OzzTech - Fortinet Best Practise-En İyi Öneriler Serisi-8

Fortinet Best Practise-En İyi Öneriler Serisi-8

Ağ yapılandırması networking

Networking- Ağ yapılandırması

Ağ yapılandırması yani Networking konfigüre edilirken, korunan ağın "back door" erişimi olmadığıa dikkat edin. Örneğin, bir kablosuz erişim noktası varsa, parola ve şifreleme ile uygun şekilde korumalısınız.

IP adresleme, kablolama ve ağ yapılandırması öğelerini içeren güncel bir ağ şeması da bulundurduğunuzdan emin olmalısınız.

Yönlendirme yapılandırması

  • Her zaman varsayılan (default) rota oluşturmalısınız.
  • VPN tünelleri kullanılarak erişilebilen subnetler için blackhole yolları eklemelisiniz. Böylece, VPN tüneli çökerse trafiğin yanlışlıkla şifrelenmemiş bir şekilde İnternet'e yönlendirilmemesini sağlar.

Policy Yönlendirme

Rota aramada performansı en iyi duruma getirmek ve sorun gidermeyi basitleştirmek için policy yollarının sayısını en az sayıda tutun.

Dinamik yönlendirme

  • Bir arayüze atanan IP ile eşleşen bir Router ID seçin. Bu şekilde, aynı Router ID sahip iki cihaza sahip olma olasılığını ortadan kaldırır.
  • Bir IPsec tüneli üzerinden yönlendirme için, tünelin her iki ucuna da IP adresleri yapılandırın.

Gelişmiş Yönlendirme

Border Gateway Protocol (BGP) ve Önce En Kısa Yolu Aç (OSPF) ile uğraşırken gelişmiş yönlendirme yapabilmek için aşağıda yer verdiğimiz best practice yöntemlerini uygulayabilirsiniz.

Sınır Ağ Geçidi Protokolü (BGP)

BGP kullanıyorsanız, soft-reconfiguration'u etkinleştirmenizi öneririz. BGP kullanmanızın size iki faydası vardır:

  1. Bir BGP policysinde değişiklik yapıldıktan sonra peers için "soft clear" gerçekleştirmenizi sağlar.
  2. Her neighbordan öğrenilen belirli öneklere daha fazla görünürlük sağlar.

FortiGate'inizin belleğinde yeterince alan mevcut değilse, soft-reconfiguration'u devre dışı bırakın. Soft-reconfiguration, yerel BGP veritabanına ek olarak alınan ve duyurulan prefixlerin ayrı kopyalarının tutulmasını gerektirir.

Önce En Kısa Yolu Aç (OSPF)

  1. Mümkünse, her yerde pasif arayüzlerin kullanmamaya çalışın.
  2. Alanları bağlamak için sanal bağlantılar (virtual links) kullanmayın. Tüm alanlar doğrudan backbone alanına bağlanacak şekilde tasarlanmalıdır.
  3. Tüm backbone yönlendiricilerinin diğer backbone komşularıyla en az iki eşleme bağlantısına sahip olduğuna emin olmalısınız.
  4. OSPF etki alanının tamamı ortak yönetim (common administration) altında olmalıdır.

Ağ Adresi Çevirisi (NAT)

  • IP Pool aralığını yanlış yapılandırmaya karşı dikkatli olun. Her IP Pool aralığının başlangıç ​​ve bitiş IP adreslerini iki defa kontrol edin. IP Pool, FortiGate arabirimlerine veya doğrudan bağlı ağlardaki hostlara atanan adreslerle üst üste gelmemelidir.
  • Aynı sunuculara erişen dahili (internal) ve harici (external) kullanıcılarınız varsa, dahili kullanıcılara bir dahili IP sunmak için bölünmüş DNS kullanın, böylece harici VIP'yi kullanmalarına gerek kalmayacaktır.

NAT'ı yapılandırma

Bir uygulama tarafından gerekli olmadığı sürece, inbound trafik için NAT'ı etkinleştirmeyin. Mesela, inbound SMTP trafiği için NAT etkinleştirilirse, SMTP sunucusu açık geçiş (open relay) görevi görebilir.

Şeffaf Mod

  • Bir swtichdeki İki bağlantı noktasını aynı VLAN'a veya aynı hub'a bağlamayın. Çünkü, bazı Layer 2 switchleri, birden fazla switch arabiriminden veya birden fazla VLAN'dan gelen aynı MAC adresini algıladıklarında kararsız hale gelirler.
  • FortiGate ünitenizde birden fazla VLAN çalıştırıyorsanız, yayın kapsamının kaynaklandığı VLAN'ın ötesine geçmediğinden emin olmanız için, her VLAN kimliğini kendi yönlendirme etki alanına atamalısınız.

Layer 2 döngülerine karşı korumak için:

Tüm arabirimlerde stpforward'ı etkinleştirin.
Üretim trafiği (TP modu VDOM) ve yönetim trafiği (NAT modu VDOM) için ayrı VDOM'ler kullanmalısınız.
Yalnızca üretim için kullanılan arabirimleri TP modu VDOM'ye yerleştirin. Diğer tüm arayüzleri NAT modu VDOM'ye yerleştirin. Bu önlem sayesinde Layer 2 döngülerine karşı korunursunuz.

Ağ yapılandırması Networking için Sanal IP'leri (VIP'ler) kullanma

Harici arabirim IP adresinin dinamik olarak atandığı bir FortiGate birimi için VIP oluştururken 0.0.0.0 harici IP'sini kullanın.
Yeni bir sanal(virtual) IP (VIP) oluştururken doğru harici arayüzü seçtiğinizden emin olun. Harici arayüz, FortiGate ünitesinin harici ağlardan(external networks) bağlantı isteklerini aldığı arayüze ayarlanmalıdır.

Fortigate en iyi öneriler (fortigate best practise) serimizin beşinci bölümünün sonuna geldik. Okuduğunuz için teşekkür ederiz. Umarız işinize yaracaktır.

Fortinet Best practise serimizin bir önceki bölümünde Policy Konfigürasyonu/yapılandırmasını anlattık yazımıza ulaşmak için tıklayabilirsiniz.


İlginizi Çekebilecek Makaleler
FortiGate ACME Sertifika Desteği
Siber Güvenlik

FortiGate ACME Sertifika Desteği

Ocak 24, 2022 1:22

Otomatik Sertifika Yönetim Ortamı (ACME), RFC 8555’te tanımlandığı üzere, ücretsiz SSL sunucu sertifikaları sağlamak için genel Let’s...

Android Reverse Mühendisliği Araçları Örnek Vakalar
Siber Güvenlik

Android Reverse Mühendisliği Araçları Örnek Vakalar

Ocak 24, 2022 12:39

Bir önceki yazıda yeni çıkan android reverse mühendisliği araçları hakkında bilgi vermiştim. Bu yazımda...

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor
Siber Güvenlik

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor

Ocak 24, 2022 9:44

Emotet kötü amaçlı yazılım botnetinin dağıtımını içeren sosyal mühendislik kampanyaları, güvenlik çözümlerinin tespitinden kaçınmak...

FortiWeb Kurulumu 5-Operation Modu
Siber Güvenlik

FortiWeb Kurulumu 5-Operation Modu

Ocak 24, 2022 7:49

FortiWeb kurulumunu anlattığımız beşinci yazımızda operation modu ve FortiWeb cihazı açıldıktan sonra, FortiWeb cihazını...

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme
Siber Güvenlik

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme

Ocak 23, 2022 10:21

FortiWeb kurulumunu anlattığımız serinin dördüncü yazısında Admin şifresi nasıl değiştirceğinizi, saat ve günü nasıl...

Metasploittable 2
Siber Güvenlik

Metasploittable 2

Ocak 22, 2022 11:57

Metasploittable 2 Nedir? Neden Kullanılır? Nasıl Kurulur? Metasploittable 2 Metasploit firması tarafından bizlerin güvenli...

FortiWeb Kurulumu 3- Firmware Güncellenmesi
Siber Güvenlik

FortiWeb Kurulumu 3- Firmware Güncellenmesi

Ocak 22, 2022 11:56

FortiWeb kurulumunu anlattığımız serinin üçüncü yazısında Firmware güncellemesini anlatacağız. FortiWeb cihazınız gönderildiğinde en son...

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama
Siber Güvenlik

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama

Ocak 21, 2022 7:50

FortiWeb kurulumu yazımızın ikinci serisinde Web UI veya CLI bağlamanın nasıl yapılacağını anlatacağız. Eğer...

Yapay Zeka Nedir?
Yazılım Geliştirme

Yapay Zeka Nedir?

Ocak 20, 2022 10:57

Sürekli olarak değişen, gelişen ve oldukça hızlı bir şekilde boyut atlayan, günümüze kadar gelen...

İletişim
OZZTECH Bilgi Teknolojileri olarak siber güvenlik danışmanlığı ve bilgi güvenliği eğitimleri alanlarında 10 yılı aşkın bir süredir ülkemizin önde gelen kurumlarına hizmet vermeye devam etmektedir. Detaylı bilgi ve danışmanlık hizmetlerimiz için aşağıdaki formu kullanarak veya [email protected] adresimiz üzerinden bizlerle iletişime geçebilirsiniz.