Forum

Fortigate Ortam Kıs...
 
Bildirimler
Hepsini Temizle

[Çözüldü] Fortigate Ortam Kısıtlaması

6 Yazılar
4 Üyeler
2 Reactions
256 Görüntüleme
(@agaccavdiran)
Gönderiler: 24
Eminent Member
Konu başlatıcı
 

Selamlar,

İçinden çıkamadığım bir sorunum var, fikirlerinizle yol gösterebilirseniz sevinirim :).Öncelikle forti konusunda kısıtlı bilgiye sahibim. Bazı sebeplerden ötürü yönetimi bizde olmayan bir forti firewall umuz var ve yönetimi danışmanlık firması yapmakta tabi ki bizim taleplerimiz doğrultusunda(firewall da onlara ait paylaşımlı bize ayrılan alanı kullanıyoruz). Bu firewall üzerinde bazı ortamlarımız ve s2s bağlantılar var, bunların yanı sıra bazı müşterilerimiz s2s tercih etmediği için sabit ip mize yetki veriyorlar ve onların url lerine bu ip üzerinden erişiyoruz(split tunnel yaptık, vpn yapanların network ü tamamen bizim üzerimizde değil). Şirketimizde herkes uzaktan çalıştığı için bir dhcp sabit iç ip mantığımızda bulunmuyor. Ön bilgileri verdikten sonra sorunuma geçiyorum 🙂

 

Sabit ip ile eriştiğimiz farklı farklı müşteriler var. Bunların her birini ayrı proje olarak düşünebiliriz birbirinden bağımsız. Her projede görev alan farklı çalışanlar var. İlk olarak burayı ayrıştırmak istiyorduk işi olmayan çalışan diğer müşterilerin url lerine gidemesin diye burada proje proje gruplandırma yaptık ayrı ayrı portallar üzerinden erişecekleri ortamların ip url lerini belirledik ve gereksiz müşteri ortamlarına erişimlerinin önüne geçmiş olduk. Fakat sorun şurada devreye giriyor; Örnek olarak A projesinde olan 10 kişiden sadece belirli olan 2 kişinin A projesine erişirken aynı zamanda benim kendi iç ortamımda olan sunucuma da gitmesi gerekiyor. Diğer 8 kişinin buraya erişmesini istemediğimiz için direk a projesi için oluşturduğumuz kurala entegre edemiyoruz(nasıl edebileceğimizi bilmiyoruz danışmanlık firmasıda işin içerisinden çıkamıyor). Forti kurallarına hakim olmadığım için bir çözüm yoluda düşünemiyorum. Bu verdiğim örnekte ki gibi ihtiyacım hemen her projede var, amacımız tamamen güvenlik sebepleri ile mümkün olduğunca kuralları sıkı tutmak ihtiyacı olan kişinin ihtiyacı olduğu kadar erişimlere izin vermek. 

Son olarak ad ortamımız yok, tüm kullanıcılar entrada intune ile harmanlanmış bir şekilde cihazları yönetiyoruz, kullanıcılar entra ve forti ortamlarını uygulama üzerinden konuşturduğumuz için sso ile login oluyorlar.

Forti tarafında ki tecrübeli olan üstatlarım bu ihtiyacımı en yönetilebilir şekilde nasıl yönetebilirim bana fikir verebilirseniz sevinirim.

 

Teşekkürler

 

 
Gönderildi : 06/06/2024 01:24

ibrahim yildiz
(@ibrahimyildiz)
Gönderiler: 4421
Co-Helper
 

Forti uzmanları ayrıca cevaplar genel yaklaşalım. Sizinki gibi group durumlarında kişi yani MAC bazlı kurguya dönülmesi gerekebiliyor. Yani ortamınızı DHCP ile yönettiğinizde bu durumları aşabilmiş olursunuz kurgu çeşidiniz artar.

'balık vermez, nasıl tutulabildiğine yönlendirir'
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız. Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz. Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 06/06/2024 16:52

(@agaccavdiran)
Gönderiler: 24
Eminent Member
Konu başlatıcı
 

@ibrahimyildiz hocam yanitiniz için teşekkürler. Çalışanlarımızın %80 i uzaktan %20 si hybrid arada ofis ortamına geldikleri ve her çalışanın da ad ortamı ile iletişimde olması harici VPN ihtiyacı bulunmadığı için ve bu şekilde de cihazları düzgün yonetemedigimiz için ad yi ortadan kaldırıp tamamen cloud yapıya geçtik. Bu sebeple şuan ki yapıda cihazları bı DHCP yapisina sokamiyorum. VPN erişimleri de entradan fortiye SSO ile geldikleri için user bazlı bildiğim kadarı ile kural yazamıyorum. Eger cihazların Mac adresi ile forti üzerinden bağlandiklarinda alacağı ip ip yi sabitletebiliyorsam belki bunun üzerinden bir kisita gidebilirim, mümkün müdür bilmiyorum. Sizce bunun oluru var mıdır bu yontem ile.

 
Gönderildi : 06/06/2024 22:13

Murat Demirbağ
(@muratdemirbag)
Gönderiler: 117
Estimable Member
 

Firewall'ın arkasına bir PAM (Privileged Access Management) ürünü işinizi göreceğini düşünüyorum. SSLVPN ve Local Personellerinizi PAM üzerinde hem Proje bazında yetkilendirme yapabilir, hem de eforlarını ölçmüş olursunuz, bu sebeple Protokol(SSH, Https, RDP) bazında da kısıtlama yaparak Güvenlik Sıkılaştırması da yapmış olursunuz.

 
Gönderildi : 07/06/2024 08:59
Hakan Uzuner reacted

(@mehmetatesel)
Gönderiler: 30
Eminent Member
 

Merhaba

Öncelikle DHCP gereksinimini ortadan kaldırmak için kullanıcılarınızı Firewall'a MAC adreslerleri ile tanımlamanız fayda sağlayacaktır.

Daha sonra her proje için farklı SSL-VPN Portal'i oluşturup, VPN ile gelen bu kullanıcıları kurallar ile projelere protokol bazlı dahi yetkilendirebilirsiniz.

Hybrid çalışan kullanıcılar için de ayrıca bir kural tanımlaması ile sorununuza kesin çözüm bulabileceğinizi düşünüyorum.

 
Gönderildi : 07/06/2024 19:22

(@agaccavdiran)
Gönderiler: 24
Eminent Member
Konu başlatıcı
 

Selamlar,

Kıymetli yorumlarınız için teşekkür ederim. Mehmet hocamın önerdiği şekilde ihtiyacımı tam olarak çözdüm. Tüm rotayı portal aracılığı ile ekledim. Policy ler ilede grup bazlı erişilecek kaynakları belirterek yetkilendirmeyi tamamladım.

 
Gönderildi : 13/06/2024 01:31

Paylaş: