutu Metinleri Büyüt Metinleri Küçült

Yazdir
Benzer Başlıklar :