Fortinet

Fortigate Firewall IPSEC VPN Bağlantısı ( Fortigate Firewall IPSEC VPN Connections )

IPSEC Vpn Bağlantısı; en az iki networkün bir biri ile güvenli bir şekilde bağlantısı sonucu oluşan WAN bağlantı çözümlerinden bir tanesidir.

Bu ihtiyacı karşılayacak olan yazılımsal ve donanımsal olmak üzere bir çok ürün piyasada olup, bizler bu çözümü sağlayan Fortigate Firewall’ dan bahsedeceğiz.

Sahip olduğumuz yapıda, her iki noktamızda Fortigate 60B Firewallımız bulunmaktadır.

Bu iki firewallın, güvenli bir şekilde iki noktayı bir birine bağlaması sırasında yapacak oldukları eylemlerden bahsetmemiz gerekirse iki firewallımız ilk önce bir birleri arasında Authentication (kimlik doğrulama ) işlemlerini gerçekleştireceklerdir. Her iki firewallımız bir birleri arasında authentication işlemini bizlerin belirlemiş olduğumuz PreSharekey (Paylaşılmış anahtar)’ i kullanacaklardır. Her iki firewallımıza da belirlemiş olduğumuz paylaşılmış anahtarı yukleyerek birbirleri ile kimliklerini doğrulamalarını gerçekleştireceğiz. Bu anahtar bir birlerinden farklı olursa Authentication işlemi başarısız olacaktır. Authentication işlemi gerçekleşirken Fortigate firewallımız sahip olduğu 3DES Encryption metodu ile güvenliğimizi üst seviyeye çıkartacaktır.

IP Sec VPN Bağlantısı, daha önceki makalelerimde bahsetmiş olduğum PPTP VPN Connections ve SSL VPN Connections Bağlantılarına göre bağlantı sırasında kullanıcı tarafında hiç bir dial-up veya web arayuzunden herhangi bir bağlantı, kimlik denetleme yapmadan, lokasyonlarımızda bulunan kullanıcılarımıza yukarıda bahsetmiş olduğumuz Paylaşılmış KEY leri vermeden yapılacka olan bağlantıdır. IPSEC VPN Bağlantımızda PPTP ve SSL VPN bağlantısında ki kimlik doğrulama işlemlerini kullanıcı yerine firewallarımız sürekli veya belirlediğimiz zaman dilimlerinde kendileri gerçekleştirmektedirler.

 

image001

Senaryomuza göre iki farklı noktada bulunan lokasyonlarımızı, Fortigate 60B serisi firewallar ile bağlayacağız.

 

image002

image003

Firewallarımızın her ikisine de kendi sahip oldukları IP Bloklarını ve Bağlantı kurulacak olan IP Blogunu Firewall Address altında Create New butonuna basarak IP bloklarımızı tanıtıyoruz.

image004

Firewall Address  bölümü altında yukarıda ki resimde görüldüğü üzere tanıtmış olduğumuz IP Bloklarımızı görebiliyoruz.

image005

IP Bloklarımız tanıtıldıktan sonra Vigos Lokasyonunda bulunan Firewallımızın VPN IPSEC bölümüne gelerek Create Phase 1 butonuna basarak bilgilerimizi giriyoruz. Dikkat etmemiz gereken noktalar;

IP Adres kısmına bağlanılacak olan Uzak lokasyonun WAN IP Adresini tanımlıyoruz.

Local Interface bölümünde hangi WAN çıkışları ile iletişim kuracağını belirliyoruz. (Fortigate firewallar bir den fazla WAN çıkışlarını kontrol edebilmektedirler.)

Authentication Method bölümüne senaryomuzun gereği PreShare Key bölümünü seçiyoruz

Not: Authentication Method olarak yapımıza, ihtiyacımıza veya güvenlik düşüncemize göre RSA Signuture seçilebilir ki buda Fortigate Firewallımız içine yukle sertifikalar ile iletişim kuracağımız anlamına gelmektedir. Eğer paylaşılmış anahtarımızı üçüncü bir kişi tarafından ele geçirilmediği sürece bizim yapmış olduğumuz çözüm de en az RSA Signuture kadar güvenli olacaktır.

PreShare Key iki firewallın bir birleri ile iletişim kurabilmesi için paylaşılmış anahtarımızı yazıyoruz.

Ok butonu Phase 1 bölümünden dışarıya çıkıyoruz.

 

image006

Tekrardan Firewallımızın VPN IPSEC bölümüne geldiğimizde Create Phase 2 butonuna tıklıyoruz. Bu bölümde Name bölümüne isteğe bağlı bir isim veriyoruz. Pğhase 1 böümünde ise biraz evvel yapmış olduğumuz IPSEC Tunel’ i seçiyoruz.

 

image007

Firewallımızın VPN IPSEC bölümüne girdiğimiz zaman yapmış olduğumuz her iki eylemin sonuçlarını görebilmekteyiz.

Vigos Firewall üzerinde yapmış olduğumuz tanımlamalardan sonra aynı işlemleri Sporting firewall içinde yapacağız.

 

image008

Sporting firewall ; Firewall VPN

 

image009

Sporting firewall ; Firewall VPN

 

image010

Sporting firewall ; Firewall VPN

Her iki firewallımızda da karşılıklı olarak IP adreslerini, Ortak Paylaşılmış Anahtar ve authjentication işlemlerini bire bir yaptıktan sonra VPN Konfigurasyonu için yapacak olduğumuz eylemleri bitirmiş oluyoruz.

 

image011

Tekrardan Vigos Firewallımızın içine girerek Firewall Policy kısmında Create New butonu ile yeni bir kural oluşturacağız. Kuralımız Vigos Networkü için;

Internal Network için de bulunan bütün kullanıcılar.

Address Name Vigos IP Bloguna sahip olan

Wan 1 interfacesini kullanarak

Sporting IP Bloguna

Action oluşturduğumuz IPSEC bağlantısı üzerinden gitmeleri için kuralımızı oluşturuyoruz.

image012

Oluşturmuş olduğumuz kuralımız Policy sıralamamızda en son oluşturulduğu için ve bu policyi etkileyecek kurallar yukarıda olduğu için bağlantı bnaşarısız olacaktır. Bunun için kuralımızı en ust deki kuralımız ile değiştireceğiz. Policy mizin en sağında bulunan Move TO butonu nu kullanarak

image013

En üst de bulunan 9 numaralı policymizden önce olmasını isteyeceğiz.

image014

IPSEC VPn Bağlantısı için oluşlturmuş olduğumuz kuralımız artık hiç bir policyden etkilenmeyecek şekilde en üstdedir.

image015

Aynı işlemleri tekrardan Sporting Firewallı için de gerçekleştiriyoruz.

image016

Yapacak olduğumuz işlemlerin gerçekleşebilmesi için her iki firewallımızıda Reboot yapmamız gerekmektedir.

image017

Firewallarımız açıldıktan sonra her iki firewallımızın Firewall VPN IPSEC Monitoring kısmına gelerek Down durumunda olan bağlantıyı UP duruma getiriyoruz.

Not : Her iki networkden her hangi birisi internet bağlantısı kesilmesi, firewallın kapanması – açılması vb.. olayların neticesi sonucunda IPSEC VPN bağlantımız manuel, bu bölüme gelip manuel olarak tetiklemediğimiz sürece kapalı durumda olacaktır.

Her iki firewallımızın bağlantısını UP duruma getirdikten sonra yapılandırmamız bitmiş olup testlerimizi yapabiliriz.

image018

Vigos  ve Sporting networklerinden her hangi bir manuel bağlantı gerçekleştirmeden bağlantının gerçekleştiğini, Uzak networke bağlantı kurulduğunu görebilmekteyiz.

image019

Vigos Server üzerinden Sporting networkünde bulunan Firewallımızı, Networkümüze bağlantıyı, sanki aynı networkdeymisiz gibi bağlanabiliyoruz.

image020

Keza aynı şekilde sporting networkünden Vigos networküne iletişiminde bu şekilde olduğunu görebilmekteyiz.

image021

Son olarak Tracert komutu ile izlemiş olduğu yolu gösterecek olursak 3 hops (3 farklı router) geçerek iletişimi tamamladığını görebilmekteyiz.

Not : Fortigate IPSEC firewall bağlantısını her iki noktada Fortigate olmaksızın yani bir noktamızda Fortigate Firewall, diğer noktmmızda ise 3DES veya firewallımızda tanıttığımız diğer şifreleme metodunu destekleyen X bir modem ile de gerçekleştirmemiz mümkündür. Sebebi bu şifreleme metodu Forinet firmasına ait bir çözüm olmayıp bir çok firmanın kullanmış olduğu bir şifreleme metodudur.

Kaynak : http://docs.forticare.com/fgt/techdocs/FortiGate_IPSec_VPN_User_Guide_01-30005-0065-20070716.pdf

Fatih KARAALİOĞLU

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu