FortiGate üzerindeki bir interface’de admin access olarak SSH, HTTP ve HTTPS gibi kritik erişimleri IP adresi bazında sınırlamak, güvenlik açısından oldukça önemlidir. FortiGate Trusted Host özelliği, yönetici hesaplarına yalnızca belirli IP adreslerinden erişime izin vererek yetkisiz girişlerin önüne geçer.
FortiGate Trusted Host Nedir?
Trusted Host, FortiGate yönetici hesaplarına tanımlanan IP adresi kısıtlamasıdır. Bu özellik etkinleştirildiğinde, tanımlı IP adresleri dışından gelen yönetim erişim talepleri — SSH, HTTP veya HTTPS fark etmeksizin — FortiGate tarafından otomatik olarak reddedilir.
Örneğin yönetici hesabınıza yalnızca 192.168.10.86/32 ve 85.5.4.14/32 IP adreslerini tanımladıysanız, bu iki adres dışından yapılan tüm erişim denemeleri cevapsız kalır. Bu, brute force saldırılarına ve yetkisiz erişim girişimlerine karşı etkili bir savunma katmanı oluşturur.
Neden Trusted Host Kullanmalısınız?
Kurumsal ağlarda FortiGate cihazlarına yönetim erişimi genellikle internet üzerinden de mümkündür. Bu durum, doğru kısıtlamalar yapılmadığında ciddi güvenlik riskleri doğurur.
Trusted Host kullanmamanın riskleri şunlardır:
- İnternet üzerinden yapılan kaba kuvvet (brute force) saldırıları
- Ele geçirilmiş kimlik bilgileriyle yetkisiz giriş
- Yönetim arayüzüne dışarıdan erişim imkânı
- Güvenlik denetimlerinde uyumsuzluk
Trusted Host tanımlandığında ise bu risklerin büyük bölümü ortadan kalkar. Saldırgan doğru kullanıcı adı ve şifreye sahip olsa bile tanımlı IP listesi dışından erişim sağlayamaz.
Dikkat Edilmesi Gereken Kritik Nokta
Trusted Host özelliğinin etkili çalışabilmesi için tüm admin kullanıcılarında aktif olması zorunludur.
Bu nokta sıkça gözden kaçan bir detaydır. Bir kullanıcıda trusted host tanımlanmış olsa bile başka bir admin hesabında bu kısıtlama yoksa, o hesap üzerinden dışarıdan erişim mümkün olmaya devam eder. Bu nedenle tek bir hesabı korumak yeterli değildir — tüm yönetici hesapları aynı şekilde yapılandırılmalıdır.
FortiGate Trusted Host Nasıl Tanımlanır?
Trusted Host tanımlaması için şu adımları izleyebilirsiniz:
- FortiGate yönetim arayüzüne giriş yapın
- System → Administrators menüsüne gidin
- Düzenlemek istediğiniz admin hesabına tıklayın
- Restrict login to trusted hosts seçeneğini etkinleştirin
- Trusted Host alanlarına izin vermek istediğiniz IP adreslerini girin
- IP adresleri hem yerel (local) hem de genel (public) IP olabilir
- OK butonuna tıklayarak kaydedin
Yukarıdaki görselde görüldüğü gibi üç ayrı trusted host tanımlanmıştır: iki adet yerel IP ve bir adet public IP adresi. Bu yapılandırma hem ofis içi hem de uzaktan güvenli yönetim imkânı sunar.
CLI ile Trusted Host Tanımlama
Yönetim arayüzü yerine CLI tercih ediyorsanız aşağıdaki komutlarla trusted host tanımlayabilirsiniz:
config system admin
edit admin
set trusthost1 192.168.10.86 255.255.255.255
set trusthost2 192.168.10.55 255.255.255.255
set trusthost3 85.5.4.14 255.255.255.255
next
endHer yönetici hesabı için en fazla 10 adet trusted host tanımlanabilir.
Sonuç
FortiGate Trusted Host özelliği, kurumsal ağ güvenliğinin temel taşlarından biridir. Yapılandırması oldukça basit olmasına rağmen sağladığı koruma son derece değerlidir. Yönetim erişimini belirli IP adresleriyle kısıtlamak, yetkisiz erişim riskini büyük ölçüde azaltır.
Unutmayın: Bu ayarın etkili olabilmesi için tüm admin hesaplarında tanımlanmış olması şarttır. Tek bir hesabın açık kalması, tüm önlemleri geçersiz kılabilir.
Diğer FortiGate paylaşımlarıma buradan erişebilirsiniz.
