Fortigate Firewall’larda SSL-VPN Portal’I Nasıl Ayırabiliriz?

Fortigate Firewall’larda SSL-VPN ile iç networkümüze aldığımız kullanıcılarımızın erişimlerini Firewall Policylerle kontrol altında tutabiliyoruz evet. Fakat Split Tunnel özelliğimiz ile Kullanıcılarımızı SSL-VPN sonrasında tamamen şirketimize bağlı olarak(WEB Filter, Antivirüs, IPS vs) internete çıkarabildiğimiz gibi kendi localindeki interneti de kullandırabiliyoruz elbette, bunun için ayrıca detaylı bir yazı paylaşmaya çalışacağım.

Fakat bu yazımda, SSL-VPN yapan kullanıcılarımı yeni bir SSL-VPN portal oluşturarak bu portala yönlendirip yine Firewall kurallarımla kontrol altında tutabilmem için küçük adımlardan bahsediyor olacağım.

Bu sayede, SSL-VPN interfaceinden gelen kullanıcılarım için yanlışlıkla erişmemeleri gereken bir interface e doğru kural yazma riskinden de kurtulmuş olabiliriz. Çünkü yeni bir SSL-VPN Portalı oluşturarak, SSL-VPN ayarlarından kullanıcılarıma bu portal kullanmaları yönünde işlemi yaptıktan sonra, farklı bir interface e doğru kural yazılması durumunda dahi bu kural geçerli olmayacaktır.

Güvenlik tarafından düşünüldüğünde basit bir işlem ve bir çok kişi için gereksiz bile gelebilir çünkü evet yine policy rulelarımla bu erişimleri kontrol altında tutabiliyorum. Fakat ben bu işi bu şekilde yapmayı öğrendim, basit olanı yaparak kendime daha fazla zaman ayırmak yerine, güvenlik tarafını yapabildiğim en doğru şekilde tamamlayıp gece uykumdan “hacklendik” cümlesi ile uyanmamayı tercih ederim 😊

Bu çok basit işlemi ekran görüntüleri ile birlikte aşağıda detaylandırabildiğim kadar anlatmaya çalıştım. Hemen adımlarımızı uygulamaya başlayalım;

İlk adım olarak; aşağıdaki ekran görüntüsünde de görebileceğiniz gibi, “SSL-VPN Portals” kısmından “Create New” butonuna basarak tercihlerimize göre düzenlemeyi yaparak “OK” butonu ile portalımızı oluşturmamız gerekiyor.

Fortigate Firewall’larda SSL-VPN Portal’I Nasıl Ayırabiliriz?

Basitçe açıklamak gerekirse,

Tunnel Mode - “Disable” konumda olursa, yapmak istediğimiz işlemi yapamayız ve tüm networklere erişilebilir sadece policy rulelarla kontrol altında tutabilmiş oluruz. “Enable Based on Policy Destination”  olarak seçmemiz durumunda ise, alt kısımdaki “Routing Address Override” alanı açılmış olacak ve buraya bu portala gelen kullanıcıların, hangi networklerimize erişebileceğinin seçimini yapabiliyor durumda olacağız. Dolayısıyla bu adımı seçerek erişmelerini istediğimiz networklerimizi subnet olarak ekleyip ilerliyoruz.

Source IP Pools – SSLVPN ayarlarımızda SSLVPN yapan kullanıcılarımızın almasını istediğimiz IP adresimizin subnetini eklememiz gerekiyor.

Tunnel Mode Client Options – Bu alandan ise, SSLVPN bağlantısı kuran kullanıcılarımızın FortiClient uygulaması üzerinde, yazdıkları şifreyi kaydedip edemeyeceklerini, FortiClient açıldığında otomatik olarak bağlantı kurmasını isteyip istemediklerini, FortiClient’ın bağlantıyı düşürmeden sürekli bağlı kalıp kalmaması gibi seçimlerimizi de yaptıktna sonra “OK” butonu ile ayarlarımızı bitirebiliriz.

Akabinde ikinci adım olarak; “SSL-VPN Settings” alanımızdan kırmızı ile işaretli kısımdaki “Create New” butonuna tıklayarak sağ tarafta açılan pencereden “Users/Groups” kısmında ya kullanıcımızı ya da kullanıcılarımızın olduğu grubumuzu ve yeni oluşturduğumuz portalımızı seçerek “OK” diyip bu adımı da tamamlıyoruz;

SL-VPN Portal’I Ayarlama

Son işlem olarak ise, “Firewall Policy” alanımızdan kullanıcılarımız için erişim kuralımızı yazmamız kalıyor, aşağıdaki gibi erişim kuralımızı yazıp düzenlememizin akabinde, SSL-VPN sonrasında kullanıcılarımızın erişimleri için yetkilendirmeyi de tamamlamış oluyoruz;

SL-VPN Portal’I Ayarlama final

Basitçe bu alanı da açıklamamız gerekirse;

Name – Yazdığımız kuralımıza verdiğimiz ismimizdir.

Incoming Interface – Hangi yönden gelen trafik için bu kuralın yazıldığının seçildiği alanımızdır.

Outgoing Interface – Hangi yöne doğru bu trafiğin kuralının yazıldığının seçimini yaptığımız alanımızdır.

Source – Bu trafiği hangi subnet, kullanıcı veya adresin yapacağının seçildiği alanımızdır.

Destination – Bu trafiği yapan subnet, kullanıcı veya adresin hangi subnet, veya adrese doğru trafik gerçekleştirebileceğine karar verdiğimiz alanımızdır.

Schedule – Bu trafiğin -eğer istersek- hangi zaman aralığında yapılabileceğini ayarlayabildiğimiz alanımızdır.

Action – Bu kurala match eden trafiğin “Deny” edilerek düşürülmesini mi yoksa “Accept” edilerek izin verilmesini mi istediğimizi seçtiğimiz alanımızdır.

Service – Bu trafiği gerçekleştiren subnet, kullanıcı veya adresin hangi protokollerle “Destination” ımıza erişebilmesine  izin verdiğimiz veya red ettiğimizin seçimini yapabildiğimiz alanımızdır.

Bu işlemlerimiz akabinde, istediğimiz şekilde konfigürasyonumuzu tamamlamış oluyoruz. Ve seçimini yaptığımız kullanıcılarımız sadece bizim belirlediğimiz networklerimize erişebilecekleri için, hatalı yazılan bir kuralm olması drumunda dahi seçimde belirttiğimiz networklerimiz arasında değilse erişimine izin verilmeyecektir.

Umarım anlaşılabilir bir şekilde bu basit işlemi anlatmaya başarabilmişimdir. Bir sonraki yazımda tekrar görüşmek üzere.


İlginizi Çekebilecek Makaleler
Exchange Server eDiscovery Problemi HK.
Microsoft Exchange Server

Exchange Server eDiscovery Problemi HK.

Haziran 10, 2021 9:39

Bu makalemde, Exchange Server üzerinde eDiscovery ile kullanıcının mailboxında belirli bir mail için arama...

Active Directory Health Check Nasıl Yapılır?
Active Directory

Active Directory Health Check Nasıl Yapılır?

Haziran 7, 2021 7:33

İlk adım olarak Microsoft MVP’lerinden birisi olan Sukhija Vikas’ın bu işlem için yazdığı PowerShell...

FortiAnalyzer Disk Kapasitesini Nasıl Arttırabiliriz?
Siber Güvenlik

FortiAnalyzer Disk Kapasitesini Nasıl Arttırabiliriz?

Mayıs 28, 2021 6:12

Bugün FortiGate Firewall’umda Log kontrolleri yaparken, FortiAnalyzer’ımdaki disk kapasitemin oldukça azaldığını gördüm ve bunu...

Seo Danışmanlığı
SEO (Search engine optimization)

Seo Danışmanlığı

Mayıs 27, 2021 2:32

SEO danışmanlığı, arama motoru optimizasyonu konusunda uzmanlaşmış kurumların, web sitelerinin performansını artırmak ve internetteki...

FORTIWEB Üzerinde Slow Saldırıların Engellenmesi
Siber Güvenlik

FORTIWEB Üzerinde Slow Saldırıların Engellenmesi

Mayıs 19, 2021 5:25

Öncelikle Slow Saldırıların ne olduğunu sizlere açıklayayım. Low ve Slow saldırı, çok yavaş bir...

Bitlocker – Son Dönemin Kripto Saldırısı!!!
Siber Güvenlik

Bitlocker – Son Dönemin Kripto Saldırısı!!!

Mayıs 19, 2021 8:34

Güvenlik teknolojilerinin gelişimi ile günümüzde saldırganlarda kendilerini değiştirmekte ve evrilmektedir. Crypto saldırılarında daha önceden...

VMware Ortamında “swap” Dosyası Problemi Nasıl Giderilir?
Vmware VCenter

VMware Ortamında “swap” Dosyası Problemi Nasıl Giderilir?

Mart 23, 2021 5:56

Aşağıda bahsedeceğim tüm işlemleri yapmadan önce, sorun yaşadığınız sanal makinenin “Powered Off” konumda olmasına...

Microsoft Exchange Server “The system cannot find the file specified” Hatası Hakkında
Microsoft Exchange Server

Microsoft Exchange Server “The system cannot find the file specified” Hatası Hakkında

Şubat 11, 2021 10:17

Microsoft Exchange Server yönetimi sırasında, genellikte CU yükseltmeleri sonrasında meydana gelen ancak Exchange üzerinde...

Robots.txt Nedir? Nasıl Oluşturulur?
SEO (Search engine optimization)

Robots.txt Nedir? Nasıl Oluşturulur?

Aralık 22, 2020 10:10

Robots.txt nedir? Robot.txt dosyası arama motoru tarayıcılarına web sitenizim hangi noktalarının taranması gerektiğini bildirir....

İletişim
OZZTECH Bilgi Teknolojileri olarak siber güvenlik danışmanlığı ve bilgi güvenliği eğitimleri alanlarında 10 yılı aşkın bir süredir ülkemizin önde gelen kurumlarına hizmet vermeye devam etmektedir. Detaylı bilgi ve danışmanlık hizmetlerimiz için aşağıdaki formu kullanarak veya [email protected] adresimiz üzerinden bizlerle iletişime geçebilirsiniz.