Fortigate SSL-VPN ile İşyerinize Güvenli Erişin

Bu günlerde en çok ihtiyacımız olan konuların başında uzaktan güvenli bir şekilde şirket kaynaklarına erişip, işimizi evden devam ettirebilmek olsa gerek. Bunun için en çok kullanılan yöntem VPN ve en çok kullanılan çeşidi de SSL-VPN’dir. SSL-VPN için statik IP’niz olursa biraz daha kolay ayarlayabilirsiniz. Statik IP’niz yok ise de ddns ile erişim mümkündür.

Öncelikle uzaktan erişecek kişilere birer Local kullanıcı hesabı açalım :

User&Device / User Definition bölümünde Create New:

Resim-1

Local User’ı seçip Next diyelim :

Resim-2

Kullanıcı adı ve şifre belirleyip, Next :

Resim-3

Contact Info kısmını pas geçebiliriz, Next:

Resim-4

Son adımda Submit deyip kullanıcı tanımlamayı bitirelim. Diğer kullanıcılar için de hesapları tanımlamalısınız:

Resim-5

Şimdi bu ve diğer açtığımız kullanıcıları bir grup altında toplayalım:

User&Device/User Groups / Create New. Burada SSL Group’umuza bir isim verelim ve uzaktan erişecek kişileri bu gruba(+ ya tıklayıp) ekleyelim :

Resim-6

Bizim uygulayacağımız bu yöntemde Fortigate’in fiziksel/sanal interface’i gibi yeni bir SSL interface tanımlayacağız ve sonrasında bu SSL Interface’inin erişeceği hedefler için Policy yazacağız. SSL-VPN Fortigate’de iki türlü yapılmaktadır.

Web Mode: Bu modda uzak kullanıcılar direkt URL üzerinden erişip, Client tarafa bir şey yüklemeden Active-X, Java appletleri ile yerel kaynaklara yetkileri dahilinde ulaşabilmektedir. Genelde bilgisayarı yanında olmayan mobil kullanıcılar için tercih edilir.

FortiClient Mode: Bu modda ise uzak kullanıcılar kendi bilgisayarlarına bir seferlik uzak erişim için FortiClient programını yükler ve ayarlarını yapar. Sonrasında artık isterse her bilgisayarını açışında otomatik, isterse de gerektiğinde VPN bağlantısı kurulmaktadır. Bu yöntemde istenirse kendi evindeki kullanıcıların şirket internetinden, hala şirketteymiş gibi kısıtlamalı olarak internet erişimlerini de kontrol edebiliriz.

Şimdi portal ayalarını yapmak için VPN /SSL-VPN Portals / Create New menüsünde :

Resim-7

Biz burada Web Mode ve Host Check kısımlarını kapatıyoruz. Host Check kısımında ise Client üzerindeki Antivirüs yok yada güncel değilse Client’ın bağlanmasına izin vermez. Ayarlarınız üstteki resimdeki gibi ise OK deyip devam ediyoruz. Şimdi sıra SSL-VPN Settings menüsünden erişim ayarlarında. VPN / SSL-VPN Settings menüsünde:

Resim-8

Burada Listen on Interface(s) kısmında internet erişiminizin olduğu Interface’i seçiyoruz.

Listen on Port kısmında SSL VPN erişiminde hangi portu kullanacağımızı belirliyoruz. Buranın hemen altındaki adreste ise Web modunu kullandığımızda erişim yapmamız gereken adres yer alıyor. Sizinkinde bu adreste sizin Public IP niz yer alır. (https://85.18.18.18:10443 gibi)

Idle Logout kısmını ise ben kapatıyorum çünkü evden çalışan arkadaşlarımız bilgisayarını açık bırakıp birşeyler atıştırdığında kaldığı yerden devam edebilsin, tekrar şifre sormasın.

Bu bölümde altta Authentication/Portal Mapping kısmında da Create New deyip oluşturduğumuz uzak erişim grubunun bu VPN’i kullanmasını tanımlıyoruz:

Resim-9

Burada Users/Groups kısmında oluşturduğumuz grubu, Portal kısmında ise SSL-VPN Portal kısmında oluşturduğumuz Portal tanımını seçiyoruz. Son olarak Apply deyip bu ayarları da tamamlıyoruz.

Sıra geldi bu SSL erişimi için Policy yazmaya. Policy&Objects/Ipv4 Policy/Create New :

Resim-10

Burada sarı alanlardaki değerleri üstteki resimdeki gibi yapınız.

Incoming Interface: SSL-VPN tunnel interface

Outgoing Interface: Uzaktan erişecek kişilerin hangi Interface’e erişecekleri

Source kısmında Address olarak All (Bu mecburi ama herkesin erişeceği anlamına gelmiyor) ve group olarak SSL-Group seçilir.

Destination kısmında ise uzaktan erişecekler hangi IP yada hangi networklere , cihazlara erişeceği belirlenir. Ben burada tüm personel networküne erişsinler diye ayar yaptım. Sizler üstte Outgoing Interface’de sunucuların bağlı olduğu bacağı, burada da hangi sunucular olduğunu seçebilirsiniz.

NAT kısmı işaretli olmamalı, herkes SSL VPN IP’leri ile erişim sağlamalı. Bu loglar için önemlidir.

Security Profiles kısmında ise uzaktan erişeceklere uygulayacağınız güvenlik kontrollerini seçebilirsiniz. IPS ve Antivirüs kullanmanızı öneririz.

Bu ayarları da tamamladıysanız OK deyip Fortigate tarafındaki ayarları tamamlamış oluyoruz. Şimdi sıra FortiClient indirip Client tarafındaki erişim ayarlarını yapmakta. Bu arada Web mode kullandığınızda kişiler URL den bağlandığında eğer siz ayarlarda işaretlemiş iseniz FortiClient’ı indirme linkini görüp, oradan indirebiliyorlar. Biz Client’da normal internete girip, aşağıdaki adresten indirelim:

https://www.forticlient.com/downloads

Burada Windows için sizin sisteminize uygun (32 yada 64 Bit ) olan yazılımı indiriniz ve standart Next Next diyerek kurulumunu gerçekleştiriniz:

Resim-11

Yazılımı kurduktan sonra çalıştırdığınızda sizden yeni bir bağlantı oluşturmanız istenir. Aşağıdaki ayarlara göre bağlantınızı oluşturunuz:

Resim-12

Burada en üstte VPN kısmında SSL-VPN seçilmelidir. Bağlantıya bir isim verdikten sonra Remote Gateway bölümüne Fortigate’in Public IP’sini giriniz. Customize port bölümüne ise SSL-VPN Settings kısmında belirlediğimiz portu giriniz. Username kısmına bağlanacak kişinin Fortigate de tanımladığınız adını yazdıktan sonra SAVE deyip ayarları kaydediniz.

Artık şifremizi girip bağlan diyebiliriz:

Resim-13

Bağlantı sağlandıktan sonra sistem bize aldığımız SSL VPN IP’sini gösterecek ve bağlantı süremizi söyleyecektir:

Resim-13

Güvenli ve en önemlisi sağlıklı, güzel günler dileklerimle..

Bu konuyla ilgili sorularınızı  alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.

Referanslar
www.mshowto.org

TAGs: Fortinet, Fortigate, SSL-VPN, VPN