Ana içeriğe atla

Forcepoint NGFW Mobile VPN Yapılandırma

Bu bölümde NGFW özelliklerinde VPN ayarlarını tanımlayacağız (Endpoints, Sites ve VPN Clients)
ENDPOINTS
VPN Endpoints, Kullanıcıların VPN tüneli kurmak istediklerinde bağlanacakları IP adresini tanımlar.
1. Firewalls>Edit>VPN>Endpoints sekmesini açıyoruz.
2. Bu kurulumda yalnızca bir harici Endpoints var, bunu etkinleştiririz.
3. Resimde ki örnek yapılandırmada, tüm VPN türleri, kullanıcıların (IPsec,SSL VPN tunnelling veya User browser (SSL VPN Portalı)) kullanarak Forcepoint VPN istemcisiyle bağlantı kurmasına olanak sağlamak için etkinleştirilmiştir.
VPN SITES
VPN site öğeleri, trafik selectors, yani VPN istemcisi ile NGFW motoru arasındaki tünel açıldığında ve çalışır durumda olduğunda VPN üzerinden ulaşılabilecek IP adresleridir.
1. Firewalls>Edit>VPN>Sites sekmesini açıyoruz.
2. VPN site yapılandırmasında 'Add and update IP addresses based on routing option' seçildiğinde, Routing yapılandırmasına bağlı olarak otomatik site oluşturulur. Automatic site, Default route yapılandırılmamış interface’lerin arkasındaki tüm networkleri içerecektir. Bu kurulumda Automatic site seçeneğini kullanmıyoruz, Bunun yerine site olarak Internal network 192.168.1.0/24 adresini manuel olarak tanımlıyoruz.
VPN CLIENT SETTINGS
VPN Client ayarlarında; VPN türleri, Client Device kontrolleri ve VPN Client IP adresiyle ilgili ayarlar tanımlanır.
IP adresiyle ilgili ayarlar, VPN Client’ların Internal Network’de hangi IP adreslerini kullandığını tanımlar.
Öneri, Virtual IP addressing kullanmaktır. VPN Client Virtual Adapters, Kurumun DHCP sunucusundan IP adresi alır.
Diğer seçenek, paketleri ağa göndermeden önce Source IP adresleriniTtranslate için NAT Pool kullanmaktır, Ancak bu seçenek VPN Client’ın İşletim Sistemine Internal DNS sunucusu IP adresleri sağlamasına izin vermez, Böylece kullanıcı Mobile VPN'e bağlı olduğunda, OS tarafındaki DNS sunucusu ayarlarını manuel olarak değiştirmediği sürece, şirketin dahili DNS adlarını çözümleyemez.
Restrict Virtual Address Ranges
Bu seçenek etkinleştirildiğinde, Firewall’un VPN Client sanal bağdaştırıcıları için kabul edeceği IP adres aralıklarını tanımlamaya izin verir. Bu seçeneğin, Firewall’un DHCP sunucusuna IP adresi ataması gereken adres aralığını “söyleyeceği” anlamına gelmediğini unutmayın. Firewall, Restrict Virtual Address Ranges ile tanımlanan aralıkların bir parçası değilse sunulan IP adresini reddeder ve VPN Negotiation başarısız olur.
Bu nedenle tanımlanan aralık, DHCP sunucusunun VPN istemcisi sanal bağdaştırıcılarına IP adresleri atamak için kullandığı DHCP havuzuyla eşleşmelidir.
Proxy ARP
Bu seçenek etkinleştirildiğinde, Firewall tanımlanan adres aralıkları için Proxy ARP yapacaktır. Proxy ARP dinamik olarak yapılır, Böylece Firewall VPN istemcileri tarafından kullanılmakta olan IP adresleri için ARP isteklerine cevap verir. Proxy ARP aralıkları, DHCP sunucusunun VPN istemcileri için kullandığı DHCP havuzuyla eşleşecek şekilde yapılandırılmalıdır.
Firewall özelliklerinde VPN ayarlarını tanımladığımıza göre, VPN profilini ve VPN öğelerini oluşturabiliriz.
VPN PROFILE
VPN Profili, Authentication, Integrity Checking ve IPsec VPN tünelinin Encryption işlemleri ile ilgili ayarları içerir. Bu örnek yapılandırmada, Built-in iOS Suite Profile özelleştirilmiş sürümünü kullandık.
1. Configuration>VPN>Other Elements>Profiles>VPN Profiles right-click iOS Suite profile element>New>Duplicate
2. IKE SA ayarlarında, aşağıdaki resimde gösterilen ayarları kullandık.
3. IPsec SA için aşağıdaki ayarlar kullanılmıştır.
4. IPsec Client sekmesinde, Firewall’un RSA sertifikası ile VPN istemcisine kimlik doğrulaması yaptığı Hybrid kimlik doğrulamasına izin vermek için aşağıdaki ayarlar kullanılır ve kullanıcı (VPN Client) AD kullanıcı adını ve şifresini kullanarak firewall ‘u doğrular.
VPN ELEMENT
Mobile VPN bağlantılarına izin için Access rule‘da kullanılacak VPN element'i oluşturacağız.
1. Configuration>VPN>Policy-Based VPNs>New>Policy-Based VPN
2. Policy-Based VPN Özelliklerinde VPN öğesinin adını tanımlarız ve yukarıda oluşturduğumuz VPN profilini seçeriz.
3. Site-to-Site sekmesinde VPN ağ geçidimizi, Central Gateways altına ekliyoruz.
4. Mobile VPN sekmesinde, Only Central Gateways from overall topology settings kullanabiliriz.
5. Tunnels sekmesinde yeşil olarak işaretlenmiş Validity alanını kontrol edin.
ENABLE VPN SITE FOR MOBILE VPN
1. Firewalls>Edit>VPN>Sites
2. VPN References sekmesindeki VPN site öğesi özelliklerinde (on the right, right click the site-properties-VPN References tab) sitenin yeni oluşturulan mobile VPN için Enable ve Mode kısmında Normal ayarlandığını doğrulayın.
Son adım, Mobile VPN tünelleri üzerinden bağlantıya izin veren Access Rules tanımlamaktır.
Mobile VPN trafiği için Access Rules oluştururken, Authentication alanında ki Users and Authentication Methods sekmesi tanımlarının ek eşleştirme ölçütleri olarak kullanılacağını unutmayın. 
ACCESS RULE
Örnek kurulumumuzda, kullanıcının " Network Policy Server" kimlik doğrulama yöntemi kullanılarak kimliği doğrulandığında ve Mobile VPN Kullanıcıları Active Directory üzerinde ilgili grubu dahil edildiğinde, Mobile VPN Client’lardan, Internal Zone (Internal network on NGFW Engine) tüm trafiğe izin veriyoruz.
VPN Konfigürasyonu denetleme
VPN Client ile bağlantıyı External Network’de test etmek için, VPN Client yazılımını başlatın ve NGFW Engine'in harici arayüzü olan bir ağ geçidi olduğundan emin olun.
Connection düğmesini tıklayın ve daha önce Active Directory üzerinde konfigüre edilmiş bir kullanıcının bilgilerini (kullanıcı adı ve şifre) girin.
Details sekmesinde IPSec SA ile ilgili parametrelerin yanı sıra Virtual Interface (Dahili DHCP sunucusu tarafından atanan IP adresi, vb.) ile ilgili parametreleri ve bilgileri görmek mümkündür.
SMC üzerinde, NGFW engine sağ tıklayıp ardından Monitoring>VPN SAs. kullanarak IPSec SA'yı izlemek mümkündür.
Labels:

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Troubleshoot Fortigate SSL VPN

You can use the diagnose commands below to identify SSL VPN problems. diagnose debug application sslvpn -1 This command will enable the debug level of SSL VPN with debug level -1. Debug level -1 gives detailed results. Verify the debug configuration diagnose debug info debug output: disable console timestamp: disable console no user log message: disable sslvpn debug level: -1 (0xffffffff) CLI debug level: 3 This output verifies that SSL VPN debugging is enabled at debug level -1 and shows which filters are in place. The above output shows that debug output is disabled, so debug messages are not displayed. The output also indicates that debugging is not enabled for any software system. Use the following command to enable the display of Debug Messages. diagnose debug enable To view the debug messages, login to the SSL VPN portal and the CLI displays debug output similar to the one below. FGT90E3G10002814 # [282:root]SSL state:before/accept initialization (172.20.130.12) [282:root]SSL sta...
Yorum Gönder
Read more »

Fortigate Route ve Spoofing–Reverse path check

The AntiSpoofing mechanism (reverse path check or reverse path forward) in Fortigate allows you to check that the properties of a packet in other paths are received at one level in the correct interface. It includes mechanisms to prevent IP Spoofing attacks that involve changing the source IP address of a packet that the Fortigate firewall receives from one of the interfaces that the source IP address would not expect. reverse path forward <span style="text-decoration: underline;">Interfaces :</span>   LAN : 192.168.1.254/24 DMZ : 192.168.2.254/24   <span style="text-decoration: underline;">Routage statique en place :</span>   Route : 192.168.100.0/24 gw 192.168.1.254 Route : 0.0.0.0 gw defaut wan gateway This protection mechanism ensures that a packet with the source 192.168.100.0/24 cannot be reached by the LAN interface. The only interface authorized to receive the Flows of this network is the DMZ (see the routing). If a pac...
Yorum Gönder
Read more »

Fortigate SSL mirroring explicit proxy/SSL inspected traffic

SSL inspection on Fortigate is a mechanism that can be used to protect and inspect the content of encrypted sessions, find and block threats. SSL inspection not only protects against attacks using HTTPS, but also against other commonly used encrypted protocols such as SMTPS, POP3S, IMAPS, and FTPS. A full SSL inspection (Deep Inspection) should be used to ensure that all encrypted content is inspected. When SSL inspection is used, Fortigate acts as the receiver of the source SSL session and decrypts and inspects its content, Then the content is encrypted again, a new SSL session is established between Fortigate and the receiver by impersonating the sender, and the content is freed from threats. It is possible to "Mirror" or send a copy of the traffic Decrypted by SSL inspection to one or more Fortigate interfaces so that the traffic can be collected by the Raw Packet Capture tool for archiving or analysis. Mirroring occurs after it is processed by the SSL Decoder and at the s...
Yorum Gönder
Read more »

Forcepoint console logging etkinleştirme

NGFW Console Logging etkinleştirme işlemi aşağıda belirtilen adımlar ile sağlanılabilir. 1. Engine üzerinde bir Command Line Session açın. 2. Console Logging önceden etkinleştirilip etkinleştirilmediğini kontrol edin. Belirtilen komutu yazın ve ENTER tuşuna basın: cat /proc/cmdline Çıktıda line console = ttyS <PORT> görürseniz, Serial Console Logging zaten etkin demektir. 3. Serial Console Logging etkin değilse, Belirtilen komutu yazın ve ENTER tuşuna basın: sg-bootconfig –help Secondary Console seçeneklerinin nasıl ayarlanacağına ilişkin talimatlar 4. Console için parametreleri tanımlayın. sg-bootconfig --secondary-console=[<CONS>] where <CONS> := tty0|ttyS<PORT>,<SPEED> <PORT> := 0|1|2|3|4|5|6|7 <SPEED> := 9600|19200|38 400|57600|115200 Örneğin: sg-bootconfig --secondary-console=ttyS0,115200 apply ve ENTER tuşuna basın. Not: Speed settings, serial kablonun diğer ucundaki host üzerinde yapılandırılan ayar ile eşleş...
Yorum Gönder
Read more »

Modify FortiGate HA Link-Failed-Signal and MAC address tables

The "Link-Fail-Signal" command allows us to force switches next to the Cluster Fortigate unit to refresh their MAC tables, which will be useful if the Switches do not refresh their MAC tables correctly. Normally, after Link Failover, the new Primary sends Gratuitous ARP (GARP) packets to refresh the MAC forwarding tables of the switches connected to the Cluster. In some cases, Switches ignore GARP packets and continue to reference the MAC address of the port. So the transaction fails on the Fortigate side and continues to send packets. You can use the following command to prevent a Cluster unit with Monitored Interface connection from turning off all interfaces (except Heartbeat Interfaces and HA Mgmt Interfaces) after Link Failure occurs. config system ha set link-failed-signal enable end If cluster computers are managed with a Mgmt interface, it must be specified, otherwise the port on which it is managed is Down. config system ha set link-failed-signal enable en...
Yorum Gönder
Read more »

Fortigate RPF kontrolünü devre dışı bırakma

RPF (Reverse Path Forwarding) IP Spoofing saldırılarına karşı korur ve  Input Interface  üzerinden Source IP'ye geri dönen aktif bir Route olup olmadığını kontrol eder. RPF, aşağıdaki şekillerde yapılması mümkün olmasına rağmen , devre dışı bırakılması önerilmeyen bir güvenlik mekanizmasıdır  Asymmetric Routing'e  izin verdiğimizde, bu sistemde RPF'nin doğrulanmasını engeller ve Fortigate Statefull yerine Stateless Firewall'a dönüştürür. asymmetric routing  izin verme komutu aşağıdaki gibidir. config system setting set asymroute enable end Firmware 5.6 sürümünden itibaren, aşağıdaki komutlarla arayüz seviyesinde RPF kontrolünü devre dışı bırakabiliriz. config system interface edit <interface> set src-check disable end
Yorum Gönder
Read more »

Forcepoint OSPF Area IP adresi Tanımı

Version: 6.5, 6.4, 6.3, 6.2, 5.10 SORUN OSPF Dynamic Routing kullanıldığında, aynı OSPF alanındaki Router’lar arasında OSPF neighborhood oluşturulur.   Area 0 "backbone" ve normalde diğer alanlar ondalık sayı kullanır. Ancak Quagga OSPF yapılandırma alanında, IP adresinin Area numarası olarak tanımlanmasını sağlayan noktalı ondalık biçim kullanılarak sunulur. OSPF'yi vtysh kullanarak komut satırından yapılandırırken, "area a.b.c.d" sözdizimi kullanılır ( https://www.nongnu.org/quagga/docs/quagga.html#OSPF-area ) ancak Management Client OSPF Area öğesi özelliklerinde noktalı ondalık syntax kabul edilmez. ÇÖZÜM Area numarasını IP adresi olarak tanımlarken, IP adresini ondalık sayıya dönüştürmeniz gerekir. Örnek olarak 192.168.1.0 alanını kullanmak istiyorsanız, bu IP adresini ondalık sayıya dönüştürmeniz gerekir. Bu Manuel olarak, önce IP adresini ikili değere dönüştürerek yapılabilir Ardından, ondalık değere ayarlanmış her biti dönüştürün ve bunları ek...
Yorum Gönder
Read more »

Forcepoint NGFW Packet Inspection Procedure

Ethernet rules NGFW Engine, Ethernet Frame’lerini Policy’deki Ethernet kurallarına göre kontrol eder. Packet, packet'e allow ya da discard edilen Ethernet kuralına uyuncaya kadar işlenir. Packet sanity checks Bu aşamada drop edilen Packets TCP_Segment-SYN-No-Options gibi belirli durumlara sahip log girişleri üretir. Packet Filter diagnostics etkinleştirilmediği sürece “packet drops” Loglara kaydedilmez. Antispoofing Firewall, trafiğin Routing ve Antispoofing konfigürasyonunda veya VPN konfigürasyonunda tanımlandığı gibi doğru Interface veya VPN tünelinden geldiğini kontrol eder. Connection tracking Firewall, Packet'in belirlenmiş bir bağlantının parçası olup olmadığını (örneğin, izin verilen bir isteğe reply packet) görmek için geçerli "Connection Tracking" bilgilerini kontrol eder. TCP SYN rate Limits veya diğer DoS Protection özellikleri etkinleştirilirse, bu aşamada "Enforce" edilir. Access Rules Matching Packet mevcut bir bağlantının...
Yorum Gönder
Read more »