FortiWeb kurulumu yazımızın ikinci serisinde Web UI veya CLI bağlamanın nasıl yapılacağını anlatacağız. Eğer serinin ilk bölümünü okumadıysanız tıklayarak geçebilirsiniz.
FortiWeb cihazını konfigüre etmek, sürdürmek ve yönetmek için bağlantı kurmalısınız. FortiWeb aracına bağlanmak için 2 farklı yöntem vardır bunlar Web UI (Web Kullanıcı Arayüzü) ve CLI (Komut Satırı Arabirimi)’dir.
Web UI (Kullanıcı Arayüzü): Bir web tarayıcısı içinden bir grafik kullanıcı arayüzü (GUI). Raporları ve günlükleri görüntüleyebilir, ancak birçok gelişmiş tanılama komutu eksiktir.
Komut satırı arabirimi (CLI) — Güvenli Kabuk (SSH) veya Telnet terminalinden veya web kullanıcı arabirimindeki JavaScript CLI Konsolundan (System > Status > Status) DOS veya UNIX komutlarına benzer bir metin arabirimidir. Hem konfigürasyon hem de birçok gelişmiş tanılama komutuna erişim sağlar, ancak rapor ve log bulunmaz.
Ağınız üzerinden CLI veya web kullanıcı arayüzüne erişim aşağıda listelenen durumlarda henüz konfigüre edilmemişse:
- ilk kez bağlanırken
- Konfigürasyonun varsayılan durumuna sıfırlanması
- Firmware’in yeniden yüklenmesi
Bu durumlar yaşandığında, varsayılan ayarlar kullanılarak ilk olarak bilgisayarınızı doğrudan FortiWeb’e bağlamalısınız.
❗ | Bir FortiWeb -VM sanal cihazı kuruyorsanız zaten bağlanmış olmanız gerekir. Bağladıysanız bu bölümü atalayabilir ve admin hesabı şifresini değiştirmeye geçiş yapabilirsiniz. |
Doğrudan bağlantı ile, FortiWeb’in temel ağ ayarlarını yapılandırmak için web kullanıcı arayüzünü veya CLI’yi kullanabilirsiniz. İşlemden sonra fortiWeb’inizi kullanabilirsiniz.
❗ | FortiWeb cihazı bir IP adresi ile konfigüre edilene ve ağınıza bağlanana kadar, FortiWeb cihazını doğrudan yönetim bilgisayarınıza veya genel ağınızdan izole edilmiş her bir ağdaki switch aracılığıyla bağlayabilirsiniz. Böylece kurulum sırasında güvenlik artacaktır. |
Web UI bağlanma
Varsayılan ayarlarını kullanarak web kullanıcı arayüzüne bağlanabilirsiniz:
Network Interface | port1 |
URL | https://192.168.1.99/ |
Administrator Account | admin |
Password |
Gereksinimler
- RJ-45 Ethernet ağ bağlantı noktasına sahip bir bilgisayar
- Microsoft Internet Explorer version 6.0 veya üzeri ya da Mozilla Firefox 3.5 veya üzeri bir web tarayıcısı
- Bir çapraz Ethernet kablosu
Web kullanıcı arayüzüne (UI) bağlanmak için:
- Yönetim bilgisayarınızda, Ethernet portunu 192.168.1.2 statik IP adresi ve 255.255.255.0 netmask ile konfigüre edin.
- Bilgisayarınızın Ethernet bağlantı noktasını Ethernet kablosunu kullanarak FortiWeb cihazını port1’e bağlayın.
- Tarayıcınızı başlatın ve aşağıdaki URL’yi girin:
https://192.168.1.99
(“s” https:// deki ”s”yi eklemeyi unutmayın.)- Tarayıcınız cihaza bağlanır.
Bağlantı sırasında bir SSL şifre hatasından dolayı oturum açma sayfasını görmüyorsanız ve FortiWeb-VM deneme lisansına veya FortiWeb’in LENC sürümüne bağlanıyorsanız, tarayıcınızın konfigürasyonunu handshake esnasında 64 bit veya daha az güçte şifrelemeyi kabul edecek şekilde yapılması gerekir. 64 bitten daha az güce sahip RC2 ve DES desteklenir ancak AES ve 3DES bu sürümlerde desteklenmez.
Örneğin, Mozilla Firefox’ta bu hata mesajını alırsanız:
ssl_error_no_cypher_overlap
FortiWeb, HTTPS kimlik doğrulamasını desteklemek için istemcilere, FortiWeb cihazına bir HTTPS bağlantısı başlattıklarında sunduğu, kendinden imzalı güvenlik sertifikasıyla birlikte gelir. Bağlantı tamamlandığında, web tarayıcınıza ve FortiWeb cihazına önceki erişiminize bağlı olarak, tarayıcınız bu sertifikayla ilgili iki güvenlik uyarısı görüntüleyebilir:
- Direkt kendinden imzalı olduğu için sertifikaya otomatik olarak güvenilmez. Çünkü kendinden imzalı sertifikalar uygun bir CA (Geçerli bir sertifika yetkilisi) ile doğrulanamaz ve sahte olabilir. Manuel olarak sertifikaya güvenip güvenmeyeceğinizi ayarlamalısınız.
- Sertifika başka bir web sitesine ait olabilir. Genellikle web sitesinin host bilgisayar adını içeren, sertifikadaki ortak ad (CN) alanı talep edilen URL ile tam olarak eşleşmez. Bu, sunucu kimliği hırsızlığını gösteriyor olabilir ya da bir IP adresi girerken sertifikanın domain adı içerdiğini de gösteriyor olabilir. Bu tutarsızlığın normal olup olmadığını manuel olarak ayarlamalısınız.
Varsayılan sertifika için bu iki uyarının çıkması da normaldir. TLS v1.0 desteklenmektedir.
- Sertifikayı kalıcı veya geçici olarak doğrulayın ve kabul edin. (Web tarayıcısı kendi kendine imzalanan uyarıyı tekrar görüntülemez.) Sertifikayı kabul etmediğiniz sürece oturum açamazsınız.
- Sertifikayı kabul etmek ile ilgili ayrıntılar için web tarayıcınızın belgelerine bakın. Ad alanına
admin
yazın ve ardındanlogin
tuşuna tıklayın. Varsayılan durumunda, hesap için şifre yoktur.
Oturum açma bilgileri FortiWeb cihazına gönderilmeden önce şifrelenir. Giriş başarıyla gerçekleştiğinde, web kullanıcı arayüzü görünür. Firmware’i güncelleyerek devam etmek için Firmware güncellemeleri bölümüne bakın. Aksi takdirde, bir yönetici şifresi belirleyerek devam etmek için “Yönetici” hesabı parolasını değiştirme bölümüne bakın.
❗ | Arka arkaya tekrarlanan 3 hatalı oturum açma veya parola girişimi sonrası, IP adresiniz GUI ve CLI’den geçici olarak engellenir (network engellenir). Bu engelleme işleminin amacı, cihazı kaba kuvvet oturum açma saldırılarından korumak içindir. Belirtilen hatalı girişler sonrası 1 dakika bekleyin, ardından tekrar oturum açmayı deneyin. |
CLI’ye bağlanma
Varsayılan ayarları kullanarak, yönetim bilgisayarınızdan CLI’ye erişim yolları:
- Web Kullanıcı Arayüzü
- Yerel bir konsol bağlantısı
- Yerel veya ağ üzerinden bir SSH bağlantısı
Secure Shell (SSH), CLI’ye hem güvenli kimlik doğrulama hem de güvenli iletişim olanağı sağlar. Desteklenen SSH protokolü sürümleri, şifreleri ve bit güçleri, SSH versiyon 2 ile AES-128, 3DES, Blowfish ve SHA-1 içerir.
SSH aracılığıyla CLI’ye bağlanmak için default ayarlar:
Network Interface | port1 |
IP Address | 192.168.1.99 |
SSH Port Number | 22 |
Administrator Account | admin |
Password |
- Aşağıdaki durumlardan birisini yapmadıysanız yönetici erişim ayarları zaten konfigüre edilmiş olabilir:
- İlk kez bağlanmıyorsanız
- Konfigürasyonu default’a sıfırlamadıysanız
- Frmware’i geri yüklemediyseniz
❗ Böyle bir durumda varsayılan (default) ayarlar yerine IP adresini, yönetici erişim protokolünü, yönetici hesabını ve önceden yapılandırılmış parola aracılığıyla CLI’ye erişin.
❗ Başka bir yol ise, CLI’ye SSH ve bir public-private anahtar çifti ile erişim sağlayabilirsiniz. Ancak, bu seçeneği kullanmak için önce CLI Console widgetını kullanmalı veya ortak anahtarı yüklemek için SSH ve parola yoluyla CLI’ye erişim sağlamalısınız.
PuTTY yazılımı kullanılarak yapılan bağlantıyı açıklayan prosedürler aşağıda açıklanmıştır: işlem adımları, diğer terminal emülatörlerine göre değişebilir.
Web kullanıcı arayüzünde CLI’yi kullanmak için:
Zaten Web UI’ye bağlanma işlemini tamamlamış olmalısınız.
- Web kullanıcı arayüzündeki herhangi bir konumdan pencerenin sağ üst köşesinde Konsol Erişimi simgesine tıklayın:
- CLI Console’u Web Kullanıcı Ara yüzünden ayırmak için , CLI Konsolu penceresinin araç çubuğundaki Detach (ayır) simgesine tıklayın:
- Tarayıcınızda yeni bir sekmede CLI Console’u açılacaktır.
Yerel bir konsol bağlantısı kullanarak CLI’ye bağlanmak için:
Sahip olmanız gerekenler: |
1. Kullanılabilir seri iletişim (COM) portuna sahip bir bilgisayar |
2. FortiWeb paketinizde bulunan RJ-45-DB-9 veya boş modem kablosu |
3. PuTTY gibi terminal emülatör yazılımı |
- RJ-45-DB-9 veya boş modem kablosunu kullanarak bilgisayarınızın COM portunu FortiWeb cihazının konsol portuna bağlayın.
- FortiWeb cihazının açık olduğunu kontrol edin ve doğrulayın.
- Yönetim bilgisayarınızda terminal emulatör yazılımı başlatın.
- Soldaki Category bölümünün solunda kalan, Connection > Serial gidin ve aşağıdaki ayarları konfigüre edin:
Bağlanmak için Serial line | COM1 (eya bilgisayarınızda birden fazla serial portu varsa, bağlı serial portun adı) |
Speed (baud) | 9600 |
Data bits | 8 |
Stop bits | 1 |
Parity | None |
Flow control | None |
- Soldaki Category bölümünün solunda kalan Session (subnod değil logging)> Connection type gidin ve Serial öğesini seçin.
- Open’ı tıklayın .
- Bir bağlantı başlatmak için
Enter
tuşuna basın. admin
yazın ve hemen ardından iki kez Enter tuşuna basın. Varsayılan durumdaadmin
hesabı için şifre yoktur.
Daha sonra CLI, bir komut satırı istemini görüntüler: Welcome!
Artık komutları girebilirsiniz.
SSH bağlantısı ve parola kullanarak CLI’ye bağlanmak için:
Sahip olmanız gerekenler: |
RJ-45 Ethernet portuna sahip bir bilgisayar |
Doğrudan bağlanıyorsa bir çapraz Ethernet kablosu veya switch veya router aracılığıyla bağlanıyorsa düz Ethernet kablosu |
SSH bağlantılarını kabul edecek şekilde konfigüre edilmiş FortiWeb ağ arabirimi (Varsayılan olarak, port1 SSH’yi kabul eder. Daha sonra router ile bağlanıp statik bir rota konfigürasyonundan önce doğrudan bağlanmanız gerekebilir.) |
PuTTY gibi terminal emülatör yazılımı |
- Yönetim bilgisayarınızda, Ethernet bağlantı noktasını 192.168.1.2 statik IP adresi ve 255.255.255.0 netmask ile konfigüre edin.
- Ethernet kablosunu kullanarak bilgisayarınızın Ethernet portunu FortiWeb cihazının port1 bağlayın.
- FortiWeb cihazının açık olduğunu kontrol edin.
- Yönetim bilgisayarınızda, PuTTY gibi terminal emülatör yazılımını başlatın.
Başlangıçta, Session kategorisi ayarları görüntülenir. - Host Name (or IP Address alanına
192.168.1.99
. yazın. - Porta
22
yazın. - Connection type‘dan SSH’yi seçin .
- Ardından Open seçin .
- SSH istemcisi FortiWeb cihazına bağlanır .
- FortiWeb cihazına ilk kez bağlanıyorsanız ve SSH anahtarı SSH istemciniz tarafından henüz tanınmadıysa veya FortiWeb cihazına daha önce bağlandıysanız ama farklı IP adresi veya farklı SSH anahtarı kullandıysanız, SSH istemcisi bir uyarı mesajı verebilir. Yönetim bilgisayarınız, aralarında ağ ana bilgisayarı olmadan doğrudan FortiWeb cihazına bağlıysa, bu mesajın geliyor olması normaldir.
- Parmak izini doğrulamak ve FortiWeb cihazının SSH anahtarını kabul etmek için Yes’e tıklayın. Kabul edilmeden oturum açılmaz.
admin
yazın ve Enter‘a tıklayın. Varsayılan olarak hesap şifresi yoktur.
❗ | Arka arkaya tekrarlanan 3 hatalı oturum açma veya parola girişimi sonrası, IP adresiniz GUI ve CLI’den geçici olarak engellenir (network engellenir). Bu engelleme işleminin amacı, cihazı kaba kuvvet oturum açma saldırılarından korumak içindir. Belirtilen hatalı girişler sonrası 1 dakika bekleyin, ardından tekrar oturum açmayı deneyin. |
CLI, aşağıdaki gibi bir bilgi istemi görüntüler:
FortiWeb#
Artık komutları girebilirsiniz.
Bir SSH bağlantısı ve genel-özel anahtar çifti kullanarak CLI’ye bağlanmak için
- Bir anahtar oluşturucu kullanarak bir public-private anahtar çifti oluşturun.
- Private anahtarı, yönetim bilgisayarınızda SSH anahtarlarınızın depolandığı konuma kaydedin.
- Web kullanıcı arayüzü panosundaki CLI Konsolu pencere öğesini kullanarak veya bir SSH bağlantısı aracılığıyla CLI’ye bağlanın.
- CLI komutlarını kullanarak public anahtarı FortiWeb’e kopyalamak için aşağıdaki CLI komutunu kullanın:
config system admin
edit admin
set sshkey <sshkey>
end
- burada
<sshkey>
public anahtar verisidir.
Aşağıdaki veriler, bir ssh ortak anahtarının bir örneğidir:
“ssh-rsa
AAAAB3NzaC1yc2EAAAADAQABAAABAQDJWw9hWG6KC+RYViLmPVN283mNIwOVE9EyO+Rk SsQgqZzc/NkzWpR4A3f6egYUZ1TY3ERYJ350zpvtmVoM8sbtDyLjuj/OYqZWLr06jjd+ NBKNbl9crqGdcoi+5WYZ9qo8NKgW4yXrmcNzdM46c708mrKNc9cfVlCk2kJSNNEY8FRX fm3Ge7y0aNRuBBQ6n9LkYWSoW+AETwNt8ZS0/9tJ9gV6V6J4071Y8xSfM1VDJQwdneuX CpVrs3Fg1DijUdritp7W8ptxqgbLvdkRObaTvpEGSl6rBPZcsqQFCCgn1QHdE9UxoPA7 jpSrEZ/Gkh63kz5KC6dZgUg0G2IrIgXt”
- Özel anahtarı kullanarak oturum açmak için SSH kullanarak CLI’ye bir bağlantı açın.
- FortiWeb, CLI istemini görüntülediğinde, public anahtarı kullanarak oturum açmak için aşağıdaki komutu kullanın:
ssh -i <privatekey>
<private key>
, yönetim bilgisayarınızda depolanan özel anahtarın adıdır.
FortiWeb kurulumu yazımızın ikinci serisinde sizlere Web UI veya CLI bağlamanın nasıl yapıldığını açıkladık. Herhangi bir sorun yaşamanız durumunda bizimle iletişime geçerek destek alabilirsiniz.