Fortigate Firewall’larda SSL-VPN Portal ile iç networkümüze aldığımız kullanıcılarımızın erişimlerini Firewall Policylerle kontrol altında tutabiliyoruz evet. Fakat Split Tunnel özelliğimiz ile Kullanıcılarımızı SSL-VPN sonrasında tamamen şirketimize bağlı olarak(WEB Filter, Antivirüs, IPS vs) internete çıkarabildiğimiz gibi kendi localindeki interneti de kullandırabiliyoruz elbette, bunun için ayrıca detaylı bir yazı paylaşmaya çalışacağım.
Fakat bu yazımda, SSL-VPN yapan kullanıcılarımı yeni bir SSL-VPN portal oluşturarak bu portala yönlendirip yine Firewall kurallarımla kontrol altında tutabilmem için küçük adımlardan bahsediyor olacağım.
Bu sayede, SSL-VPN interfaceinden gelen kullanıcılarım için yanlışlıkla erişmemeleri gereken bir interface e doğru kural yazma riskinden de kurtulmuş olabiliriz. Çünkü yeni bir SSL-VPN Portalı oluşturarak, SSL-VPN ayarlarından kullanıcılarıma bu portal kullanmaları yönünde işlemi yaptıktan sonra, farklı bir interface e doğru kural yazılması durumunda dahi bu kural geçerli olmayacaktır.
Güvenlik tarafından düşünüldüğünde basit bir işlem ve bir çok kişi için gereksiz bile gelebilir çünkü evet yine policy rulelarımla bu erişimleri kontrol altında tutabiliyorum. Fakat ben bu işi bu şekilde yapmayı öğrendim, basit olanı yaparak kendime daha fazla zaman ayırmak yerine, güvenlik tarafını yapabildiğim en doğru şekilde tamamlayıp gece uykumdan “hacklendik” cümlesi ile uyanmamayı tercih ederim ????
Bu çok basit işlemi ekran görüntüleri ile birlikte aşağıda detaylandırabildiğim kadar anlatmaya çalıştım. Hemen adımlarımızı uygulamaya başlayalım;
İlk adım olarak; aşağıdaki ekran görüntüsünde de görebileceğiniz gibi, “SSL-VPN Portals” kısmından “Create New” butonuna basarak tercihlerimize göre düzenlemeyi yaparak “OK” butonu ile portalımızı oluşturmamız gerekiyor.
Basitçe açıklamak gerekirse,
Tunnel Mode – “Disable” konumda olursa, yapmak istediğimiz işlemi yapamayız ve tüm networklere erişilebilir sadece policy rulelarla kontrol altında tutabilmiş oluruz. “Enable Based on Policy Destination” olarak seçmemiz durumunda ise, alt kısımdaki “Routing Address Override” alanı açılmış olacak ve buraya bu portala gelen kullanıcıların, hangi networklerimize erişebileceğinin seçimini yapabiliyor durumda olacağız. Dolayısıyla bu adımı seçerek erişmelerini istediğimiz networklerimizi subnet olarak ekleyip ilerliyoruz.
Source IP Pools – SSLVPN ayarlarımızda SSLVPN yapan kullanıcılarımızın almasını istediğimiz IP adresimizin subnetini eklememiz gerekiyor.
Tunnel Mode Client Options – Bu alandan ise, SSLVPN bağlantısı kuran kullanıcılarımızın FortiClient uygulaması üzerinde, yazdıkları şifreyi kaydedip edemeyeceklerini, FortiClient açıldığında otomatik olarak bağlantı kurmasını isteyip istemediklerini, FortiClient’ın bağlantıyı düşürmeden sürekli bağlı kalıp kalmaması gibi seçimlerimizi de yaptıktna sonra “OK” butonu ile ayarlarımızı bitirebiliriz.
Akabinde ikinci adım olarak; “SSL-VPN Settings” alanımızdan kırmızı ile işaretli kısımdaki “Create New” butonuna tıklayarak sağ tarafta açılan pencereden “Users/Groups” kısmında ya kullanıcımızı ya da kullanıcılarımızın olduğu grubumuzu ve yeni oluşturduğumuz portalımızı seçerek “OK” diyip bu adımı da tamamlıyoruz;
Son işlem olarak ise, “Firewall Policy” alanımızdan kullanıcılarımız için erişim kuralımızı yazmamız kalıyor, aşağıdaki gibi erişim kuralımızı yazıp düzenlememizin akabinde, SSL-VPN sonrasında kullanıcılarımızın erişimleri için yetkilendirmeyi de tamamlamış oluyoruz;
Basitçe bu alanı da açıklamamız gerekirse;
Name – Yazdığımız kuralımıza verdiğimiz ismimizdir.
Incoming Interface – Hangi yönden gelen trafik için bu kuralın yazıldığının seçildiği alanımızdır.
Outgoing Interface – Hangi yöne doğru bu trafiğin kuralının yazıldığının seçimini yaptığımız alanımızdır.
Source – Bu trafiği hangi subnet, kullanıcı veya adresin yapacağının seçildiği alanımızdır.
Destination – Bu trafiği yapan subnet, kullanıcı veya adresin hangi subnet, veya adrese doğru trafik gerçekleştirebileceğine karar verdiğimiz alanımızdır.
Schedule – Bu trafiğin -eğer istersek- hangi zaman aralığında yapılabileceğini ayarlayabildiğimiz alanımızdır.
Action – Bu kurala match eden trafiğin “Deny” edilerek düşürülmesini mi yoksa “Accept” edilerek izin verilmesini mi istediğimizi seçtiğimiz alanımızdır.
Service – Bu trafiği gerçekleştiren subnet, kullanıcı veya adresin hangi protokollerle “Destination” ımıza erişebilmesine izin verdiğimiz veya red ettiğimizin seçimini yapabildiğimiz alanımızdır.
Bu işlemlerimiz akabinde, istediğimiz şekilde konfigürasyonumuzu tamamlamış oluyoruz. Ve seçimini yaptığımız kullanıcılarımız sadece bizim belirlediğimiz networklerimize erişebilecekleri için, hatalı yazılan bir kuralm olması drumunda dahi seçimde belirttiğimiz networklerimiz arasında değilse erişimine izin verilmeyecektir.
Umarım anlaşılabilir bir şekilde bu basit işlemi anlatmaya başarabilmişimdir. Bir sonraki yazımda tekrar görüşmek üzere. Bir sonraki yazıma ulaşmak için tıklayabilirsiniz.