Forum

Fortilogger yeterli...
 
Bildirimler
Hepsini Temizle

[Çözüldü] Fortilogger yeterli mi? DHCP log ları almak şart mı?

19 Yazılar
3 Üyeler
0 Likes
698 Görüntüleme
ismail cetin
(@ismailcetin)
Gönderiler: 127
Estimable Member
Konu başlatıcı
 

Merhaba, domain ortamımız var ve fortigate firewall kullanıyoruz. Kanun gereği log kayıtlarımızı fortilogger ile imzalatıp saklıyoruz. Fakat fortilogger log kayıtlarına baktığımızda tüm kayıtlar ip adresleri ile tutulmuş. Bundan 3 ay önce x ip adresi z dış ipsine erişmiş gibi. Bu durumda o gün x iç ip sini kim kullanıyordu bunun kaydı bizde yok.

Bunun için ayrıca dhcp log kayıtlarınıda alıp damgalamak mı gerekli? 

 
Gönderildi : 12/11/2021 07:59

Serkan Ateş
(@serkanates)
Gönderiler: 1138
Estimable Member
 

Active directory entegrasyonu yaparak kuralları kullanıcı bazlı tanımlayıp, logları kullanıcı bazlı tutmak daha doğru bir yaklaşım olaacktır. Şirket veya domain dışı terminaller için kimlik doğrulama yapmanız gerekir.

Kolay gelsin.

 
Gönderildi : 12/11/2021 08:15

ismail cetin
(@ismailcetin)
Gönderiler: 127
Estimable Member
Konu başlatıcı
 

@SerkanAtes Active Directory entegrasyonundan kastınız nedir?

 
Gönderildi : 12/11/2021 10:51

Serkan Ateş
(@serkanates)
Gönderiler: 1138
Estimable Member
 

Active directory entegrasyonu yaptığınız takdirde kurallarınızı istemci/ip bazında değil kullanıcı bazında verebilirsiniz. Bu durumda kullanıcı adı ile log tutmaya başlarsanız, istemcinin aldığı ipnin bir önemi kalmaz, dolayısı ile soru sormanıza sebep olan durum ortadan kalkmış olur.

Kolay gelsin.

 
Gönderildi : 12/11/2021 11:04

Emre MARANGOZ
(@emremarangoz)
Gönderiler: 30
Eminent Member
 

Merhaba , detaylar aşağıdaki linkte burayı inceleyiniz. 

 

https://www.cozumpark.com/community/fortigate-13/531067/

Bu ileti 1 sene önce Emre MARANGOZ tarafından düzenlendi
 
Gönderildi : 12/11/2021 11:48

ismail cetin
(@ismailcetin)
Gönderiler: 127
Estimable Member
Konu başlatıcı
 

@SerkanAtes Entegrasyon için, FSSO şart mı? yoksa LDAP üzerinden yeterli mi?

 
Gönderildi : 15/11/2021 12:14

Serkan Ateş
(@serkanates)
Gönderiler: 1138
Estimable Member
 

Sorunuzu tam anlayamadım. Emre'nin gönderdiği bağlantıları incelediniz mi? Eğer alternatif soruyorsanız RSSO inceleyebilirsiniz. Kolay gelsin.

Not: Domain ortamımız mevcut dediğiniz için yapınızda active directory bulunduğunu varsaydım. Farklı bir LDAP servisi var ise çarşı pazar karışır. Daha detaylı bilgi lütfen.

https://docs.fortinet.com/document/fortigate/6.2.0/cookbook/85730/radius-single-sign-on-rsso-agent

 
Gönderildi : 15/11/2021 15:33

ismail cetin
(@ismailcetin)
Gönderiler: 127
Estimable Member
Konu başlatıcı
 

@SerkanAtes merhaba. Fortilogger üzerinden hotspot yönetimi yapıyorum ve FSSO üzerinden de içerdeki (domaindeki) kullanıcılarımın log unu çekebiliyorum. Cevaplar için teşekkürler. 

 

Yalnız, misafirlerin dışında kendi kullanıcımızın mobil cihazları için süresiz izin vermek istiyoruz ve loglara isimleri ile düşsün istiyoruz.

 

Bunun için fortigate firewall cihazı üzerinden, mobil cihaz mac adreslerini firewall üzerinde tanımladım ve mac grubu oluşturarak bu gruba üye yaptım. Sonra bu gruba internete çıkış izni verdim. böylelikle sadece mac adresini tanımladığım (domain de olmayan) mobil cihazlar süresiz çıkış yapabiliyor. Ama malesef bunu fortilogger da loglara gene ip adresi olarak döküyor.

Süresiz izin vermek istediğiniz, kendi personelinizin cep telefonuna siz nasıl bir yöntem kullanıyorsunuz? loglarını forttilogger üzerinde isim olarak düşürebilecek şekilde

 
Gönderildi : 30/11/2021 17:20

Serkan Ateş
(@serkanates)
Gönderiler: 1138
Estimable Member
 
Gönderen: @ismailcetin

Bunun için fortigate firewall cihazı üzerinden, mobil cihaz mac adreslerini firewall üzerinde tanımladım

Sorun zaten burada başlıyor. Tanımları yapan siz olmamalısınız. Kullanıcı bu kayıtlar benim değil derse ne yapacaksınız? O yüzden şifresini bilemeyeceğiniz bir hesabı kullanıcıya vermeli ve kimlik doğrulaması yaptırmalısınız. Aksi taktirde yasal denetlemede her durumda sorun yaşayabilirsiniz.

 
Gönderildi : 30/11/2021 17:26

ismail cetin
(@ismailcetin)
Gönderiler: 127
Estimable Member
Konu başlatıcı
 
Gönderen: @SerkanAtes
Gönderen: @ismailcetin

Bunun için fortigate firewall cihazı üzerinden, mobil cihaz mac adreslerini firewall üzerinde tanımladım

Sorun zaten burada başlıyor. Tanımları yapan siz olmamalısınız. Kullanıcı bu kayıtlar benim değil derse ne yapacaksınız? O yüzden şifresini bilemeyeceğiniz bir hesabı kullanıcıya vermeli ve kimlik doğrulaması yaptırmalısınız. Aksi taktirde yasal denetlemede her durumda sorun yaşayabilirsiniz.

Şuan ki ayarladığımız hotspot yayınında da zaten, TC kimlik, ad, soyad ve doğum yılı var sadece. İş yasal sürece kaldıktan sonra birisi bu bilgilerim ile girmişte diyebilir. Yasal süreçte zaten kullanıcı itiraz ettikten sonra bir sebep zaten bulur düşüncesindeyim. 

 
Gönderildi : 01/12/2021 07:38

Serkan Ateş
(@serkanates)
Gönderiler: 1138
Estimable Member
 
Gönderen: @SerkanAtes

O yüzden şifresini bilemeyeceğiniz bir hesabı kullanıcıya vermeli ve kimlik doğrulaması yaptırmalısınız.

Aslında burada bunu söylemek istedim ama iş yoğunluğunda hızlıca post girince böyle oluyor. Eğer kullanıcı hesabını siz oluşturuyorsanız sizin de belirttiğiniz gibi ne tip bilgileri girdiğinizin bir önemi yok, denetimde sorun yaşarsınız. Bu yüzden sistemin oluşturacağı (sizin değil) hesap bilgilerini kendisine ait bir telefona sms veya yine kendisine ait bir e-posta adresine e-mail ile göndermelisiniz. Telefon veya e-posta erişimi kullanıcının kendi sorumluluğunda olduğu için bu konuda sizi daha fazla güvende tutacaktır.

Kolay gelsin.

 
Gönderildi : 01/12/2021 08:05

ismail cetin
(@ismailcetin)
Gönderiler: 127
Estimable Member
Konu başlatıcı
 

@SerkanAtes evet dediğiniz gibi domain users dışında kalan herkesi misafir ağında hotspota yönlendirdik. Ama şöyle bir durum var; fortigate cihazı üzerinde Authentication timeout süresi max 24 saat veriliyor. Fortilogger üzerinde ise max 90 gün. Her gün kendi çalışanımızın hotspot portal üzerinden tc kimlik doğrulaması yapmasını istemiyoruz. En azından 90 günde bir tc kimlik doğrulaması yaptırsın. Fakat fortilogger üzerinden 90 gün olarak ayarlasakta, en az olanı dikkate alıyor. Yani, fortigate Authentication timeout 5 dk ise, 5 dk içinde trafik akışı oluşmamış ise kullanıcının net bağlantısı kesiliyor.

 

Fortigate üzerinde Authentication timeout süresinin fortilogger portal üzerindeki süreyi etkilememesi mümkün mü? kaynak araştırdım ama bulamadım.

 
Gönderildi : 02/12/2021 16:57

Serkan Ateş
(@serkanates)
Gönderiler: 1138
Estimable Member
 

Kimlik doğrulamasının yenilenmeden 90 gün boyunca korunması bana mantıklı gelmedi. Başka arkadaşlar belki konuyu daha farklı değerlendirebilir.

Ben pas geçiyorum.

 
Gönderildi : 02/12/2021 22:28

ismail cetin
(@ismailcetin)
Gönderiler: 127
Estimable Member
Konu başlatıcı
 

@SerkanAtes fortigate CLI üzerinden kullanıcı grubuna özel max 1 ay olarak süre tanımlanabiliyor. Şuan için 1 ay yaptık ve muhtemelen öylede kalacak. Cevaplar için tşkler.

 
Gönderildi : 03/12/2021 07:14

Serkan Ateş
(@serkanates)
Gönderiler: 1138
Estimable Member
 

@ismailcetin eğer ilgili kodu buradan da paylaşırsanız başka arkadaşlarında işine yarayabilir. Ayrıca şöyle bir şey var ( https://docs.fortinet.com/document/fortigate/6.4.0/new-features/743069/no-session-timeout). Detaylı inceleyip ihtiyaçlarınıza göre düzenlenebilirsiniz. Kolay gelsin.

 
Gönderildi : 03/12/2021 10:36

ismail cetin
(@ismailcetin)
Gönderiler: 127
Estimable Member
Konu başlatıcı
 

@SerkanAtes kullandığım kod aşağıdaki şekilde, ama genede çalışırlığı test aşamasında bizim için. yanıltıcı olmak istemem.

 

FG100D3G16xxxxxx # config user group
FG100D3G16xxxxxx (group) # edit Guest-group
FG100D3G16xxxxxx (Guest-group) # set authtimeout
<integer>   The auth time-out range is 0-1440 minutes (0 = use global authtimeout value)
FG100D3G16xxxxxx (Guest-group) # end
 
Kaynak ise;
 
 
 
Gönderildi : 03/12/2021 12:08

Serkan Ateş
(@serkanates)
Gönderiler: 1138
Estimable Member
 

Siz bir aydan bahsetmiştiniz ancak burada parametre 1440 dakikaya kadar ayarlanabiliyor. Bu da 24 saate denk gelir. Dolayısı ile sistem her gün şifre sormaya devam edecek.

 
Gönderildi : 03/12/2021 18:10

ismail cetin
(@ismailcetin)
Gönderiler: 127
Estimable Member
Konu başlatıcı
 

@SerkanAtes aslında şöyle; 1440dk aktiflik süre sınırı. yani siz pazartesi akşam iş çıkışına kadar bağlıydınız ve bir şekilde trafik oluşturdunuz. Ertesi sabah işe geldiğinizde 24 saati doldurmamış olduğunuz için doğrulamaya gerek kalmıyor. Ama hafta sonu 2 gün boyunca aktiflik oluşmadığı için, her pazartesi girmek zorunda kalacak kullanıcılar ki bizim için sorun değil.

 
Gönderildi : 06/12/2021 09:04

Serkan Ateş
(@serkanates)
Gönderiler: 1138
Estimable Member
 

Bilgilendirme için teşekkürler.

 
Gönderildi : 06/12/2021 09:53

Paylaş: