Forum

Fortilogger yeterli...
 
Bildirimler
Hepsini Temizle

[Çözüldü] Fortilogger yeterli mi? DHCP log ları almak şart mı?

ismail cetin
(@ismailcetin)
Üye

Merhaba, domain ortamımız var ve fortigate firewall kullanıyoruz. Kanun gereği log kayıtlarımızı fortilogger ile imzalatıp saklıyoruz. Fakat fortilogger log kayıtlarına baktığımızda tüm kayıtlar ip adresleri ile tutulmuş. Bundan 3 ay önce x ip adresi z dış ipsine erişmiş gibi. Bu durumda o gün x iç ip sini kim kullanıyordu bunun kaydı bizde yok.

Bunun için ayrıca dhcp log kayıtlarınıda alıp damgalamak mı gerekli? 

Alıntı
Konu başlatıcı Gönderildi : 12/11/2021 07:59

Serkan Ateş
(@SerkanAtes)
Üye

Active directory entegrasyonu yaparak kuralları kullanıcı bazlı tanımlayıp, logları kullanıcı bazlı tutmak daha doğru bir yaklaşım olaacktır. Şirket veya domain dışı terminaller için kimlik doğrulama yapmanız gerekir.

Kolay gelsin.

CevapAlıntı
Gönderildi : 12/11/2021 08:15

ismail cetin
(@ismailcetin)
Üye

@SerkanAtes Active Directory entegrasyonundan kastınız nedir?

CevapAlıntı
Konu başlatıcı Gönderildi : 12/11/2021 10:51

Serkan Ateş
(@SerkanAtes)
Üye

Active directory entegrasyonu yaptığınız takdirde kurallarınızı istemci/ip bazında değil kullanıcı bazında verebilirsiniz. Bu durumda kullanıcı adı ile log tutmaya başlarsanız, istemcinin aldığı ipnin bir önemi kalmaz, dolayısı ile soru sormanıza sebep olan durum ortadan kalkmış olur.

Kolay gelsin.

CevapAlıntı
Gönderildi : 12/11/2021 11:04

Emre MARANGOZ
(@emremarangoz)
Üye

Merhaba , detaylar aşağıdaki linkte burayı inceleyiniz. 

 

https://www.cozumpark.com/community/fortigate-13/531067/

Bu ileti 8 ay önce Emre MARANGOZ tarafından düzenlendi
CevapAlıntı
Gönderildi : 12/11/2021 11:48

ismail cetin
(@ismailcetin)
Üye

@SerkanAtes Entegrasyon için, FSSO şart mı? yoksa LDAP üzerinden yeterli mi?

CevapAlıntı
Konu başlatıcı Gönderildi : 15/11/2021 12:14

Serkan Ateş
(@SerkanAtes)
Üye

Sorunuzu tam anlayamadım. Emre'nin gönderdiği bağlantıları incelediniz mi? Eğer alternatif soruyorsanız RSSO inceleyebilirsiniz. Kolay gelsin.

Not: Domain ortamımız mevcut dediğiniz için yapınızda active directory bulunduğunu varsaydım. Farklı bir LDAP servisi var ise çarşı pazar karışır. Daha detaylı bilgi lütfen.

https://docs.fortinet.com/document/fortigate/6.2.0/cookbook/85730/radius-single-sign-on-rsso-agent

CevapAlıntı
Gönderildi : 15/11/2021 15:33

ismail cetin
(@ismailcetin)
Üye

@SerkanAtes merhaba. Fortilogger üzerinden hotspot yönetimi yapıyorum ve FSSO üzerinden de içerdeki (domaindeki) kullanıcılarımın log unu çekebiliyorum. Cevaplar için teşekkürler. 

 

Yalnız, misafirlerin dışında kendi kullanıcımızın mobil cihazları için süresiz izin vermek istiyoruz ve loglara isimleri ile düşsün istiyoruz.

 

Bunun için fortigate firewall cihazı üzerinden, mobil cihaz mac adreslerini firewall üzerinde tanımladım ve mac grubu oluşturarak bu gruba üye yaptım. Sonra bu gruba internete çıkış izni verdim. böylelikle sadece mac adresini tanımladığım (domain de olmayan) mobil cihazlar süresiz çıkış yapabiliyor. Ama malesef bunu fortilogger da loglara gene ip adresi olarak döküyor.

Süresiz izin vermek istediğiniz, kendi personelinizin cep telefonuna siz nasıl bir yöntem kullanıyorsunuz? loglarını forttilogger üzerinde isim olarak düşürebilecek şekilde

CevapAlıntı
Konu başlatıcı Gönderildi : 30/11/2021 17:20

Serkan Ateş
(@SerkanAtes)
Üye
Gönderen: @ismailcetin

Bunun için fortigate firewall cihazı üzerinden, mobil cihaz mac adreslerini firewall üzerinde tanımladım

Sorun zaten burada başlıyor. Tanımları yapan siz olmamalısınız. Kullanıcı bu kayıtlar benim değil derse ne yapacaksınız? O yüzden şifresini bilemeyeceğiniz bir hesabı kullanıcıya vermeli ve kimlik doğrulaması yaptırmalısınız. Aksi taktirde yasal denetlemede her durumda sorun yaşayabilirsiniz.

CevapAlıntı
Gönderildi : 30/11/2021 17:26

ismail cetin
(@ismailcetin)
Üye
Gönderen: @SerkanAtes
Gönderen: @ismailcetin

Bunun için fortigate firewall cihazı üzerinden, mobil cihaz mac adreslerini firewall üzerinde tanımladım

Sorun zaten burada başlıyor. Tanımları yapan siz olmamalısınız. Kullanıcı bu kayıtlar benim değil derse ne yapacaksınız? O yüzden şifresini bilemeyeceğiniz bir hesabı kullanıcıya vermeli ve kimlik doğrulaması yaptırmalısınız. Aksi taktirde yasal denetlemede her durumda sorun yaşayabilirsiniz.

Şuan ki ayarladığımız hotspot yayınında da zaten, TC kimlik, ad, soyad ve doğum yılı var sadece. İş yasal sürece kaldıktan sonra birisi bu bilgilerim ile girmişte diyebilir. Yasal süreçte zaten kullanıcı itiraz ettikten sonra bir sebep zaten bulur düşüncesindeyim. 

CevapAlıntı
Konu başlatıcı Gönderildi : 01/12/2021 07:38

Serkan Ateş
(@SerkanAtes)
Üye
Gönderen: @SerkanAtes

O yüzden şifresini bilemeyeceğiniz bir hesabı kullanıcıya vermeli ve kimlik doğrulaması yaptırmalısınız.

Aslında burada bunu söylemek istedim ama iş yoğunluğunda hızlıca post girince böyle oluyor. Eğer kullanıcı hesabını siz oluşturuyorsanız sizin de belirttiğiniz gibi ne tip bilgileri girdiğinizin bir önemi yok, denetimde sorun yaşarsınız. Bu yüzden sistemin oluşturacağı (sizin değil) hesap bilgilerini kendisine ait bir telefona sms veya yine kendisine ait bir e-posta adresine e-mail ile göndermelisiniz. Telefon veya e-posta erişimi kullanıcının kendi sorumluluğunda olduğu için bu konuda sizi daha fazla güvende tutacaktır.

Kolay gelsin.

CevapAlıntı
Gönderildi : 01/12/2021 08:05

ismail cetin
(@ismailcetin)
Üye

@SerkanAtes evet dediğiniz gibi domain users dışında kalan herkesi misafir ağında hotspota yönlendirdik. Ama şöyle bir durum var; fortigate cihazı üzerinde Authentication timeout süresi max 24 saat veriliyor. Fortilogger üzerinde ise max 90 gün. Her gün kendi çalışanımızın hotspot portal üzerinden tc kimlik doğrulaması yapmasını istemiyoruz. En azından 90 günde bir tc kimlik doğrulaması yaptırsın. Fakat fortilogger üzerinden 90 gün olarak ayarlasakta, en az olanı dikkate alıyor. Yani, fortigate Authentication timeout 5 dk ise, 5 dk içinde trafik akışı oluşmamış ise kullanıcının net bağlantısı kesiliyor.

 

Fortigate üzerinde Authentication timeout süresinin fortilogger portal üzerindeki süreyi etkilememesi mümkün mü? kaynak araştırdım ama bulamadım.

CevapAlıntı
Konu başlatıcı Gönderildi : 02/12/2021 16:57

Serkan Ateş
(@SerkanAtes)
Üye

Kimlik doğrulamasının yenilenmeden 90 gün boyunca korunması bana mantıklı gelmedi. Başka arkadaşlar belki konuyu daha farklı değerlendirebilir.

Ben pas geçiyorum.

CevapAlıntı
Gönderildi : 02/12/2021 22:28

ismail cetin
(@ismailcetin)
Üye

@SerkanAtes fortigate CLI üzerinden kullanıcı grubuna özel max 1 ay olarak süre tanımlanabiliyor. Şuan için 1 ay yaptık ve muhtemelen öylede kalacak. Cevaplar için tşkler.

CevapAlıntı
Konu başlatıcı Gönderildi : 03/12/2021 07:14

Serkan Ateş
(@SerkanAtes)
Üye

@ismailcetin eğer ilgili kodu buradan da paylaşırsanız başka arkadaşlarında işine yarayabilir. Ayrıca şöyle bir şey var ( https://docs.fortinet.com/document/fortigate/6.4.0/new-features/743069/no-session-timeout). Detaylı inceleyip ihtiyaçlarınıza göre düzenlenebilirsiniz. Kolay gelsin.

CevapAlıntı
Gönderildi : 03/12/2021 10:36

ismail cetin
(@ismailcetin)
Üye

@SerkanAtes kullandığım kod aşağıdaki şekilde, ama genede çalışırlığı test aşamasında bizim için. yanıltıcı olmak istemem.

 

FG100D3G16xxxxxx # config user group
FG100D3G16xxxxxx (group) # edit Guest-group
FG100D3G16xxxxxx (Guest-group) # set authtimeout
<integer>   The auth time-out range is 0-1440 minutes (0 = use global authtimeout value)
FG100D3G16xxxxxx (Guest-group) # end
 
Kaynak ise;
 
 
CevapAlıntı
Konu başlatıcı Gönderildi : 03/12/2021 12:08

Serkan Ateş
(@SerkanAtes)
Üye

Siz bir aydan bahsetmiştiniz ancak burada parametre 1440 dakikaya kadar ayarlanabiliyor. Bu da 24 saate denk gelir. Dolayısı ile sistem her gün şifre sormaya devam edecek.

CevapAlıntı
Gönderildi : 03/12/2021 18:10

ismail cetin
(@ismailcetin)
Üye

@SerkanAtes aslında şöyle; 1440dk aktiflik süre sınırı. yani siz pazartesi akşam iş çıkışına kadar bağlıydınız ve bir şekilde trafik oluşturdunuz. Ertesi sabah işe geldiğinizde 24 saati doldurmamış olduğunuz için doğrulamaya gerek kalmıyor. Ama hafta sonu 2 gün boyunca aktiflik oluşmadığı için, her pazartesi girmek zorunda kalacak kullanıcılar ki bizim için sorun değil.

CevapAlıntı
Konu başlatıcı Gönderildi : 06/12/2021 09:04

Serkan Ateş
(@SerkanAtes)
Üye

Bilgilendirme için teşekkürler.

CevapAlıntı
Gönderildi : 06/12/2021 09:53

Paylaş: