FortiGate SSL VPN Güvenlik Önlemleri

yazar

Uzak kullanıcıları kurumsal networkümüze eriştirirken genelde VPN kullanıyoruz. Client-to-Site olarak en çok SSL VPN ile bağlantı sağlanır. SSL VPN’in getirdiği kolaylıkların yanında alınması gereken güvenlik önlemleri de vardır. FortiGate ile beraber SSL VPN kullanıyorsanız aşağıdaki ayarları yaparak FortiGate üzerinde SSL VPN Güvenlik Önlemleri uygulabilirsiniz.

SSL VPN Güvenlik Önlemleri Uygulama

  • Stabil ve zaafiyetlerden arındırılmış bir firmware kullanılmalı. (şu an güncel olanlar 7.0.17 – 7.2.11 – 7.4.7 – 7.6.2)
  • Ülke bazlı kısıtlama yapılmalı. Önce geography tipinde Türkiye ekledik. Ardından sadece Türkiye’den istekleri karşılamak için kısıtlama yaptık.
address
ssl vpn Turkey kısıt
  • Username – Password mutlaka karmaşık olmalı. Büyük-küçük harf, rakam ve özel karakterler içermelidir.
  • Two-factor aktif edip; e-mail, ya da fortitoken ile ikinci bir doğrulama kullanılmalıdır.
  • Kullanılan SSL VPN portalında web modunu kapatıyoruz.
web mode disable
  • Boş bir SSL VPN portal oluşturduk, tunnel mod ve web mod kapalı olsun, ssl vpn settingste ilgili kullanıcı grubunu ilgili ssl vpn portalına atadık. Geri kalan other kullanıcılar için ise bu yeni oluşturacağınız boş portalı kullandık.
blank portal
portal group eşleşmesi
  • Dış IP adresi ve ssl vpn portuyla istek gönderildiğinde ssl vpn login ekranı gelir, bu ekranın html komutlarını siliyoruz(Sadece body içerisindeki komutlar silinecek) System > Replacement Messages > SSL VPN Login Page.
login page düzenlemesi
  • Aşağıdaki gibi yanlış giriş denemesi olduğunda blocklama yapabiliriz. Örneğin 3 kere yanlış giren kişi 1 gün boyunca bloklanacaktır.
config vpn ssl settings
set login-attempt-limit 3
set login-block-time 86400
end
  • SSL VPN için bir loopback adresi oluşturarak Zararlı IP lerden gelen istekleri de engelleyebiliriz. Ülke bazlı olarak sadece Türkiye içerisindeki IP lere izin verdik ama Türkiye içerisinde de zararlı IP ler olabilir. Bu yüzden IP Reputation database’ ini kullanmak oldukça faydalı olacaktır. Önce interface oluşturulur ve kullanılmayan bir IP/Subnet girilir.
loopback interface
  • WAN interface den loopback IP adresime doğru SSL VPN Port yönlendirmesini yaptık.
ssl vpn port yönlendirme
  • SSL VPN Settings kısmında loopback interface seçtik.
ssl vpn loopback interface
  • Şimdi sırada FortiGuard IP Reputation listesine göre zararlı olarak nitelendirilen IP adres database’lerini tespit edelim.
IP Reputation database

Bu IP lerden gelen istekleri engellemek için aşağıdaki gibi Firewall Policy oluşturduk.

IP Reputation database block
  • SSL VPN erişimi için Firewall Policy oluşturduk.
ssl vpn policy

Tüm bu adımları uyguladıktan sonra FortiGate üzerinde SSL VPN Güvenlik Önlemleri uygulamış oldunuz.

Client-to-site IPsec VPN yapılandırmasını aşağıdaki URL üzerinden inceleyebilirsiniz.
https://berkayceylan.com.tr/forticlient-ile-ipsec-vpn-kurulumu/

Loading