EN
EN

FORTIGATE FIREWALL SSL-VPN KURULUMU

26 Haziran 2020


1. VPN bağlantısını kullanacak kullanıcılar için kullanıcı oluşturulmalıdır. Bunun için,

a. User > Device > User Definition > Create New

Local’e oluşturulacak kullanıcı için;

b. Oluşturulacak kullanıcı adı ve parola tanımlanır.

c. Kullanıcının e-mail adresi tercihe göre girilebilir.

d. Kullanıcı hesabı “Enabled” seçilerek aktif edilir. Burada daha önceden oluşturduğunuz kullanıcı grupları varsa kullanıcıyı bir gruba atayabilirsiniz.

2. Oluşturulan kullanıcı için bir grup oluşturarak Policy oluşturulduğunda kullanıcı grubu seçilebilir. Policy’lere kullanıcıları tek eklemek yerine grup ekleyerek kullanım kolaylığı sağlanır. Bunun için,

a. User > Device > User Groups > Create New

3. Firewall’da VPN Portal ayarları için;

a. VPN > SSL-VPN Portals

Varolan portallar kullanılabilir. Eğer yeni portal oluşturulmak isteniyorsa, “Create New” ile yani portal oluşturulabilir. Örnek olarak oluşturulacak olunursa,

Tunnel Mode, seçeneğinin açılması ile bağlantı sağlayacak kullanıcılara IPv4 tahsis edilir. Böylece Client’lar istenilen network’e yönlendirilebilir.

Enable Split Tunneling, kullanıcıların SSL-VPN trafiği ile internet trafiğini ayırt etmek için kullanılır. VPN bağlantısı yapan kullanıcıların kendi internetleri ile kuruma bağlanmaları ve tüm yapılan işlemlerin kendi internetleri ile yapılmasını sağlar. Eğer “Enable Split Tunneling” pasif edilirse kullanıcılar kurum üzerinden internete çıkarlar. Bu durumda kullanıcıların internete erişebilmeleri için ayrıca Policy yazılmalıdır.

Routing Address, VPN bağlantısı yapan kullanıcıların erişilmesi istenilen network’tür.

Source IP Pools, VPN bağlantısı yapan kullanıcıların IP adreslerinin tanımlandığı yerdir.

Tunnel Mode Client Options, burada FortiClient uygulamasının neler yapacağını belirleyen ayarlamalardır.

Allow client to save password, Client yazılımının kullanıcı parolasını kaydedecek ve bir sonraki oturum açılışında otomatik olarak getirecektir.

Allow client to connect automatically, işletim sisteminin bir sonraki açılışında FortiClient yazılımı otomatik olarak başlayacaksa VPN bağlantısı otomatik olarak oluşturulur.

Allow client to keep connections alive, Kullanıcı oturumu belirli bir süre boşta kalsa dahi bağlantı düşmez. Bunun için FortiClient yazılımının bağlantı ekranına bir bildirim gelir.

Enable Web Mode, VPN bağlantısının Web-Mode erişim ekranının seçeneklerinin belirlendiği bölümdür. Varsayılan olarak tüm seçenekler aktif hale gelir.

4. Firewall’da VPN ayarları için,

a. SSL-VPN Settings

Burada kullanıcıların kuruma bağlanırken kullanacağı IP adresi ve port numarası kuruma vpn bağlantısı sağladıktan sonra alacağı IP adres aralığı, DNS ayarları ve portal ayarları tanımlanır.

Listen on Port, FortiClient’dan gelen kullanıcıların kullanacağı port numarası seçilir. Varsayılanda bırakılmaması önerilmektedir.

Restrict Access, VPN bağlantısı yapacak kullanıcıların hangi ağlardan bağlanabileceklerini kısıtlamak için kullanılır.

Idle Logout, kullanıcı oturumları belirli bir süre boşta kalırsa otomatik olarak oturumları sonlandırılır. Bu süre varsayılan olarak 5 dakikadır.

Server Certificate, VPN bağlantıları sırasında kullanıcıların kullanacağı sertifika seçilir. Varsayılan olarak Fortinet sertifikası gelmektedir.

Require Client Certificate, Sertifikasının kullanıcı tarafında da yüklü olmasının zorunlu hale getirilmesi için kullanılır. Bu durumda ilgili sertifika public olmalı veya kullanıcıların Trusted-Root sertifikalarının yüklü olması gerekmektedir. Güvenliğin arttırılması amacı ile kullanılması önerilmektedir.

Address Range, Kullanıcıların VPN ile bağlandıklarında alacakları IP aralığı için yapılan ayarlamadır. Otomatik olarak verilebilir veya özel olarak oluşturulmuş IP aralıkları verilebilir. Yukarıdaki örnekte kullanıcılar 10.100.10.0 ve 10.212.134.210-10.212.134.210 IP aralıklarında IP alacaktır.

DNS Server, Zorunlu bir seçenek değildir. Bağlantı sağlayan kullanıcılara sistem DNS’leri veya farklı DNS’ler kullandırılabilir.

Specify WINS Server, kurumda bir WINS Server varsa burada tanımlanır.

Allow Endpoint Registration, FortiClient yazılımının Fortigate’e kayıt edilmesine izin veren seçenektir.

Önceden oluşturulan “test” kullanıcısı ve “test VPN Portalı” “Authentication/Portal Mapping” ayarlarından seçilmelidir.

Güvenlik için “All Other Users/Groups” kullanıcıları için “web-access” portalı veya ek olarak “kısıtlı izin” verilen portal seçilmelidir.

5. Yapılan ayarlamalardan sonra VPN kullanıcıları için Policy yazılmalıdır.

a. Policy > Objects > IPv4 Policy > Create New

Burada VPN kullanıcılarının erişmesi gereken ağlar tanımlanır.

Incoming Interface, SSL-VPN kullanıcılarının geldiği Interface seçilir.

Outgoing Interface, Erişilmek istenilen Interface seçilir. Birden fazla Interface seçilebilir.

Source, VPN kullanıcılarının aldıkları IP adres aralığı ve kullanıcı grupları seçilir.

Destination, VPN kullanıcılarının erişim sağlayacağı IP aralığı seçilir.

NAT, disable edilir.

Log Allowed Traffic, All sessions seçilerek tüm logların alınması sağlanır.

6. Son olarak Static Routes yazılmalıdır. Bunun için,

a. Network > Static Routes

Burada kullanıcıların VPN bağlantısında alacakları IP adres blokları kadar “static routes” oluşturulmalıdır. Aşağıda 2 farklı IP bloğu için kural oluşturulmuştur.

BT Olgunluk Analizi

Kurumların BT yönetim süreçlerinin önem ve etkinliği, BT mimarisinin (yazılım, donanım, güvenlik ve altyapı) ilişkili strateji ve süreçlerle uyumu ve sürekliliği BT Olgunluğunu ortaya koyar. Her kurumun BT olgunluğu farklı seviyelerde olabilir. BT Olgunluk Analizi ile mevcut olgunluğun ölçülmesi ve değerlendirilmesi, uluslararası benzer başka kurumlarla kıyaslanması hedeflenir.

BT Olgunluk Analizi
Penetrasyon Testi

Sızma testlerinde siber suçluların gerçek dünyada kullandığı yöntemler kullanılarak bir kurumun bilişim altyapısına sızılmaya ve ele geçirilmeye çalışılır.

Penetrasyon Testi Paketlerimiz
Penetrasyon Testi Paketlerimiz
Dışarıdan Penetrasyon Testi Pentest RemoteShell, BeyazNet Pentest Standart Pentest Exploit One, BeyazNet Pentest Pro Pentest Injection Plus, BeyazNet Pentest Pro Plus Pentest ZeroDay Enterprise
Farklılıklarımız
Farklılıklarımız
Alanında lider lisanslı test araçları (Acunetix, NetSparker, Nexpose, BurpSuite, Nessus vb.), DB Vulnerability Scanner ürünü ile veri tabanlarının içerden taranması, DNS Firewall ile DNS trafiği izlenerek zararlı yazılım bulaşmış makinaların tespiti
BeyazNet Pentest Hizmetimiz
BeyazNet Pentest Hizmetimiz
Firmamızın uzman ve sertifikalı ekibi detaylı incelemeler yaparak ağ, sistem ve yazılım katmanındaki zayıflıkları maksimum seviyede tespit etmektedir
Penetrasyon Testi
Göç'e Hazır mısınız?

Tüm alışkanlıklarımızdan, tüm bağımlılıklarımızdan, tüm sıkıntılarımızdan, daha güvenli özgür yazılımlara göç etmek için yanınızdayız.

Planlama neden çok önemli?
Planlama neden çok önemli?
Linux sistemler, Windows'tan çok farklı olduğu için ancak sağlıklı bir planlama ile göç mümkündür.
Güncelleme ve Şifre Sunucusu
Güncelleme ve Şifre Sunucusu
Göç için kurduğumuz sunucular sayesinde işletim sistemleri güncel ve güvenli kalıyor.
Linux Göç
Geçmişe dair kuşkularınız mı var?

TaliaStamp kullanarak, geçmişte edindiğiniz belgeleri damgalayabilir, böylece varlıklarını hukuki olarak garanti altına alabilirsiniz. Damgalayarak sunduğunuz belgenin inkar edilmesi halinde, bu belgenin en azından damgalandığı zamanda var olması sebebiyle belgenin geçmiş zamanda varlığını kanıtlayabilirsiniz.

TaliaStamp
TaliaBee ile cihazlarınıza hükmedin

Kullanıcı dostu bir arayüz ve diğer uygulamalarla iletişim kurabilme desteği sağlayan TaliaBee, sizin olmadığınız ortamlarda uzaktan kontrol edilebilir çıkışları sayesinde elleriniz, sensör bağlayabileceğiniz girişleri sayesinde duyularınız olur.

TaliaBee
İnternet Kontrol Altında

TaliaLog kullanarak, internet paylaşımına dair yasanın gerektirdiği kayıtları tutabilir ve internet erişiminizi istediğiniz kişilerle rahatça paylaşabilirsiniz. İnternetinizi paylaştığınız kişiler, erişim bilgileri ile kayıt altına alınır.

TaliaLog