Fortigate Firewall Hakkında Notlar

Fortigate Firewall Hakkında Notlar

Yazıda okuyacağınız notlar Fortigate ‘te yaşanmış sorunları çözüme kavuşturmak için kullanılmış olan notlardır.

Yazının ilk kısmında okuyacağınız notlar Fortigate ‘te yaşanmış sorunları çözüme kavuşturmak için kullanılmış ve söz uçar yazı kalır kıstasınca vaktiyle bir text dosyasına kaydedilmiş notlardır. İkinci kısmında performans açısından tavsiye edilen uygulamaları (best practices) okuyabilirsiniz.

1. Fortigate Notları

1-Bazı durumlarda, bazı ISP’ler internet sağladıkları kurumlara ayırdıkları portta MAC security uygularlar. Böyle durumlarda Firewall veya Router değiştirildiğinde, kurumda interneti karşılayan cihaz (ve o cihazın MAC adresi) farklı olduğundan erişim sağlanamaz. Böyle bir durumu fark etmek ve sorunu tespit etmek çok zor olur. Farz edelim sorunun bu olduğunu tespit ettiniz ve Fortigate’in WAN arayüzünün MAC adresini değiştirmek istiyorsunuz. Aşağıdaki komutlarla bunu gerçekleştirebilirsiniz.

config system interface

edit <interface>

set macaddr <xx:xx:xx:xx:xx:xx>

end

end

2-Bir IPv4 kuralını CLI’da düzenlemek isterseniz, kuralın üstüne sağ tıklayıp “Edit in CLI” seçeneğine tıklayabilirsiniz. Konfigürasyonda bu kuralla ilgili bölüm POP-IP ekranda gelecek olan CLI’da görünecektir.

3-Manuel olarak IPS, AV veritabanlarının güncellemelerini tetiklemek isterseniz CLI’dan execute update-now komutunu kullanabilirsiniz.

4-Layer 2 döngüleri (loop) engellemek için interfaceler altında stpforward’ı açın:

config system interface

edit external

set l2forward enable

set stpforward enable

end

5-Dış IP’niz dinamik olarak değişiyorsa, Virtual IP’ler ile yapılan yönlendirmelerde external IP’yi 0.0.0.0 seçin.

6-CLI aracılığı ile logların kaç gün diskte kaç gün saklanmasını istediğinizi aşağıdaki komutlarla ayarlayabilirsiniz:

config log disk setting
set status enable
set maximum-log-age 30  ——–> 30 günden eski loglar silinir
end

7-TOR ağından gelebilecek saldırıları engellemek için IPv4 Policy’de uygulanan Application Control kısmında TOR’u signature bazlı engelleyebilirsiniz. Veya daha kısa yoldan tüm yazılı kurallar için geçerli olacak bir static route yazabilirsiniz. Network > Static Routes altına gelin, Add butonu ile yeni bir static route oluşturun, Destination kısmında “Internet Service” seçin, alt menüde “Tor-Relay Node” seçimini yapın Device kısmında “None(Black Hole)” seçin ve OK tıklayın.

8-Bir Web sitesine güveniyor ve bu web sitesine kullanıcılar ulaşırken virüs taramasını bir sebepten dolayı devre dışı bırakmak istiyorsanız Security Profiles > Web filter altına gelin. Hangi Web filter profili için bunu uygulamak istiyorsanız sağ üst köşeden ilgili profile gelin. Static URL filter başlığı altına gelin, URL filter’ı aktif hale getirin, güvendiğiniz URL yi buraya yazın ve “Action”ı Exempt yapın. Exempt edilmiş URL’lere giderken virüs taraması yapılmayacaktır.

2. Daha İyi Performans İçin Tavsiye Edilen Uygulamalar*

1-İhtiyacınız olmayan, kullanmadığınız yönetim erişimlerini (administrative Access). Örneğin SSH, SNMP kullanmıyorsanız bunları kapatın. Kötü niyetli kişiler bunları suiistimal edebilirler. Bir yönetim özelliğini kapatmak için Network > interface altında ayar yapmak istediğiniz interface’in altına girin. Administrative Access başlığı altında o interface’den paket gönderecek olan kişilerin hangi yönetim erişimlerini kullanıp kullanamayacağını seçin. http https (web yönetim arayüzü bağlantıları için) ve ssh gibi sıradan personellerin erişmesine gerek olmayan yönetim erişimlerini o personellerin bulunduğu VLAN’lar için kapatın.

2-Sadece gereken trafiği loglayın. Logların kaydedilmesi, özellikle cihaz üzerindeki hard disk kullanılıyorsa performansı azaltabilir.

3-Uyarı sistemlerini minimize edin. Örneğin logları bir syslog’a gönderiyorsanız ve SIEM’iniz size bu loğlardan alert üretebilme yeteneğine sahipse, Fortigate üzerindeki SNMP ve email uyarılarını kapatabilirsiniz.

4-Fortiguard (IPS – AV databaseleri) güncellemelerini makul sürelerde yaptırın. Eğer çok hassas bir durumunuz yoksa 4 veya 5 saatte bir güncellenme yeterli olacaktır. Eğer gün içerisinde internetiniz çok ağırsa update’leri akşam saatlerinde bir kere de yaptırabilirsiniz.

5-Bir IPv4 kuralında kullanılan güvenlik profillerini (security profiles) en azda tutun. Örneğin iç ağ için yazılmış kurallarda Web filter, DNS filter gibi güvenlik profillerini kullanmayın.

6-VDOM sayılarını mümkün olduğunca az tutun. Küçük kutularda mümkünse VDOM kullanmayın.

*Referans: FortiOS Handbook

*https://alperensoyalp.com/

Muhammet Hasan Güngör
Orta Doğu Teknik Üniversitesi Bilgisayar Mühendisliği
Yorum Yaz

Yorum yazabilmek için üye girişi yapmanız gerekiyor!

Yukarı Git