Herkese selamlar arkadaşlar FortiGate ile öğrendiklerimi yazdığım serinin ilk makalesine hoş geldiniz. Öncelikle bu yazımda teknik konulardan ziyade kurulum ve genel olarak firewall mantığından bahsetmeye çalışacağım.
Firewall Nedir?
En net ve açıklayıcı ifade ile ağ trafiğini denetleyen belirlenmiş erişim ve bağlantı kurallarına göre izin verilen veya engellenen veri paketlerini kontrol eden bir network güvenlik cihazı diyebiliriz. Ağımız vasıtasıyla bilgisayarımıza gelen ve bilgisayarımızdan giden veriler bir port veya IP adresi üzerinden mi gönderiliyor yoksa zararlı bir yazılım tarafından mı gönderiliyor diye sürekli taranıyor. Bu şekilde ağımızı dış tehditlere karşı korur ve içeriye olacak bir yetkisiz erişimi engeller. Örneğin bilgisayarımızı kullanırken veya internette gezerken bazen bilgisayar tarafından tehlikeli işlem yapılabileceğine dair uyarılar alıyoruz. Bu uyarılar firewall dediğimiz bir güvenlik duvarı sayesinde veriliyor. Yani bilgisayarımızın dış dünya interneti ile arasındaki koruma kalkanı gibi.
Kabaca iki türe ayrılıyor diyebiliriz. Donanım tabanlı ve yazılım tabanlı firewall’lar. Yazılım tabanlı firewall’lar bir uygulamada veya işletim sisteminde üzerinde çalışan yazılım tabanlı güvenlik duvarlarıdır. Herhangi bir donanım gerektirmeden çalışır ama sistem kaynaklarını kullanır.
FortiGate 600F Modeli
Sanallaştırma Ortamının Oluşturulması
FortiGate gibi güvenlik cihazlarının kurulumu ve yapılandırması için sanallaştırma ortamı kullanmak gerçek bir ağ ortamında yapılan hataları yapmadan önce pratik yapma fırsatı sunuyor. VMware sanallaştırma konusunda oldukça popüler bir araç ve sanal makineler kurarak bu cihazlarının yapılandırılmasını daha hızlı ve etkili bir şekilde öğrenebiliriz.
Eğer VMware’i henüz kurmadıysanız aşağıdaki adımlarla kurulum yapabilirsiniz:
VMware Workstation‘ı indirip kurun.
Kurulum sırasında yönergeleri takip ederek VMware platformunuzu oluşturun.
Kurulum tamamlandıktan sonra yeni sanal makineler oluşturabilirsiniz. Bu makineler üzerinde FortiGate veya diğer güvenlik yazılımlarını rahatlıkla test edebilirsiniz.
Önce VMware sitesi üzerinden bir hesap oluşturup sonrasında bize uygun kurulumu yapmak için gerekli dosyayı indirip kuralım.
VMware İndirme Linki: VMware Workstation İndir
FortiGate İndirme ve Kurulum
FortiGate’in sanal makinesini VMware üzerinde kurmak için öncelikle FortiGate’in uygun sanal makine dosyasını indirmemiz gerekiyor.
FortiGate VM İndirme Linki: FortiGate-VM64 İndir
Buradan FortiGate’in sanal makine dosyasını (ovf formatında) indirebilirsiniz. Dosya zaten VMware ortamında kullanabileceğimiz yapılandırmalarla birlikte geliyor.
Kayıt olma ve indirme işlemini hallettikten sonra VMware’i açıyoruz ve sonra yeni bir sanal makine oluşturmak için “Open a Virtual Machine” (Sanal Makineyi Aç) seçeneğine tıklıyoruz. Burada dikkat etmemiz gereken şey FortiGate sanal makinesini içeren .ovf dosyasını seçmek.
Şimdi VMware tarafından sağlanan lisans sözleşmesini kabul etmemiz gerekiyor. Lisans sözleşmesini kabul ettikten sonra, “Next” diyerek kurulumu ilerletebilirsiniz.
Sanal makinenin kurulum yapılacağı klasörü seçtikten sonra FortiGate makinemize isim de verebiliriz. Örneğin “FortiGate-Firewall” ya da daha anlamlı bir şey belirleyebilirsiniz. Özel isim ilerleyen zamanlarda yönetim sırasında bize yardımcı olabilir.
FortiGate kurulumunu tamamladıktan sonra ilk kez giriş ekranıyla karşılaşıyoruz. Kullanıcı adı olarak “admin” yazmamız gerekiyor ve şifre kısmı boş (herhangi bir şey yazmıyoruz). Bu şekilde giriş yaptıktan sonra FortiGate bizden yeni bir şifre belirlememizi istiyor.
Yeni şifremizi belirledikten sonra şifreyi ikinci kez doğrulamamız gerekiyor. Şifreyi doğruladıktan sonra FortiGate’e erişim sağlıyoruz ve cihazımızın yönetim ekranına giriyoruz. Bu işlem cihazın güvenliğini sağlamak için önemli çünkü ilk kez giriş yaptıktan sonra cihaz şifresinin belirlenmesi gerekiyor.
Temiz bir kurulum yapmak ve doğru yapılandırmalara başlamak adına execute factoryreset komutunu girerek fabrika ayarlarına sıfırlama işlemini başlatıyoruz. Ardından ”y” (Yes) diyerek sıfırlamayı onaylıyoruz ve işlem tamamlanana kadar bekliyoruz.
FortiGate Konfigürasyonu
Fabrika ayarlarına sıfırlama işleminden sonra FortiGate cihazımızı yapılandırmaya başlıyoruz. Şimdi FortiGate’in CLI (komut satırı) ekranında ilk ağ yapılandırmalarını yapacağız.
Öncelikle görselde göründüğü gibi komutları sırasıyla giriyoruz.
-config system interface: Bu komutla cihazımızın ağ arayüzünü yapılandırmaya başlıyoruz. FortiGate cihazında ağ ayarlarını değiştirebilmek için bu komutla arayüz ayarlarına giriş yapıyoruz.
-edit port1: Komutu ile FortiGate cihazındaki port1 arayüzünü seçiyoruz. Bu port genellikle cihazın ağ bağlantısı için kullanılan birincil bağlantı oluyor.
-set mode static: FortiGate cihazımızın IP adresini manuel (statik) olarak belirlemek için bu komutu kullanıyoruz. Eğer DHCP kullanacak olsaydık, “static” yerine “dhcp” yazardık.
-set ip 192.168.1.200 255.255.255.0: Yazarak FortiGate cihazımızın IP adresini belirliyoruz. IP adresini farklı bir bloktan da verebilirsiniz. Ben örnek olarak 192.168.1.200 adresini girdim ve bu ağ üzerinde bu cihazla iletişim kurabilmek için kullanacağımız adres olmuş oldu.
-set allowaccess http https ping: Bu kısımda FortiGate’e hangi protokoller üzerinden erişebileceğimizi belirliyoruz. Burada HTTP, HTTPS ve Ping erişimlerine izin veriyoruz. Yani, cihazımıza web tarayıcısı üzerinden erişebilecek ve ağ üzerinden ping atabileceğiz.
-end: Yapılandırmayı bitirdiğimizi belirtiyoruz ve ayarları kaydediyoruz.
Artık tarayıcıya 192.168.1.200 IP adresini yazıp Enter tuşuna basıyoruz. ve FortiGate cihazının web arayüzüne ulaşıyoruz. Web arayüzü FortiGate cihazının yönetimini görsel olarak yapabileceğimiz bir arayüz ekranı diyebiliriz (GUI).
Web arayüzü açıldığında daha önce belirlediğimiz admin kullanıcı adı ve şifresiyle giriş yapıyoruz.
Web arayüzüne giriş yaptıktan sonra karşımıza FortiGate’in yönetim paneli geliyor. Buradan cihazın ağ ayarlarını, güvenlik politikalarını ve diğer yapılandırmalarını rahatlıkla yönetebiliriz.
Web arayüzüne giriş yaptıktan sonra sistem ayarlarını yapılandırmak için System menüsünün altındaki Settings kısmına giriyoruz. Öncelikle zaman dilimi ayarlarını yapmamız oldukça önemli çünkü doğru sistem saati cihazın doğru çalışması ve log kayıtlarının tutarlı olması için gerekli.
Time Zone (Zaman Dilimi) bölümünde, zaman dilimi olarak Istanbul‘u seçiyoruz. Bu, cihazımızın yerel saatine uygun şekilde çalışmasını sağlayacaktır.
Timeout kısmında da oturum süresi ayarlarını yapıyoruz. Varsayılan ayar genellikle 5 dakika civarındadır, ancak biz bunu 50 dakika olarak ayarlayabiliriz. Bu, cihazın oturumunun beklenmedik şekilde kapanmasını önler ve admin paneline sürekli erişim sağlıyor.
Bir diğer önemli güvenlik ayarı ise, HTTP ve HTTPS portlarıdır. Varsayılan olarak port 80 (HTTP) ve port 443 (HTTPS) kullanılır. Güvenlik amacıyla bu portları değiştirmek iyi olabilir.
Sanal Windows İçin Ağ Yapılandırması ve Statik IP Ayarı
FortiGate’i sanal ortamda kurduğumuzda genellikle ağ yapılandırmalarını düzgün bir şekilde yapmak, cihazların birbirleriyle iletişim kurabilmesi için kritik bir adımdır. Bu noktada Windows sanal makinesinin de doğru ağ ayarlarına sahip olması gerekiyor.
Sanal bir Windows makinesi kurduğumuz senaryoda statik IP ayarlarını kullanarak FortiGate ile bağlantı sağlarken sırasıyla şu adımları uygulayabiliriz. Başlat menüsünden Denetim Masasına gidiyoruz. Ağ ve Paylaşım Merkezi sekmesine tıklıyoruz. Ağ ve Paylaşım Merkezi’nde sağ tarafta Bağlantılar kısmında bağlı olduğumuz ağ bağlantısını buluyoruz ve üzerine tıklıyoruz. Açılan pencerede Ethernet Özellikleri kısmına tıklıyoruz. Ethernet Özellikleri penceresinde Internet Protokolü Sürümü 4 (TCP/IPv4) seçeneğini buluyoruz ve üzerine çift tıklıyoruz. Açılan pencerede Aşağıdaki IP adresini kullan seçeneğini işaretliyoruz. Statik IP adresimizi manuel olarak giriyoruz. IP adresi: 192.168.1.100, Alt ağ maskesi: 255.255.255.0, ve Varsayılan ağ geçidi: 192.168.1.1 bilgileri giriyoruz.
Bu adımlar sayesinde Windows makinemiz, ağ üzerinde sabit bir IP adresine sahip olacak ve FortiGate cihazı ile iletişim kurabilecektir.
Kurduğumuz sanal Windows makinemizde ağ bağlantısını düzgün bir şekilde yapılandırmak için LAN segmenti seçeneğini ekliyoruz. Sanal makineler arasında iletişimi sağlamak için yapıyoruz ve doğru yapılandırıldığında Windows sanal makinemiz ile FortiGate sanal firewall’ımızın aynı ağ üzerinde düzgün şekilde bağlantı kurmasını sağlıyor. Sanal windows makinemizin sağ tık yapıp Settings kısmından ayarlarına tıklıyoruz. Donanım ayarlarını yapabildiğimiz bu menüde Network Adapter sekmesine gelip LAN Segment seçeneğini seçiyoruz. Eğer yok ise kendimiz add butonuna basarak ekleyebiliriz. Ben windows adında bir LAN Segments ekledim.
Ardından FortiGate cihazımızın ikinci ağ adaptörünü LAN segmentine bağlayacağız. Bunun için FortiGate sanal makinemizin Settings bölümüne gidiyoruz ve Network Adapter 2 seçeneğini buluyoruz. LAN Segment kısmına tıklayarak, daha önce Windows sanal makinemize atadığımız aynı LAN segmentini seçiyoruz. Bu işlem, FortiGate ve Windows makinemizin aynı ağ üzerinde birbirleriyle iletişim kurabilmesini sağlar. İki cihazın aynı ağ segmentine bağlanması aralarındaki bağlantıyı mümkün kılıyor ve ağ yapılandırmasını tamamlamış oluyoruz.
Son olarak sanal Windows makinemizden FortiGate’in web arayüzüne erişiyoruz. Tarayıcımıza 192.168.1.200 IP adresini girerek FortiGate’in yönetim paneline giriş yapıyoruz. Siz farklı ip adresi örnekleriyle de yapabilirsiniz ben sanal windows değil de kendi tarayıcım üzerinden de erişmek için bu şekilde konfigüre ettim.
Buraya kadar okuduğunuz için teşekkürler..