OzzTech - Fortigate Firewall’da Custom IPSEC Kurulumu Nasıl Yapılır?

Fortigate Firewall’da Custom IPSEC Kurulumu Nasıl Yapılır?

Fortigate Firewall’da Custom IPSEC Kurulumu’nun yapılışını bu yazıda anlatıyor olacağız. Fortigate Firewall’da Custom IPSEC yapılandırması için aşağıdaki adımlar takip edilebilir. Ekran görüntüleri ile birlikte Fortigate Firewall’da Custom IPSEC yapılandırmasını aşağıda anlatıyor olacağız.

  • Firewall cihazımızda VPN>IPSEC Wizard Tab’ı takip edilerek Fortigate Firewall’da Custom IPSEC Kurulumu yapılandırılabilir;
IPSEC Kurulumu 1
  • Firewall cihazımızda IPSEC bağlantımız için bir isim belirleyerek eğer karşı lokasyonumuzdaki cihazımız Fortigate veya Cisco değilse “Custom” seçeneğimizi işaretleyip “Next” butonuna basmamız gerekecektir.
  • “Next” butonuna basıp bir sonraki adıma ilerlememizin akabinde karşımıza aşağıdaki ekran görüntüsünde de görebileceğiniz üzere karmaşık gelebilecek alanlar çıkacaktır.
  • Bu alanları local ve remote network bilgilerimize istinaden doldurarak devam etmemiz gerekecektir.
  • Fortigate Firewall’da Custom IPSEC Kurulumunu yapılandırırken, doldurulması gerekli alanlar hakkındaki bilgileri ekran görüntüsünün altında paylaşıyor olacağım.
  • Local ağımızda Fortigate Firewall kullanıyor ancak karşı lokasyonumuzda bir başka cihaz(Checkpoint, PaloAlto, Juniper vs) kullanıyor olabiliriz. Bu durumda karşı lokasyonumuzdaki cihazımızın IPSEC bağlantısının nasıl yapıldığını da biliyor olmamız gerekecektir.
  • Basitçe açıklamak gerekirse, Fortigate cihazımızda ekran görüntüsünde göreceğiniz alanlar doldurulurken, karşı lokasyonumuzdaki cihazımızda da yine aynı bilgilerin giriliyor olması gerekecektir. Özellikle “Authentication” kısmında yer alan “Pre-Shared Key” anahtarımız ve yine IPSEC bağlantılarında önemi oldukça büyük olan “Phase 1 Proposal” alanında yer alan şifreleme türlerinin karşı lokasyonumuzdaki cihazımızla aynı şekilde konfigürasyonunun yapılıyor olması beklenir.
  • Genellikle “Encryption” için AES128 ve AES256 protokolleri seçilebilirken “Authentication” için ise SHA256 ve SHA1 seçilebiliyor.
  • Önemli bir not olarak belirtmek gerekecektir ki bu protokoller her zaman çalışmayabilir, çalışmayabilir kısmından kastım ise AES128-SHA256 bağlantısı Fortigate cihazımız için uygun olurken, karşı lokasyonumuzdaki cihazımız için uygun olmayabilir. Bu sebeptendir ki yukarıda da belirttiğim şekilde, karşı lokasyonumuzda kullanılacak cihazımızında IPSEC bağlantı kurulumunun nasıl yapılabildiği hakkında bilgimiz olması gerekecektir.
IPSEC Kurulumu 2
  • Gelelim ekran görüntümüzde yer alan kısımların küçük açıklamaları ile birlikte Fortigate Firewall’da Custom IPSEC Kurulumunun nasıl tamamlanabileceğine.
  • Öncelikle, yine IPSEC bağlantımız için “Name” kısmına bir isim belirliyoruz.
  • “Network” altında “IP Version” kısmını IPv4 olarak belirleyip “Remote Gateway” kısmını “Static IP Address” seçip hemen altındaki “IP Address” kısmına ise karşı lokasyonumuzun dış IP adresini yazmamız gerekecektir.
  • Akabinde “Interface” kısmını WAN portumuz olarak seçmemiz gerekecektir. İç networkümüzü internet ortamına hangi portumuz çıkarıyorsa burada bu interface i kullanıyor olmamız beklenir.
  • “Network” kısmı için diğer ayarlarda değişiklik yapmamız gerekmeyecektir ancak yine karşı lokasyonumuzdaki cihazımızın IPSEC bağlantısının kurulumuna göre “NAT Traversal” kısmını değiştirmemiz de gerekebilir.
  • “Authentication” kısmında “Pre-Shared Key” seçilerek, karşı lokasyonumuzda da kullanacağımız IPSEC bağlantısı için ortak bir şifre belirleyip girmemiz gerekecektir.
  • Bir çok cihaz “Main(ID Protection) modunda çalışır fakat yine “Aggressive” mod seçilmesi gereken cihazlarla çalışmanız gerekebilir. Bu durumda yine Fortigate karşısındaki cihazın IPSEC bağlantı ayarlarının da biliyor olması beklenecektir.
  • “Phase 1 Proposal” kısmında “Encryption” ve “Authentication” kısımlarının ve DH yani “Diffie-Hellman Groups” ayarının da yine karşı lokasyondaki cihaz üzerinde yapılacak konfigürasyon ile aynı olması gerekmektedir. Genellikle yukarıda da belirtildiği üzere AES128-SHA256 ve DH Group 14 veya 5 veya her ikisi ile IPSEC bağlantısı kurulabiliyor fakat bunun karşı taraftaki cihazınızın konfigürasyonunun da bilinerek yapılması önem arz edecektir.
  • Cihaz bazlı ekstra bir ayar yapılması gerekmiyorsa, örneğin “Key Lifetime” 86400 default olarak gelecektir fakat bu ayar Zyxel bir modem ile IPSEC bağlantısı kurulurken değişebilir yine aynı şekilde Checkpoint marka bir Firewall ile IPSEC kuruluyorsa bambaşka bir değer girmeniz de beklenebilir, “Phase 1 Proposal” ayarlamamızda bitmiş durumda olacaktır.
  • Son olarak ise “Phase 2 Selectors” ayarlarımız altında IPSEC bağlantımıza dahil edip karşıdaki lokasyonumuzla konuşturacağımız networklerimizi giriyor olmamız gerekecektir. “Local Address” kısmımız için işlemleri yapmakta olduğumuz lokasyonumuzun networklerini girerken “Remote Address kısmına ise karşıdaki lokasyonumuzun iç networklerini yazıyor olmamız gerekecektir.
  • “Advanced” butonuna tıkladıktan sonra karşımıza açılan “Phase 2 Proposal” kısmındaki ayarlarımızı da karşı lokasyonumuzdaki cihazımızda da aynı olacak şekilde ayarladıktan sonra alt kısımdan “OK” butonuna basarak bu taraftaki konfigürasyonumuzu bitirmiş oluruz.
  • Akabinde karşı lokasyonumuzdaki cihazımızın da konfigürasyonlarını tamamladıktan sonra aşağıda da görebileceğiniz gibi IPSEC bağlantımızın “Up” olması bekleniyor olacaktır.
IPSEC Kurulumu 4
  • Ek olarak belirtmekte fayda var ki, Fortigate Firewall’da Custom IPSEC Kurulumu yapılması sonrasında IPSEC bağlantısının “Up” olmaması durumunda, sorunun hangi aşamadan kaynaklanabileceği hakkında ki bilgilere ise “Log & Report” kısmındaki “Events” altından “VPN Events” kısmından ulaşabilirsiniz. Bu alanın örnek ekran görüntüsüde aşağıdaki gibi olacaktır.
IPSEC Kurulumu 5
IPSEC Kurulumu 6

Basix IPSEC Kurulumu İçin Aşağıdaki Konuyu inceleyebilirsiniz.

Basic IP SEC Kurulumu

İlginizi Çekebilecek Makaleler
FortiGate ACME Sertifika Desteği
Siber Güvenlik

FortiGate ACME Sertifika Desteği

Ocak 24, 2022 1:22

Otomatik Sertifika Yönetim Ortamı (ACME), RFC 8555’te tanımlandığı üzere, ücretsiz SSL sunucu sertifikaları sağlamak için genel Let’s...

Android Reverse Mühendisliği Araçları Örnek Vakalar
Siber Güvenlik

Android Reverse Mühendisliği Araçları Örnek Vakalar

Ocak 24, 2022 12:39

Bir önceki yazıda yeni çıkan android reverse mühendisliği araçları hakkında bilgi vermiştim. Bu yazımda...

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor
Siber Güvenlik

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor

Ocak 24, 2022 9:44

Emotet kötü amaçlı yazılım botnetinin dağıtımını içeren sosyal mühendislik kampanyaları, güvenlik çözümlerinin tespitinden kaçınmak...

FortiWeb Kurulumu 5-Operation Modu
Siber Güvenlik

FortiWeb Kurulumu 5-Operation Modu

Ocak 24, 2022 7:49

FortiWeb kurulumunu anlattığımız beşinci yazımızda operation modu ve FortiWeb cihazı açıldıktan sonra, FortiWeb cihazını...

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme
Siber Güvenlik

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme

Ocak 23, 2022 10:21

FortiWeb kurulumunu anlattığımız serinin dördüncü yazısında Admin şifresi nasıl değiştirceğinizi, saat ve günü nasıl...

Metasploittable 2
Siber Güvenlik

Metasploittable 2

Ocak 22, 2022 11:57

Metasploittable 2 Nedir? Neden Kullanılır? Nasıl Kurulur? Metasploittable 2 Metasploit firması tarafından bizlerin güvenli...

FortiWeb Kurulumu 3- Firmware Güncellenmesi
Siber Güvenlik

FortiWeb Kurulumu 3- Firmware Güncellenmesi

Ocak 22, 2022 11:56

FortiWeb kurulumunu anlattığımız serinin üçüncü yazısında Firmware güncellemesini anlatacağız. FortiWeb cihazınız gönderildiğinde en son...

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama
Siber Güvenlik

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama

Ocak 21, 2022 7:50

FortiWeb kurulumu yazımızın ikinci serisinde Web UI veya CLI bağlamanın nasıl yapılacağını anlatacağız. Eğer...

Yapay Zeka Nedir?
Yazılım Geliştirme

Yapay Zeka Nedir?

Ocak 20, 2022 10:57

Sürekli olarak değişen, gelişen ve oldukça hızlı bir şekilde boyut atlayan, günümüze kadar gelen...

İletişim
OZZTECH Bilgi Teknolojileri olarak siber güvenlik danışmanlığı ve bilgi güvenliği eğitimleri alanlarında 10 yılı aşkın bir süredir ülkemizin önde gelen kurumlarına hizmet vermeye devam etmektedir. Detaylı bilgi ve danışmanlık hizmetlerimiz için aşağıdaki formu kullanarak veya [email protected] adresimiz üzerinden bizlerle iletişime geçebilirsiniz.