OzzTech - Fortinet Best Practice-En İyi Öneriler Serisi-13

Fortinet Best Practice-En İyi Öneriler Serisi-13

Kablosuz ağ

Kablosuz Ağ- Wireless Network

Bu bölümümüzde sizlere şifreleme ve kimlik doğrulama, coğrafi konum, ağ planlaması, güç kullanımı, istemci yük dengeleme, yerel köprüleme, SSID'ler ve statik IP'lerin kullanımına ilişkin kablosuz ağ (wireless network)yapılandırmalarınız için fortinet best practise en iyi önerilerimizi paylaşacağız.

Kablosuz Ağ- Şifreleme ve Kimlik Doğrulama

Her zaman istemcinizin desteklediği en güçlü kullanıcı kimlik doğrulamasını ve şifreleme yöntemini etkinleştirmeniz en iyi uygulama olacaktır. Fortinet best practise olarak, güvenliğiniz için en güçlüden en zayıfa doğru aşağıdakileri tavsiye eder:

  • WPA2 - Enterprise 802.1x/EAP - Kişisel önceden paylaşılan anahtar (8-63 karakter)
  • WPA - Enterprise 802.1x/EAP - Kişisel önceden paylaşılan anahtar (8-63 karakter)
  • WEP128 - 26 Onaltılık (hexadecimal) basamak anahtarı
  • WEP64 - 10 Onaltılık (hexadecimal) basamak anahtarı
  • Yok - Açık (open) sistem

Kablosuz Ağ- Coğrafi konum

FortiGate kablosuz kontrol cihazının coğrafi konumunuza göre yapılandırıldığından emin olmalısınız. Böylece, mevcut radyo kanalları ve radyo gücü bölgenizdeki yönetmeliğe uygun olacaktır.

Wi-Fi ağları için izin verilen maksimum verici gücü ve izin verilen radyo kanalları, ağın bulunduğu bölgeye bağlıdır. WiFi controller, varsayılan olarak Amerika Birleşik Devletleri için yapılandırılmıştır. Eğer başka bir bölgedeyseniz, kablosuz ağ yapılandırmanızı yapmaya başlamadan önce konumunuzu kendi bölgenize göre ayarlamalısınız.

Konum ayarı yalnızca CLI'den değiştirilebilir. Örneğin; ülkeyi Türkiye olarak değiştirmek için aşağıdakini girin:

Ülke kodlarının listesini görmek istediğinizde ülke kodu yerine soru işareti ('?') girin.

  • Coğrafi konumu yanlış kullanmak, istemci tarafında beklenmeyen sorunlara yol açan çok yaygın bir hatadır.

Ağ planlaması

Kablosuz erişim noktasını konumlandırmanızdan önce uygun bir site araştırması yapmanızı öneririz. Kapsama alanı ortamını değerlendirmek için aşağıdaki kriterler dikkate alınmalıdır:

  • Kapsama alanı boyutu
  • bant genişliği gerekli
  • İstemci kablosuz özellikleri

Bir RF saha araştırması yapıldıktan sonra, kullanıcılara yeterli kapsama alanı ve performans sağlamak için gereken erişim noktalarının sayısı ve konumu hakkında fikriniz olacaktır.

Bununla birlikte, erişim noktalarını kurmadan önce kullanmayı planladığınız RF kanalını belirlemeyi unutmayın. Böylece kullanıcılar tesis genelinde azımsanmayacak bir performansla dolaşabilmesi sağlanır.

Ortak kanal parazitini önlemek için bitişik Wi-Fi AP'ler, çakışmayan (non-overlapping) kanalları kullanacak şekilde yapılandırılmalıdır. Diğer türlü erişim noktaları arasındaki parazit yüzünden zayıf performansın daha da düştüğünü göreceksiniz.

Her AP (veya AP grubu) başına bir Özel AP profili kullanarak her erişim noktasında çakışmayan kanalları statik olarak yapılandırmanız önerilir. Statik yapılandırma kullanılamıyorsa, FortiOS Wi-Fi Denetleyici, Otomatik Radyo Kaynak Sağlama (ARRP) özelliğini içermektedir.

FortiAP'de RF parazitini azaltmak için güç seviyesini düşürme

Gücü azaltmanız, istenmeyen kapsama alanını ve diğer WLAN'lara olası paraziti azaltacaktır. Çünkü istenmeyen kapsama alanları potansiyel bir güvenlik riskidir. Bu yüzden, kablosuz ağ erişim noktanızın verici gücünü azaltarak, sinyal ihtiyaç duyulan alanların ötesinde kullanılmasını engellemiş olursunuz. İletim gücünü otomatik olarak ayarlamak için Otomatik Tx Güç Kontrolü etkinleştirin.

FortiAP üzerinden yavaş wireless trafikten şikayet etmeye başlandığında, RF paraziti olasılığını düşünerek gücü azaltmaya çalışmak gerekebilir. Best practice önerilerimiz olarak:

  • FortiAP'lerinizi çelik kirişlerin veya diğer engelleyici malzemelerin yakınına yerleştirmekten kaçınmalısınız.
  • Kablosuz paketleri toplamak için bir kablosuz sniffer aracı kullanmayı deneyebilirsiniz.
  • Bu işlemlerin ardından hava girişiminin boyutunu analiz edebilirsiniz.

FortiAP'leri 5Ghz radyo frekansına göre ayırmak en çok yapılan hatalardan biridir. Aslında 2.4Ghz sinyali daha hızlıdır.

FortiAP üzerinden yavaş wireless trafikle karşılaştığınızda iki çözümünüz vardır:

1. İletim gücünün azaltılması

  1. Hız testi yapın ve çıkan sonuçları kaydedin.
  2. FortiAP'deki telsizlerden birini özel izleme modunda olacak şekilde ayarlayın.
  3. Ardından kaç AP'nin algılandığını gözlemleyin. AP'lerin sayısı çok yüksekse (>20), özel AP'lerin sayısı ciddi ölçüde düşene kadar FortiAP'lerin WTP profilindeki iletim gücünü azaltmayı deneyebilirsiniz.
  4. Hız testini tekrarlayın.

2. VAP'lerin mevcut kanallara dağıtılmasını sağlama

RF parazitini doğrudan ölçmek için içinde hazır araçlar bulunmamaktadır. Şu var ki, FortiOS 5.0, RF paraziti oluşumunu en aza indirmesi gereken otomatik güç ayarına izin verir.

Wireless istemci yük dengeleme

Wireless yük dengeleme, kablosuz ağınızın wireless trafiğini kablosuz erişim noktaları ve kullanılabilir frekans bantları arasında daha verimli bir şekilde dağıtır. FortiGate wireless controller'ın deteklediği istemci yük dengeleme türleri aşağıdadır:

  • Erişim Noktası Aktarımı (Access point Hand-off): Wireless controller, istemciye başka bir erişim noktasına geçmesi için sinyal gönderir.
  • Frekans Aktarımı (Frequency Hand-off): Wireless controller, 2,4 GHz ve 5 GHz bantlarının kullanımını izler ve gerektiğinde istemcilere daha az kullanılan frekansa geçmeleri için sinyal verir.

Yerel köprüleme (Local bridging)

CAPWAP tünelini boşaltmak için yerel köprülemeyi kullanın. Ancak böyle bir durumda, unutmayın ki Wi-Fi istemci cihazları, LAN üzerindeki kablolu cihazlarla aynı DHCP sunucusundan IP adreslerini almaktadır. Vlan kimliği yalnızca CLI'den yapılandırılabilir:

Fortinet Best Practise-En İyi Öneriler Serisi-13

Reklam SSID'leri

  • SSID'nin reklamını yapmanız müşteriler ve wireless istemcilere daha kolay hale getirir. Ayrıca, SSID'yi 'gizlerseniz' ("network cloaking" olarak bilinmektedir), daha sonra istemciler bilinen SSID'yi arayan kapsama alanı dışında olduklarında, her zaman onu ararlar ve aslında SSID'yi yine de sızdırırlar. Ayrıca, son model Broadcom sürücülerinin bir çoğu WPA2 için gizli SSID'yi desteklememektedir.
  • Güvenlik nedenlerinden dolayı, kablosuz istemcileriniz arasında doğrudan iletişimi engellemek isteyebilirsiniz. Böyle bir durumda, SSID yapılandırması yaparken,  Block Intra-SSID Traffic'yi etkinleştiriniz.
  • Çoklu wireless controller'a sahip bir ağda, her bir ağ kökünün benzersiz bir SSID'ye sahip olması için ağ SSID'sini değiştirmelisiniz. Aynı ağ kökü SSID'sini kullanan diğer denetleyiciler, sahte veya sahte AP'ler olarak algılanabilir. SSID'yi değiştirmek için WiFi & Switch Controller > SSID seçin. Ayrıca, Fortinet için varsayılanı kullanmak yerine yeni bir ön paylaşımlı anahtar oluşturmanızı öneririz.

Fortigate en iyi öneriler (fortinet best practise) serimizin on üçüncü bölümünün sonuna geldik. Okuduğunuz için teşekkür ederiz. Umarız işinize yarayacaktır.

Fortinet Best Practise serimizin bir önceki bölümü olan Açık Proxy konulu yazımıza ulaşmak için tıklayabilirsiniz.


İlginizi Çekebilecek Makaleler
FortiGate ACME Sertifika Desteği
Siber Güvenlik

FortiGate ACME Sertifika Desteği

Ocak 24, 2022 1:22

Otomatik Sertifika Yönetim Ortamı (ACME), RFC 8555’te tanımlandığı üzere, ücretsiz SSL sunucu sertifikaları sağlamak için genel Let’s...

Android Reverse Mühendisliği Araçları Örnek Vakalar
Siber Güvenlik

Android Reverse Mühendisliği Araçları Örnek Vakalar

Ocak 24, 2022 12:39

Bir önceki yazıda yeni çıkan android reverse mühendisliği araçları hakkında bilgi vermiştim. Bu yazımda...

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor
Siber Güvenlik

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor

Ocak 24, 2022 9:44

Emotet kötü amaçlı yazılım botnetinin dağıtımını içeren sosyal mühendislik kampanyaları, güvenlik çözümlerinin tespitinden kaçınmak...

FortiWeb Kurulumu 5-Operation Modu
Siber Güvenlik

FortiWeb Kurulumu 5-Operation Modu

Ocak 24, 2022 7:49

FortiWeb kurulumunu anlattığımız beşinci yazımızda operation modu ve FortiWeb cihazı açıldıktan sonra, FortiWeb cihazını...

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme
Siber Güvenlik

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme

Ocak 23, 2022 10:21

FortiWeb kurulumunu anlattığımız serinin dördüncü yazısında Admin şifresi nasıl değiştirceğinizi, saat ve günü nasıl...

Metasploittable 2
Siber Güvenlik

Metasploittable 2

Ocak 22, 2022 11:57

Metasploittable 2 Nedir? Neden Kullanılır? Nasıl Kurulur? Metasploittable 2 Metasploit firması tarafından bizlerin güvenli...

FortiWeb Kurulumu 3- Firmware Güncellenmesi
Siber Güvenlik

FortiWeb Kurulumu 3- Firmware Güncellenmesi

Ocak 22, 2022 11:56

FortiWeb kurulumunu anlattığımız serinin üçüncü yazısında Firmware güncellemesini anlatacağız. FortiWeb cihazınız gönderildiğinde en son...

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama
Siber Güvenlik

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama

Ocak 21, 2022 7:50

FortiWeb kurulumu yazımızın ikinci serisinde Web UI veya CLI bağlamanın nasıl yapılacağını anlatacağız. Eğer...

Yapay Zeka Nedir?
Yazılım Geliştirme

Yapay Zeka Nedir?

Ocak 20, 2022 10:57

Sürekli olarak değişen, gelişen ve oldukça hızlı bir şekilde boyut atlayan, günümüze kadar gelen...

İletişim
OZZTECH Bilgi Teknolojileri olarak siber güvenlik danışmanlığı ve bilgi güvenliği eğitimleri alanlarında 10 yılı aşkın bir süredir ülkemizin önde gelen kurumlarına hizmet vermeye devam etmektedir. Detaylı bilgi ve danışmanlık hizmetlerimiz için aşağıdaki formu kullanarak veya [email protected] adresimiz üzerinden bizlerle iletişime geçebilirsiniz.