Forum

Fortigate İzole Vla...
 
Bildirimler
Hepsini Temizle

[Çözüldü] Fortigate İzole Vlan - Captive Portal

Emre ÇALIŞKAN
(@kuyuduzu)
Üye

Selamlar,

çalıştığım iş yerinde fortigate üzerinde yeni bir vlan yaratarak bu vlan'a firewall üzerinden sadece bilgi işlemdeki bir kaç kişinin ip adresiyle bağlanma yetkisi verdim.

Bu vlan'ı tamamen güvenli tutmak istiyoruz. Bu izin verdiğimiz ip adresine sahip bilgisayarlardan birini kötü niyetli kişiler ele geçirirse izole tuttuğumuz vlan'a firewalldan izinli olduğu için erişebilecek.

Bunun için önlem arayışındayız. Yöneticime bir danışman fortigate üzerinde izole vlan'a captive portal uygulanırsa sizin bilgisayarlarınız üzerinden erişmek istendiği zaman kullanıcı adı ve parola soracaktır şeklinde bir bilgi vermiş.

Haliyle yöneticimde bunu gerçekleştirmemi istedi, fakat captive portal mantığında o vlan'dan ip almak olduğu için captive portal uygulayamıyorum. Bu fikir bana mantıksız geldi ama yanıldığım bir şey mi var siz değerli arkadaşlara da danışmak istedim.

Ayrıca bu vlan'ı güvende tutmak fikrimize karşılık bizim bilgisayarlarımızdan bile erişimde ek güvenlik önlemi neler uygulayabiliriz fikirlerinizi paylaşırsanız memnun olurum.

Alıntı
Konu başlatıcı Gönderildi : 07/05/2020 08:41
Fatih BALCI
(@fatihbalci)
Üye

Merhaba,

İlgili interface yapılandırmasında "Admission Control" sekmesini kullanabilirsiniz.

CevapAlıntı
Gönderildi : 07/05/2020 09:40
Serkan Ateş
(@SerkanAtes)
Üye

Ayrıca bknz: https://www.cozumpark.com/kablolu-veya-kablosuz-aglarda-802-1x-ile-merkezi-guvenligin-saglanmasi/

İyi çalışmalar.

CevapAlıntı
Gönderildi : 07/05/2020 09:43
Emre ÇALIŞKAN
(@kuyuduzu)
Üye

@fatihbalci

Selamlar Fatih Hocam, admission control sekmesinde ekteki gibi ayar yapmıştım.Ancak bu ayarlar erişimimde hiç bir değişiklik yaratmadı. Bu vlan'a yine aynı şekilde sorgusuz sualsiz erişebiliyorum.

Acaba bir hata mı yapıyorum, veya policy tarafında bir ekleme daha mı yapmam gerekiyor?

admission control
CevapAlıntı
Konu başlatıcı Gönderildi : 07/05/2020 10:07
Taner KINI
(@tanerk)
Üye

Policy'de Source olarak IP adresini değil de Bilgiişlem grubunu seçmeniz gerek. Böylece kullanıcılar Authentice olduktan sonra kural çalışacaktır.

CevapAlıntı
Gönderildi : 07/05/2020 15:10
Emre ÇALIŞKAN
(@kuyuduzu)
Üye

@tanerk Bunu active directory grubu olmadan yapma yolu yok mudur acaba? Ortamda active directory olmadığını düşünüyorum. source ip bazında yapamaz mıyız?

CevapAlıntı
Konu başlatıcı Gönderildi : 11/05/2020 13:50
Taner KINI
(@tanerk)
Üye

Active Directory grubuna gerek yok. Fortigate lokalde oluşturduğunuz grubu seçeceksiniz. O gruba da yine Fortigate üzerinde oluşturduğunuz kullanıcıları dahil edeceksiniz. Böylelikle captive portal doğrulamasını geçen kullanıcılar erişim sağlayabilecek; geçemeyenler engellenecek.

IP seçerseniz, o zaman kullanıcılar doğrulamayı geçemese bile erişim sağlarlar.  

CevapAlıntı
Gönderildi : 11/05/2020 14:11
Paylaş: