OzzTech - Fortinet Best Practise-En İyi Öneriler Serisi-9

Fortinet Best Practise-En İyi Öneriler Serisi-9

FortiGate Kümeleme Protokolü

FortiGate Kümeleme Protokolü ile Yüksek Erişilebilirlik

FortiGate Kümeleme Protokolü uygulamalarınızda aşağıda verdiğimiz önerilerimizi uygulayarak yüksek erişilebilirlik elde edebilirsiniz.

  • Fortigate kümeleme protokolü uygulamaya başlamak için ilk önce Active-Active HA'yı kullanarak TCP ve UTM oturumlarını birden çok küme birimi arasında dağıtabilirsiniz. Active-Active bir küme, bağımsız bir FortiGate biriminden veya Active-Passive bir kümeden daha yüksek verim almanızı sağlayacaktır.
  • Bir HA kümesini konfigüre ederken her FortiGate birimi için farklı bir ana bilgisayar(host) adı kullanın. HA'yı yapılandırmadan ve bir küme oluşturmadan önce her küme birimine ana bilgisayar adları eklemek için daha az adım gerekir.
  • Eğer HA sinyali için kullanılan arabirimlere bir Takma Ad (Alias) eklerseniz, her zaman bu arabirimlerin ne için kullanıldığına dair hatırlatma alırsınız.
  • load-balance-all işlemini etkinleştirmek, daha fazla trafik load balanced (dengeli) olduğundan dolayı cihaz ve ağ yükünü(load) artırabilir. FortiGate biriminin ve IPS'nin güvenlik duvarı yeteneklerini kullanan bir dağıtımda kullanım için bu işlem uygun olabilir, ancak başka bir içerik denetimi yapılmaz.
  • Oturum başlatma avantajlarından birisi, non-content inceleme oturumlarının bir failover işleminden sonra yeni birincil birim tarafından alınmasıdır. Dezavantajı ise, oturum tablosunun daha büyük bir bölümünün senkronize edilmesi gerektiğinden, kümenin oturum başlatmayı desteklemek için daha fazla sinyal trafiği oluşturmasıdır. Oturum başlatma sadece gerekirse konfigüre edilmelidir ve SOHO FortiGate modelleriyle kullanılması önerilmez. Oturum başlatma yalnızca birincil sinyal bağlantısı ayrılmışsa kullanılmalıdır. Aksi halde, ek HA sinyal trafiği ağ performansını etkileyecektir.
  • Eğer oturum başlatma seçilmezse, bir cihaz veya bağlantı failoverdan sonra tüm oturumlar kısa bir süreliğine kesilir ve küme yeniden anlaştıktan sonra uygulama düzeyinde tekrardan kurulmalıdır. Örneğin, bir failover işleminden sonra, web'de gezinen kullanıcılar, taramaya devam etmek için tarayıcılarını yenileyebilir. Büyük dosyaları indiren kullanıcıların, failover işleminden sonra indirmelerini yeniden başlatmaları gerekebilmektedir. Diğer protokoller veri kaybı yaşayabilir ve bazı protokoller, oturumların yeniden manuel olarak başlatılmasını gerektirebilir. Örneğin, FTP ile dosya indiren bir kullanıcının muhtemelen indirmeleri ya da FTP istemcisini yeniden başlatması gerekebilir.
  • Oturum başlatmayı etkinleştirmeniz gerekiyorsa, senkronize edilen oturumların sayısını azaltarak performansı artırmak için session-pickup-delay  etkinleştirebilirsiniz.
  • Oturum senkronizasyon trafiğini HA sinyal bağlantısından bir veya daha fazla ayrılmış oturum senkronizasyon arayüzüne taşımak için session-sync-dev seçeneğini kullanabilirsiniz.
  • Beklenmeyen sonuçlar yaşamamanız için, bir aktif-pasif kümede birden fazla yedekli veya toplu arabirime bir switch bağladığınızda, switch üzerinde ayrı olarak her küme biri için bir tane yedekli veya toplu arabirimler yapılandırmanız gerekir.
  • Failover mesajları için bir kümeyi izlemek için SNMP, syslog veya e-posta uyarılarını kullanın. Çünkü Küme failoverla ilgili uyarı mesajları, ağ sorunlarının hızlı ve verimli bir şekilde bulunmasına ve tanılanmasına yardımcı olacaktır.

Fortinet Sinyal Bağlantıları

Fortinet, sinyal bağlantıları arayüzleriyle ilgili aşağıdaki uygulamaları öneririz:

HA sinyal bağlantısı için FortiGate switch bağlantı noktası kullanmayın. Herhangi bir HA arayüzü yoksa, bir switch bağlantı noktasını ayrı bir (individual) arayüze dönüştürün.

  • En az iki sinyal arabirimi konfigüre edin ve bu arabirimleri farklı öncelikleri olacak şekilde ayarlayın.
  • İki FortiGate biriminden oluşan kümeler için, mümkün olduğunca, sinyal bağlantısı arayüzleri patch kablolar kullanılarak diğer ağ ekipmanlarını kullanmadan direkt bağlanmalıdır. Switchlerin kullanılması gerekiyorsa, switchleri doldurabilecek ve sinyal bağlantılarının gecikmelerine neden olabilecek diğer network trafiği için kullanılmamalıdır.
  • Özel bir switch kullanamıyorsanız, atanmış bir VLAN kullanmanız, sinyal trafiğini ve oluşturduğu bant genişliğini koruyabilmek için yayın alanını sınırlamaya yardımcı olabilir.
  • Üç veya dört FortiGate ünitesinden oluşan kümelerde, sinyal bağlantısı arayüzlerini bağlamak için switchleri kullanmalısınız. Kümedeki her FortiGate biriminin karşılık gelen sinyal bağlantısı arayüzü aynı Switche bağlanmalıdır. Gelişmiş yedek sağlayabilmeniz için her bir sinyal bağlantısı arayüzü için farklı bir anahtar kullanmalısınız. Böylece, sinyal bağlantısı arayüzlerinden birini bağlayan switchin bozulması veya takılmaması durumunda bile sinyal bağlantısı trafiği diğer arayüzlerinde devam edebilir ve geçiş yapabilecektir.
  • Diğer kullanıcı ağlarından sinyal bağlantısı arayüzlerini ayırın. Sinyal bağlantısı paketleri, hassas küme yapılandırma bilgilerini barındırır ve önemli miktarda ağ bant genişliği harcar. Küme iki FortiGate biriminden oluşuyorsa, bağlantı noktası arayüzlerini doğrudan bir çapraz kablo veya normal bir Ethernet kablosu kullanarak bağlayın. İkiden fazla birimi olan kümeler için, sinyal arabirimlerini herhangi bir ağa bağlı olmayan ayrı bir switche bağlayın.
    Sinyal trafiği kullanıcı networklerinden ayırılmazsa, küme bilgilerini koruyabilmek adına sinyal mesajı şifrelemesini ve kimlik doğrulamasını etkinleştirin.
  • Yedek sinyal arabirimlerini yapılandırın ve bağlayın, böylece bir sinyal arayüzü arızalanırsa veya bağlantısı kesilirse, HA sinyal trafiği yedek sinyal arabirimi kullanılarak iletilmeye devam edecektir. Sinyal bağlantısı iletişimi başarısız olursa, tüm küme üyeleri, Bölünmüş beyin olarak adlandırılan bu durumda, ağ üzerinde aynı IP adreslerine ve MAC adreslerine sahip birden fazla cihazla sonuçlanan birincil birim olduklarını düşünür ve sinyal bağlantısı iletişimi yeniden kurulana kadar iletişim kesintiye uğrar.
  • Özel sinyal bağlantısı arayüzlerini izlemeyin; bunun yerine arızası bir aygıt failover tetiklemesi gereken arabirimleri izleyin.
  • NP4 veya NP6 ile ilgili sorunların sinyal bağlantısı trafiğini etkilemesini önleyebilmek için, en az bir sinyal bağlantısı arabirimi bir NP4 veya NP6 işlemcisine bağlanmamalıdır.
  • Mümkün olduğunda, sinyal arabirimleri ağ trafiğini de işleyen bir NP4 veya NP6 işlemcisine bağlanmamalıdır.
  • Mümkün olduğunda, her bir kalp atışı arabirimi farklı bir NP4 veya NP6 işlemcisine bağlanmalıdır.
  • Herhangi bir FortiGate arabirimi, 10/100/1000Base-T, SFP, QSFP fiber ve bakır vb. dahil olmak üzere bir sinyal bağlantısı arabirimi olarak kullanılabilir. Böylece sinyal bağlantısı arabirimleri olarak iki veya daha fazla arabirim kurulumu yaparsanız her ara birimde farklı bir tür ve hız olabilir.

Arayüz İzleme (Port Monitoring)

  • Arayüz izlemeyi etkinleştirmenizden önce, bir küme çalışır duruma gelene kadar ve tüm arabirimler bağlanana kadar beklemelisiniz. Aksi halde, İzlenen bir arabirimin bağlantısı, ilk kurulum sırasında kolayca kesilebilir ve küme tamamen konfigüre edilip test edilmesinden önce failoverların oluşmasına neden olabilir.
  • Yüksek öncelikli trafiği işleyen ağlara bağlı arabirimleri izleyin, böylece bir hata oluşması durumunda kümenin bu ağlara olan bağlantıları korur.
  • Bütün arabirimler için arabirim izlemeyi konfigüre etmemeye çalışın.
  • Uzak (remote) bağlantı failover ile ek arayüz izlemeyi tamamlayın. Bir küme birimine doğrudan bağlı olmayan bir bağlantı başarısız olursa, paket akışını sürdürmek için uzak bağlantı failoverını yapılandırın. Örnek verecek olursak, bir küme arabirimine bağlı bir anahtar ile ağ arasında bağlantı başarısız olursa uzak bağlantı failoverını konfigüre etmelisiniz.

Fortigate en iyi öneriler (fortigate best practise) serimizin dokuzuncu bölümünün sonuna geldik. Okuduğunuz için teşekkür ederiz. Umarız işinize yarayacaktır.

Fortinet Best Practise serimizin bir önceki bölümünde anlattığımız Ağ Yapılandırması- Networking konulu yazımıza ulaşmak için tıklayabilirsiniz.


İlginizi Çekebilecek Makaleler
FortiGate ACME Sertifika Desteği
Siber Güvenlik

FortiGate ACME Sertifika Desteği

Ocak 24, 2022 1:22

Otomatik Sertifika Yönetim Ortamı (ACME), RFC 8555’te tanımlandığı üzere, ücretsiz SSL sunucu sertifikaları sağlamak için genel Let’s...

Android Reverse Mühendisliği Araçları Örnek Vakalar
Siber Güvenlik

Android Reverse Mühendisliği Araçları Örnek Vakalar

Ocak 24, 2022 12:39

Bir önceki yazıda yeni çıkan android reverse mühendisliği araçları hakkında bilgi vermiştim. Bu yazımda...

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor
Siber Güvenlik

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor

Ocak 24, 2022 9:44

Emotet kötü amaçlı yazılım botnetinin dağıtımını içeren sosyal mühendislik kampanyaları, güvenlik çözümlerinin tespitinden kaçınmak...

FortiWeb Kurulumu 5-Operation Modu
Siber Güvenlik

FortiWeb Kurulumu 5-Operation Modu

Ocak 24, 2022 7:49

FortiWeb kurulumunu anlattığımız beşinci yazımızda operation modu ve FortiWeb cihazı açıldıktan sonra, FortiWeb cihazını...

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme
Siber Güvenlik

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme

Ocak 23, 2022 10:21

FortiWeb kurulumunu anlattığımız serinin dördüncü yazısında Admin şifresi nasıl değiştirceğinizi, saat ve günü nasıl...

Metasploittable 2
Siber Güvenlik

Metasploittable 2

Ocak 22, 2022 11:57

Metasploittable 2 Nedir? Neden Kullanılır? Nasıl Kurulur? Metasploittable 2 Metasploit firması tarafından bizlerin güvenli...

FortiWeb Kurulumu 3- Firmware Güncellenmesi
Siber Güvenlik

FortiWeb Kurulumu 3- Firmware Güncellenmesi

Ocak 22, 2022 11:56

FortiWeb kurulumunu anlattığımız serinin üçüncü yazısında Firmware güncellemesini anlatacağız. FortiWeb cihazınız gönderildiğinde en son...

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama
Siber Güvenlik

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama

Ocak 21, 2022 7:50

FortiWeb kurulumu yazımızın ikinci serisinde Web UI veya CLI bağlamanın nasıl yapılacağını anlatacağız. Eğer...

Yapay Zeka Nedir?
Yazılım Geliştirme

Yapay Zeka Nedir?

Ocak 20, 2022 10:57

Sürekli olarak değişen, gelişen ve oldukça hızlı bir şekilde boyut atlayan, günümüze kadar gelen...

İletişim
OZZTECH Bilgi Teknolojileri olarak siber güvenlik danışmanlığı ve bilgi güvenliği eğitimleri alanlarında 10 yılı aşkın bir süredir ülkemizin önde gelen kurumlarına hizmet vermeye devam etmektedir. Detaylı bilgi ve danışmanlık hizmetlerimiz için aşağıdaki formu kullanarak veya [email protected] adresimiz üzerinden bizlerle iletişime geçebilirsiniz.