Yazıma başlamadan şunu söylemeliyim ki her zaman maksimum güvenlik için port açma yerine ssl-vpn çözümleri tercih edilmelidir. Açılan her portun yalnızca ilgili kişiye olmadığı, kontrolsüzce açıldığında tüm dünyaya açıldığı unutulmamalıdır. Günümüzde açık portları tarayan web sitelerinin bile olduğu ve insanların açık portu olan IP’lere kolayca ulaşabildiği düşünülürse tehlikenin boyutu daha da iyi anlaşılacaktır. Şu dünyada kim benim IP’mi bulsunda bana saldırsın diye düşünmemek lazım.
Şimdi Fortigate de port açmak zorunda kaldığınız durumlarda en güvenli port açma ip uçlarını paylaşayım. Fortigate de port açmak için öncelikle Policy&Objects /Virtual Ips /
Resim-1
Şimdi de detaylı ayarlara bakalım :
Resim-2
Name : Bu kısımda port için bir isim veririz. Bu isim genelde port tipini belirtir şekilde olur. Örn TCP80, UDP53 vs.
Interface : Burada bu port yönlendirmesi için uzak bağlantının geleceği interface seçilir. (İnternet erişiminin sağlandığı interface)
External IP Address/range : Statik IP bloğunuz var ise ve bu yönlendirme için özel bir dış IP planlamış iseniz buraya girmelisiniz. Böyle bir özel IP bloğunuz yok ise burayı olduğu gibi bırakınız.
Mapped IP address/range : Buraya yönlendireceğiniz sunucu/bilgisayar IP’sini girmelisiniz.
External service port : Dışarıdan gelecek bağlantıların geleceği port
Map to port: Dışarıdan gelen bağlantının iç Network’teki sunucu/bilgisayar’da hangi porta yönlendirileceği girilir.
Burada dikkat ederseniz dışarıdan gelinecek port sık kullanılan/bilinen portlardan farklıdır. Burada farklı port kullandığımızdan dışarıdan gelecek uzak masaüstü isteklerinde bu port belirtilmelidir. Uzak Masaüstü erişimi bu örneğimize göre aşağıdaki gibi olmalıdır:
Resim-3
Burada eğer aynı sunucu/bilgisayar’a birden fazla yönlendirme olacak ise Virtual IP Group kısmından daha önce oluşturduğunuz Virtual IP’leri tek grup içinde birleştirip pratik olarak yönlendirebilirsiniz:
Resim-4
Sıra geldi tanımladığımız port yönlendirmeler için Policy yazmaya. Burada çok önemli bir konu bulunmaktadır. Varsayalım ki sizin e-ticaret siteniz olsun ve bunun için port yönlendirmesi yapacak olun. Sitemiz yurt dışına ürün satmayacak ise yönlendirmede Regional sınırlandırma kullanarak büyük ölçüde güvenlik kazancı sağlayabiliriz. Bu yöntemi diğer tüm port yönlendirmelerinizde de kullanabilirsiniz. Bunun için öncelikle Türkiye IP bloğunu adres olarak tanımlamalısınız:
Resim-5
Country /Region kısmında Turkey’i, Interface kısmında internet bağlantımızın olduğu interface’i seçerek adres kaydımızı oluşturuyoruz.
Resim-6
Şimdi sıra geldi bu erişimin kuralını yazmaya:
Resim-7
Bu ekranda :
Name : Bu kural için açıklayıcı bir isim belirliyoruz.
Incoming Interface : İnternet bağlantısının olduğu interface seçilir.
Outgoing Interface : Yönlendirmenin yapılacağı sunucu/bilgisayar’ın bağlı olduğu interface seçilir.
Source : Burada aslında en güzeli uzaktan erişecek kişilerin statik IP si var ise Policy&Objects kısmında adres olarak tanımlayıp yalnızca bu IP’nin erişimine açmaktır. Bunu yapamiyor isek en azından yalnızca Türkiye IP’lerine erişimi açmak için tanımladığımız Regional address kaydı seçilir.
Destination : Bu kısımda sağdaki panelden VIRTUAL IP/SERVER altındaki tanımladığımız port yönlendirme seçilir. Örneğimizde RDP kaydı.
Service: Burada malumunuz port seçimi yapıyoruz. Fakat biz port yönlendirme tanımında portu belirlediğimizden burada All ‘ı seçebilirsiniz.
NAT : Nat seçeneği yalnızca içeriden internete erişimlerde açılmalıdır. Bu dışarıdan içeri bir erişim olduğundan Nat’ı kapatın. Açık kalırsa da herşey çalışır ama dışarıdan bağlanan kişilerin IP’lerini log kayıtlarında göremezsiniz.
Security Profiles :
IPS : Burada IPS imzalarında yönlendirdiğiniz protokole göre özel bir IPS imzası oluşturup seçmenizde fayda var.
Log Allowed Traffic : Burada gelen bağlantılar ile ilgili tüm erişimlerin kaydını tutabilmek için All Sessions seçilir.
Kuralımızı yazdıktan sonra artık gelen bağlantıları kontrol edebilirsiniz. Bunun için kuralın üzerinde sağ tuş / Show in FortiView
Bu arada kuralın işe yarayıp yaramadığını bu kuraldan ne kadar veri geçtiğini kontrol ederek de görebilirsiniz. Bunun için Ipv4 Policy deki ilgili kuralın karşısındaki Bytes kısmını kontrol etmelisiniz:
Resim-8
Güvenli güzel günler dileklerimle..
Referanslar
www.mshowto.org
TAGs: Fortinet, Fortigate, Port Açma, Port Forward, Regional Rule
