EJDERHAN Forti yapılandırma Anlatım

1. FORTINET TEKNİK EĞİTİM FIREWALL YAPILANDIRMA

2. FIREWALL YAPILANDIRMA NAT Network Address Translation ( Ağ Adres Çevrimi ) - Bir veya birden fazla ip adresinin, farklı ağlara başka ip adreslerini kullanarak erişmeleri işlemidir.Genellikle private ip kullanılan ağlarda internet erişiminde kullanılır. - Private IP Nedir? -A Sınıf 10.0.0.0 – 10.255.255.255.255 -B Sınıf 172.16.0.0 – 172.31.255.255 -C Sınıf 192.168.0.0 – 192.168.255.255.255 -Yerel ağlarda kullanılır ve internet adresleri olarak kullanılamaz. - Public IP Nedir ? -A Sınıf 0-126.x.x.x/8 -B Sınıf 127-191x.x.x/16 -C Sınıf 192-223.x.x.x/24 - Internet ortamında kullanılır. Satın alınmalıdır.

3. FIREWALL YAPILANDIRMA NAT Network Address Translation ( Ağ Adres Çevrimi ) NAT NAT 192.168.1.5 adresi internete çıkamaz. Çünkü bu adres private bir adrestir ve internette yönlendirilmemiştir. İnternete çıkması için public bir adrese gerek duyar. Public adreside NAT sayesinde kullanabilir. Örneğimizde 2.2.2.2 adresini kullanarak internete çıkmaktadır. INTERNET 192.168.1.5/24 192.168.1.1/24 3.3.3.3 2.2.2.2 DA 3.3.3.3 SA 192.168.1.5 DA 3.3.3.3 SA 2.2.2.2 DA 192.168.1.5 SA 3.3.3.3 DA 2.2.2.2 SA 3.3.3.3

4. FIREWALL YAPILANDIRMA VIRTUAL IP 3.3.3.3 -Virtual ip sayesinde bir makinaya sanal bir adres tanımlanır. Kişiler bu makinaya, tanımlanan sanal ip ile erişirler ve gerçek ip adresini göremezler. Bundan kasıt güvenlik ve verimliliktir. Genel olarak internetten lokal ağlardaki makinalara erişim için kullanılır. -Aşağıdaki örnekte 192.168.1.5 adresli makinayı internetten erişime açmak için virtual ip kullanmak gereklidir. 2.2.2.23 adresi 192.168.1.5 adresli makinanın internetteki ip adresi olmuştur. 2.2.2.23 e gelen tüm paketler 192.168.1.5 e iletilecektir. Burda sadece adres maping yapılmıştır. Erişimin gerçekleşmesi için “firewall > policy” de kural oluşturmak gerekmektedit INTERNET 192.168.1.5/24 192.168.1.1/24 2.2.2.2 wan1 2.2.2.23

5. FIREWALL YAPILANDIRMA VIRTUAL IP ( PORT FORWARDING) -Port forwarding, fortigate’in bir interface adresine gelen paketleri port bazında diğer interfacelerdeki ip adreslerine yönlendirmek için kullanılır. INTERNET 192.168.1.5 192.168.1.1 wan1 2.2.2.2 192.168.1.6 3389 4899 4899 3389

6. FIREWALL YAPILANDIRMA VIRTUAL IP ( PORT FORWARDING) -İnternet erişimi için bir adet public ip adresine sahip bir ağda, lokal ağa bir serviseten sadece bir makinaya erişim verilebilmektedir. Örneğin bizim public ip adresimizin bir tane (2.2.2.2) olduğunu varsayalım. İnternetten içerdeki iki makinaya 3389 servisinden erişmek istenirse normal şartlarda bu yapılamaz. Çünkü 2.2.2.2 ye gelen 3389 istekleri sadece bir adrese yönlendirilebilir. 2.2.2.2 : 3389 >>> 192.168.1.5 : 3389 2.2.2.2 : 3389 >>> 192.168.1.6 : 3389 -Bu sorunu “port mapping” ile çözebiliriz. 192.168.1.5 e ait 3389 portu internete 2000 olarak anons edilirken, 192.168.1.6 ya iat 3389 portu 2001 olarak anons edilebilir. Böylece iki farklı makinaya tek bir public ip üzerinden aynı servisten erişilebilir. 2.2.2.2 : 2000 >>> 192.168.1.5 : 3389 2.2.2.2 : 2001 >>> 192.168.1.6 : 3389 Yapılamaz Yapılabilir

7. FIREWALL YAPILANDIRMA VIRTUAL IP (Port Mapping) INTERNET 192.168.1.5 192.168.1.1 wan1 2.2.2.2 192.168.1.6 2001 2000 3389 3389

8. FIREWALL YAPILANDIRMA 1. Varsayılan olarak tüm interfaceler arası erşim kapalıdır. 2. firewall > policy de oluşturulan erişim kurallarının sırası önemlidir. Örneğin şahıs veya grup için tanımlanan kurallar önce genele ait kurallar sonra olmalıdır. 3. Interfaceler arası erişim açılırken genel tanımlar kullanmamaya özen gösterilmelidir.. (all, any vs.) Hangi ip, hangi servisten ve nereye erişecek? Tüm bunlar belirlenmeli ve tanımlanmalıdır .

9. FIREWALL YAPILANDIRMA Varsayılan olarak tüm interfaceler arası erşim kapalıdır !!! DMZ1 10.20.20.1/24 FGT-100A INTERNAL 192.168.1.1/24 WAN1 10.0.0.1/24

10. FIREWALL YAPILANDIRMA -Policy sırası önemlidir. Paket bir policy ile eşleştiği zaman aynı erişim için diğer policyler ile karşılaştırılmaz. Aşağıdaki yapılandırmada istenen herkes internete erişirken Lab1 erişemeyecektir. -Doğru yapılandırma. Lab1 e ait trafik ilk policy ile karşılaştırıldığında engellenecektir. -Yanlış yapılandırma. Lab1 e ait trafik ilk sıradaki policy ile karşılaştırılacak ve engellenmeyecektir. DENY DENY

11. FIREWALL YAPILANDIRMA Network Şeması INTERNET DMZ 10.20.20.1/24 WWW POP3, SMTP FGT-100A 192.168.1.5/24 192.168.1.10/24 10.20.20.2/24 TERMINAL SERVER INTERNAL 192.168.1.1/24 WAN1 10.0.0.1/24 10.0.0.2/24 192.168.1.6/24 85.1.1.2

12. FIREWALL YAPILANDIRMA Erişim Planı INTERNAL’dan diğer networklere erişim 80 ve 443 servisinden www. xxx .com, ve www.yyy.com , 25,110 ve 53 servislerinden heryere 80, 25, 110 servislerinden 10.20.20.2 ye 192.168.1.6 Saat 18:00-21:00 arası 80,23 ve 53 servislerinden heryere. Erişim yok 192.168.1.10 Sınırsız erişim Sınırsız erişim 192.168.1.5 WAN1 DMZ INTERNAL

13. FIREWALL YAPILANDIRMA Erişim Planı DMZ1’dEn diğer networklere erişim 53,80,443,25,110 Servislerinden heryere Erişim yok 10.20.20.2 WAN1 INTERNAL DMZ

14. FIREWALL YAPILANDIRMA Erişim Planı WAN1 (INTERNET)’den diğer networklere erişim 3389 servisinden 192.168.1.10’a 80,25 ve 110 servisinden 10.20.20.2’ye 85.1.1.2 Erişim Yok 80,25 ve 110 servisinden 10.20.20.2’ye Herkes INTERNAL DMZ WAN1

15. FIREWALL YAPILANDIRMA Yapılandırma Adımları firewall > addres firewall > services firewall > virtual ip firewall > schedule firewall > policy ADSL modem de mail server için port yönlendirme

16. FIREWALL YAPILANDIRMA 1. firewall > addres Örnek adres tanımlamaları; Bir ip adresi tanımlama; 192.168.1.5 veya 192.168.1.5/255.255.255.255 veya 192.168.1.5/32 Bu tanım ile sadece bir ip adresi tanımlanmış oldu. Bir ip tanımlanırken subnet mask’ın doğru yazılması veya hiç yazılmaması gerekmektedir. Yukardaki tanım 192.168.1.5/255.255.255.0 diye tanımlanacak olursa bu adrese için oluşturulan kural ağdaki tüm makinalar için geçerli olacaktır. Bir ip aralığı tanımlama; 192.168.1.10-192.168.20 veya 192.168.1.[10-20] Bir ip subneti tanımlama; 192.168.1.0/255.255.255.0 veya 192.168.1.0/24

17. FIREWALL YAPILANDIRMA 1. firewall > addres Firewall > Addres > Group

18. FIREWALL YAPILANDIRMA 1. firewall > addres

19. FIREWALL YAPILANDIRMA 2. firewall > services - Sık kullanılan servisler firewall > services > predefined de tanımlıdır .

20. FIREWALL YAPILANDIRMA 2. firewall > services - firewall > services > predefined de tanımlı olmayan servislere ihtiyacımız olduğunda firewall > address > custom da tanımlanabilir. Birden fazla servisi tek bir kuralda kullanmak istersek firewall > address > group da gruplama yapılabilir. Protocol Type TCP,UDP,ICMP,IP olabilir. Kullanacağımız servis hangi protokolü kullanıyorsa onu belirtiyoruz. Source Port Bu alan 1-65535 olarak kalabilir. Genelde source port sabit olmadığı için bu şekilde bırakıyoruz. Destination Port Bu alana hangi servisi tanımlıyorsak onu belirtiyoruz. Aralık belirtebiliriz veya tek bir port belirtebiliriz. 2000-3000, 3389-3389

21. FIREWALL YAPILANDIRMA 2. firewall > services

22. FIREWALL YAPILANDIRMA 3. firewall > virtual ip ADSL modemin bağlı olduğu interface. wan1 Static NAT Wan1 ip grubundan kullanılmayan bir ip yazıyoruz Mail serverın ipsini yazıyoruz.

23. FIREWALL YAPILANDIRMA 4. firewall > schedule 2- Recurring: Günlük periyotlarda sürekli geçerli olacak kurallar için zamanlama burdan tanımlanır. Süreklilik vardır. Örneğin her gün 08:00-09:00 arası, her cuma 09:00-21:00 arası gibi. -Tanımlanan erişim kurallarının zaman bazlı çalışmasını sağlar. İki tür zamanlama tanımlamak mümkün. 1- One-Time: Sadece belirli bir zamanda burda belirtilen zamanda çalışır ve birdaha çalışmaz. Süreklilik yoktur. Örneğin 2005-20010 geçerli olmasını istediğimiz kurallar için zamanlama burdan tanımlanır. Kural sadece yılları rasında, 09.05.2005 08:00-09:00 arası gibi.

24. FIREWALL YAPILANDIRMA 4. firewall > schedule - 192.168.1.10 adresli TERMINAL SERVER ‘ın hergün 18:00-21:00 saatleri arasında gerekli güncellemeri yapabilmesi için zamanlama tanımlamak gerek. Bu işlem günlük yapılacağı için recurring bölümünden zamanlama tanımlıyoruz. firewall > schedule > recurring

25. FIREWALL YAPILANDIRMA 5. firewall > policy Önceki 4 adımda erişim kuralarını oluşturmak için gerekli servisler, adresler, virtual ip ve zamanlamala tanımlanmıştır. Artık bu tanımlar kullanılarak kurallar oluşturulabilir. - Internal > Dmz ve Internal >Wan1 erişimleri için oluşturulan kurallarda NAT aktif edilmelidir. Internal > Dmz, Dmz > Internal, Wan1 > Internal ve Wan1 > Dmz erişimleri için oluşturulan kurallarda NAT aktif edilmeyecektir .

26. FIREWALL YAPILANDIRMA 5. firewall > policy Sınırsız erişim Sınırsız erişim 192.168.1.5 WAN1 DMZ INTERNAL

27. FIREWALL YAPILANDIRMA 5. firewall > policy 80 ve 443 servisinden www. xxx .com, ve www.yyy.com , 25,110 ve 53 servislerinden heryere 80, 25, 110 servislerinden 10.20.20.2 ye 192.168.1.6 WAN1 DMZ INTERNAL

28. FIREWALL YAPILANDIRMA 5. firewall > policy 80 ve 443 servisinden www. xxx .com, ve www.yyy.com , 25,110 ve 53 servislerinden heryere 80, 25, 110 servislerinden 10.20.20.2 (MAIL SERVER) ye 192.168.1.6 LAB2 WAN1 DMZ INTERNAL

29. FIREWALL YAPILANDIRMA 5. firewall > policy Saat 18:00-21:00 arası 80,23 ve 53 servislerinden heryere. Erişim yok 192.168.1.10 TERMINAL SERVER WAN1 DMZ INTERNAL

30. FIREWALL YAPILANDIRMA 5. firewall > policy 53,80,443,25,110 Servislerinden heryere Erişim yok 10.20.20.2 MAIL SERVER WAN1 INTERNAL DMZ

31. FIREWALL YAPILANDIRMA 5. firewall > policy Erişim Yok 80,25 ve 110 servisinden 10.20.20.2’ye Herkes INTERNAL DMZ WAN1

32. FIREWALL YAPILANDIRMA 5. firewall > policy 3389 servisinden 192.168.1.10’a 80,25 ve 110 servisinden 10.20.20.2’ye 85.1.1.2 UZAK KULLANICI INTERNAL DMZ WAN1

33. FIREWALL YAPILANDIRMA 5. firewall > policy

34. FIREWALL YAPILANDIRMA 6.Modem Port Yönlendirme Port yönlendirme yapılandırması kullanılan adsl modeme göre farklılık arzedebilir. Farklı modemlerde bu işlem port forwarding , virtual server , port redirection , nat rule gibi ismlendirilmektedir. Aşağıda DRAYTEK modemlerde port yönlendirmesi yapılmıştır.

35. FIREWALL YAPILANDIRMA Network Şeması DMZ 10.20.20.1/24 MAIL SERVER 3389 192.168.1.10 TERMINAL SERVER INTERNAL 192.168.1.1/24 WAN1 10.0.0.1/24 10.0.0.2 3389 10.0.0.10 3389 x.x.x.x 80,110,25 x.x.x.x 80,110,25 10.0.0.20 80,110,25 10.20.20.20 x.x.x.x=adsl public ip INTERNET