Fortigate SSL-VPN Domain Host-Check Oluşturma
Fortigate SSL-VPN Host-Check Oluşturma
Bu makalede, FortiGate cihazlarında SSL-VPN portallarında güvenliği artırmak için kullanılan Host-Check yapılandırmasını ele alacağız. Eğer kurumunuza ait Active Directory üzerinde kayıtlı olmayan kullanıcıların SSL-VPN erişimi sağlamasını istemiyorsanız, bu yöntemi tercih edebilirsiniz.
Daha önce bir SSL VPN konfigürasyonu olduğunu ve portalın bulunduğunu varsayalım. Portalın Adı Full_Access_DomainControl olsun.
GUI’de Host-Check tabı altında yalnızca antivirüs ve Firewall kısıtlaması yapabilirsiniz fakat FortiGate CLI ekranından farklı parametreler kullanarak host-checkler oluşturmanıza da olanak tanır.
SSL VPN Host Check Uygulama Adımları
- FortiGate’in CLI ekranına girilir. Host check ederken kullanacağı parametreyi buraya eklemek gerekmektedir. Sırasıyla ilgili komutlar çalıştırılacaktır.
Domainhostcheck, isteğe bağlı olarak değiştirilebilen bir isimdir ve daha sonra host check altında kullanılacaktır. Bu isimlendirme tamamen sizin tercihinize bağlıdır.
- config vpn ssl web host-check-software
- edit domainhostcheck
- set type av
- config check-item-list
- edit 1
- set type registry
- set target “HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\Tcpip\\Parameters:NV Domain==<domain>”
Bu yol ve parametre genelde sabittir. Registry Edit kayıtlarında bu yolu bulabilir ve aynı şekilde farklı yollar veya parametreler kullanarak host-check tanımlayabilirsiniz. Bu kaydı bulmak için Başlat menüsünden regedit’e gidip ilgili yolu takip edebilirsiniz. Eğer domain adını bilmiyorsanız, NV Domain karşısındaki değer ilgili dizinde görüntülenir.
- Oluşturulan host-check bir vpn profiline uygulanmalıdır. Bu örnekte Full_Access_DomainControl profili uygulanacaktır.
- config vpn ssl web portal
- edit Full_Access_DomainControl
- set host-check custom
- set host-check-policy “domainhostcheck”
Ayrıca burada kendinize ait portalı Full_Access_DomainControl yerine yazarak kendi portalınıza uygulama gerçekleştirebilirsiniz.
Daha sonra testi gerçekleştirmek için bir local firewall user oluşturulu. Oluşturulan user Active Directory üzerinde kayıtlı değil yani Regedit kaydında ilgili parametreyi karşılamıyor.
Sonuç olarak, kullanıcı giriş yapmayı denerse status %48’de kalır ve VPN bağlantısı kurulamaz.
Ayrıca bir hata ekranı gelir ve bu ekranda kullanıcının belirlenen host-check parametrelerine uyumlu olmadığı bu yüzden VPN girişi sağlayamadığını açıklayan bir yazı görüntülenecektir.
Active Directory yapısı kullanan bir kurum için Host-Check kullanımı bu şekilde yapılır, böylelikle domainde kayıtlı olmayan kullanıcıların vpn denemesi yapması engellenmiş olur. Bu yöntemle yalnızca güvenilir kullanıcıların erişimi sağlanır.
