FORTİGATE - Policy & Objects

tarih:

 




FortiGate cihazlarında Firewall Objects (Güvenlik Duvarı Nesneleri) ve Firewall Policies (Güvenlik Duvarı Politikaları), güvenlik duvarı yönetiminin temel yapı taşlarıdır. Bu kavramlar, ağ trafiğini kontrol etmek, yönetmek ve korumak için kullanılır. Aşağıda her iki kavramın ne olduğu ve ne işe yaradığını detaylı bir şekilde açıklayalım:

1. Firewall Objects (Güvenlik Duvarı Nesneleri)

Firewall Objects, FortiGate cihazında belirli ağ varlıklarını tanımlayan ve yöneten öğelerdir. Bu nesneler, güvenlik duvarı politikalarının uygulanmasında kullanılır. Firewall Objects şu türleri içerebilir:

  • Address Objects (Adres Nesneleri): IP adreslerini veya IP adresi bloklarını temsil eder. Örneğin, bir iç ağın IP aralığı veya belirli bir sunucunun IP adresi.
  • Service Objects (Hizmet Nesneleri): Belirli bir ağ hizmetini veya protokolünü temsil eder. Örneğin, HTTP (port 80) veya HTTPS (port 443) gibi.
  • User Objects (Kullanıcı Nesneleri): Kullanıcıları veya kullanıcı gruplarını tanımlar. Örneğin, Active Directory'den alınan kullanıcı bilgileri.
  • Schedule Objects (Zamanlama Nesneleri): Güvenlik politikalarının hangi zaman dilimlerinde geçerli olacağını belirler. Belirli bir saatte veya günlerdeki trafik için kısıtlamalar koyulabilir.
  • Interface Objects (Arayüz Nesneleri): Cihazın ağ arayüzlerini temsil eder. Örneğin, "wan" veya "lan" arayüzleri.
  • VPN Objects (VPN Nesneleri): VPN bağlantılarını tanımlar, VPN trafiğini yönetmek için kullanılır.

Bu nesneler, güvenlik duvarı politikalarının daha kolay yönetilmesini sağlar ve politikaların daha esnek bir şekilde yapılandırılmasına olanak tanır.

2. Firewall Policies (Güvenlik Duvarı Politikaları)

Firewall Policies, güvenlik duvarında trafiğin nasıl yönetileceğini belirleyen kurallardır. Bu politikalar, ağın belirli bölümleri arasındaki veri trafiğini yönlendirir ve filtreler. FortiGate üzerinde güvenlik duvarı politikaları genellikle şu adımları içerir:

  • Source (Kaynak): Trafiğin geldiği yer. Bu, bir IP adresi, bir kullanıcı grubu, bir ağ segmenti veya başka bir nesne olabilir.
  • Destination (Hedef): Trafiğin hedef aldığı yer. Yine, bu da bir IP adresi, ağ veya başka bir nesne olabilir.
  • Service: Trafiğin kullandığı hizmet veya protokol. Örneğin, HTTP, HTTPS, FTP gibi.
  • Action (Eylem): Trafiğin nasıl işleneceği. Trafik ya allow (izin ver) ya da deny (engelle) olarak işlenebilir.
  • Log: Trafiğin kaydını tutma. Belirli bir politika için trafik kaydının tutulup tutulmayacağını belirtir.
  • Schedule: Trafiğin geçerli olduğu zaman dilimi. Belirli bir zaman diliminde geçerli olacak şekilde ayarlanabilir.
  • Security Profiles (Güvenlik Profilleri): Antivirüs, web filtreleme, uygulama kontrolü gibi ek güvenlik özelliklerinin uygulanması.

Firewall Policies’in İşlevi ve Önemi

Firewall Policies, ağ trafiğinin güvenli bir şekilde yönlendirilmesini ve denetlenmesini sağlar. Bu politikalar sayesinde:

  • Belirli trafiği engelleyerek istenmeyen veya zararlı trafiğin ağa girmesi engellenir.
  • Kimlerin hangi hizmetlere erişebileceği kontrol edilir.
  • Önemli hizmetler ve uygulamalar korunarak yalnızca gerekli trafiğe izin verilir.
  • Nesnelerin kullanımı, ağ yöneticilerinin politikaları kolayca yapılandırmasına olanak tanır.

1- FortiGate cihazımızın arayüzüne giriş yapalım.



2- Kuralı uygulayacağımız kaynak (source) adresini belirtmek için Policy & Objects altında yer alan Addresses kısmında bir alt ağ (subnet) oluşturalım.



3- Policy & Objects altında yer alan Firewall Policy kısmında kural oluşturalım. Burada Port3'ü seçerek hangi ağ arayüzünden giriş yaptığımızı tanımlıyoruz. Ardından çıkış arayüzümüz olan Port1 adresini de alt kısma ekliyoruz. Oluşturduğumuz Loca_Subnet'i tanımlayarak istediğimiz servisler ile devam ediyoruz. Inspection Mode'u Flow-based seçeneği ile isteğin NAT kullanılarak dışarıya çıkmasını sağlıyoruz. Aşağıda NAT ve Inspection Mode hakkında gerekli açıklamalar mevcuttur.

Flow-based inspection, trafiği akış seviyesinde analiz eden ve güvenlik denetimlerini gerçek zamanlı olarak uygulayan bir yöntemdir. Bu mod, hızlı performans sağlar ve düşük gecikme süresi gerektiren senaryolarda tercih edilir.

Proxy-based inspection, trafiği cihaz üzerinde bir ara sunucu (proxy) gibi durdurarak analiz eder. Bu mod, daha derinlemesine güvenlik denetimi sağlar, ancak performans açısından daha yoğun kaynak kullanır.

NAT (Network Address Translation), ağ cihazlarının, genellikle bir yönlendiricinin (router), bir ağdaki özel IP adreslerini başka bir ağdaki (genellikle internet) genel IP adreslerine çevirme işlemidir. Bu mekanizma, hem ağ güvenliğini artırır hem de IP adreslerinin verimli kullanılmasını sağlar.

 

4- Herhangi bir Security Profile uygulamayarak no-inspection seçin. Log kayıtlarının tamamını almak için All Sessions seçeneğini seçip politika seçeneğinin aktif olduğunu kontrol ederek devam edelim. Aşağıda Security Profiles ve SSL Inspection ne olduğuna dair açıklamalar mevcuttur.

Security Profiles, FortiGate cihazlarında ağ trafiğini zararlı içeriklere ve tehditlere karşı incelemek için kullanılan güvenlik denetimleri kümesidir. Bu profiller, bir Firewall Policy ile ilişkilendirilerek trafiğin detaylı analiz edilmesini ve güvenliğin artırılmasını sağlar.

Başlıca Security Profile Türleri:

  1. Antivirus: Virüs ve zararlı yazılımları tespit eder ve engeller.
  2. Web Filter: Web sitelerine erişimi filtreler (örneğin, kategori veya URL bazlı).
  3. Application Control: Uygulama tabanlı trafik kontrolü sağlar.
  4. IPS (Intrusion Prevention System): Saldırıları tespit eder ve engeller.
  5. SSL/SSH Inspection: Şifreli trafiği analiz eder.
  6. Data Leak Prevention (DLP): Hassas veri sızıntısını önler.
  7. Email Filter: E-posta trafiğini zararlı içeriklere karşı korur.

SSL Inspection, şifreli trafiği inceleyerek tehditleri tespit ve engelleme sürecidir.


 

5- İnternet erişimimizde mevcut kullanılan Policy ID'yi görüntülemek için Log & Report kısmında Forward Traffic kısmında görüntüleyelim. Görseldeki gibi internet erişimimiz az önce oluşturmuş olduğumuz Full_Acces kuralı ile sağlanmaktadır.



6- Peki iki farklı kuralımız olursa varsayılan olarak hangi kuralımız geçerli olur? Haydi deneyelim;

Aşağıda yer alan kuralımızda Local_Subnet'imizden Destination'da yer alan Linux makinemize ping erişimini engelleyeceğiz. Bunun için kuralda Service kısmında PING servisi ve Action olarak da DENY (Reddetmek) seçeneğinin seçili olması gerekiyor. PING kavramının açıklaması aşağıda yer almaktadır.

Ping: Bir cihazın ağ bağlantısını test etmek için kullanılan basit bir komut veya araçtır.


 

7- Yerel ağımızda (Local network) yer alan bir cihazımızdan LINX_ETH1 hedef IP adresine ping gönderelim.


Yazmış olduğumuz Block_Ping kuralı neden gerçekleşmedi?

*****Çünkü kurallar, en spesifikten genele doğru yazılmalı ve FortiGate cihazında daha üst sıradaki kurallar öncelikli olarak çalışır. Bu nedenle, doğru bir sıralama ve kapsamlı bir planlama yapılması kritik öneme sahiptir. Yani Block_Ping kuralımıza gelmeden Internet_Access tarafındaki kuralımız çalışıyor. Bu yüzden makineye gönderdiğimiz ping komutu çalışmaktadır.

        

**???**Hadi şimdi Block_Ping kuralımızı Internet_Acces kuralının üstüne taşıyalım ve ne olduğunu birlikte kontrol edelim.




8- Log & Report altında yer alan Forward Traffic kısmına tıklayarak göndermiş olduğumuz ping'in oluşturulup Internet_Acces kuralının üstüne taşıdığımız kurala takıldığını gözlemledik. Kural sıralamasının üstten aşağıya doğru olduğunu unutmayalım.



ISDB (Intrusion Signature Database) Nesnelerini Hedef Olarak Kullanımı:

ISDB (Intrusion Signature Database), FortiGate cihazlarında kullanılan bir veritabanıdır ve IDS/IPS (Intrusion Detection and Prevention System) sistemlerinin çalışmasını sağlayan imza tabanlarını içerir. Bu veritabanı, ağ trafiğindeki şüpheli aktiviteleri tespit etmek için kullanılan imza (signature) tabanlı tehdit algılama yöntemlerine dayanır.

ISDB'nin Temel Amacı:

  • Tehdit Tespiti: ISDB, ağ trafiğini analiz ederek bilinen saldırıların ve güvenlik açıklarının imzalarını içerir. Bu imzalar, belirli bir saldırıyı tanımlamak için kullanılan benzersiz şablonlardır.
  • Güvenlik Profilinin Bir Parçası: ISDB, FortiGate cihazlarının IPS (Intrusion Prevention System) özelliği ile entegre çalışarak zararlı trafiği tespit eder ve engeller.
  • Sürekli Güncelleme: Fortinet, sürekli olarak yeni tehditleri ve saldırı imzalarını veritabanına ekler, böylece ISDB her zaman güncel ve etkili olur.

1- Bir kural oluşturup ISDB nesnesini hedef olarak kullanalım. Policy diğer seçenekler hakkında bilgi sahibi olmuştuk. Burada Destination kısmına tıklayarak Internet Service kısmında yer alan engellemek istediğimiz Facebook-Web servisini seçiyoruz. Action kısmında DENY (engelle) ile birlikte policy’mizi oluşturalım.


2- Oluşturmuş olduğumuz kuralın Internet_Acces kuralından dolayı pasif kalacağı için Block_Facebook kuralımızı bir üste taşıyarak çalışmasını sağlayalım.


3- Hadi şimdi yerel makinelerimizden birinden (Local machines) Facebook’a erişmeye çalışalım.


4- Facebook’a erişemiyoruz. Hemen log kayıtlarını kontrol edelim. Oluşturduğumuz Block_Facebook kuralının aktif bir şekilde çalıştığını gözlemliyoruz.