OzzTech - Fortigate Firewall’larda SSL-VPN Portal’I Nasıl Ayırabiliriz?

Fortigate Firewall’larda SSL-VPN Portal’I Nasıl Ayırabiliriz?

Fortigate Firewall’larda SSL-VPN Portal ile iç networkümüze aldığımız kullanıcılarımızın erişimlerini Firewall Policylerle kontrol altında tutabiliyoruz evet. Fakat Split Tunnel özelliğimiz ile Kullanıcılarımızı SSL-VPN sonrasında tamamen şirketimize bağlı olarak(WEB Filter, Antivirüs, IPS vs) internete çıkarabildiğimiz gibi kendi localindeki interneti de kullandırabiliyoruz elbette, bunun için ayrıca detaylı bir yazı paylaşmaya çalışacağım.

Fakat bu yazımda, SSL-VPN yapan kullanıcılarımı yeni bir SSL-VPN portal oluşturarak bu portala yönlendirip yine Firewall kurallarımla kontrol altında tutabilmem için küçük adımlardan bahsediyor olacağım.

Bu sayede, SSL-VPN interfaceinden gelen kullanıcılarım için yanlışlıkla erişmemeleri gereken bir interface e doğru kural yazma riskinden de kurtulmuş olabiliriz. Çünkü yeni bir SSL-VPN Portalı oluşturarak, SSL-VPN ayarlarından kullanıcılarıma bu portal kullanmaları yönünde işlemi yaptıktan sonra, farklı bir interface e doğru kural yazılması durumunda dahi bu kural geçerli olmayacaktır.

Güvenlik tarafından düşünüldüğünde basit bir işlem ve bir çok kişi için gereksiz bile gelebilir çünkü evet yine policy rulelarımla bu erişimleri kontrol altında tutabiliyorum. Fakat ben bu işi bu şekilde yapmayı öğrendim, basit olanı yaparak kendime daha fazla zaman ayırmak yerine, güvenlik tarafını yapabildiğim en doğru şekilde tamamlayıp gece uykumdan “hacklendik” cümlesi ile uyanmamayı tercih ederim 😊

Bu çok basit işlemi ekran görüntüleri ile birlikte aşağıda detaylandırabildiğim kadar anlatmaya çalıştım. Hemen adımlarımızı uygulamaya başlayalım;

İlk adım olarak; aşağıdaki ekran görüntüsünde de görebileceğiniz gibi, “SSL-VPN Portals” kısmından “Create New” butonuna basarak tercihlerimize göre düzenlemeyi yaparak “OK” butonu ile portalımızı oluşturmamız gerekiyor.

SSL-VPN Portal

Basitçe açıklamak gerekirse,

Tunnel Mode - “Disable” konumda olursa, yapmak istediğimiz işlemi yapamayız ve tüm networklere erişilebilir sadece policy rulelarla kontrol altında tutabilmiş oluruz. “Enable Based on Policy Destination”  olarak seçmemiz durumunda ise, alt kısımdaki “Routing Address Override” alanı açılmış olacak ve buraya bu portala gelen kullanıcıların, hangi networklerimize erişebileceğinin seçimini yapabiliyor durumda olacağız. Dolayısıyla bu adımı seçerek erişmelerini istediğimiz networklerimizi subnet olarak ekleyip ilerliyoruz.

Source IP Pools – SSLVPN ayarlarımızda SSLVPN yapan kullanıcılarımızın almasını istediğimiz IP adresimizin subnetini eklememiz gerekiyor.

Tunnel Mode Client Options – Bu alandan ise, SSLVPN bağlantısı kuran kullanıcılarımızın FortiClient uygulaması üzerinde, yazdıkları şifreyi kaydedip edemeyeceklerini, FortiClient açıldığında otomatik olarak bağlantı kurmasını isteyip istemediklerini, FortiClient’ın bağlantıyı düşürmeden sürekli bağlı kalıp kalmaması gibi seçimlerimizi de yaptıktna sonra “OK” butonu ile ayarlarımızı bitirebiliriz.

Akabinde ikinci adım olarak; “SSL-VPN Settings” alanımızdan kırmızı ile işaretli kısımdaki “Create New” butonuna tıklayarak sağ tarafta açılan pencereden “Users/Groups” kısmında ya kullanıcımızı ya da kullanıcılarımızın olduğu grubumuzu ve yeni oluşturduğumuz portalımızı seçerek “OK” diyip bu adımı da tamamlıyoruz;

SL-VPN Portal’I Ayarlama

Son işlem olarak ise, “Firewall Policy” alanımızdan kullanıcılarımız için erişim kuralımızı yazmamız kalıyor, aşağıdaki gibi erişim kuralımızı yazıp düzenlememizin akabinde, SSL-VPN sonrasında kullanıcılarımızın erişimleri için yetkilendirmeyi de tamamlamış oluyoruz;

SL-VPN Portal’I Ayarlama final

Basitçe bu alanı da açıklamamız gerekirse;

Name – Yazdığımız kuralımıza verdiğimiz ismimizdir.

Incoming Interface – Hangi yönden gelen trafik için bu kuralın yazıldığının seçildiği alanımızdır.

Outgoing Interface – Hangi yöne doğru bu trafiğin kuralının yazıldığının seçimini yaptığımız alanımızdır.

Source – Bu trafiği hangi subnet, kullanıcı veya adresin yapacağının seçildiği alanımızdır.

Destination – Bu trafiği yapan subnet, kullanıcı veya adresin hangi subnet, veya adrese doğru trafik gerçekleştirebileceğine karar verdiğimiz alanımızdır.

Schedule – Bu trafiğin -eğer istersek- hangi zaman aralığında yapılabileceğini ayarlayabildiğimiz alanımızdır.

Action – Bu kurala match eden trafiğin “Deny” edilerek düşürülmesini mi yoksa “Accept” edilerek izin verilmesini mi istediğimizi seçtiğimiz alanımızdır.

Service – Bu trafiği gerçekleştiren subnet, kullanıcı veya adresin hangi protokollerle “Destination” ımıza erişebilmesine  izin verdiğimiz veya red ettiğimizin seçimini yapabildiğimiz alanımızdır.

Bu işlemlerimiz akabinde, istediğimiz şekilde konfigürasyonumuzu tamamlamış oluyoruz. Ve seçimini yaptığımız kullanıcılarımız sadece bizim belirlediğimiz networklerimize erişebilecekleri için, hatalı yazılan bir kuralm olması drumunda dahi seçimde belirttiğimiz networklerimiz arasında değilse erişimine izin verilmeyecektir.

Umarım anlaşılabilir bir şekilde bu basit işlemi anlatmaya başarabilmişimdir. Bir sonraki yazımda tekrar görüşmek üzere. Bir sonraki yazıma ulaşmak için tıklayabilirsiniz.


İlginizi Çekebilecek Makaleler
FortiGate ACME Sertifika Desteği
Siber Güvenlik

FortiGate ACME Sertifika Desteği

Ocak 24, 2022 1:22

Otomatik Sertifika Yönetim Ortamı (ACME), RFC 8555’te tanımlandığı üzere, ücretsiz SSL sunucu sertifikaları sağlamak için genel Let’s...

Android Reverse Mühendisliği Araçları Örnek Vakalar
Siber Güvenlik

Android Reverse Mühendisliği Araçları Örnek Vakalar

Ocak 24, 2022 12:39

Bir önceki yazıda yeni çıkan android reverse mühendisliği araçları hakkında bilgi vermiştim. Bu yazımda...

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor
Siber Güvenlik

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor

Ocak 24, 2022 9:44

Emotet kötü amaçlı yazılım botnetinin dağıtımını içeren sosyal mühendislik kampanyaları, güvenlik çözümlerinin tespitinden kaçınmak...

FortiWeb Kurulumu 5-Operation Modu
Siber Güvenlik

FortiWeb Kurulumu 5-Operation Modu

Ocak 24, 2022 7:49

FortiWeb kurulumunu anlattığımız beşinci yazımızda operation modu ve FortiWeb cihazı açıldıktan sonra, FortiWeb cihazını...

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme
Siber Güvenlik

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme

Ocak 23, 2022 10:21

FortiWeb kurulumunu anlattığımız serinin dördüncü yazısında Admin şifresi nasıl değiştirceğinizi, saat ve günü nasıl...

Metasploittable 2
Siber Güvenlik

Metasploittable 2

Ocak 22, 2022 11:57

Metasploittable 2 Nedir? Neden Kullanılır? Nasıl Kurulur? Metasploittable 2 Metasploit firması tarafından bizlerin güvenli...

FortiWeb Kurulumu 3- Firmware Güncellenmesi
Siber Güvenlik

FortiWeb Kurulumu 3- Firmware Güncellenmesi

Ocak 22, 2022 11:56

FortiWeb kurulumunu anlattığımız serinin üçüncü yazısında Firmware güncellemesini anlatacağız. FortiWeb cihazınız gönderildiğinde en son...

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama
Siber Güvenlik

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama

Ocak 21, 2022 7:50

FortiWeb kurulumu yazımızın ikinci serisinde Web UI veya CLI bağlamanın nasıl yapılacağını anlatacağız. Eğer...

Yapay Zeka Nedir?
Yazılım Geliştirme

Yapay Zeka Nedir?

Ocak 20, 2022 10:57

Sürekli olarak değişen, gelişen ve oldukça hızlı bir şekilde boyut atlayan, günümüze kadar gelen...

İletişim
OZZTECH Bilgi Teknolojileri olarak siber güvenlik danışmanlığı ve bilgi güvenliği eğitimleri alanlarında 10 yılı aşkın bir süredir ülkemizin önde gelen kurumlarına hizmet vermeye devam etmektedir. Detaylı bilgi ve danışmanlık hizmetlerimiz için aşağıdaki formu kullanarak veya [email protected] adresimiz üzerinden bizlerle iletişime geçebilirsiniz.