İLETİŞİM
EN
Digital Maturity Assessment BİGR Danışmanlığı Göç'e Hazır mısınız? AÇIK KAYNAK KODLU SİSTEMLERE GÖÇ Penetrasyon Testi Bilgi Güvenliği Yönetimi Sistemi BGYS Kişisel Verilerin Korunması Kanunu-KVKK TaliaDomain Faronics Uçtan Uca Güvenlik
EN

FortiGate Cihazında SSL-VPN Konfigürasyonu


Ağ kaynaklarına uzaktan erişimin güvence altına alınması, güvenlik uygulamalarının kritik bir parçasıdır. SSL VPN, yöneticiler tarafından ofis dışında ki çalışanlar için uzaktan erişim yapılandırılmasına, yönetilmesine ve dağıtılmasına olanak tanır.

Doğru çalışma metodunu seçmek ve uygun güvenlik düzeylerini uygulamak, en iyi performans ve kullanıcı deneyimi sağlamanın ve kullanıcı verilerinin güvende tutulmasının ayrılmaz bir parçasıdır.

SSL VPN iki farklı şekilde yapılandırılabilir:

1-Tunnel mode.

2-Web mode.

1-TUNNEL MODE:

Tünel modunda kullanıcılar, SSL-VPN yapmak için bir uygulamaya ihtiyaç duyar. Fortinet için, “FortiClient” uygulaması kullanılır.

SSL-VPN OLUŞTURMAK İÇİN;

1-Kullanıcı veya kullanıcı grubu oluşturulur.

User&Authentication>User Definition>Create New

Oluşturulan kullanıcı, bir kullanıcı grubuna atılabilir veya sadece o kullanıcı için bir SSL-VPN bağlantısı oluşturulur.

Kullanıcı oluşturma:

1-Fortigate üzerinde kullanıcı oluşturulacak ise Local User seçeneğinden kullanıcı oluşturulur.

2- Kullanıcı bir RADIUS server’dan gelecek ise bu seçenekten oluşturulur.

3- Kullanıcı bir TACACS+ server’dan gelecek ise bu seçenekten oluşturulur.

4- Kurum veya şirket içerisinde bir LDAP server var ise bu seçenekten oluşturulur.

5-Bir FSSO (Fortinet Single Sing-On) Agent kullanılıyor ise, FSSO’dan kullanıcılar atanır.

6-Kullanıcı bilgileri FortiNAC’tan gelecek ise bu seçenekten oluşturulur.

Local User oluşturma:

-Local User seçilir ve Next butonuna basılır.

- Bir kullanıcı adı ve parola girilir

Bir sonraki adımda kullanıcı için Two-factor Authentication yapılabilir.

Fortigate, FortiToken’lar ile giriş için şifre gönderir.

 

Mail veya sms ile şifre iletilir.

 

 SSL-VPN PORTAL OLUŞTURMA:

Kullanıcı veya kullanıcı gruplarının SSL-VPN bağlantısı yaptıktan sonra ayarlanacak portallar ile SSL-VPN bağlantı türü ayarlanır. Tünel veya web modu için ayrı ayrı iki bağlantı portalı oluşturulur veya full-access portalı oluşturularak iki mod için de izin verilebilir.

Tunnel Mode için,

1- Kullanıcıların aynı anda sadece bir cihazdan SSL-VPN bağlantısı yapabilmesinin ayarlanması. Enable durumunda sadece bir cihazdan bağlanır. Disable durumunda ise birden fazla cihazdan bağlanabilir.

Tunnel Mode:

2- Split Tunnel:

Enable durumunda, kullanıcı veya kullanıcıların sadece routing address’te belirlenen subnetlere giderken trafiği firewall üzerinden geçer. Kullanıcılar internet bağlantılarında SSL-VPN bağlantısını kullanmazlar. Sadece SSL-VPN trafiği geçer.

Disable durumunda, kullanıcı veya kullanıcı gruplarının hem SSL-VPN trafiği, hem de internet trafiği FortiGate üzerinden geçer.

3- SSL-VPN bağlantısı yapacak olan kullanıcı veya kullanıcıların, hangi adrese yönlendirileceğinin belirlenmesi.

4- Kullanıcı veya kullanıcıların SSL-VPN bağlantısı yaptıktan sonra bağlantı yapılan tarafta alacakları ip adresinin belirlenmesi.

Tunnel Mode Client Options:

Allow client to save password: Kullanıcının VPN parolasının kaydedilmesi.

Allow client to automatically: Kullanıcının otomatik olarak bağlanmasının ayarlanması.

Allow client to keep connections alive: Kullanıcının daima bağlı kalmasının ayarlanması.

Belirtilen “Allow” seçeneklerinin seçilmesi durumunda, SSL-VPN bağlantısı yapan kullanıcılar “Save Password, Auto connect ve Always Up” seçeneklerini seçilebilir.

Seçilmediği durumda ise;

Bir görüntü oluşur.

DNS Split Tunneling: Farklı bir DNS’de yönlendirilmek istenildiğinde bu seçenek kullanılır.

1- Eklenmek istenen domain adı veya adları girilir.

2- Birincil DNS server ip adresi girilir. 

3- İkincil DNS server ip adresi girilir.

NOT:

Tünel modu için bu ayarların yapılandırılması yeterlidir.

Enable  Web mode butonu  tunnel modunda kapatılır.

Host Check:

SSL-VPN bağlantısı yapacak olan cihazın Fortigate tarafından ağa dahil edilmeden önce windows Firewall, Antivirüs gibi cihaz üzerinde inceleme yapılması.

Restrict to Specific OS Versions:

SSL-VPN bağlantısı yapacak olan kullanıcıların cihazları için işletim sistemi kontrolü yapar. SSL-VPN ayarlarını yapılandıran kişilerin tercihine bağlı olarak işletim sistemi belli bir versiyonun altında olan cihazların bağlantı yapamaması ayarlanabilir.

Web mode:

SSL-VPN bağlantısı için, “FortiClient” gibi uygulamalara gerek kalmadan web sayfası üzerinden VPN bağlantısı yapılmasına olanak tanır.

Bookmarks: Kullanıcının,web mode ile SSL-VPN bağlantısı yaptıktan sonra gitmek istediği bir site için Bookmark’lar oluşturulur. Haberleşme protokolleri(http,https,ssh,telnet..) seçilir, gidilmek istenen URL yazılıp kaydedilir.

SSL-VPN SETTINGS:

Listen on interface(s):

SSL-VPN bağlantısı yapılacak İnterface’nin seçilmesi.VPN bağlantıları wan interface’lerinden yapılır.

Listen on port: bağlantının yapılacağı portun seçilmesi. Default olarak “443” portundan bağlantı yapılır. Yöneticiler, dinlenecek portun default bırakılmamasını tavsiye eder.

Redirect HTTP to SSL-VPN: HTTP bağlantı isteklerinin ssl-vpn’e yönlendirilmesi.

Restrict Access: SSL-VPN bağlantı isteğini bütün kullanıcıların ya da belirli aralıkta izin verilen kullanıcıların bağlantı yapabilmesinin ayarlandığı kısımdır.

Allow access from any host” seçeneğinde bütün adresler VPN bağlantısı yapar.

Limit access to specific host” seçeneğinde ise sadece izin verilen adresler VPN bağlantısı yapabilir.

Idle logout: Kullanıcıların ne kadar süre ile bağlı kalacağının ayarlanması. 

Server Certificate: SSL-VPN bağlantısı karşılandığında gelecek olan sertifikanın ayarlanması.

Require client certificate: User veya User gruplarda sertifika bazlı doğrulama yapılması istendiğinde ayarlanacak kısım.

Tunnel mode client settings:

Address range:

SSL-VPN portals menüsünde source ip pool içerisinde belirlenen ip aralığı, “Authomatically assing addres” kısmında gelir.

Erişilmesi istenen adresler arttırılmak istendiğinde, “specifiy custom ip range” seçeneği ile düzenlenir.

IP range: Erişebilecek adres aralığının belirlenmesi.

DNS server:

Same as client system DNS: SSL-VPN bağlantısı yapan kullanıcının sistem DNS server’larını kullanması.

Specifiy: Kullanıcının özel bir DNS server’e bağlanması istendiği durumlarda kullanılır.

Specify Wins server: Kullanılan bir wins server var ise bu kısım altında tanımlanır.

Authentication/portal mapping:

Portal bölümünde ayarlanan ve kullanıcı-kullanıcı gruplarının atandığı erişim portallarının bu kısımda tanımlanması.

Portalları atamak için, create new butonuna basılır. Çıkan sekmede kullanıcı veya kullanıcı grupları erişim portallarına atanır.

Beyaz adlı kullanıcı full-access portalında tanımlanan kurallar çerçevesinde SSL-VPN bağlantısı yapılacaktır.

Ya da bir kullanıcı grubu için de portal ataması yapılabilir.

Hiçbir portala atanmayan kullanıcılar ise, All Other Users/Groups altında bağlantı gerçekleştirir. Portal/mapping içerisinde yer alan bu alanı yapılandırmak için,

“All Other Users/Groups” içerisine girilerek hangi portaldan bağlantı yapacağı ayarlanır.

Edit’e bastıktan sonra gelen sekmede portal ataması yapılır.

SONUÇ:

1-Kullanıcı veya kullanıcı grupları oluşturulur.

2-Portal veya portallar oluşturulur.

3-SSL-VPN Settings bölümünde gerekli ayarlamalar yapılır ve oluşturulan kullanıcı veya kullanıcı grubu, SSL-VPN bağlantı tercihine göre portallara atanır.(Tunnel Mode,Web Mode veya full-access ).

4-SSL-VPN bağlantı isteği yapılır.  

Bütün ayarlar doğru yapılandırıldığında SSL-VPN bağlantısı gerçekleşmiş olacaktır.

Tüm ayarlar doğru yapılandırıldığında SSL-VPN bağlantısı gerçekleşmiş olacaktır.

Yazar: Musab Ağır/ BeyazNet Ağ Güvenlik Mühendisi