Fortigate Firewall Güvenlik Önlemleri

Fortigate Firewall Güvenlik Önlemleri

Bu makalemizdeFortigate Firewall Güvenlik Önlemleri hakkında bilgi vereceğiz.

Cihazın Fiziksel Güvenliğini Sağlayın

Öncelikle firewall cihazımızı koyacağımız yerin güvenliğini sağlamalıyız. Yetkisiz kişilerin cihaza erişim izni olmamalı. Bir sistem odanız olmasa bile cihaz fiziksel güvenliği unutmayın. Yetkisiz kullanıcıların fiziksel erişimi varsa, FortiGate’inizi (kazayla veya amaca göre) keserek tüm ağınızı bozabilirler. Ayrıca bir konsol kablosu bağlayabilir ve CLI’ye giriş yapmayı deneyebilirler. Ayrıca, bir FortiGate ünitesi yeniden başladığında, fiziksel erişimi olan bir kişi önyükleme işlemini kesintiye uğratabilir ve farklı ürün yazılımı yükleyebilir.

Ürünü Fortigate Destek Merkezine Kayıt Ettirin

Firmware güncellemeleri ve müşteri desteği gibi müşteri hizmetlerini almak için Fortinet ürününü Fortinet Support’a kaydettirmeniz gerekir.Ürününüzü, güncel antivirüs ve IPS imzaları gibi FortiGuard hizmetleri için kaydettirmeniz gerekir. support.fortinet.com üzerinden kayıt ettirebilirsiniz.

FortiOS ürün yazılımınızı güncel tutun

FortiOS’u daima güncel tutun. En yeni sürümde en kararlı ve en çok hata giderilmiş,  güvenlik açıklarıda kapatılmıştır. Fortinet, yeni özellikler eklemek ve önemli sorunları çözmek için FortiGate ürün yazılımını periyodik olarak günceller. FortiGate cihazını kaydettikten sonra firmware güncellemeleri ile ilgili FortiGate GUI den bildirim alabilirsiniz.Ürün yazılım güncellemelerini gui üzerinden veya fortinet destek sayfası üzerinden indirerek yükleyebilirsiniz.
Yeni bir ürün yazılımı yüklemeden önce, aşağıdaki adımları uyguladığınızdan emin olun:
  • En son ürün yazılımı sürümü için sürüm notlarını gözden geçirin.
  • Mevcut FortiOS sürümünüzden en son sürüme geçmek için en iyi yolu belirlemek için Desteklenen Yükseltme Yolları kılavuzunu gözden geçirin.
  • Mevcut konfigurasyonun yedeğini alın.

Yalnızca okuma ve yazma ayrıcalıklarına sahip FortiGate yöneticileri FortiOS ürün yazılımını yükseltebilir.

WAN bağlantılarının arayüzlerinde yönetici erişimini kapatın

Çok gerekmedikçe wan arayüzünde yönetici erişimene izin vermeyin.

Yönetici erişimini devre dışı bırakmak için, Ağ> Arabirimler’e gidin, dış arabirimi düzenleyin ve Yönetimsel Erişim altında HTTPS, PING, HTTP, SSH ve TELNET’i devre dışı bırakın.

CLI ‘dan da  aşağıdaki şekilde yapabilirsiniz.
config system interface
edit <external-interface-name>
unset allowaccess
end

Sadece gereken arayüzlerde HTTPS ve SSH Erişimine İzin Verin

Gerekli arayüzlerde sadece https ve ssh erişimlerine izin verin diğer erişim yollarını kapatın. Bunun için Network > Interfaces altından ilgili arayüzü düzenleye giderek yönetim erişim izni(administrative access) alanından sadece https ve ssh erişimini açık bırakın. Wan tarafında bu erişim izinlerini de vermeyin.

CLI ‘dan da  aşağıdaki şekilde yapabilirsiniz.

config system interface
edit <interface-name>
set allowaccess https ssh
end

HTTPS yönetici erişimi için TLS 1.2 aktifleştir

Https erişimi için TLS 1.2 versiyonunu aktif edin.

CLI ‘dan da  aşağıdaki şekilde yapabilirsiniz.

config system global
set admin-https-ssl-versions tlsv1-2
end

TLS 1.2 şu anda SSL şifreli yönetici erişimi için en güvenli SSL / TLS desteklenen sürümdür

Grafiksel Arayüzden HTTP erişimini  HTTPS ‘ e yönlendirin

Sistem > Ayarlar > Yönetici Ayarları (System > Settings > Administrator Settings) ve Redirect to enable seçeneğini aktif edin.

CLI ‘dan da  aşağıdaki şekilde yapabilirsiniz.

config system global
set admin-https-redirect enable
end

Https ve SSH varsayılan portlarını değiştirin

Sistem > Ayarlar > Yönetici Ayarları (System > Settings > Administrator Settings) altından https ve ssh için varsayılan dışında bir port yazıp apply ile kayıt edin. Daha sonra yeni port ile sisteminize bağlanın.

Eğer GUI erişim portunu 4545 yaparsanız  https://<firewall-IP-adresi>:4444

Eğer SSH portunu 1414 yaparsanız  ssh admin@<firewall-IP-adresi>:1414 şeklinde bağlanabilirsiniz.

CLI ‘dan da  aşağıdaki şekilde yapabilirsiniz değişikliği :

config system global
set admin-sport 4444
set admin-ssh-port 1414
end

HTTPS veya SSH bağlantı noktası portlarını değiştiriken diğer servis portları ile çakışmadığından emin olun.

Oturum Kapanma Sürelerini Belirleyin

Firewall oturumunuz açık iken acil bir durum için bilgisayar başından ayrılmanız gerekirse oturumun en kısa sürede kapanması için bir zaman belirleyin.  Sistem > Ayarlar altından Idle Timeout ayarlarını yapın. Standart olarak 5 dakikadır bu süre.

CLI üzerinden aşağıdaki şekilde yapabilirsiniz değişikliği :

config system global
set admintimeout 5
end

SSH bağlantısı yapmak ve kimlik doğrulaması yapmak arasında izin verilen izin süresini ayarlamak için aşağıdaki komutu kullanabilirsiniz.Aralık 10 ila 3600 saniye arasında olabilir, varsayılan değer 120 saniyedir (dakika). Bu süreyi kısaltarak, bir kaba kuvvet saldırısı girişiminde bulunan birinin şansını başarılı olmaktan alıkoyabilirsiniz. Örneğin, zamanı 30 saniyeye ayarlayabilirsiniz.

config system global
set admin-ssh-grace-time 30
end

Firewall Erişimi için belirli IP adreslerine izin verin

Yöneticiler için güvenilir Bilgisayar IP adresleri belirleyin. Güvenilir ana bilgisayar yapılandırması HTTPS, SSH ve SNMP dahil olmak üzere çoğu yönetimsel erişim biçimleri için geçerlidir. Bir yönetici hesabı için güvenilir bir ana bilgisayar belirlediğinizde, FortiOS yöneticinin yalnızca güvenilen ana bilgisayarlardan birinden giriş yaptığını kabul eder. Güvenilir olmayan bir ana bilgisayardan uygun kimlik bilgileriyle bile bir oturum açma işlemi iptal edilir.Güvenilir ana makineyi yapılandırmış olsanız bile, yönetim pingini etkinleştirdiyseniz FortiGate arayüzüne erişim, herhangi bir IP adresinden ping isteklerine cevap verecektir. Bu işlemi yapmak için gui ve cli dan aşapıdaki şekilde yapabilirsiniz.

System > Administrators  ilgili admin hesabını düzenle diyerek  Restrict login to trusted hosts seçeneğini aktif edin. Ve izin vermek istediğiniz host ip adreslerini yazın. 10 adet host yazabilirsiniz.

CLI dan aktif etmek için de aşağıdaki komutu yazabilirisiniz .

config system admin
edit <administrator-name>
set trustedhost1 172.25.176.23 255.255.255.255
set trustedhost2 172.25.177.0 255.255.255.0
end

Güvenilir ana bilgisayar IP adresleri, bağımsız ana makineleri veya alt ağları tanımlayabilir.. Güvenlik duvarı ilkeleri gibi, FortiOS da sırayla güvenilen ana bilgisayarların listesini arar ve bulduğu ilk eşleşmeyi gerçekleştirir. Genel Ip blokları yazmayın. Mesala sadece bilgi işlemdeki erişim yetkisi olan kişilerin IP adresleri ekleyin sadece.

Yönetim Hesapları için two-factor authentication aktif edin

FortiOS FortiToken ve FortiToken Mobile 2 faktörlü kimlik doğrulamasını destekler.FortiToken Mobile, iOS ve Android cihazları için kendi uygulama mağazalarından temin edilebilir.Her kayıtlı FortiGate ünitesi ücretsiz iki deneme tokeni içerir. Bayinizden veya fortinet den ek lisanslar alabilirsiniz.

System > Administrators altından her yönetici için Two-factor Authentication aktif edebilirsiniz.

Birden çok yönetici hesabı oluşturun

Tüm yöneticilerin aynı hesap ile girmesi yerine ayrı ayrı kullanıcı adı ve şifreler oluşturun. bu sayede her yöneticiye ayrı yetkiler verebilir ve kimin hangi işlemi yaptığı görebilirsiniz. Farklı bir admin profili oluşturmak için de System > Admin Profiles yolunu izleyebilirsiniz.

Udemy üzerindeki Fortigate Firewall Eğitimini 25 TL’ye sahip olmak için aşağıdaki linke tıklayın.

Fortigate Firewall Eğitimi

 

 

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir