Networklerin güvenliğini sağlamak için piyasada bulunan bir çok ürün vardır. Bu ürünler network yapısının büyüklüğüne göre değişmekte olup network ün yapısına ? ihtiyacına göre gerekli firewall ürünleri şirket networküne dahil edilerek güvenliğimizi sağlamaktadırlar.
UTM teknolojisi ve Fortigate Firewall Kurulumu
Bir network ün güvenliğini sağlamak için, bir firewall alınacağı zaman bilinmesi gereken en önemli husus yapılacak olan saldırıların tesit edilmesidir. Network ünüz ne şekilde saldırılara maruz kalabilir. Aşağıda ki iki sorunun cevabını verebiliyorsanız eğer piyasada bulunan sayısız firewall çeşitlerini bir bakıma elemiş oluyorsunuz. Soracak olduğumuz sorular
İhtiyacınız oluşabilecek olan Saldırıları içeriden mi olmasını bekliyorsunuz? Eğer cevabınız evet ise network ünüz için ideal olan Firewall ürünleri Yazılımsal ürünlerdir ki Osi Referans katmanına göre Layer 4 ve üzerinde çalışmakta olup yapabilmiş oldukları hareketler paket içeriklerine göre gerekli eylemleri yapmalarıdır.
Sizin ihtiyacınız içeride bulunan kullanıcılarınız ne yaptığını bilmek, web trafiğinin ele alınması gibi ihtiyaçlarınız ve hatta kolay ve anlaşılır bir raporlama alınarak üst makamlara bu raporların sunumu ise sizin için en yararlı olan yazılımsal bir Firewall?dır ve bunlara piyasada sağlamış olduğu esneklikler açısından ISA Server?ı örnek verebiliriz. Isa server için gerekli bilgilerin bir çoğunu http://sistemdoktoru.com/blogs/isa_sunucular/default.aspx linkinden temin edebilirsiniz.
Yoksa network ünüz dışarıdan mı saldırılara maruz kalacak? Eğer cevabınız evet ise network ünüz için ideal olan Firewall ürünleri Donanımsal ürünlerdir ki Osi Referans katmanına göre Layer 1 ? 2 ve 3 ncü katmanların da çalışmakta olup yapabilmiş oldukları hareketler ürünün özelliğine göre Port, Mac Adresi, Ip Adresleri için gerekli eylemleri yapmalarıdır ve yazılımsal ürünlere göre çok daha sağlam ve kararlı çalışmalarıdır.
Donanımsal Firewall lar Osi katmanlarına göre ilk 3 katmanda çalıştığı için pek fazla esnek değillerdir ve pek çok kez ihtiyaçlarımız konusunda bizleri zor durumda bırakmaktadırlar. Ama bir yazılımsal Firewall?a nazaran ise networkumuzu çok daha güvenli hale sokmaktadırlar.
Her iki çeşit firewall yapısının çalışma mantığına basitçe bakmamız gerekirse ki örnek olarak şirket bünyemizde donanımsal bir Firewall olan PİX var ve bu ürün üzerinden internete çıkabilmek için gerekli olan 80 portuna izin verdik. Ama istiyoruz ki şirketimiz içerisinde istenmeyen içerikli sitelere girilmesin. İşte bu gibi bir ihtiyaçta talebimize karşılık yoktur. Pix bir donanımsal Firewall olduğu için Osi katmanlarına göre Layer 4 ? 5 - 6 ve 7 nci katmana çıkamaz ve 80 portuna izin verilmiştir ve gerekli portun içeriğine bakarak kendini yormaz daha da doğrusu içeriğinden zaten anlamaz.
Bu açık zamanla bir çok sistemciyi, güvenlikçiyi zor durumda bırakmış, kimi zaman bu gibi ihtiyaçlarda aynı network içerisinde her iki çeşit Firewall ürünlerinin de girildiği gözlenilmiş ve karar verilmiş en güvenli network her iki çeşit Firewall?ında aynı ortamda olduğu network?lerdir olarak kabul edilmiş.
Sistemciler, Güvenlikçiler tarafından bu analiz tespit dildikten sonra üretici firmalar tarafından da tespit edilen biz müşterilerimizi bu özellikte ki ürünler ile zor durumda bırakıyoruz, insan gücünü gereksiz yere yoruyoruz ve her şeyden önemlisi maliyetlerini arttırıyoruz. Bu düşüncede, üretici firmalar tarafından kabul edilmiş olup bütünleşik çalışan ürünler ile güvenliğimizi sağlamak daha kolay ve az maliyetli bir hale gelmiştir. Örnek vermemiz gerekirse Cisco PİX ürünümüzün üzerine WEBSENSE programını satın alarak, cihazımıza entegre ettiğimiz zaman artık Firewall? ımız web içeriğinde de anlamaya başlamış olup 80 portunun içinde ne olup bitiyor bunlara da bakacaktır.
Kısa bir süreye kadar güvenliğimizi bu şekilde sağlıyorduk.
Günümüzde halan daha bu şekilde çalışan ürünler bulunmakta olsalar da yeni bir teknoloji geliştirilmiş ve UTM (Bütünleşik Güvenlik Sistemleri) başlığı adı altında bir çok yeni ürün piyasaya, networkumuzun içine girmeye başlamışlardır.
Firewall ürünlerinin gelişim süreci hakkında kısa bir bilgi verdikten sonra Fortinet firmasının networklerimize sokmuş olduğu ve esnekliği, kullanım kolaylığı ile çok da benimseyecek olduğumuz Fortigate Firewall ürünleri hakkında bilgiler vermeye çalışacağım. Ürün yelpazesi ve içeriği açısından çok geniş bir ürün olduğu için, benimsemiş olmasam da farklı başlıklar, farklı makaleler ile karşınızda olacağım.
Yukarıda Fortigate 60A Firewall?ın resimi görünmekte olup modellerine göre DMZ ve WAN port sayıları, kabul ettikleri session sayıları artmaktadır. Ürünümüzün içerisinden çıkan ürünler bağlantı kablolarımız, dokümanlarımız ve tanıtım Cd si bulunmaktadır.
Ürünün yapılandırılmasına ilk olarak firewall ürünümüzün önünde bulunan DSL teknolojisine sahip Modemlerimiz ile başlıyoruz. Modemimiz için gerekli olan ip ayarlarını yaptıktan sonra Briddge Moda (köprü) olarak yapılandırıp bütün yönetimin Fortigate Firewall ?ımız üzerinden yapacağımızı belirtiyoruz.
Tavsiye edilen bağlantı şekli bu şekilde olup farklı bağlantı şekilleri de bulunmaktadır. Modemimize Firewall?ımıza ürünün içerisinden çıkan Turuncu (özel cat5) kabloyu WAN portlarımızdan her hangi birisine takarak başlıyoruz.
Modemimizin ve Lan Portumuzun gerekli bağlantılarını yaptıktan sonra https://192.168.1.99 numaralı default ipsi üzerinden kullanıcı adı admin şifre boş olmak şartıyla ürünümüzü yapılandırmak üzere içerisine giriyoruz.
Bizleri yukarıda ki gibi bir ekran karşılayacaktır. Açılan sayfa ürünümüz hakkında en sık ihtiyaç duyacak olduğumuz menüleri içermektedir. Bu menüleri tek tek inceleyecek olursak.
System Information: Ürünümüz hakkında bilgileri görmekteyiz. Bu bilgiler sırasıyla ürünümüzün seri numarası, ne kadar süreden beri çalışır durumda olduğu, saat ayarı, ürünün hangi firmaya ait olduğunu gösteren (destek firmaları için düşünülmüş olup yanlış bir ürünü yapılandırılmaması için yazılmış olan) ismini ki bu isim ilk açıldığı zaman web sayfamızın üzerinde ki barda gözükecektir ve bunun gibi bilgiler bulunmaktadır. Güncel Administrator bölümüne girdiğimiz zaman
Hangi yöneticinin kullanıcı adı ile Firewall?ın içerisinde olduğu görünmektedir. Aynı kullanıcı ile birden fazla kişi aynı anda ürüne girebiliyor ki bunu yukarıda ki resimde görebiliyoruz ve hem web üzerinden hem de konsol portu üzerinden ürünün içine girildiği görülmektedir.
Diğer bölümümüz ise ürünümüzün bağlantı durumu hakkındadır. Mouse ile ilgili portun üzerine geldiğimizde bağlantının up (açık), Down (kapalı) olduğunu ve Wan portunun almış olduğu veya hattımıza tahsis edilen statik Ip yi, veya Local Ip mizi görebiliyoruz.
Bu ekran Firmware Update'i 3.00 olarak yükseltilmiş ürünler için geçerli olup daha önceki sürümlerinde metin olarak gözükmektedir, görselliği yoktur.
LED
DURUMU
AÇIKLAMA
Güç Düğmesi
(POWER)
Yeşil
Firewall?a elektrik gelmekte ve çalışır durumda.
Işık yok.
Kapalı.
Durumu
Işık yanıp sönüyorsa
Firewall açılmaya çalışıyor.
Yeşil
Firewall aktif
Işık yok.
Firewall Kapalı
BAĞLANTI
(Internal Portlar, Wan Portları, DMZ Portları)
Yeşil
Uygun kablo ile Bağlantı doğru bir şekilde sağlandı,
Işık yanıp sönüyorsa
İlgili interface üzerinde hat aktif durumda
Işık yok.
Kablo takılı değil.
DMZ 1 - DMZ 2
WAN 1 - WAN 2
Yeşil
İlgili İnterface 100 Mbs olarak çalışmakta.
Hem ürünün web ara yüzünde almış olduğu, hem de ürünün üzerinde yanan ışıklar ile ilgili vermemiz gereken bilgiler yukarıda ki tabloda belirilmiştir.
License Information: Ürünümüzün üzerinde üç ayrı virüs yazılımı bulunmakta olup virüs yazılımlarının durumları hakkında bilgi öğrenebiliriz. Ürünü aldığımız zaman içerisinden bir Yıllık virüs koruması (üç aylık ayrı paketler halinde ) hediye gelmekte olup Fortigate 60 ürünü haricinde virüs yazılımları otomatik olarak yüklü durumdadır ve ürün ilk internete çıktığı anda gerekli güncelleştirmeleri almaya başlıyor.
Fortigate 60 serisi için ise fortinet sitesinden almış olduğunuz kullanıcı adı ve şifresi ile ürünümüzü kendiniz manual olarak kaydını yaptırıp, virüs yazılımlarını yüklüyorsunuz.
Ürünün üzerinde bulunan bu üç ayrı virüs programının bizlere sağlamış olduğu en büyük avantaj, networkümüze giren paketler (mail, ftp, web vb üzerinden) paketler networkümüze girişi sağlanmadan tabiri caiz ise kapı ağzında gerekli işleme mağruz kalıyorlar. Güncelleştirmeleri manual olarak yaptığımız gibi ürün belirli aralıklar ile Fortinet sitesine gidip gerekli güncelleştirmeleri yüklemektedir.
Lisans bitiminde ise alınacak olan yeni virüs yazılımları bu bölümden aktif edilebiliyor ve süresi uzatılıyor.
Statistics: İstatistikler bölümü altında güncel açık olan sezonlar, ziyaret edilen sayfalar giden gelen mail trafiği, yapılan ataklar gibi networkumuz için bir çok ihtiyacı gözlemleyebiliyoruz. Details (detay) dediğimiz zaman ayrıntılı bir şekilde gözlemleme yapabilmekteyiz.
Firewall?ımız açık olduğu zamandan (40 gün) beri ziyaret edilen sayfalar.
Firewall?ımız açık olduğu zamandan (40 gün) beri algılanan - blocklanan virüs ve atakların bilgileri.
Konsol bölümü fanteziyi seven sistemci arkadaşlarım için düşünülmüş olan bir bölüm olarak yapılandırıldığını zannediyorum. Cisco ürünlerinden tanıdık olduğumuz? (yardım almak için) bu ürün içinde düşünülmüş.
Ürünümüzün içerisinde bulunan CPU ve Memory hakkında bilgi bulunmaktadır. Fortigate firewall ailesinde ürünler arasında ki temel değişim noktası üzerlerinde bulunan RAM ve Memory ebatlarının büyüklüğü ? küçüklüğüdür.
Almış olduğumuz ürünün temel yapılandırması özellikleri hemen hemen aynı olup kabul etmiş oldukları session lara göre network büyüklüğümüze göre bizim için uygun olan ilgili ürünü seçebiliyoruz.
Bir kaç Fortigate Firewallların temel özelikleri;
FortiGate-50A
Küçük İşletme kullanımı için Network Güvenlik Sistemi
? VPN Gateway
? İçerik Filtreleme
? AntiSpam
? 1 LAN, 1 WAN Port
? Sınırsız Kullanıcı Lisansı
? 50 Mbps Firewall Throughput
? 25,000 Session (Oturum)
? Maksimum Tünel Sayısı (VPN) 20
FortiGate-60
Küçük/Orta büyüklükte İşletme / Kurum kullanımı için Network Güvenlik Sistemi
? VPN Gateway
? İçerik Filtreleme
? AntiSpam
? 1 LAN (4 port switch), 2 WAN, 1 DMZ Port
? Sınırsız Kullanıcı Lisansı
? 70 Mbps Firewall Throughput
? 50,000 Session (Oturum)
? Maksimum Tünel Sayısı (VPN) 40
? Yedeklilik ve Yük Paylaşımı (Load Balancing)
FortiGate-100A
Küçük/Orta büyüklükte İşletme / Kurum kullanımı için Network Güvenlik Sistemi
? VPN Gateway
? İçerik Filtreleme
? AntiSpam
? 1 LAN (4 port switch), 2 WAN, 2 DMZ Port
? Sınırsız Kullanıcı Lisansı
? 100 Mbps Firewall Throughput
? 200,000 Session (oturum)
? Maksimum Tünel Sayısı (VPN) 80
? Yedeklilik ve Yük Paylaşımı (Load Balancing)
FortiGate-200A
Orta büyüklükte İşletme / Kurum kullanımı için Network Güvenlik Sistemi
? VPN Gateway
? İçerik Filtreleme
? AntiSpam
? 1 LAN (4 port switch), 2 WAN, 2 DMZ Port
? Sınırsız Kullanıcı Lisansı
? 150 Mbps Firewall Throughput
? 400,000 Session (oturum)
? Maksimum Tünel Sayısı (VPN) 200
? Yedeklilik ve Yük Paylaşımı (Load Balancing)
Ürünün çok fazla çeşidi olduğu için sektörde en çok tercih edilen ve kurulumunu gerçekleştirmiş olduğum modelleri hakkında bilgi vermeyi tercih ettim. Sizin için ideal olan, ihtiyaçlarınıza karşılık bulabileceğiniz modelini www.fortinet.com web sitesinden inceleyebilirsiniz.
Yukarıda birebir yapılandırmış olduğum ürünlerin sahip oldukları güçleri hakkında bilgiler verilmiştir. Yukarıda belirtmiş olduğum memory bilgisi ürünün üzerinde ki gücü belirlemekte ve sahip olduğu gücün üzerinde bir session ile karşılaşırsa kendisini otomatik olarak yeniden başlatarak korumaya alıyor, session ları sıfırlamış oluyor. Kapanma ve açılma süresi ortalama olarak bir dakika ile üç dakika arasında değişmektedir.
Firmanın üretmiş olduğu ISP, Büyük Kurum, Üniversiteler gibi büyük networkler için de çözümleri bulunmakta ve hatta bu ürünlerin içerisinde RAID yapılandırılması yapılmış sabit diskler bulunmaktadır.
Ürünün en sevdiğim yanı herhangi bir kullanıcı lisanslaması olmamasıdır. Isa serverın SECURENAT özelliğine benzete bilir ve GW olarak firewallımızı gören bütün clientler Firewallın kapasitesi oranında üründen yararlanabilmektedir.
Birden fazla WAN portu olan ürünlerinde (50 serisi haricinde) Load Balancing özelliği yapılandırılabilir ve çift çıkışı sayesinde gerekli servislerin belirtmiş olduğumuz hat üzerinden çalışmasına ve hat Down olma ihtimalin de işlemlerin otomatik olarak diğer port üzerinden sağlanılması yapılabilmektedir.
Örnek olarak Çift Wan portumuza bağlı iki adet DSL teknolojisine sahip hattımız bulunmakta. Hattımızdan birisini dışarıdan içeriye gelecek şekilde yapılandırdık ve diğer hattımızı da içeriden dışarıya çıkacak şekilde yapılandırdık. İlgili hatlardan herhangi birsi DOWN olma durumunda Load Balancing özelliği devreye giriyor ve işlemimizi çalışan diğer hat üzerinden devam etmemizi sağlıyor.
Ürünümüzün ana menüsünden istersek fabrika ayarlarına geri getirebiliyoruz. Kapatabilir veya fazlasıyla açılan sesi onların ürünü yavaşlatması durumunda manuel olarak yeniden başlatabiliyoruz.
Ürünün ana menüsünde sol tarafta bulunan SystemNetwork bölümü altına ulaşıyor ve ilgili interfaceleri yapılandırmak üzere edit (kırmızı kutu içersinde) ki menüye tıklıyoruz.
Aynı bölüm altından Local ağımızın NETWORKUN den bir IP atayabiliyor, DMZ için ayrılmış IP leri belirleyebiliyoruz.
Status Bölümünden bağlantıyı kapatıp veya aktif hale getirebiliyoruz.
Açılacak olan yeni sayfada seçmiş oluğumuz interfacenin (WAN yapılandırılması için geçerli) dışarıya ne şekilde çıkacağını belirtiyoruz.
Manuel : Bölümünü yapılandırırsak eğer gerekli konfigürasyonun DSL modemimiz üzerinden yapıp, modemimizin IP bloğu ile aynı blokdan ip verip karşılıklı görüşmelerini sağlıyoruz. Isa server yapılandırılması gibi olup ürün NAT teknolojisi ile çalışacaktır.
DHCP : Bu bölümü seçersek eğer DSL modemimizde DHCP aktif ise eğer modemimizden ip almasını belirtiyoruz. Gerekli kullanıcı adı ve şifre işlemler, bağlantı ayarları manual de olduğu gibi modem üzerinden yapıyoruz.
PPPoE : Firma tarafından tavsiye edilen ve uygulamalarım sırasında ürünün en sağlıklı bu modda çalıştığını belirtiyorum.
Modemimizi Bridge moda almasını yazımızın başında söylemiş olup VPI (8) ve VCI(35) değerlerini girdikten sonra, Firewallımız üzerinden ISP (telekom) tarafından almış olduğumuz kullanıcı adı ve şifremizi yazıyoruz.
Hattımızda bir problem olmadığı sürece aynı ekrandan bağlandığımızı ve dış IP mizi buradan görebiliyoruz.
NOT : GHDSL yapılandırılmaları için söylemem gereken hat hızınızı modem üzerinden ayarlamamız gerekmektedir.
En alt da görünen Administrator Access bölümünde bulunan ilgili kutular Firewallımızı yönetmek için ne şekilde bağlantı yapacağımızı belirtiyoruz. Ürünümüzü Local den yönetebildiğimiz gibi WAN üzerinden de yönetebilmekteyiz.
Bağlantımız sağlandıktan sonra Firewallımızı GW olarak gören bütün clientlermiz hiç bir takılmaya mağruz kamadan internete çıkmaktadır. Default kuralı bütün eylemlere izin verecek şekilde yapılandırılmıştır.
Sol tarafta bulunan menü içerisinde SystemDHCP bölümü altında hangi interface üzerinden DHCP server olarak kullanmak istiyorsak ilgili interfaceyi genişletip artı (+) işaretli bölümden açılan sayfada DHCP serverımızı konfigure edebiliyoruz.
DHCP server üzerine LOCAL ağımız için düşündüğümüz IP aralığını girebildiğimiz gibi networkumuzda varsa eğer alternatif DNS, WİNS serverın iplerini de dağıtmasını isteyebiliyoruz.
Ve yapmamız gereken en önemli hamleye sıra geldi. Default olarak Firewallımıza erişim 0.0.0.0/0.0.0.0 (dünya üzerinde ki bütün ) ip blokları için olup, kullanıcı adı admin (küçük- büyük harfe duyarlı değildir, yazmış olduğunuz şekilde giriş yapmak zorundasınız) ve şifre boştur. Gerekli IP ler için, gerekli kullanıcıların Firewallımıza erişip yönetmesini sağlayabiliyoruz.
Yapmış olduğumuz bu yapılandırmalar ile hem internete çıkışımızı sağlamış, hem de erişim kontrolleri ile güvenliğimizi sağlamış bulunmaktayız.
Ürünün özellikleri çok fazla olması sebebiyle diğer özelliklerini başka makaleler ve konu başlıkları altında anlatmaya devam edeceğim. Yalnız şimdiden vermek istediğim en önemli özelliği Fimware Versiyonu 3.0 ve üzeri olarak update'i yapıldıktan sonra Networkumuzda olan Domain Controller ile tümleşik çalışabilmekte ve kısıtlamaları - izinleri oluşturmuş olduğumuz Active Directory içerisinde ki kullanıcılar için yapabilmekteyiz.
|