Fortigate SSL-VPN Yapılandırması

Paylaş

SSL-VPN Nedir? Açılımı “Secure Sockets Layer Virtual Private Network” tür. Bir noktadan bir noktaya güvenli bağlantı kurulmasını sağlayan, pandemi süreciyle öneminin daha çok anlaşıldığı bir protokoldür. İnternet ortamının güvensizliği ve tehlikesi göz önüne alınarak, SSL protokolü kullanılarak şifreli bağlantı sağlanır. Bu bağlantı üzerinden kullanıcılar istenilen kaynağa erişilmesi sağlanır. VPN kendi içinde çeşitlidir. Daha önce bu konuyla ilgili makaleler buradan erişebilirsiniz.

SSL-VPN avantajları nelerdir?

  • Maliyeti düşüktür. Kullanıcı veya yazılım ile ilgili herhangi bir ücret ödenmez.
  • VPN ile bağlanmış cihazlar, aynı ağı paylaşır gibi çalışmaktadır.
  • Merkezden yönetilebilir bir network yapısı oluşturulmuş olur.
  • Kullanıcılar vs. artsa da herhangi bir ek donanıma ihtiyaç duyulmaz.
  • Kurulan bağlantı SSL protokolü kullanılarak şifreli olduğundan güvenlik konusunda güvenilirdir.
  • Merkezden yönetilebilir olduğundan yetki vb. gibi konularda VPN üzerinden yönetilebilir.

SSL-VPN Modları Nelerdir?

  • Tunnel Mode
  • Web Mode

Örnek Topoloji

Yukarıdaki örnek topolojimizi kontrol ettiğimizde günlük hayatımızdaki kullanım amacımıza çok yakın bir topoloji olduğunu görmekteyiz. Bu topolojiye bakarak evden şirkete SSL-VPN ile bağlanan bir kullanıcıyı görmekteyiz. Bu bağlantı ile firewall arkasında kurallar doğrultusunda izin verilen dosya, web arayüzü ve çeşitli dökümanlara erişebilmektedir. Bu işlemi gerçekleştirebilmesi için firewall üzerinde ne gibi işlemler yapılması gerekiyor adım adım bu işlemleri gerçekleştireceğiz.

SSL-VPN Kullanıcı Oluşturma

Öncelikle önemli noktalardan biri bağlanacak kullanıcı bilgisi için bir kullanılıcı oluşturmamız veya mevcut bilgiyi çekebilmemiz gerekmektedir.

Yukarıdaki seçenekler ile ilgili tamamen kullanıcı bazlı bir ekran olsa da bilgimiz olması açısından;

  • Local User : Fortigate üzerinden kullanıcı oluşturmak için kullanılmaktadır.
  • Remote RADIUS User : Şirket içinde kullanılan bir RADIUS server varsa ve kullanıcı bu sunucu üzerinden gelecek ise bu seçeneği seçip devam etmemiz gerekmektedir.
  • Remote TACACS+ User : Şirket içinde kullanılan bir TACACS server varsa ve kullanıcı bu sunucu üzerinden gelecek ise bu seçeneği seçip devam etmemiz gerekmektedir.
  • Remote LDAP User : LDAP üzerinde bir kullanıcımız var ise bu seçeneği seçip devam etmemiz gerekmektedir.
  • FSSO : FSSO açılımı Fortinet Single Sing-On ‘dur. FSSO agent kullanılıyor ise bu seçeneği seçmemiz gerekmektedir.
  • FortiNAC User : FortiNAC üzerinde kullanıcı var ise bu seçeneği seçmemiz gerekmektedir.

Bir local user üzerinden kurulum yapacağız. Öncelikle “Local User” seçeneğini seçip devam ediyoruz ve kullanıcımızı oluşturuyoruz. Kullanıcı adı ve şifremizi oluşturuyoruz.

Oluşturmakta olduğumuz kullanıcının güvenliği için two-factor uygulamak istiyorsak seçeneği seçip devam etmemiz gerekmektedir. Two-factor sayesinden kullanıcı bilgileri girildiğinden seçmiş olduğumuz seçeneğe göre SMS/Mail veya Fortitoken kodu isteyecektir. Telefonunuza Fortitoken uygulamasını yüklemeniz gerekmektedir.

Next diyerek devam ediyoruz.

Devam ederek kullanıcımızı oluşturuyoruz.

Kullanıcı kısmını oluşturduktan sonra ilk adımı bitirmiş oluyoruz. Sonrasında ise ana konumuz olan SSL-VPN konfigurasyonunu yapmamız gerekmektedir.

VPN menüsü altından “SSL-VPN Portals” kısmına girmemiz gerekmektedir. İlgili menünün altına girdikten sonra “Create New” diyerek yeni bir SSL-VPN oluşturmak için sayfaya yönlendiriliyoruz.

Karşımıza yukarıdaki ekran gelecektir. Burada kuracağımız SSL-VPN ‘e bir isim ve tunnel modunu seçmemizi istemektedir. Buradaki seçenekler altında işlevi yazsada kısaca bakacak olursak;

  • Disabled : Hem internet trafiği hem VPN trafiği SSL-VPN üzerinden geçer.
  • Enabled Based on Policy Destination : Sadece routing edilen adreslere SSL-VPN üzerinden erişilir geri kalan route’lara internet üzerinden çıkılır.
  • Enabled for Trusted Destinations : Hedef ile eşleşmeyen istemci trafiğini SSL-VPN üzerinden iletilmesini istiyorsak bu seçeneği seçerek devam ediyoruz

Aşağıya doğru devam ettiğimizde ise “Routing Address Override” ve Source IP Pools” seçeneklerini görmekteyiz.

  • Routing Address Override : SSL-VPN bağlanan kullanıcının hangi IP adreslerine erişeceği bilgisi girilir.
  • Source IP Pools : SSL-VPN ile bağlanan kullanıcının alacağını IP adresi belirlenmektedir.

Gerekli ayarları yaptıktan sonra bir sonraki aşamaya gelmekteyiz. Burada bize tunnel modunda istemci seçeneklerini sormaktadır. Bunlar;

  • Allow client to save password : Bağlanan kullanıcının parolasının kayıtlı kalmasına izin verir.
  • Allow client to connect automatically : Kullanıcının otomatik bağlanmasına izin verir.
  • Allow client to keep connections alive : Kullanıcının sürekli bağlı kalmasına izin verir.
  • DNS Split Tunneling : Farklı bir DNS yönlendirmek için tunnel oluşturmaya izin verir.

Yukarıda gördüğümüz kısma geldiğimiz ise “Web Mode” ile karşılaşmaktayız. Web mode Forticlient uygulamasına gerek duymadan web üzerinden erişim sağlamamıza yarayan bir seçenektir. Web üzerinden eriştikten sonra erişebileceği adressler “Predefined Bookmarks” kısmına girilir. Genelde tercih edilmemektedir.

Devam edip ayarlarımızı kaydediyoruz. Sonrasında son adım olarak “SSL-VPN Settings” menüsü altında ayarlarımızı yapıyoruz.

Listen on İnterface(s) : Burada SSL-VPN bağlantısının geleceği interface seçmeliyiz. Genelde SSL-VPN bağlantısı WAN bacağından yapılacağından WAN interface seçmeniz yeterli olacaktır.

Listen on Port : SSL-VPN bağlantısının geleceği port numarasını belirliyoruz. Standartta 443 olarak gelmektedir fakat güvenlik amaçlı hiç bişey standartta kalmamalıdır. Burada bir port numarası belirleyerek devam ediyoruz.

Server Certificate : SSL-VPN bağlantısı için gelen istekte karşılanacak seltifika belirliyoruz.

Redirect HTTP to SSL-VPN : HTTP isteklerini direkt olarak SSL-VPN yönlendirir.

Restrict Access: SSL-VPN üzerinden bağlantı yapacak kullanıcılarla ilgili bağlantı yapabilmesi için ayar yapılan sekmedir. Burada belirli bir kullanıcıya izin verilebilir veya tüm kullanıcılara izin verilir.

Idle Logout : Kullanıcıların bağlantı süresi ayarlanabilir.

Require Client Certificate : Kullanıcı veya grupların seltifika bazlı kontrol edilmesi istendiğinde aktif edilir.

Address Range : Bu kısımda karşımıza iki seçenek çıkmaktadır. Automatically seçeneği normalde SSL-VPN yapılandırması sırasından “Source Pool” kısmında belirlediğim IP aralığını otomatik çekecektir. Fakat zamanla bağlantı sayısının artması veya farklı bir IP ile ilgili erişim yapılması istendiğinde “Specify custom IP ranges” seçerek IP adresi girilebilir.

DNS Server : Bir DNS sunucunuz var bilgilerini buraya girebilirsiniz.

Authentication/portal mapping : Bu kısımda da SSL-VPN yapılandırması öncesi oluşturmuş olduğumuz kullanıcı veya kullanıcı gruplarını atadığımız bölümdür. Burada kullanıcılar eklenerek porttallara dahil edilir.

Sonrasında yapılan işlemler doğru ise bağlantı sorunsuz sağlanacaktır.

Devamını Oku

Son Paylaşılanlar