FortiGate Güvenlik Duvarı Politikaları Uygulaması:  (Bölüm 1)

FortiGate Güvenlik Duvarı Politikaları Uygulaması: (Bölüm 1)

Güvenlik duvarı, zararlı eylermleri bilgisayarlardan uzak tutarak bariyer görevi görür. Ağa bağlı güvenlik cihazlarını geliştirerek bir ağın yetkisiz erişimden korunmasını sağlar.

Bir önceki blog olan “ Güvenlik Duvarı Laboratuvarı Kurulumu: FortiGate ” de sanal güvenlik duvarı konfigürasyonuna ve kurulumuna baktık. FortiGate politikalarına dahil olan sürece bir göz atalım ve FortiGate güvenlik duvarı politikalarını uygulayalım.

Güvenlik duvarı nasıl çalışır?

Temel olarak, güvenlik duvarları iki bölüme ayrılmıştır

  • Stateful (Durum bilgisi): Durum bilgisi güvenlik duvarları, iletişim kanalları da dahil olmak üzere tüm ağ trafiğini izleyebilir. Bu güvenlik duvarları, trafik paketlerini içeriğe (bu son noktaya ait bağlantı noktaları ve IP adresi de dahil olmak üzere paketlerin meta verilerini içerir) ve duruma göre filtreledikleri için dinamik paket filtresi olarak da adlandırılır.
  • Proxy: – Proxy Güvenlik Duvarı, Uygulama düzeyinde iletişimi izleyip filtreleyebilen ve kaynakları istenmeyen tehlikeli trafikten koruyabilen bir güvenlik duvarı olarak tanımlanabilir. Proxy güvenlik duvarı, Uygulama katmanı Güvenlik Duvarı olarak da bilinir.

Günümüzde neredeyse tüm güvenlik duvarları durum bilgisi’ne(stateful) sahiptir ve iki genel tipe bölünmüştür.

  • Bilgisayar tabanlı Güvenlik Duvarları
  • Ağ Güvenlik Duvarları

Bu blogda, özel bir ağı internete güvenli bir şekilde bağlamak için NAT yönlendirme modunda yeni bir FortiGate ünitesini nasıl bağlanabileceğini ve yapılandırılacağını öğreneceğiz.

NAT yönlendirme modunda, bir FortiGate ünitesi iki ağ arasında bir ağ geçidi veya yönlendirici olarak kurulur. Çoğu durumda, özel ağlar ve internet arasında kullanılır.

Ağ Cihazlarının Bağlanması

Öncelikle, ağ kurulumunuza fiziksel bir güvenlik duvarı veya FortiGate bağlamanız gerekir. Fiziksel bir güvenlik duvarı yerine, pratik yapmak için bir Sanal FortiGate Güvenlik Duvarı kullanıyoruz.

FortiGate ağ arayüzünü genellikle WAN1’i ISS tarafından sağlanan ekipmana bağlayın ve bilgisayarı FortiGate’e dahili bir port kullanmak için ihtiyacınıza göre bağlamalısınız.

Ağ Arayüzlerini Yapılandırma

Şimdi FortiGate’in Ağ arayüzlerini yapılandırmanız gerekiyor.

network > Interfaces

İnternete dönük arabirimi düzenleyin adresleme modunu manuel olarak ve IP/Ağ maskesini ISP’niz tarafından sağlanan genel IP adresinize ayarlayın. Benim durumumda, port2’yi internete bakan bir arayüz olarak düşünüyorum. Ağ gereksiniminize göre yönetici erişimi sağlamalısınız.

Daha sonra yapılandırmayı kaydediniz ve benzer şekilde dahili ağ olarak adlandırılabilecek LAN arayüzünü düzenleyiniz. Arayüzlerin rolünü LAN veya WAN’a ayarlayınız. Ardından adresleme modunu manuel olarak ayarlayarak ve IP/Ağ Maskesini FortiGate’e atamak istediğiniz özel IP adresine ayarlayınız.

FortiGate’inizin dahili ağa bağlı cihazlara IP adresleri verilmesine ihtiyacınız varsa, DHCP sunucusunu etkinleştiriniz ve yapılandırmayı aşağıda gösterildiği gibi kaydediniz.

Güvenlik önlemleri için arayüzlerinizin varsayılan IP’sinin değiştirilmesi önerilir. Değiştirdikten sonra tekrar oturum açmanız gerekmektedir.

Yönlendirme

Şimdi Network/Static Routes’a gidiniz ve FortiGate’inizin internete erişmesine izin vermek için yönlendiriniz.

Hedefi alt ağ olarak ayarlayın ve IP/Ağ Maskesini sekiz sıfır olarak giriniz. Ağ geçidini, ağ geçidi IP’sine ayarlayın

İnternet servis sağlayıcınız ve arayüzler tarafından internete bakan arayüz tarafından sağlanır ve ardından kaydediniz.

IPV4 Güvenlik Duvarı Politikası Oluşturma

Güvenlik duvarı politikası, yetkili iletişime izin verirken yetkisiz erişimi engellemek için politika ifadeleri kullanarak ağ trafiğini inceleyecek şekilde tasarlanmıştır.

Policy & Objects > Firewall Policy gidiniz ve FortiGate üzerinden internet trafiğine izin veren yeni bir politika oluşturunuz.

Politikayı “internet access” veya istediğiniz gibi adlandırabilirsiniz. Gelen arayüzü dahili arayüz, giden arayüzü de internete çıkan arayüze ayarlayınız. Geri kalanını tüm trafiğe izin verecek şekilde ayarlayınız. “Accept” eylemiyle “NAT” ı etkinleştiriniz ve giden arayüz adresini kullanarak etkinleştirildiğinden emin olabilirsiniz.

Log kaydetme seçeneklerini görüntülemek için aşağı kaydırınız ve İnternet trafiğini log’a kaydediniz. “Log Allowed Traffic’i etkinleştiriniz ve “All Sessions” kısmını seçmelisiniz.

Kaydettikten sonra, kayıtlı politikanızın bir güvenlik duvarı politikasına geri dönerek kaydedildiğini kontrol edebilirsiniz.

Gördüğünüz gibi politika başarıyla etkinleştirildi.

IPv4 Dos Politikası Oluşturma

Dos politikası, bilinen veya yaygın trafik modellerine uymayan ağ trafiğini tanımlamak için bir trafik anormalliği algılama özelliğidir. Dos politikaları, FortiGate arayüzüne dayalı olarak ağ trafiğine Dos anormallik kontrolleri uygulamak için kullanılır. Olağandışı trafiğin yaygın bir örneği, Dos (Hizmet Reddi) Saldırısıdır. Saldıran bir sistem, hedef sistemle anormal derecede çok sayıda oturum başlattığında çok sayıda oturum, hedef sistemi yavaşlattığında veya devre dışı bıraktığında bir hizmet reddi oluşur.

IPV4 politikasını yapılandırmak için

  • Policy & Objects > IPv4 Dos Policy kısmına gidiniz.
  • Yeni bir politika oluşturmak için, sağ pencerenin sol üst tarafındaki “Create New” simgesini seçin.

Tek bir arayüz seçmek için açılır menüyü kullanarak gelen arayüz parametresini ayarlayın.

Kaynak adresi, hedef adresi ve hizmeti “ALL” olarak ayarlayınız. İhtiyacınıza göre tekli veya çoklu seçenekler seçilebilir.

Çeşitli Trafik Anormallikleri için parametreleri ayarlam.

Trafik anormallikleri tablosu 2 bölüme ayrılmıştır.

  • L3 Anormallikleri
  • L4 Anormallikleri

Aşağıdakileri içeren Anomali profilinin listesi:

L3 Anormallikleri

  • Ip_src_session
  • Ip_dst_session

L4 Anormallikleri

  • tcp_syn_flood
  • tcp_port_scan
  • tcp_src_session
  • tcp_dst_session
  • udp_flood
  • udp_scan
  • udp_src_session
  • udp_dst_session
  • icmp_flood
  • icmp_sweep
  • icmp_src_session
  • sctp_flood
  • sctp_scan
  • sctp_src_session
  • sctp_dst_session

Bu politikanın etkinleştirilip etkinleştirilmeyeceği tamamen sizin seçiminizdir. Varsayılan olarak etkinleştirilir. Burada bizim durumumuzda, bu politikaların çalışıp çalışmadığını kontrol etmek için sınırlı eşik değerlere sahip bazı eylemleri engelledik.

Tüm anormallikler, anormallik başına veya sütun başına temelde ayarlanabilen aşağıdaki parametrelere sahiptir

Status: – Bu menüden belirtilen profili etkinleştirebilir veya devre dışı bırakabilirsiniz.
Logging: – Belirtilen profilin izlenmesini ve günlüğe kaydedilmesini etkinleştirebilir veya devre dışı bırakabilirsiniz.
Action: – Eşik sınırına ulaştığında trafiğe devam etmek veya engellemek arasında seçim yapar.
Threshold: – Eylemi tetiklemeden önce tespit edilen anormal paketlerin sayısıdır.
Ve sonunda, tamam düğmesini seçerek politikayı kaydediniz.

Gördüğümüz gibi Dos-protection-policy başarıyla uygulandı.

Bu politikaların ağı Dos saldırılarına karşı gerçekten koruduğunu kontrol edelim.

Saldırgan Makinesi kali Linux’u çalıştırın ve aşağıdaki komutu çalıştırın

hping -c 15000 -d 120 -S -w 64 -p 80 –flood –rand-source 192.168.200.128

192.168.200.128, FortiGate’in yönetim IP’sidir

Gördüğümüz gibi tüm trafiği engelliyor, bu da düzgün çalıştığı anlamına geliyor.

Facebook’u Web filtresiyle engelleme

Bu bölümde, Facebook’a ve ağımızdaki alt etki alanına erişimi engellemek için statik bir URL filtresinin nasıl kullanılacağını açıklayacağız.

SSL denetimi yardımıyla, HTTPS üzerinden her erişildiğinde Facebook ve alt alanlarının da engellenmesini sağlayabilirsiniz.

Web Filtresini Etkinleştirme

system > feature Visibility gidiniz ve Web Filter özelliğini etkinleştirin

Varsayılan Web Filtresi Profilini Etkinleştirme

Security profiles > Web filter gidiniz.

Şimdi Statik URL filtresine gidiniz, URL filtresini seçin ve ardından “create”‘i seçiniz.

URL eklemek için “facebook.com”, ayarlanan tipi için “Wildcard”, eylem eklemek için “Block” ve son olarak ayarların kaydedilmesi için “Enable” seçeneğini seçmelisiniz.

.

OK’i seçerek kaydedin

Artık Facebook’u engellemek için web filtresini başarıyla etkinleştirdiniz.

Web Filtresi Güvenlik Politikası Oluşturma

“Policy & Objects” > “Firewall Policy” gidiniz ve yeni bir ilke oluşturun .

Tanımlanabilir hale getirmek için “No-Facebook-internet-access” politikasına adını veriniz.

“Incoming Interface” için iç ağ ve “Outgoing Interface” için de  Internet’e çıkan arayüzünü ekleyiniz. Geri kalanını tüm trafiğe izin verecek şekilde ayarlayınız. “NAT” ı etkinleştiriniz ve giden arayüz adresini kullanın etkinleştirildiğinden emin olun

Güvenlik profilleri altında , web filtresini etkinleştirin ve varsayılan web filtresi profilini seçin.

Şimdi, kullanıcının Facebook’u ve alt alanlarını ziyaret etmesini engelleyen politikayı başarıyla uyguladık. Ancak, bu politikanın, konuşlandırılan politikalar listesinin en üstüne gelene kadar çalışmayacağını unutmayınız. “By Sequence”(Sıraya Göre) kısmına basıp politikaları görüntüleyerek onaylayınız .

Politikayı yukarı veya aşağı taşımak için, politikayı seçin ve aşağıda gösterildiği gibi gereksiniminize göre yukarı veya aşağı sürükleyin.

Şimdi bu politika yürürlüktedir ve başarıyla etkinleştirilmiştir.

Bu bölümde, ağınızı yetkisiz trafikten kurtarmak için çok ihtiyaç duyulan bazı temel politikaları ele aldık.

Sonraki bölümde, daha ileri düzeydeki politikaları inceleyeceğiz.

Related Posts

Leave a Reply