UTM Teknolojisi ve Fortigate Firewall Kurulumu
Networklerin güvenliğini sağlamak için piyasada bulunan bir çok ürün vardır. Bu ürünler network yapısının büyüklüğüne göre değişmekte olup networkün yapısına – ihtiyacına göre gerekli firewall ürünleri şirket networküne dahil edilerek güvenliğimizi sağlamaktadırlar.
Bir networkün güvenliğini sağlamak için, bir firewall alınacağı zaman bilinmesi gereken en önemli husus yapılacak olan saldırılaın tesit edilmesidir. Networkünüz ne şekilde saldırılara maruz kalabilir. Aşağıda ki iki sorunun cevabını verebiliyorsanız eğer piyasada bulunan sayısız firewall çeşitlerini bir bakıma elemiş oluyorsunuz. Soracak olduğumuz sorular
İhtiyacınız oluşabilecek olan Saldırıları içeriden mi olmasını bekliyorsunuz ? Eğer cevabınız evet ise networkünüz için ideal olan Firewall ürünleri Yazılımsal ürünlerdir ki Osi Referans katmanına göre Layer 4 ve üzerinde çalışmakta olup yapabilmiş oldukları hareketler paket içeriklerine göre gerekli eylemleri yapmalarıdır.
Sizin ihtiyacınız içeride bulunan kullanıcılaınız ne yaptığını bilmek, web trafiğinin ele alınması gibi ihtiyaçlarınız ve hatta kolay ve anlaşılır bir raporlama alınarak üst makamlara bu raporların sunumu ise sizin için en yararlı olan yazılımsal bir Firewall’dır ve bunlara piyasada sağlamış olduğu esneklikler açısından Isa serveri örnek verebiliriz.
Yoksa networkünüz dışarıdan mı saldırılara mağruz kalacak? Eğer cevabınız evet ise networkünüz için ideal olan Firewall ürünleri Donanımsal ürünlerdir ki Osi Referans katmanına göre Layer 1 – 2 ve 3 ncü katmanların da çalışmakta olup yapabilmiş oldukları hareketler ürünün özelliğine göre Port, Mac Adresi, Ip Adresleri için gerekli eylemleri yapmalarıdır ve yazılımsal ürünlere göre çok daha sağlam ve kararlı çalışmalarıdır.
Donanımsal Firewall lar Osi katmanlarına göre ilk 3 katmanda çalıştığı için pek fazla esnek değillerdir ve pek çok kez ihtiyaçlarımız konusunda bizleri zor durumda bırakmaktadırlar. Ama bir yazılımsal Firewall’a nazaran ise networkumuzu çok daha güvenli hale sokmaktadırlar.
Her iki çeşit firewall yapısının çalışma mantığına basitçe bakmamız gerelirse ki örnek olarak şirket bünyemizde donanımsal bir Firewall olan PİX var ve bu ürün üzerinden internete çıkabilmek için gerekli olan 80 portuna izin verdik. Ama istiyoruz ki şirketimiz içerisinde istenmeyen içerikli sitelere girilmesin. İşte bu gibi bir ihtyiaçta talebimize karşılık yoktur. Pix bir donanımsal Firewall olduğu için Osi katmanlarına göre Layer 4 – 5 – 6 ve 7 nci katmana çıkamaz ve 80 portuna izin verilmiştir ve gerekli portun içeriğine bakarak kendini yormaz daha da doğrusu içeriğinden zaten anlamaz.
Bu açık zamanla bir çok sistemciyi, güvenlikçiyi zor durumda bırakmış, kimi zaman bu gibi ihtiyaçlarda aynı network içerisinde her iki çeşit Firewall ürünlerinin de girildiği gözlenilmiş ve karar verilmiş en güvenli network her iki çeşit Firewal’ında aynı ortamda olduğu networklerdir olarak kabul edilmiş.
Sistemciler, Güvenlikçiler tarafından bu analiz tespit dildikten sonra üretici firmalar tarafından da tespit edilen biz müşterilerimizi bu özellikte ki ürünler ile zor durumda bırakıyoruz, insan gücünü gereksiz yere yoruyoruz ve her şeyden önemlisi maaliyelerini arttırıyoruz. Bu düşüncede, üretici firmalarlar tarafından kabul edilmiş olup bütünleşik çalışan ürüler ile güvenliğimizi sağlamak daha kolay ve az maaliyetli bir hale gelmiştir. Örnek vermemiz gerekirse Cisco PİX ürünümüzün üzerine WEBSENSE programını satın alarak, cihazımıza entegre ettiğimiz zaman artık Firewall’ ımız web içeriğinde de anlamaya başlamış olup 80 portunun içinde ne olup bitiyor bunlara da bakacaktır.
Kısa bir süreye kadar güvenliğimizi bu şekilde sağlıyorduk.
Günümüzde halan daha bu şekilde çalışan ürünler bulunmakta olsalarda yeni bir teknoloji geliştirilmiş ve UTM (Bütünleşik Güvenlik Sistemleri) başlığı adı altında bir çok yeni ürün piyasaya, networkümüzün içine girmeye başlamışlardır.
Firewall ürünlerinin gelişim süreci hakkında kısa bir bilgi verdikten sonra Fortinet firmasının networklerimize sokmuş olduğu ve esnekliği, kullanım kolaylığı ile çok da benimseyecek olduğumuz Fortigate Firewall ürünleri hakkında bilgiler vermeye çalışacağım. Ürün yelpazesi ve içeriği açısından çok geniş bir ürün olduğu için, benimsemiş olmasam da farklı başlıklar, farklı makaleler ile karşınızda oalcağım.
Yukarıda Fortigate 60A Firewall’ın resimi görünmekte olup modellerine göre DMZ ve WAN port sayıları, kabul ettikleri sesion sayıları artmaktadır. Ürünümüzün içerisinden çıkan ürünler bağlantı kablolarımız, dökümanlarımız ve tanıtım Cd si bulunmaktadır.
Ürünün yapılandırılmasına ilk olarak firewall ürünümüzün önünde bulunan DSL teknolojisine sahip Modemlerimiz ile başlıyoruz. Modemimiz için gerekli olan ip ayarlarını yaptıktan sonra Briddge Moda (köprü) olarak yapılandırıp bütün yönetimin Fortigate Firewall ‘ımız üzerinden yapacağımızı belirtiyoruz.
Tavsiye edilen bağlantı şekli bu şekilde olup farklı bağlantı şekilleri de bulunmaktadır. Modmimize Firewall’ımıza ürünün içerisinden çıkan Turuncu (özel cat5) kabloyu WAN portlarımızdan her hangi birisine takarak başlıyoruz.
Modemimizin ve Lan Portumuzun gerekli bağlantılarını yaptıkdan sonra https://192.168.1.99 numaralı default ipsi üzerinden kullanıcı adı admin şifre boş olmak şartıyla ürünümüzü yapılandırmak üzere içerisine giriyoruz.
Bİzleri yukarıda ki gibi bir ekran karılayacaktır. Açılan sayfa ürünümüz hakkında en sık ihtiyaç duyacak olduğumuz menüleri içermektedir. Bu menüleri tek tek inceleyecek olursak.
Systm Information: Ürünümüz hakkında bilgileri görmekteyiz. Bu bilgiler sırasıyla ürünümüzün seri numarası, ne kadar süreden beri çalışır durumda olduğu, saat ayarı, ürünün hangi firmaya ait olduğunu gösteren (destek firmları için düşünülmüş olup yanlış bir ürünü yapılandırılmaması için yazılmış olan) ismini ki bu isim ilk açıldığı zaman web sayfamızın üzerinde ki barda gözükecektir ve bunun gibi bilgiler bulunmaktadır. Güncel Administrator bölümüne girdiğimiz zaman
Hangi yöneticinin kullanıcı adı ile Firewall’ın içerisinde olduğu görünmektedir. Aynı kullanıcı ile birden fazla kişi aynı anda ürüne girebiliyor ki bunu yukarıda ki resimde görebiliyoruz ve hem web üzerinden hemde konsol portu üzerinden ürünün içine girildiği görülmektedir.
Diğer bölümümüz ise ürünümüzün bağlantı durumu hakkındadır. Mousemiz ile ilgili portun üzerine geldiğimizde bağlantının up (açık), Down (kapalı) olduğunu ve Wan portunun almış olduğu veya hattımıza tahis edilen statik Ip yi, veya Local Ip mizi görebiliyoruz.
Bu ekran Firmware Updatesi 3.00 olarak yükselilmiş ürünler için geçerli olup daha önceki sürümlerinde metin olarak gözükmektedir, görselliği yoktur.
LED
DURUMU
AÇIKLAMA
Güç Düğmesi
(POWER)
Yeşil
Firewalımıza elektirik gelmekte ve çalışır durumda.
Işk yok.
Kapalı.
Durumu
Işık yanıp sönüyorsa
Firewalımız açılmaya çalışıyor.
Yeşil
Firewalımız aktif
Işk yok.
Firewalımız Kapalı
BAĞLANTI
(Internal Portlar, Wan Portları, DMZ Partları)
Yeşil
Uygun kablo ile Bağlantı doğru bir şekilde sağlandı,
Işık yanıp sönüyorsa
İlgili interface üzerinde hat aktif durumda
Işk yok.
Kablo takılı değil.
DMZ 1 – DMZ 2
WAN 1 – WAN 2
Yeşil
İlgili İnterface 100 Mbs olarak çalışmakta.
Hem ürünün web arayüzünde almış olduğu, hemde ürünün üzerinde yanan ışıklar ile ilgili vermemiz gereken bilgiler yukarıda ki tabloda belirilmiştir.
License Information : Ürünümüzün üzerinde üç ayrı virüs yazılımı bulumkata olup virüs yazılımlarının durumları hakkında bilgi öğrenebiliriz. Ürünü aldığımız zaman içerisinden bir Yıllık virüs koruması (üç aylık ayrı paketler halinde ) hediye gelmekte olup Fortigate 60 ürünü haricinde virüs yazılımları otomatik olarak yüklü durumdadır ve ürün ilk internete çıktığı anda gerekli güncelleştirmeleri almaya başlıyor.
Fortigate 60 serisi için ise fortinet sitesinden almış olduğunuz kullanıcı adı ve şifresi ile ürünümüzü kendiniz manuel olarak kaydını yaptırıp, virüs yazılımlarını yüklüyorsunuz.
Ürünün üzerinde bulunan bu üç ayrı virüs programının bizlere sağlamış olduğu en büyük avantaj, networkümüze giren paketler (mail, ftp, web vb üzerinden) paketler networkümüze girişi sağlanmadan tabiri caiz ise kapı ağzında gerekli işleme mağruz kalıyorlar. Güncelleştirmeleri manuel olarak yaptığımız gibi ürün belirli aralıklar ile Fortinet sitesine gidip gerekli güncelleştirmeleri yüklemektedir.
Lisans bitiminde ise alınacak olan yeni virüs yazılımları bu bölümden aktif edilebiliyor ve süresi uzatılıyor.
Statistics : İstatiskler bölümü altında güncel açık olan sezonlar, ziyaret edilen sayfalar giden gelen mail trafiği, yapılan ataklar gibi networkümüz için bir çok ihtiyacı gözlemleyebiliyoruz. Details (detay) dediğimiz zaman ayrıntılı bir şekilde gözlemleme yapabilmekteyiz.
Firewall’ımız açık olduğu zamandan (40 gün) beri ziyaret edilen sayfalar .
Firewall’ımız açık olduğu zamandan (40 gün) beri algılanan – blocklanan virüs ve atakların bilgileri.
Konsol bölümü fantaziyi seven sistemci arkadaşlarım için düşünülmüş olan bir bölüm olarak yapılandırıldığını zannediyorum. Cisco ürünlerinden tanıdık olduğumuz ? (yardım almak için) bu ürün içinde düşünülmüş.
Ürünümüzün içerisinde bulunan CPU ve Memory hakkında bilgi bulunmaktadır. Fortigate firewall ailsinde ürünler arasında ki temel değişim noktası üzerlerinde bulunan RAM ve Memory ebatlarının büyüklüğü – küçüklüğüdür.
Almış olduğumuz ürünün temel yapılandırması özellikleri hemen hemen aynı olup kabul etmiş oldukları sesion lara göre network büyüklüğümüze göre bizim için uygun olan ilgili ürünü seçebiliyoruz.
Bir kaç Fortigate Firewalların temel özellikeri ;
FortiGate-50A
Küçük İşletme kullanımı için Network Güvenlik Sistemi
• VPN Gateway
• İçerik Filtreleme
• AntiSpam
• 1 LAN, 1 WAN Port
• Sınırsız Kullanıcı Lisansı
• 50 Mbps Firewall Throughput
• 25,000 Session (Oturum)
• Maksimum Tünel Sayısı (VPN) 20
FortiGate-60
Küçük/Orta büyüklükte İşletme / Kurum kullanımı için Network Güvenlik Sistemi
• VPN Gateway
• İçerik Filtreleme
• AntiSpam
• 1 LAN (4 port switch), 2 WAN, 1 DMZ Port
• Sınırsız Kullanıcı Lisansı
• 70 Mbps Firewall Throughput
• 50,000 Session (Oturum)
• Maksimum Tünel Sayısı (VPN) 40
• Yedeklilik ve Yük Paylaşımı (Load Balancing)
FortiGate-100A
Küçük/Orta büyüklükte İşletme / Kurum kullanımı için Network Güvenlik Sistemi
• VPN Gateway
• İçerik Filtreleme
• AntiSpam
• 1 LAN (4 port switch), 2 WAN, 2 DMZ Port
• Sınırsız Kullanıcı Lisansı
• 100 Mbps Firewall Throughput
• 200,000 Session (oturum)
• Maksimum Tünel Sayısı (VPN) 80
• Yedeklilik ve Yük Paylaşımı (Load Balancing)
FortiGate-200A
Orta büyüklükte İşletme / Kurum kullanımı için Network Güvenlik Sistemi
• VPN Gateway
• İçerik Filtreleme
• AntiSpam
• 1 LAN (4 port switch), 2 WAN, 2 DMZ Port
• Sınırsız Kullanıcı Lisansı
• 150 Mbps Firewall Throughput
• 400,000 Session (oturum)
• Maksimum Tünel Sayısı (VPN) 200
• Yedeklilik ve Yük Paylaşımı (Load Balancing)
Ürünün çok fazla çeşidi olduğu için sektörde en çok tercih edilen ve kurulumunu gerçekleştirmiş olduğum modelleri hakkında bilgi vermeyi tercih ettim. Sizin için ideal olan, ihtiyaçlarınıza karşılık bulabileceğiniz modelini http://www.fortinet.com/ web sitesinden inceleyebilirsiniz.
Yukarıda birebir yapılandırmış olduğum ürünlerin sahip oldukları güçleri hakkında bilgiler verilmiştir. Yukarıda belirtmiş olduğum memory bilgisi ürünün üzerinde ki gücü belirlmekte ve sahip olduğu gücün üzerinde bir sesion ile karşılaşırsa kendisini otomatik olarak yeniden başlatarak korumaya alıyor, sesion ları sıfırlamış oluyor. Kapanma ve açılma süresi ortalama olarak bir dakika ile üç dakika arasında değişmektedir.
Firmanın üretmiş olduğu ISP, Büyük Kurum, Üniversiteler gibi büyük networkler için de çözümleri bulunmakda ve hatta bu ürünlerin içerisinde RAID yapılandırılması yapılmış sabit diskler bulunmaktadır.
Ürünün en sevdiğim yanı herhangi bir kullanıcı lisanslaması olmamasıdır. Isa serverin SECURENAT özelliğine benzete bilir ve GW olarak firewallımızı gören bütün clientler Firewallın kapasitesi oranında üründen yararlanabilmektedir.
Birden fazla WAN portu olan ürünlerinde (50 serisi haricinde) Load Balancing özelliği yapılandırılabilir ve çift çıkışı sayesinde gerekli servislerin belirtmiş olduğumuz hat üzerinden çalışmasına ve hat down olma ihtimalin de işlemlerin otomatik olarak diğer port üzerinden sağlanılması yapılabilmekedir.
Örnek olarak Çift Wan portumuza bağlı iki adet DSL teknolojisine sahip hattımız bulunmakta. Hattımızdan birisini dışarıdan içerye gelecek şekilde yapılandırdık ve diğer hattımızı da içeriden dışarıya çıkacak şekilde yapılandırdık. İlgili hatlardan herhang birsi DOWN olma durumunda Load Balancing özelliği devreye giriyor ve işlemimizi çalışan diğer hat üzerinden devam etmemizi sağlıyor.
Ürünümüzün ana menüsünden istersek fabrika ayarlarına geri getirebiliyoruz. Kapatabilir veya fazlasıyla açılan sesionların ürünü yavaşlatması durumunda manuel olarak yeniden başlatabiliyoruz.
Ürünün ana menüsünde sol tarafda bulunan SystemNetwork bölümü altına ulaşıyor ve ilgili interfaceleri yapılandırmak üzere edit (kırmızı kutu içersinde) ki menüye tıklıyoruz.
Aynı bölüm altından Local ağımızın NETWORKUN den bir IP atayabiliyor, DMZ için ayrılmış IP leri belirleyebiliyoruz.
Status Bölümünden bağlantıyı kapatıp veya aktif hale getirebiliyoruz.
Açılacak olan yeni sayfada seçmiş oluğumuz interfacenin (WAN yapılandırılması için geçerli) dışarıya ne şekilde çıkacağını belirtiyoruz.
Manuel : Bölümünü yapılandırırsak eğer gerekli konfigürasyonun DSL modemimiz üzerinden yapıp, modemimizin IP bloğu ile aynı blokdan ip verip karşılıklı görüşmelerini sağlıyoruz. Isa server yapılandırılması gibi olup ürün NAT teknolojisi ile çalışacaktır.
DHCP : Bu bölümü seçersek eğer DSL modemimizde DHCP aktif ise eğer modemimizden ip almasını belirtiyoruz. Gerekli kullanıcı adı ve şifre işlemler, bağlantı ayarları menuel de olduğu gibi modem üzerinden yapıyoruz.
PPPoE : Firma tarafından tavsiye edilen ve uygulamalarım sırasında ürünün en sağlıklı bu modda çalıştığını belirtiyorum.
Modemimizi Bridge moda almasını yazımızın başında söylemiş olup VPI (8) ve VCI(35) değerlerini girdikten sonra, Firewallımız üzerinden ISP (telekom) tarafından almış olduğumuz kullanıcı adı ve şifremizi yazıyoruz.
Hattımızda bir problem olmadığı sürece aynı ekrandan bağlandığımızı ve dış iIP mizi buradan görebliyoruz.
NOT : GHDSL yapılandırılımaları için söylemem gereken hat hızınızı modem üzerinden ayarlamamız gerekmektedir.
En alt da görünen Administrator Acces bölümünde bulunan ilgili kutular Firewallımızı yönetmek için ne şekilde bağlantı yapacağımızı blirtiyoruz. Ürünümüzü Local den yönetebildiğimiz gibi WAN üzerinden de yönetebilmekteyiz.
Bağlantımız sağlandıktan sonra Firewallımızı GW olarak gören bütün clientlermiz hiç bir takılmaya mağruz kamadan internete çıkmaktadır. Default kuralı bütün eylemlere izin verecek şekilde yapılandırılmıştır.
Sol tarafda bulunan menü içerisinde SystemDHCP bölümü altında hangi interface üzerinden DHCP server olarak kullanmak istiyorsak ilgili interfaceyi genişletip artı (+) işaretli bölümden açılan sayfada DHCP serverimizi konfigure edebiliyoruz.
DHCP server üzerine LOCAL ağımız için düşündüğümüz IP aralığını girebildiimiz gibi networkümüzde varsa eğer alternatif DNS, WİNS serverın iplerini de dağıtmasını isteyebiliyoruz.
Ve yapmamız gereken en önemli hamleye sıra geldi. Default olarak Firewallımıza erişim 0.0.0.0/0.0.0.0 (dünya üzerinde ki bütün ) ip blokları için olup, kullanıcı adı admin (küçük- büyük harfa duyarlı değildir, yazmış olduğunuz şekilde giriş yapmak zorundasınız) ve şifre boştur. Gerekli IP ler için, gerekli kullanıcıların Firewallımıza erişip yönetmesini sağlayabiliyoruz.
Yapmış olduğumuz bu yapılandırmalar ile hem internete çıkışımızı sağlamış, hemde erişim kontrolleri ile güvenliğimizi sağlamış bulunmaktayız.
Ürünün özellikleri çok fazla olması sebebiyle diğer özelliklerini başka makaleler ve konu başlıkları altında anlatmaya devam edeceğim. Yanlız şimdiden vermek istediğim en önemli özelliği Fimware Versiyonu 3.0 ve üzeri olarak updatesi yapıldıkdan sonra Networkümüzde olan Domain Controller ile tümleşik çalışabilmekte ve kısıtlamaları – izinleri oluşturmuş olduğumuz Active Drectory içerisinde ki kullanıcılar için yapabilmekteyiz.
P2P programlarında ki MSN,ICQ tarzı programları yasaklamadaki kolaylığı gördükçe çok kolay benimseyeceğinizin ip uçlarını vermek istiyorum.
Fortigate makalelerinde görüşmek üzere.
Fatih KARAALİOGLU