Forum

Fortigate'e her ...
 
Bildirimler
Hepsini Temizle

Fortigate'e her önüne gelen bağlanamasın.

12 Yazılar
4 Üyeler
0 Likes
582 Görüntüleme
(@sertacsirma)
Gönderiler: 180
Reputable Member
Konu başlatıcı
 

Selamlar,

Kullanmakta olduğumuz bir Fortigate 80cm var. Bu cihaza erişim için normal adsl bağlantımızın real IP'sini kullanıyoruz ve IP'si statik olmayan bölgelerden bağlanmak için şu anda login'de IP kısıtı yok. Fakat bu bir güvenlik açığı elbette. Zaten sürekli login atakları oluyor cihaza. Buradan da durum anlaşılabiliyor açıkçası. Bu durumu nasıl kontrol altına alabiliriz? VPN yoluyla mı acaba?

Saygılarımla.

 
Gönderildi : 23/02/2012 21:28

Selim GÜRAKSIN
(@selimguraksin)
Gönderiler: 438
Reputable Member
 

Merhabalar,

VPN güzel bir çözüm olabilir aslında. Eğer fırsatın varsa VPN kur, 80c' ye DNS' de sadece localden erişim ver. (Ör: 80c.contoso.com)

Ama ikinci bir alternatifin daha var. 80c' de System > Admin > Administrator sekmesinde kullanıcı detayına girdiğin zaman Enable Two-factor Authentication seçeneğini göreceksin. Bunu aktif edersen Token, E-Mail ve SMS doğrulamalarını kullanabileceksin. SMS sistemin varsa bununla ilişkilendirebilirsin. Ama VPN' siz en iyi çözüm sanırım şifre girişinden sonraki ikinci E-Mail authentication' ı olacaktır.

Kolay gelsin...

 
Gönderildi : 23/02/2012 23:20

(@sertacsirma)
Gönderiler: 180
Reputable Member
Konu başlatıcı
 

Selim bey,

Cevabınız için teşekkürler. Fakat fortinette admin kısmında kullanıcı detaylarına girdiğimde sadece type trusted host  kısımları var. Aslında VPN aklıma yatıyor ama kurulum konusunda yeterli bilgim ve tecrübem olmadığı için ne nedir kestiremiyorum.

 
Gönderildi : 24/02/2012 00:27

Selim GÜRAKSIN
(@selimguraksin)
Gönderiler: 438
Reputable Member
 

Hocam fortigate' nin versiyonu kaç? Güncellemen gerekebilir.

Benim küçük bir lokasyonumda kullanıyorum. Ekran görüntüsü yukarıda. Dediğim gibi versiyon güncellemen gerekebilir. Yedeğini alıp rahatça bu işi çözebilirsin.

Kolay gelsin...

 
Gönderildi : 24/02/2012 12:20

(@sertacsirma)
Gönderiler: 180
Reputable Member
Konu başlatıcı
 

Hocam şu anda versiyon v4.0,build0313,110301 (MR2 Patch 4)

Aslında token meselesi tam aklımdaki şeyi yapmıyor. Benim amacım hiç login ekranına bile gelmemelerini sağlamak. Bunun yolu da VPN'den geçiyor galiba.

 
Gönderildi : 24/02/2012 20:56

Selim GÜRAKSIN
(@selimguraksin)
Gönderiler: 438
Reputable Member
 

Acilen versiyon yükseltmeni tavsiye ederim 🙂 Çok değişti. MR3 Patch3' e geçebilirsin bence. Şuan stabil durumda.

Token, E-Mail yada SMS gerçek kişi olduğunu doğrulamak için aslında. Eğer dediğin gibi ekranı hiç görülmesin istiyorsan VPN en mantıklısı. Benim merak ettiğim bir konu var. Bu cihaz senin Firewall' un. Her yerden bağlanmak sorun değil mi? Neden IP' sini sabitleyebileceğin bir cihaz için ayar yapmıyorsun. En basit yol şu olabilir.VINN tarzı bir model alıp sabit IP kullanabilirsin ve sadece sürekli yanında taşıdığın bir bilgisayar ile bu erişimi gerçekleştire bilirsin 🙂 Buda sana hardware çözüm.

Bu arada ben Fortigate' ye case açtım. Thursted Host kısmı için Mac adresi filtresi önerdim. Bakalım cevap gelecek mi?

Kolay gelsin...

 
Gönderildi : 25/02/2012 14:55

(@mehmet-ali)
Gönderiler: 337
Honorable Member
 

arkadaşlar forti üzerine mail adresini nerden ve nasıl tanımlamamız gerekir.

 
Gönderildi : 28/02/2012 12:41

(@mehmet-ali)
Gönderiler: 337
Honorable Member
 

mail göndermek için ayarları yaptım ama göndermemişti sonrasında araştırınca  console üzerinden smtp port ve source ip adresi belirlemek gerekiyormuş bunun için yapılması gereken console açıyoruz

config system alertemail

FGT (alertemail) # get
port               
: 25
server             
: 172.17.97.158
authenticate        : enable
password            : *

username            :
administrator

 

FGT (alertemail) # set port 587 

 ayarlamasını yapmamız gerekmekte sonuç gönderme yapıyor artık

 

 

 
Gönderildi : 28/02/2012 14:54

(@sertacsirma)
Gönderiler: 180
Reputable Member
Konu başlatıcı
 

Açtığım konuyla fazla ilgilenememişim kusura bakmayın. Cihaz'ı yükseltmeyi deneyeceğim. Bu arada haklısınız aslında cihaza her yerden erişim vermeye gerek yok. Eğer yapamazsam en sonunda sadece internal erişim verip işi sonlandıracağım.

 
Gönderildi : 25/03/2012 11:49

(@burakyilmaz)
Gönderiler: 159
Estimable Member
 

merhaba cihaz üzerinden ssl vpn oluşturun ve bütün rdp portlarını kapatın va admin setting kısmında http ve https erişim portlarını değiştirin ve firmware mr2 ph11  e yükseltin

iyi çalışmalar.

 
Gönderildi : 29/03/2012 14:28

(@sertacsirma)
Gönderiler: 180
Reputable Member
Konu başlatıcı
 

Burak bey,

Tüm dediklerinizi yaptım. Aslında ilk gün çalışıyordu vpn ama ikinci gün yani tamda cuma akşamı vpn offline oldu. Acaba ne oldu bende merak ettim. P.tesi anlayacağız.

 
Gönderildi : 08/04/2012 13:41

(@sertacsirma)
Gönderiler: 180
Reputable Member
Konu başlatıcı
 

Sorun VPN'de değil windows-KIS ve Fortinet Client üçlüsünün anlaşamamasındanmış. Temiz kurulum yapınca sorun kalmadı. Tabii bu da kesin çözüm değil. VPN şifresini ele geçiren sisteme yine dalış yapabilir 🙂 VPN user'larına IP kısıtı koyabiliyor muyuz? Yani sadece xxx.xxx.xx.xx ipsinin xxxx portuna bağlanabilsin gibi.

 
Gönderildi : 11/04/2012 10:44

Paylaş: