OzzTech - Multi Vdom Ortamlarında Security Fabric Desteği

Multi Vdom Ortamlarında Security Fabric Desteği

Fortigate 7.0 versiyonu ile beraber Multi Vdom Ortamlarında Security Fabric Desteği gelmiş ve aktif edilebilir durumdadır. VDOM ortamlarında genelde otomasyon, güvenlik derecelendirmeleri ve topolojiler dahil olmak üzere tüm Security Fabric özellikleri kullanılabilir hale gelmiştir.

  • Kullanıcılar, Fortigate üzerinde downstream Fortigate device ve VDOM’larına Fortigate’in root Security Fabric Menüsünü kullanarak erişebilirler.

Multi Vdom Ortamlarında Security Fabric Desteği

  • VDOM’lara ait tüm logical topolojilileri tek bir alanda görebilirler.

Multi Vdom Ortamlarında Security Fabric Desteği-1

  • Security rating raporları Fabric altında konfigüre edilmiş tüm VDOM’lara ait sonuçları gösterir.

Aşağıdaki işlemlerin yapılabilmesi için Downstream ve Upstream Fortigate cihazlarınızın Management VDOM altında eşleştirilmesi gerekmektedir.

Topoloji Aşağıdaki Gibidir.

Multi Vdom Ortamlarında Security Fabric Desteği-2

Bu topolojimizde 2 farklı VDOM aracılığıyla bağlı olan 3 adet root Fortigate bulunmaktadır ve Root Fortigate Vdom modunda çalışan tüm cihazları yönetebilmektedir.

Ayrıca görsele baktığımızda tüm Fortigate cihazlarında Multi Vdom modunun açık olduğunu göreceksiniz.

Multi Vdom Modu Nasıl Enable (Aktif) Edilir?

Fortigate cihazınız üzerinde CLI konsolu açarak veya cihazınıza ssh atarak aşağıdaki komutları girmeniz gerekmektedir.

Config System global

Set vdom-mode multi-vdom

End

Cihaz konfigürasyonu

Root Fortigate (Root-E)

Farklı Security Fabric ‘e dahil olan cihazların tek bir noktadan yönetilebilmesi için öncelikle Root cihazımız üzerinde Security Fabric ‘in enable edilmesi gerekmektedir.

GUI yardımı ile Root-E cihazın ayarlanması

  • Security Fabric > Fabric Connectors paneline gidilir ve Security Fabric Setup alanına tıklanır.
  • Status Enable edilir ve Security Fabric Role olarak Serve as Fabric Root seçilir.
  • Allow other Security Fabric devices to join alanı enable edilir ve + butonuna basılarak diğer cihazlar ile arada bağlantı gerçekleştirecek interfaceler seçilir.

Multi Vdom Ortamlarında Security Fabric Desteği-3

  • Diğer ayarlar sizin ihtiyacınıza göre değiştirilebilir ve konfig edilebilir.
  • Ok butonuna basılarak save edilir.

CLI yardımı ile Root-E cihazın ayarlanması

  • Security Fabric Enable edilir.

Config System csf

Set status enable

Set group-name “CSF E”

End

  • İnterface konfigürasyonu yapılır.

Config System interface

Edit “vlan50”

Set vdom “vdom_nat1”

Set allowaccess ping https, ssh,http,fgfm fabric

Next

Edit “vlan50”

Set vdom “root”

Set allowaccess ping https, ssh,http,fgfm fabric

Next

End

Downstream Fortigate 1 (Downstream-G) cihaz konfigürasyonu

GUI yardımı ile Downstream-G cihazın ayarlanması

  • Security Fabric > Fabric Connectors paneline gidilir ve Security Fabric Setup alanına tıklanır.
  • Status Enable edilir ve Security Fabric Role olarak Join Existing Fabric seçilir.
  • Upstream Fortigate cihazın ip adresi girilir. (Burada dikkat edilmesi gereken arada nat varsa Root cihazın nat ip adresi girilir.) bizim topolojimizde arada nat network olduğu için ip adresi olarak 192.168.5.5 girilmiştir.
  • Allow other Security Fabric enable edilir ve + tuşuna basılarak downstream interface (sw-vlan71) seçilir.

Multi Vdom Ortamlarında Security Fabric Desteği-4

  • Diğer kısımlar sizin topoloji ve isteklerinize göre değiştirilir.
  • Ok butonuna basılarak save edilir.

CLI yardımı ile Downstream-G cihazın ayarlanması

  • Security Fabric enable edilir.

Config System csf

Set status enable

Set upstream-ip 192.168.5.5

End

  • Interface konfigürasyonu yapılır.

Config System interface

Edit “sw-vlan71”

Set vdom “FG-traffic”

Set allowaccess ping https ssh http fgfm fabric

Next

End

Downstream Fortigate 2 (Level2-Downstream-H) cihaz konfigürasyonu

GUI yardımı ile Level2-downstream-H cihazın ayarlanması

  • Security Fabric > Fabric Connectors paneline gidilir ve Security Fabric Setup alanına tıklanır.
  • Status Enable edilir ve Security Fabric Role olarak Join Existing Fabric seçilir.
  • Upstream Fortigate cihazın ip adresi girilir. (Burada dikkat edilmesi gereken arada nat varsa Root cihazın nat ip adresi girilir.) bizim topolojimizde arada nat network olduğu için ip adresi olarak 192.168.71.7 girilmiştir.

Multi Vdom Ortamlarında Security Fabric Desteği-5

  • Diğer kısımlar ihtiyacınıza göre config edilebilir.
  • Ok butonuna basılarak kayıt edilir.

CLI yardımı ile Level2-downstream-H cihazın ayarlanması

Config System csf

Set status enable

Set upstream-ip 192.168.71.7

End

Downstream Fortigate 3 (Level1-Downstream-10) cihaz konfigürasyonu

GUI yardımı ile Level1-downstream-10 cihazın ayarlanması

  • Security Fabric > Fabric Connectors paneline gidilir ve Security Fabric Setup alanına tıklanır.
  • Status Enable edilir ve Security Fabric Role olarak Join Existing Fabric seçilir.
  • Upstream Fortigate cihazın ip adresi girilir. (Burada dikkat edilmesi gereken arada nat varsa Root cihazın nat ip adresi girilir.) bizim topolojimizde arada nat network olduğu için ip adresi olarak 192.168.9.5 girilmiştir.

Multi Vdom Ortamlarında Security Fabric Desteği-6

  • Diğer ayarlar ihtiyacınıza göre değiştirilebilir.
  • Ok butonuna basılarak kaydedilir.

GUI yardımı ile Level1-downstream-10 cihazın ayarlanması

Config System csf

Set status enable

Set upstream-ip 192.168.9.5

Cihaz Yetkilendirme ve Doğrulama

Downstream cihazın Root Cihaz üzerinde yetkilendirilmesi

  • Root cihaz üzerinde Security Fabric > Fabric Connectors paneline girilir.
  • Topoloji ağacında, Authorize etmek istenilen cihaz seçilir.
  • Tüm cihazlarınızı yetkilendirdikten sonra Physical topology sayfasında downstream cihazlarını görebileceksiniz. Logical Topology sayfasında ise tüm downstream cihazlarının interface bağlantılarını görebilirsiniz.

Root-E cihaza ait physical topology görseli

Multi Vdom Ortamlarında Security Fabric Desteği-7

Root-E cihaza ait logical topology görseli

Multi Vdom Ortamlarında Security Fabric Desteği-8

Downstream-G cihaza ait logical topology görseli

Multi Vdom Ortamlarında Security Fabric Desteği-9

Level2-downstream-H cihaza ait logical topology görseli

Multi Vdom Ortamlarında Security Fabric Desteği-10

Security Rating

Root Fortigate Cihaz Üzerinde Security Rating Raporu Oluşturma

  • Root-E cihaz üzerinde Security Fabric > Security Rating paneline girilir.
  • Report Details alanında Run now butonuna tıklanır.
  • Security Posture scorecard butonuna tıklanarak sonuçlar gözlemlenir.

Global Scope Görseli

Multi Vdom Ortamlarında Security Fabric Desteği-11

Vdom Scpoe Görseli

Multi Vdom Ortamlarında Security Fabric Desteği-12

İletişim
OZZTECH Bilgi Teknolojileri olarak siber güvenlik danışmanlığı ve bilgi güvenliği eğitimleri alanlarında 10 yılı aşkın bir süredir ülkemizin önde gelen kurumlarına hizmet vermeye devam etmektedir. Detaylı bilgi ve danışmanlık hizmetlerimiz için aşağıdaki formu kullanarak veya [email protected] adresimiz üzerinden bizlerle iletişime geçebilirsiniz.