FortiOS 8.0 ile FortiGate Yönetici Erişim Engelleme
FortiOS 8.0, FortiGate yönetici erişim engelleme konusunda önemli bir yenilik getirdi. Artık her yönetici hesabı için hangi giriş kanallarının kullanılamayacağını — SSH, Telnet, GUI veya console — ayrı ayrı belirleyebilirsiniz. Bu sayede saldırı yüzeyi hesap düzeyinde daraltılabiliyor.
FortiGate Yönetici Erişim Engelleme Nasıl Çalışır?
FortiOS 8.0, disallowed-login-methods adlı yeni bir yapılandırma parametresi sunuyor. Bu parametre sayesinde sistem yöneticileri, her bir yönetici hesabı için hangi erişim kanallarının kesinlikle kullanılamayacağını tek tek belirleyebiliyor.
Engellenebilecek giriş yöntemleri şunlar:
- console – Fiziksel konsol erişimi
- gui – Web arayüzü (HTTP ve HTTPS dahil)
- ssh – SSH bağlantısı
- telnet – Telnet bağlantısı
Özellikle dikkat çekici olan nokta şu: GUI yöntemi engellendiğinde FortiGate, söz konusu yöneticinin hem HTTP hem de HTTPS üzerinden web arayüzüne girişini tamamen reddediyor. Bu sayede belirli yönetici hesapları yalnızca izin verilen kanallarla sınırlandırılabiliyor.
Neden Önemli?
Daha önceki FortiOS sürümlerinde bir yönetici hesabı, güvenilir IP adresi tanımlı olsa bile birden fazla protokol üzerinden giriş yapabiliyordu. Yalnızca GUI üzerinden yönetim yapması beklenen bir hesap, SSH ile de erişilebilir kalıyordu.
FortiOS 8.0 bu boşluğu kapatıyor. Artık her hesaba yalnızca ihtiyaç duyduğu kanalı açık bırakabilir, geri kalanını kalıcı olarak engelleyebilirsiniz. FortiGate yönetici erişim engelleme bu açıdan saldırı yüzeyini hesap bazında minimize ediyor.
CLI ile Nasıl Yapılandırılır?
Belirli giriş yöntemlerini engellemek için aşağıdaki CLI söz dizimini kullanabilirsiniz:
config sys admin
edit <administrator>
set disallowed-login-methods {console | gui | ssh | telnet}
next
endBirden fazla yöntemi aynı anda engellemek için değerleri yan yana yazmanız yeterli.
Pratik Uygulama: SSH Erişimini Engelleme
Aşağıdaki adımlar, netops_user hesabı için SSH girişinin nasıl kapatıldığını gösteriyor:
1. Yönetici hesabını yapılandırın ve SSH girişini engelleyin:
config sys admin
edit "netops_user"
set disallowed-login-methods ssh
set accprofile "prof_admin"
set vdom "root"
set password ENC xxxxxxxx
next
end2. Sistem sizden mevcut yönetici parolasını doğrulamanızı ister.
3. netops_user hesabıyla SSH üzerinden FortiGate’e bağlanmaya çalışın. Sistem bu girişi reddeder.
4. Günlükleri inceleyin. Başarısız giriş denemesi şu şekilde kayıt altına alınır:
# execute log display
logdesc="Admin login failed" user="netops_user" ui="ssh(192.168.20.92)"
method="ssh" srcip=192.168.20.92 dstip=192.168.20.254
action="login" status="failed"
msg="Administrator admin1 login failed from ssh(192.168.20.92)"Log kaydı, girişimi kimin, hangi IP adresinden, hangi yöntemle denediğini net biçimde ortaya koyuyor. Bu da güvenlik denetimi ve olay müdahalesi açısından büyük kolaylık sağlıyor.
Hangi Senaryolarda Kullanmalısınız?
Ayrıcalıklı erişim modeli uygulayan kurumlar: Belirli yöneticileri yalnızca GUI üzerinden çalışacak şekilde kısıtlayabilirsiniz. Bir hesabın parolası ele geçirilse bile SSH üzerinden komut satırına erişim imkânsız hale gelir.
Uyumluluk gereksinimleri olan yapılar: Şifrelenmemiş Telnet protokolünü ve fiziksel konsol erişimini belirli hesaplar için engellemek, PCI-DSS ve ISO 27001 gereksinimlerini karşılamayı kolaylaştırır.
Çok katmanlı yönetim ekipleri: Birden fazla yönetici profiline sahip ortamlarda her hesaba yalnızca görevine uygun kanalı açık bırakmak, en az ayrıcalık (least privilege) ilkesini güvenlik katmanına da taşır.
Sonuç
FortiOS 8.0 ile gelen disallowed-login-methods parametresi, FortiGate yönetici erişim güvenliğine hesap bazında granüler bir kontrol katıyor. Artık güvenilir IP adresi tanımlamak tek başına yeterli değil; hangi protokolün kullanılabileceğini de açıkça belirlemeniz gerekiyor.
Bu özelliği tüm yönetici hesaplarınıza uygulamanızı ve log izlemeyi aktif tutmanızı tavsiye ediyorum. Küçük bir yapılandırma değişikliği, potansiyel bir saldırının önünü kapayabilir.
Kaynak: Fortinet Belge Kütüphanesi – FortiOS 8.0.0 Yeni Özellikler
Diğer FortiGate paylaşımlarıma buradan erişebilirsiniz.
