Fortigate SSL Vpn

SSL VPN (Secure Sockets Layer Virtual Private Network), internet üzerinden güvenli bir şekilde özel bir ağa (örneğin, şirket ağına) bağlanmayı sağlayan bir teknolojidir. SSL protokolü kullanarak, kullanıcıların verilerini şifreler ve bu sayede internet üzerindeki veri iletişimi güvenli hale gelir.Bu dokümanda, SSL VPN’in temel yapılandırma adımları anlatılacaktır.

Kullanıcı Oluşturma

Kullanıcı Tanımlama:

SSL VPN bağlantısını kullanacak kullanıcıların tanımlanması gerekmektedir. Bu işlem, kullanıcıların sisteme erişimi için ilk adımdır.

1. Fortigate üzerinde kullanıcı oluşturmak için “Local User” seçeneği kullanılarak işlem yapılır.
2. Kullanıcı bilgileri bir RADIUS sunucusundan alınacaksa, ilgili seçenek tercih edilir.
3. TACACS+ sunucusundan kullanıcı bilgileri sağlanacaksa, bu seçeneğe yönelinir.
4. Kurum ya da şirkette mevcut bir LDAP sunucusu varsa, bu seçeneği kullanarak kullanıcı oluşturulabilir.
5. FSSO (Fortinet Single Sign-On) Agent kullanılıyorsa, kullanıcılar FSSO üzerinden atanır.
6. Kullanıcı bilgileri FortiNAC’tan alınacaksa, ilgili seçenek tercih edilir.

Local User oluşturma:

• “Local User” seçeneği seçilir ve ardından “Next” butonuna tıklanır.

• User & Device > User Definition > Create New yolunu izleyerek yeni bir kullanıcı oluşturun.
• Not: Sürüm farklı ile “User & Device” yerine “User&Authentication” olarak geçiyor olabilir.

• Kullanıcı adı ve parola belirleyin.

• İsteğe bağlı olarak e-posta adresi veya telefon numarasını ekleyin.

• Kullanıcı hesabını “Enabled” olarak işaretleyin.

Kullanıcı Grubu Oluşturma

Kullanıcıları gruplandırarak yönetmek, politika tanımlamalarında kolaylık sağlar. Grup oluşturarak, ilgili politikaları kullanıcı gruplarına atayabilirsiniz.

Grup Tanımlama:

• User & Device > User Groups > Create New adımlarını izleyerek yeni bir kullanıcı grubu oluşturun.

• Gruba kullanıcılar ekleyin.

SSL VPN Portalı Oluşturma

SSL VPN iki farklı şekilde yapılandırılabilir:

1. Tunnel mode
2. Web mode

Tunnel mode

Tünel modunda kullanıcılar, SSL-VPN yapmak için bir uygulamaya ihtiyaç duyar. Fortinet için, “FortiClient” uygulaması kullanılır.

Kullanıcıların bağlanacağı portalın ayarlarını yapılandırmak için yeni bir portal oluşturmanız gerekmektedir.

• Enable Tunnel Mode: Kullanıcıların bir VPN istemcisi aracılığıyla tüm trafiği VPN üzerinden yönlendirmesini sağlar. Bu modda, VPN bağlantısı sırasında tüm internet trafiği ve kurumsal trafik VPN tünelinden geçer.
• Routing Address: VPN bağlantısı üzerinden erişilmesi gereken IP aralıklarını tanımlayın.

Tunnel mode Portal Ayarları

• VPN > SSL-VPN Portals > Create New adımlarıyla yeni bir portal oluşturun.

Split Tunneling Ayarları

• Enable Split Tunneling:
  • Tanım: Kullanıcıların VPN bağlantısını sadece belirli trafiğe yönlendirmesi sağlar. Örneğin, “Kurumsal Ağ” trafiği VPN üzerinden geçerken, diğer internet trafiği doğrudan kullanıcının “Kendi İnternet Bağlantısı” üzerinden gider.
  • Konfigürasyon: Split tunneling etkinleştirildiğinde, Routing Address alanında tanımlı IP aralıkları dışındaki tüm trafik, kullanıcının kendi internet bağlantısı üzerinden geçer. Bu seçenek, internet bant genişliğini optimize eder ve VPN üzerindeki yükü azaltır.

• Disable Split Tunneling:
  • Tanım: Tüm kullanıcı trafiğini VPN üzerinden yönlendirir. Bu durumda, hem kurumsal ağ hem de internet trafiği VPN tünelinden geçer.
  • Konfigürasyon: Split tunneling kapalı olduğunda, Routing Address dışında kalan tüm trafik de VPN üzerinden geçer. Bu, daha yüksek güvenlik sağlar ancak VPN üzerindeki yükü artırır.

Limit Users to One SSL-VPN Connection at a Time

Bu özellik, bir kullanıcının aynı anda yalnızca bir SSL-VPN bağlantısına sahip olmasını sağlar. Kullanıcı mevcut bağlantıyı kapatmadan yeni bir oturum açamaz. Bu, güvenliği artırır ve VPN performansını optimize eder, çünkü aynı anda birden fazla bağlantıyı engeller ve kullanıcı başına yalnızca bir aktif oturum sağlar

Tunnel Mode Client Options

FortiClient uygulamasında kullanılacak ayarları yapın:

• Allow client to save password: Kullanıcının VPN parolasını kaydetmesine izin verir.
• Allow client to connect automatically: VPN bağlantısının otomatik olarak kurulmasını sağlar.
• Allow client to keep connections alive: Kullanıcı oturumu boşta kalsa bile bağlantının kesilmemesini sağlar.

Web mode

SSL-VPN bağlantısı için, “FortiClient” gibi uygulamalara gerek kalmadan web sayfası üzerinden VPN bağlantısı yapılmasına olanak tanır.

Enable Web Mode: Kullanıcıların sadece web tarayıcısı üzerinden VPN erişimi sağlamasına olanak tanır. Web modunda kullanıcılar, belirli portallara erişim sağlar ancak tam VPN bağlantısı kurmaz.

Web Mode Options

1. Portal Message: Kullanıcılara girişte gösterilecek mesajı belirler.
2. Theme: Portal arayüzü için tema seçimi yapılır.
3. Show Session Information: Kullanıcıların oturum bilgilerini görmesine izin verir.
4. Show Connection Launcher: Bağlantı başlatıcıyı kullanıcıların erişimine açar.
5. Show Login History: Kullanıcıların giriş geçmişini görüntülemesine olanak tanır.
6. User Bookmarks: Kullanıcıların belirli web uygulamalarına veya dosya paylaşımlarına hızlı erişim için yer imleri tanımlar.

SSL VPN Ayarları

VPN bağlantısı yapacak kullanıcılar için temel ayarları yapılandırın.

• VPN > SSL-VPN Settings bölümüne gidin.

Connection Settings

• Listen on Port: FortiClient kullanıcılarının bağlantı kuracağı port numarası seçilir. Varsayılan port kullanımı önerilmez.Varsayılan port yerine önerilen özel bir port numarası girin.
• Restrict Access: VPN kullanıcılarının hangi ağlardan erişim sağlayabileceğini sınırlar.
• Idle Logout: Kullanıcı oturumu belirli bir süre boşta kaldığında otomatik olarak sonlandırılır. Varsayılan süre 5 dakikadır.
• Server Certificate: VPN bağlantıları için kullanılacak sertifika seçimi yapılır; varsayılan sertifika Fortinet’tir.
• Require Client Certificate: Kullanıcı tarafında da sertifika zorunluluğu getirir. Sertifika güvenliği artırmak için önerilir.

Tunnel Mode Client Setting

Address Range: VPN kullanıcılarına atanacak IP aralığını belirler. IP’ler otomatik veya özel olarak tanımlanabilir.

DNS Server: Kullanıcılar için sistem DNS’leri veya özel DNS’ler tanımlanabilir, zorunlu değildir.

Specify WINS Server: Mevcut bir WINS sunucusu varsa burada belirtilir.

Allow Endpoint Registration: FortiClient yazılımının Fortigate’e kaydedilmesine izin verir.

Authentication/Portal Mapping: Kullanıcı ve kullanıcı gruplarının erişim portallarına atanması bu bölümde yapılır.

Yeni bir portal ataması yapmak için “Create New” butonuna basılır ve kullanıcı veya gruplar ilgili portallara atanır.

Örneğin, AdminVpngroup’una dahil olan kullanıcılar, “Admin-Tunel-Vpn” portalındaki kurallar çerçevesinde SSL-VPN bağlantısı yapacaktır. Fakat sslvpngropu’una dahil ollan kullanıcılar sadece Split-Tunel-Vpn portalindaki kurallar çerçevesinde bağlantı yapabilecektir.

Security: Portala atanmayan kullanıcılar, “All Other Users/Groups” altında tanımlanan portal üzerinden bağlantı sağlar. bu duruma istinaden güvenlik sebebi ile “All Other Users/Groups” için “web-access” portalı veya kısıtlı izin verilen portal seçilmelidir.

Bir sonraki adımda SSL-VPN policy oluşturmak için “No SSL-VPN policies exist. Click here to create a new SSL-VPN policy using these settings” yazısına tıklayın.

Policy Oluşturma

Yapılandırmalar tamamlandıktan sonra, VPN kullanıcıları için bir Policy oluşturulmalıdır.

a. Policy > Objects > IPv4 Policy > Create New

Bu adımda, VPN kullanıcılarının erişim sağlayacağı ağlar belirlenir.

• Incoming Interface: SSL-VPN kullanıcılarının bağlantı kurduğu arayüz seçilir.
• Outgoing Interface: Kullanıcıların erişim sağlamak istediği arayüz belirlenir. Birden fazla arayüz seçimi yapılabilir.
• Source: VPN kullanıcılarının aldığı IP aralıkları ve kullanıcı grupları seçilir.
• Destination: VPN kullanıcılarının erişebileceği IP aralıkları tanımlanır.
• NAT: Bu seçenek kapatılır (disable edilir).
• Log Allowed Traffic: Tüm oturumların loglanmasını sağlamak için “All sessions” seçeneği işaretlenir.

Admin grubunu oluşturup, bu gruba özel bir admin portalı tanımlayın. Admin portalı, sadece bu grup üyelerinin erişebileceği şekilde yapılandırılır.

SSL-VPN kullanıcıları için yeni bir policy oluşturun. Bu policy, kullanıcıların erişim sağlayacağı arayüzleri, IP aralıklarını belirler ve NAT’ı kapatır. Ayrıca, tüm oturumların loglanmasını sağlar.

SSL VPN Bağlantısı Kurulması

Tunnel Mode

FortiClient uygulaması, kullanıcıların güvenli bir şekilde kurum ağına SSL VPN üzerinden bağlanmalarını sağlayan bir VPN istemcisidir. FortiClient kullanarak SSL VPN bağlantısı kurmak için aşağıdaki adımları izleyebilirsiniz:

FortiClient Uygulamasının İndirilmesi

• Kullanıcı bilgisayarından FortiClient uygulamasını indirin ve kurulumunu gerçekleştirin. Uygulamayı Fortinet’in resmi web sitesinden veya ilgili platform mağazalarından edinebilirsiniz.

Yeni Bir Bağlantı Oluşturma

• FortiClient uygulamasını açın ve ana ekrandaki “Add a new connection” (Yeni bir bağlantı ekle) seçeneğine tıklayın.

Bağlantı Bilgilerinin Girilmesi

• Connection Name (Bağlantı Adı): Bağlantı için tanımlayıcı bir isim girin.
• Remote Gateway (Uzak Ağ Geçidi): SSL VPN bağlantısı kurulacak FortiGate cihazının dış IP adresini girin.
• Customize Port (Özel Port): Eğer SSL VPN için özel bir port belirlediyseniz bu portu girin. Varsayılan port kullanılıyorsa bu adımı atlayabilirsiniz.
• Girdiğiniz bilgileri kaydetmek için “Save” (Kaydet) butonuna tıklayın.

Bağlantıyı Kurma

Giriş bilgilerini girdikten sonra “Connect” (Bağlan) butonuna tıklayarak VPN bağlantısını başlatın.

FortiClient uygulamasında oluşturduğunuz bağlantıya tıklayın.

Username (Kullanıcı Adı) ve Password (Şifre) alanlarına, önceden belirlenmiş kullanıcı bilgilerini girin.

Web Mode

Web Tarayıcısını Açın

Web mode ile SSL VPN bağlantısı kurmak için öncelikle bir web tarayıcısı açın.

VPN Portalına Erişim

Fortigate cihazınızın sağladığı SSL VPN portalına tarayıcı üzerinden erişim sağlayın. Bu genellikle https://[Fortigate IP Adresi]:[Port Numarası] formatında olur.Bizim bağalntımız seçeneğimiz aşağıdaki gibidir.

https://192.168.1.99:10443

Kullanıcı Giriş

Portal sayfasında, size verilen kullanıcı adı ve parolayı girerek oturum açın.

SSL VPN Ana Ekranı

Giriş yaptıktan sonra, SSL VPN web portalının ana ekranına yönlendirilirsiniz. Bu ekranda, ağınıza erişim sağlayabileceğiniz seçenekler sunulacaktır.

Uzak Kaynaklara Erişim

Web mode ile dosya paylaşımı, iç ağdaki uygulamalar veya sunucular gibi uzak kaynaklara erişim sağlayabilirsiniz. Web mode, kullanıcıların herhangi bir yazılım kurulumuna gerek kalmadan, yalnızca tarayıcı üzerinden bu kaynaklara erişim sağlamasına olanak tanır.

About the Author

melih can altan

Administrator

View All Posts