Yapılacaklar - Muhammet YILDIRIM
Transkript
Yapılacaklar - Muhammet YILDIRIM
Yapılacaklar İnterface Yapılandırması 1-) Port 1 : ( Wan 1 personel internet ) - İp adresi : 192.168.80.129/30 olacak Amacı : lokaldeki personellerimin internet çıkması için internet bacağı olacak, https , ping , ssh erişimleri açık olacak Comments : Personel_to_internet_alt_yapisi yazılacak. Zone olarak : Wan bolgesine dahil edilecek. 2-) Port 2 : ( Wan 2 müşteri internet ) - İp adresi : 192.168.149.128/30 olacak Amacı : lokaldeki müşterilerimizin internet çıkmasını sağlıyacak , https , ping , ssh erişimleri açık olacak Comments : Ziyaretci_to_internet_alt_yapisi. Zone olarak : Wan bolgesine dahil edilecek. 2-) Port 10 : (Yonetim arayuzu ) - İp adresi : 10.0.0.1/24 Amacı : Vm lan yaptığım sırada fortigaterimin yönetimini sağlamak https , ping , ssh erişimleri açık olacak Comments : Yonetim icin bağlantı kurulacak arayüz Zone olarak : Managment bolgesine dahil edilecek. 2-) Port 9 : ( DMZ_SERVER_UPLINK ) - İp adresi : 192.168.30.1/24 Amacı : Şirketmindeki sunucuların bulunduğu alana erişimin güvenli şekilde sağlanması https , ping , ssh erişimleri açık olacak Comments : DMZ uplink Zone olarak : DMZ bolgesine dahil edilecek. 2-) Port 5 : (Personel Getway ) - İp adresi : 192.168.20.1/23 Amacı : Personelimizin internete ve dmz bölgesine erişşmek için getway görevi görmesi https , ping , ssh erişimleri açık olacak Comments : personelin getway icin kullanacaklari port Zone olarak : Zone dahil edilmeyecek DHCP : 192.168.20.20’Den başlayıp 192.168.21.255’E kadar ip dağıtacak Tüm protokeler açık olacak , internete ve dmz bölgesine rahatça erişebilecek Her kullanıcı en fazla 1 mb bantgenişlişine shaip olacak 2-) Port 6 : (Müşteri Getway ) - İp adresi : 192.168.30.1/23 Amacı : müşterilerimizin kimlik kontrolü yaparak internete çıkmasını sağlamak https , ping , ssh erişimleri açık olacak Comments : Musterilerin internete cikmak icin kullanacaklari getway Zone olarak : Zone dahil edilmeyecek DHCP : 192.168.20.20’Den başlayıp 192.168.21.255’E kadar ip dağıtacak Müşterilerin Erişim Özellikleri - Tüm kullanıcılar intenet çıkarken UDM anti virüs kontrolü sağlanacak - Müşteriler sadece internet hizmeti ve mail hizmeti sağlanacak bunun için http https pop pop3 ping ve ftp servislerinden oluşan bir müşteri servisi oluşturacağım. - Müşterilerin internet alt yapısını adil bir şekilde kullanması için her kullanıcıya en fazla 1 mb olacak şekilde bantgenişliği sağlıyacağım. - Müşteriler internete default’ta gelen url filitre dışında herhangi bir erişim kısıtlaması sağlanmayacak ( youtube , facebook , web oyun gibi ) - Müşteriler internete çıkarken kimlik doğrulaması yapılacak , her kullanıcı için özel olarak resepsiyonda bir erişim kullanıcı adı ve şifresi tanımı yapılacak .Bu işlemi resepsiyon görevlisi sağlıyacak. Kullanıcıların logout yani kimlik doğrulama sürelerinin bitmesi en son işlemden ihtibaren 24 saat olacak . - Müşterilerin kullanacağı servisleri , Musteri_servis diye bri serviste toplayacağız içinde ping , http , https , dns , pop ımap pop3 gibi mail servislerde olacak. - Personel Erişim Özellikleri - Tüm kullanıcılar intenet çıkarken UDM anti virüs kontrolü sağlanacak - Personellerin internet hizmetinde kullanıcakları servislerde herhangi bir kıstlama olmayacak . - Herhangi bir bantgenişliği kısıtlaması olmayacak - Uygulama kontrolünde perosnelimizin Media&Auide , sosyal media , depolama uygulamlarının Kullanımını yasaklıyacağız ( youtube , one drive , gdrive , tv kanalları vs vs ) - İnternete çıkarken fw tarafından herhangi bir kimlik doğrulama yapılmayacak doğrudan erişim sağlanabilecek. - ERP serverımızın kullandığı 8001-8003 portları için ERP diye bir servis oluşturulacak. İpsec Vpn Özellikleri - Wan 1 üzerinden 98.5.6.4 adresindeki kemer şubem ile ipsec vpn yapacağım Şifre : nek123456 Encaytpn : MD5 - SHA1 olacak Keylife : 1200 Port yönlendirme 192.168.80.129:21 gelen istekleri 192.168.30.11 ftp server’a 192.168.80.149.128 gelen istekleri 192.168.30.11 ftp server’a 192.168.80.129:3389 gelen istekleri 192.168.30.10 Erp servera uzak masaüstü 192.168.80.149.128 :3389 gelen istekleri 192.168.30.10 Erp servera uzak masaüstü 192.168.80.129:3388 gelen uzak masaüstü isteklerini 192.168.20.150 kendi pc’ime 192.168.80.129:80 gelen istekleri 192.168.30.12 web servera 192.168.80.149.128 : gelen istekleri 192.168.30.12 web servera 192.168.80.129:2222 gelen istekleri 192.168.30.11 ftp servera linux ssh 192.168.80.129:8001-8003 gelen istekleri 192.168.30.10 Erp severa Objelerin Oluşturulması Yapımızda kullanacağımız nesneleleri oluşturmakla işe başlıyoruz . Network Adres Objeleri ; Öncellikle toolojimizde kullanacağımız networkleri için adres objeleri oluşturuyoruz , personel ve müşteri için genel /23 network objesi oluşturduğumuz halde DMZ bölgesinde serverlarımız için /32 olacak ve SRV_ ile ismi başlıyacak şekilde oluşturuyoruz daha sonra bu server iplerini DMZ adındaki adres grup objeimizin altında topluyoruz . Adres objelerim bu şekilde olacak; SRV_ERP_server 192.168.30.10/32 SRV_File_Server 192.168.30.15/32 SRV_Ftp_Server 192.168.30.11/32 SRV_Web_Server 192.168.30.12/32 personel_network 192.168.20.0/255.255.254.0 - /23 ziyaretci_network 192.168.10.0/255.255.254.0 -/23 SSLVPN_TUNNEL_ADDR1 all 10.212.134.200-10.212.134.210 0.0.0.0/0.0.0.0 Fortigate ekran çıktısı aşağıdaki gibi olacak şekilde yapılandırıyoruz Menü >Firewall objects >Adress >Addresses >Create New Serverları bir grup altında topluyoruz ; , DMZ_ZONE4 Members SRV_ERP_server SRV_File_Server SRV_Ftp_Server SRV_Web_Server Menü >Firewall objects >Adress >Groups >Create New Servis Objeleri ; Bu alanda topolojimizde yapmak istediğimiz servis yönetimi için ilgili servisleri oluşturuyoruz ve fruplandırıyoruz . ERP_server_servis : TCP/8001-8003 0.0.0.0 Müşteri_Servisi : Müşterilerin internet çıkması için ve mail okumak için ihtiyaç duydukları servislerin içinde olduğu bir başka genel servis oluşturuyorum. BU servisler; HTTP , HTTPS , FTP , IMAP , IMAPS , POP3 , POP3S , SMTP , SMTPS , PING , DNS Taraffic Shaping Objesi : Müşterilerimizin her biri en fazla 1 mb bantgeniliği kullanabilecekler , böylece bir kişinin interneti baltalamasını önleyeceğiz bunun için maximum bantgenişliği 1024 k olan bir traffic Per-IP objesi oluşturyoruz. Port yönlendirme Objeleri ( Virtual Ips ) İki tane wan ipimizde gelen bazı istekleri iç networke yönlendrimemiz gerekecektir , bunun için bu alanda yönlendirme objeleri oluşturcağız. İki Wan ipyede gelen istekleri aynı formatta iç networkümüzde aktaracağız , 192.168.80.129:21 gelen istekleri 192.168.30.11 ftp server’a 192.168.80.149.128 gelen istekleri 192.168.30.11 ftp server’a 192.168.80.129:3389 gelen istekleri 192.168.30.10 Erp servera uzak masaüstü 192.168.80.149.128 :3389 gelen istekleri 192.168.30.10 Erp servera uzak masaüstü 192.168.80.129:3388 gelen uzak masaüstü isteklerini 192.168.20.150 kendi pc’ime 192.168.80.129:80 gelen istekleri 192.168.30.12 web servera 192.168.80.149.128 : gelen istekleri 192.168.30.12 web servera 192.168.80.129:2222 gelen istekleri 192.168.30.11 ftp servera linux ssh 192.168.80.129:8001-8003 gelen istekleri 192.168.30.10 Erp severa External IP Address/Range External Service Port Mapped IP Address/Range Map to Port Wan1_to_ftp_server port1/192.168.80.129 21/tcp 192.168.30.11 21/tcp Wan2_to_ftp_server port2/192.168.149.128 21/tcp 192.168.30.11 21/tcp Wan1_to_erp_server_RDP port1/192.168.80.129 3389/tcp 192.168.30.10 3389/tcp Wan2_to_erp_server_RDP port2/192.168.149.128 3389/tcp 192.168.30.10 3389/tcp Wan1_to_muhammet_pc_RDP port1/192.168.80.129 3390/tcp 192.168.20.150 3389/tcp Wan1_to_web_server port1/192.168.80.129 80/tcp 192.168.30.12 80/tcp Wan2_to_web_server port2/192.168.149.128 80/tcp 192.168.30.12 80/tcp WAn1_to_linx_server_ssh port1/192.168.80.129 2222/tcp 192.168.30.11 22/tcp Wan1_to_ERP port1/192.168.80.129 8001-8003/tcp 192.168.30.10 8001-8003/tcp Name Bölgelere ( zone ) göre bu port yönlendirmelerini gruplandırıyoruz. Group Name Members WAn1_to_Dmz5 Members WAn1_to_linx_server_sshWan1_to_ERPWan1_to_erp_server_RDPWan1_to_ftp_serverWan1_to_ web_server Wan2_to_Dmz3 Members Wan2_to_erp_server_RDPWan2_to_ftp_serverWan2_to_web_server İnterfaceleri ve Zone ( bölge ) Oluşturulması Polciyleri daha kolay yönetmek için zone(bolgeler oluşturyoruz ) BU bölgeler şu şekilde olacak DMZ : port9 HA : port 3 , port 4 Managment : port 10 Wan : port1 ve port2 dahil ediyoruz. Lokal Network : perosnel ve müşteri getway portları ( port 5 ve port 6 ) System >Network >İnterface >Create New >Zone Name Type mesh.root (SSID: fortinet.mesh.root) WiFi DMZ Zone HA Zone Lokal_network Zone Managment Zone WAN Zone IP/Netmask Access Administrative Status Link Status 0.0.0.0 0.0.0.0 Tüm interfaceler gerekli şekilde yapılandırılacak , Port1 Yapılandırma ; Açıklama : herhangi bir açıklamaya ye gerek duyulmamaktadır , Port2 Yapılandırma ; Açıklama : herhangi bir açıklamaya ye gerek duyulmamaktadır , Port5 Yapılandırması ; Açıklama : Bu port lokaldeki personelimizin internete çıkmak için kullanacakları getway olacak , bunla birlikte bu interface üzerinde dhcp server yapılandırması yapıyorumki iç networkteki kullanıcılarıma ip adresini otomatik olarak dağıtsın diye , Port6 Yapılandırması; Açıklama ; Bu port müşterilerin internete çıkmak için kullanacakları getway olacak ,Bu interface altında müşterilere ip dağıtması için bir dhcp server oluşturuyorum . Müşterilerin internete çıkması için kimlik doğrulaması yapmasını istiyordum yineonuda müşteri getwayi olduğu için bu port altında yapılandırıyorum , Security mode alanında Captive Portal seçilerek kimlik doğrulamasını aktif ediyoruz , User groups alaında kimlik doğrulamasınında kullanılacak olan user grubunu seçiyoruz ben henüz user gurubunu oluşturmadığım için bu alanı şimdi seçmiyorum . Port 9 Yapılandırması ; Açıklama : herhangi bir açıklamaya ye gerek duyulmamaktadır , Port 10 Yapılandırması ; Açıklama : herhangi bir açıklamaya gerek duyulmamaktadır. Genel Port Görünümü ; Tüm yapılandırmadan sonra Menü > System > network > interface sekmesinde portlar şu şekilde görüneceklerdir. Site to Site İpo Sec Vpn Wan 1 üzerinden 88.154.6.183 adresindeki kemer şubem ile ipsec vpn yapacağım Şifre : nek123456 Encaytpn : MD5 - SHA1 olacak Keylife : 1200 Hedef network : 192.168.120.0/23 network Lokal networküm :192.168.20.0/23 Hedef wan : 88.154.6.183 1-) Faz 1 ; Açıklama : herhangi bir açıklamaya gerek duyulmamaktadır. Faz 2-) Açıklama : İlgili routing ve policy ayarlarını ilerde yapacağım , bu şekilde en temel olarak ipsec vpn yapılandırmam tamamlanmış oluyor. Application Control ( Uygulama Yönetimi ) Personellerimizin Storage,backup , Sosyal medai ve Videao Audio gibi bantgenişliği tüketen yada mesai dışında zamanlarını öldüren uygulamaların kullanılmasını yasaklıyacağım ( block ) . Bunlar dışındaki uygulamalarda herhangi bir kısıtlama olmayacak . Menü > Security profiles > Application Control >Application Sensors Sağ üst köşeden Create New seçilerek “ Personel_uygulama_kontrol “ diye yeni bir uygulama sensörü oluşturyorum. Daha sonra oluşan bu sensöre içinde “ Create New “ diyerek yeni bir monitör / block listesi oluşturuyoruz. Category alanında block koyacağım katagorileri seçip action bölümünde Block seçeneğini aktif ediyorum . İlgili şekilde listemi yapılandırıp “ Ok “ diyerek yeni listemi sensöre ekliyorum genel uygulama sensör görünümü şu şekildedir. Anti Virüs Profili ; Dmz bölgesine ve personel bölgesine gelen paketlerde antivrüs koruması yapmayı sağlıyacağım , müşteri alanında bir anti virüs koruması aktif etmeyeceğim sadece öncelikli hedefim personel ve Suncuu bölgemi ( zone ) korumak , eğer müşteri zonunuda anti virüs aktif edersem performans olarak istediğim sonuca ulaşamıyabilirim fortigate ile o yüzden müşterileri anti virüs korumasına dahil etmeyeceğim. Menü > Security profiles > Anti Virüs >Profiles > sağ üstten Create new diyerek “ dmz_personel_anti_virus” adında bir profil oluşturup bu profile web ve email korumalarını dahil ediyorum . Açıklama : herhangi bir açıklamaya gerek duyulmamaktadır. Müşteriler İçin Kimlik Doğrulaması Yapılması Kullanıcıların Oluşturulması Müşteriler ilk geldiği zaman resepsiyonda bulunan görevli bu kişiye özel bir accont açacak ve şifre paylaşacak müşteri daha sonra şirkette bulunduğu zaman zarfında internete girmek istediğinde otomatik olarak iç networke bağlanacak ( ip alacak ) fakat internete çıkmak istediğinde kimlik doğrulaması yapıcak . 1-) Test amaçlı musteri01 , musteri02 , musteri03 , musteri04 , musteri05 diye kullanıcılar oluşturup şifrelerini 123456 olacak ve bu kullanıcılar ve bundan sonra gelecek tüm müşteride fortigate veri tabaında musteri diye bir user grubu oluşturularak ona dahil edilecek Menü > User & Device >User > User Definition > Create new User Name Type Two-factor Authentication Ref. guest LOCAL 1 musteri01 LOCAL 0 musteri02 LOCAL 0 musteri03 LOCAL 0 musteri04 LOCAL 0 musteri05 LOCAL 0 Kullanıcıların müşteri diye bir grup oluşturulup ona dahil dahil edilmesi , Menü > User & Device >User > User Groups > Create New Group Name Group Type Members Ref. FSSO_Guest_Users (0 Members) Fortinet Single Sign-On (FSSO) Guest-group (1 Members) Musteriler (5 Members) 0 Firewall guest 0 Firewall musteri01 musteri02 musteri03 musteri04 musteri05 0 Login olma ayarları; Menü > User&Device >Authentication > Setting Kimlik doğrulanma süresini 1 gün ( 1440 dk ) olarak beirleyip http https ftp telnet gibi destek hizmetlerinde aktif ediyoru, login olduktan sonra 24 saat eğer herhangi bir müdahale yapmazsa log out olacak bir daha girmeye çalıştığı zaman tekrardan kimlik doğrulaması yapılacak , bu süre idea olarak 24 saatir, Resepsiyon admin account Oluşturma Her yeni müşteri geldiğinde bizlerin kullanıcı tanımlaması biraz zor olacağı için bu işi resepsiyona devredeceğiz , resepsiyon için birer kullanıcı açacağız ve o kullanıcının sadece user & device yönetimi yapmasını sağlıyarak yeni gelen müşterilerin internet kullanması içn gerekli kimlik tanımlarının onlar tarafından yapılmasını sağlıyacağız. Resepsiyon admin profile oluşturma ; Menü> system>Admin >Admin Profiles >Create New Bu alanda User&device yönetimi sağlamakla görevleri kullanıcıların sadece bu alanları yönettiği bir admin yönetim profili oluşturuyorum . böylece ben resepsiyon görevlilerinin cihazıma bağlandıktan sonra sadece User&device alanını görmesini ve müdahale etmesini sağlıyorum . Kullanıcı ( User ) oluşturma ; Menü> system>Admin >Administrator >Create New Genel kullanıcılarımın görünümü ; Kimli Doğrulama portalının müşteri interfacine ugulanması; Açıklama ; Şimdiye kadar ihtiyaç duyduğumuz yapılandırmayı yaptık şimdi sie esas önemli olan yapılandırmayı yapıyoruz , Daha önce müşteri getway interface’i olan port 6 altında Security Mode : “ Captive Portal “olarak beliirlenmişti , fakat kullanıcı ve gruplarımı oluşturmadığım için User Groups alanım boştu , artık kullanıcılarımı oluşturduğuma göre tekrardan port 6 altında girerek User Groups alanını “ Musteriler “ olarak belirliyoruz. Routing ( Yönlendirme ) Yapılandırması İki tane Wan interface’im otomatik olarak default getwaylerini dhcp’Den alarak benim burada tekrardan default getway tanımlamama ihtiyaç bırakmıyorlar , Ben sadece ipsec vpn için 192.168.120.0/23 networkü için ipsec tünelimin kullanması gerektiğini ekliyeceğim. Genel routing görünümüm şu şekildedir. Açıklama : herhangi bir açıklamaya gerek duyulmamaktadır. Policy’leri Oluşturma Port6 ( Musteri_getway ) > Port2 ( Wan 2- Musteri internet ) Müşterilerin port6 ‘dan port2’yii kullanarak Wan2 üzerinden internete çıkmalarını sağlamak bu sağlarken sadece müşteri_servisleri diye öncen oluşturduğum web ve mail servisleri aktif olacak , ve her kullanıcı yine oluiturduğum en fazla 1 mb bent genişliğine sahip traffic sahping kullanacak olacak . İnternete açıldığım için son olarakta Nat servisi aktif edeceğim. Port5 ( personel_getway ) > Port1 ( Wan 1- Personel internet ) Personelimizin wan1 üzerinden internet çıkmasını sağlıyoruz, burda anti virüsü aktif ederek “dmz_personel_anti_virus” profilini kullanıyoruz , Nat aktfi ediyor , youtube filan yasak ettiğimiz “ perosnel_uygulama_kontrol “ application control olarak belirliyoruz , Port 9 ( DMZ ) > Port 1 ( Wan1 –personel internet ) Dmz zone’um wan 1 üzerinden internete açılacak , internet olduğu için NAT aktif , Server alanım olduğu içinde antivirüs korumasını aktif ediyorum . Port5 ( personel Getway ) > Port 9 ( Dmz ) 4-) personellerin DMZ zonundaki sunculara herhangi bir engele takılmadan erişmesini istiyorum. Wan 1 & Wan 2 > DMZ ( port 9 ) Wan 1 ve Wan 2 ‘den gelen istekleri iç networke yönlendirilmesi ( port yölendirme ) aynı zamanda anti virüste açık. İpsec vpn için Polciy Oluşturuyoruz Açıklama : Üst kısımda olduğu gibi ipsec vpn için gidip ve dönüş olcak şekilde gerekli izinleri ayarlıyoruz , Policy Görünümü Vm ile en fazla 5 policy oluşturula bildiği için ipsec policylerim ekran görünmüyor. Seq.# From To Source Destination Service Action AV 1 port6 port2 personel_network all Musteri_servis Accept 2 port5 port1 personel_network all ALL Accept AV dmz_personel_anti_virus 3 DMZ port1 DMZ_ZONE all ALL Accept AV dmz_personel_anti_virus 4 port5 DMZ personel_network DMZ_ZONE ALL Accept port1 port2 DMZ all WAn1_to_Dmz Wan2_to_Dmz ALL Accept AV dmz_personel_anti_virus any any all all ALL Deny 5 6 Eksikler ( Düzeltilmesi Gereken yerler ) Yağtığım lab aşağıdaki eksiklere giderildikten sonra sorusnuz , Tüm gerçek testler bire bir yapılmıştır , 1-) Wan 1 – Wan yapılandırılırken default getwayi’de dhcp’den almasını seçmemiz gerekiyordu aksi halde , statik route olarak internet getwayimizi elle girmemiz gerekiyordu. Ben interface altında girerek tekrardan DG Dhcp’den al seçeneğini aktif ettim . 2-) Zon sorunu : Zoneları aktif ederken policy yönetiminde zoneler ile yapılır böyle benim iki farklı lokal networküm ve wan’ım için farklı policy’ler uygulayamam , yada kaynak hedef ipleri girmem gerekir bu yüzden zone yönetimini devre dışı bırakıyorum . 3-) Firewall objelerinde “ ziyaretci_network “ diye oluşturulmuş bu aslında musteri_network” olacaktır o şekilde ismi güncellendi. 4-) ipsec vpn için kemer subenin lokal ipsini network objesi olarak oluşturuldu “sube_network” 5- ) En fazla 5 tane policy olusturyoruz , Vm olduğu için 5 ten fazla policy oluşturamıyoruz ,Bu yüzden ipsec vpn için policy ekranda kayıtlı kalmadı Bu eksikliklerde düzeltildikten sonra network yapım olduğu gibi çalışmıştır , bu network yapısına ilerde aklıma gelece ilavlerde yapabilirim.