SiberdincSiberdinc Siber Güvenlik, Ağ Güvenliği, Cyber Security

Fortigate Deep Inspection Yapılandırması – Canlı Örnek

Merhabalar,

Bu makalemde Fortigate üzerinde SLL/Certificate Inspection nasıl yapılır ? Ne için kullanılır ? konusuna değineceğim. Canlı bir örnek ile normal sertifika yapılandırması ile SSL Deep Inspection arasındaki fark nedir ? görmüş olacağız. Yazıma başlamadan önce Deep Inspection’ın KVKK tarafından kısaca bahsedeceğim;

  • İnternet tarafına doğru trafiği decrypt ederken KVKK  kapsamında bazı sitelerin decrpyt edilmemesi gerekir.Örneğin bankacılık, sağlık siteleri vs.. Bunları exception tanımı yaparak yapılandırabilirsiniz.

SSL / Deep Inspection Nedir ?

Yukarıdaki resme göre 2 trafik bulunmaktadır. Normal Trafik ve SSL Inspection Trafiği

Peki “Normal Trafik” dediğimiz trafik nedir ? Normal trafikte Fortigate firewall cihazımız üzerinde şöyle bir işlem gerçekleşir. Kullanıcı, erişmek istediği sunucuya ait IP adresini sorgular ve Firewall kuralında erişim var mı, yok mu ? bunu kontrol eder.  Aradaki şifrelenmiş trafiği kontrol edemez. Peki SSL Inspection trafiği nasıl gerçekleşir ?

SSL Inspection trafiği nedir ? Nasıl gerçekleşir ?

SSL tarafında ise, kullanıcı ile sunucu arasında özel bir trafik kurulur ve kullanıcı bu işlem için karşıdaki sunucuya güvenip güvenmeyeceğini sorgular. Bu sorgulama işlemini ise sertifika ile yapar.

Dünyada bilinir Trusted CA firmaları vardır. Ve bizler hem bilgisayarlarımızda hem de Fortigate üzerinde bu Trusted CA sertfikalara güvenerek bu işlemi gerçekleştiririz. Bu işlem genel Trusted CA sertifikalar üzerinden gerçekleşir. Veya biz  Fortigate üzerinde oluşturduğumuz CA sertifikayı export edip, kendi Client makinemiz üzerinde import ederek “Güvenilir Sertifika” olarak tanıtıyoruz. Kendi oluşturduğumuz sertifikayı kullanabiliriz. Biz şimdi örnek olarak işlemimizi bu şekilde gerçekleştireceğiz.

Aşağıdaki örneğe göre Fortigate üzerindeki CA sertifikayı Client’a yüklediğimizde; ilk olarak Client ile Fortigate arasında “1. Session” kurulur. “2.Session” ise Fortigate ile Server arasında kurulur.

Şimdi yukarıdaki yapıya göre örneğimizi gerçekleştirelim. Biz bu işlemimizi gerçekleştirmek ve trafik arasına kendi sertifikamız ile girmek için, “Deep Inspection” yapılandırmasını yapacağız.

Enable SSL inspection of: Multiple Client Connecting to Multiple Servers: Internete doğru çıkış sertifika yapılandırmamızda seçiyoruz. Protecting SSL Server: VIP yapılandırmalarımızda kullanıyoruz.

Blocked certificates: Kullanıcı erişmek istediği yerde kullanılan ve bloklanması gereken serfitikalara karşı yapacağı işlem.

Untrusted SSL certificates: Burada güvenilmeyen, örneğin expire süresi dolmuş sertifikalar gibi düşünebiliriz. Bu gibi durumda kullanıcı arayüzde “Devam etmek istiyor musun ?” gibi bir seçenek çıkar.

Biz şimdi Download kısmından oluşturduğumuz bu sertifikayı indireceğiz ve Client makinemize import edeceğiz. Yani bu sertifikada senin güvenilir sertifikan diyeceğiz 🙂

Şimdi Download ettiğimiz sertifikamızı aşağıdaki sırayla import edeceğiz.

Not : Bu işlem ayrıca Grup policy yapılandırması ile çok kullanıcılı yapılarda yapılmaktadır.

  • İlk olarak Fortigate tarafından aldığımız sertifikayı çift tıklayarak açıyoruz ve Install Certificate diyoruz.

  • Makine üzerinde mi yoksa sadece kullanıcı bazlı mı ilerleyeceğimizi seçiyoruz. Biz makineye direkt sertifikayı kurmak istediğimizden dolayı Local Machine seçtik.

  • Daha sonra makinemizde sertifikayı “Güvenilir Sertifikalar” klasörüne dahil ediyoruz.

  • Son olarak Finish diyerek bitiriyoruz.

  • Makinemizin güvenilir sertifikalarına girerek eklendiğini görebilirsiniz.

Şimdi örnek uygulamamızı yapalım. Fortigate tarafından engelli bir web sitesine gidelim ve logunu inceleyelim. Deep Inspection farkını görelim.

Fortigate Deep Inspection Örnek Uygulama

  • Fortigate üzerinde test kuralı yazdık ve yukarıda oluşturduğumuz Test-Deep-inspection filtresini kurala uyguladık. Ayrıca EGITIM_TEST adında bir web filter yapılandırdık ve Shopping kategorisini block şeklinde ayarladık.

  • 172.22.15.100 makinemizden hepsiburada.com/android-telefonlar linkine erişim sağlamaya çalıştık.

  • Ve Shopping kategorisindeki hepsiburada.com ‘un engellendiğini loglarda gördük.
  • Fakat burada DİKKAT çekmemiz gerek NOKTA şurası: Eğer biz SSL/Deep Insptection yapmamış olsaydık burada sadece hepsiburada.com şeklinde bir log görmüş olacaktık.
  • Paketi detaylı bir şekilde inceleme yaptığı için logları detaylı görmüş olabildik.

Yazılarımdan ilk siz haberdar olmak istiyorsanız. Mail aboneliği kısmından abone olabilirsiniz.

Veya TELEGRAM Duyuru Kanalıma Katılabilirsiniz.

Sağlıklı ve Güvenli Günler Dilerim.

Erdinç Tandoğan

Merhaba. Ben Erdinç Tandoğan. Siber Güvenlik Yüksek Lisans mezunuyum. Blog sitemde hem kendimi geliştirmek hemde Türkçe kaynakların çoğalması adına paylaşımlar yapmaktayım. Linkedin profilimden tarafıma ulaşabilirsiniz.

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

logo

Merhaba. Ben Erdinç Tandoğan. Siber Güvenlik Yüksek Lisans mezunuyum. Blog sitemde hem kendimi geliştirmek hemde Türkçe kaynakların çoğalması adına paylaşımlar yapmaktayım. Linkedin profilimden tarafıma ulaşabilirsiniz.

Kategoriler

Abonelikler

Tavsiyeler

@Siberdinc on Instagram
Bu hata mesajını yalnızca WordPress yöneticileri görebilir

Hata: 1 kimliğine sahip hiçbir akış bulunamadı.

Bir akış oluşturmak için lütfen Instagram Akışı ayarlar sayfasına gidin.

Kapatmak için ESC tuşuna basın