• "Siber Tehditlere Karşı Kalkanınız: Firewall Dünyası!"
info@epoxsoft.com

FortiOS ile IPsec VPN, HA, Loglama ve Upgrade Rehberi

FortiOS ile IPsec VPN, HA, Loglama ve Upgrade Rehberi

FortiGate, kurumsal ağlarda VPN, yüksek erişilebilirlik (HA), merkezi loglama ve güvenlik yönetimi gibi kritik güvenlik fonksiyonlarını sağlayan sektör lideri bir firewall çözümüdür. Bu makalede IPsec VPN sorun giderme süreçlerinden, HA mimarilerindeki kritik konulara; loglama ve analiz entegrasyonundan FortiOS yükseltme planlamasına kadar tüm önemli başlıkları profesyonel düzeyde ele alacağız.

 FortiGate IPsec VPN Nedir? Sorun Giderme Çözümleri Nelerdir?

IPsec VPN’ler, iki nokta arasında güvenli iletişim sağlamak için FortiGate üzerinde yaygın olarak kullanılan bir teknolojidir. VPN kurulumunda iki ana aşama vardır:

Phase 1 ve Phase 2 Nedir?

Phase 1 aşaması, iki uç arasında güvenli bir kontrol kanalı oluşturmak için IKE (Internet Key Exchange) ile kimlik doğrulama ve şifreleme anlaşması kurar. Phase2 ise bu kontrol kanalı üzerinden veri trafiğinin taşınması için tünel parametrelerini belirler. Bir VPN bağlantısının başarılı olması için her iki aşamanın da uyumlu olması şarttır.

En Sık Karşılaşılan VPN Problemleri

1) Kimlik Doğrulama ve Öneri (Proposal) Uyuşmazlıkları

VPN bağlantısı kurulurken her iki uç arasında IKE Phase1 ve Phase2 için belirlenen proposal (şifreleme, hash, DH grubu vb.) değerlerinin aynı olması gerekir. Öneriler arasında fark olması, Phase1’in ya da Phase2’nin başarısız olmasına yol açar. Sorunu kontrol etmek için FortiGate üzerinde aşağıdaki debug komutları kullanılır:

diagnose debug application ike -1diagnose debug enablediagnose vpn ike gateway list

Bu komutlar VPN SA (Security Association) durumunu ve olası uyuşmazlıkları belirlemenize yardımcı olur.

2) Phase2 Anahtar Yaşam Süresi ve DPD Problemleri

Phase2’da yanlış ayarlanmış keylife veya DPD (Dead Peer Detection) değerleri tünelin kopmasına veya yeniden kurulmasına neden olabilir. Eğer Phase2 başarısız oluyorsa, genellikle SA uyuşmazlıkları veya NAT traversal (NAT-T) ayarları kontrol edilmelidir.

3) VPN Trafiği Geçmeme

Bazı durumlarda Phase1 ve Phase2 başarıyla kurulsa da trafik geçmeyebilir. Bu durumda firewall policy’leri, statik/dinamik routing ve NAT kuralları tekrar kontrol edilmelidir.

FortiGate HA (Yüksek Erişilebilirlik) Kurulumu ve Testleri

Kurumsal ağlarda kesintisiz erişim kritik olduğundan High Availability (HA) konfigürasyonu çok önemlidir. FortiGate HA, birden fazla FortiGate cihazını tek bir mantıksal cihaz gibi çalışacak şekilde yapılandırarak bir cihaz arızalandığında hizmetin devam etmesini sağlar.

Active-Passive HA Mimarisi

Active-Passive modu, bir birim aktif olarak trafik işlemlerini gerçekleştirirken diğer birim hazır bekler. Eğer aktif cihaz başarısız olursa, standby cihaz tüm fonksiyonları devralır. Bu model, oturum senkronizasyonu ve session pickup özellikleri ile birlikte çalışmalıdır.

HA Senkronizasyonu ve Session Pickup

FortiGate HA, session-sync ile oturum bilgilerini eşitler. Bu sayede aktif cihaz failover olduğunda, mevcut VPN ve diğer oturumlar yeni aktif cihazda sürdürülebilir:

  • session-pickup etkinleştirilirse TCP/UDP oturumları yeni aktif cihaza taşınır.
  • ha-sync-esp-seqno gibi ayarlar IPsec tünel senkronizasyonunu iyileştirebilir.

Failover Test Senaryoları

HA kurulumun başarılı olup olmadığını test etmek için:

  1. Aktif cihazı simule olarak kapatın ve standby cihazın devralıp devralmadığını kontrol edin.
  2. VPN tünellerini yeniden başlatın ve Phase1/Phase2 bağlantılarının devam etmesini sağlayıp sağlamadığını test edin.
  3. Session pickup etkinse, mevcut oturumların devam edip etmediğine bakın.

HA senkronizasyon problemleri bazen sert sürüm veya konfigürasyon uyuşmazlıklarından kaynaklanabilir; bu nedenle her iki cihazın ISDB veritabanının güncel ve uyumlu olduğundan emin olun.

 FortiGate Loglama ve Raporlama: FortiAnalyzer / Syslog / SIEM

Kurumsal güvenlik operasyonları için loglama ve raporlama kritik öneme sahiptir. FortiGate, yerel loglama ile birlikte çeşitli log hedeflerine veri gönderebilir.

FortiAnalyzer ile Entegre Loglama

FortiAnalyzer, FortiGate’den gelen logları merkezi olarak toplar, analiz eder ve raporlar sağlar. Böylece güvenlik olayları, trafik trendleri, tehdit tespitleri ve uyumluluk raporları oluşturmak mümkündür. FortiAnalyzer aşağıdaki log tiplerini destekler:

  • Event loglar
  • Traffic loglar
  • UTM loglar
  • Syslog üzerinden gelen üçüncü taraf loglar

Syslog ve SIEM Entegrasyonu

FortiGate, yerel veya üçüncü taraf syslog sunucularına log göndererek SIEM sistemleriyle entegrasyon sağlar. Bu sayede SIEM üzerinden korelasyon, olay yönetimi ve uyarı tetikleme işlevleri çalışabilir. FortiAnalyzer de bu logları normalize ederek daha ileri analizler için SIEM ile birlikte kullanılabilir.

Loglama En İyi Uygulamaları

  1. Günlük senkronizasyonu ve timestamp doğruluğu için NTP yapılandırın.
  2. Log filtreleri ile sadece ihtiyaç duyulan log türlerini gönderin.
  3. Yüksek hacimli loglar için FortiAnalyzer veya merkezi syslog sunucuları kullanarak performans yönetimi yapın.

 FortiOS Upgrade Rehberi: Planlama, Backup ve Rollback

FortiOS yükseltmesi, güvenlik yamaları ve yeni özellikler getirirken, uygun planlanmadığında ciddi kesintilere neden olabilir. Aşağıda adım adım bir rehber bulacaksınız.

Yükseltme Öncesi Hazırlık

  1. Konfigürasyon yedeği alın: CLI veya GUI üzerinden mevcut config dosyasını dışa aktarın.
  2. Uyumluluğu kontrol edin: FortiManager, FortiAnalyzer ve diğer Fortinet ürünlerinin sürümleri ile uyumlu bir FortiOS sürümünü seçtiğinizden emin olun.
  3. Release Notes (Sürüm Notları) inceleyin: Önceki bug’ları ve bilinen sorunları bilin.
  4. Sürüm yolu (Upgrade Path): Doğrudan büyük sürüm atlamadan önerilen ara sürümleri takip ederek yükleme yapın.

Yükseltme Sırasında Dikkat Edilmesi Gerekenler

  • HA cluster’larda her iki üyenin de aynı anda ve senkronize şekilde yükseltildiğinden emin olun.
  • SSH/GUI erişimi gibi bağlantıların oturumlarının kopabileceğini planlayın.

Rollback Planı

Eğer yükseltme sonrası sorun yaşarsanız:

  1. Yedeği yükleyin.
  2. Gerekirse eski firmware’e dönün.
    Yeni yükleme öncesi eski firmware’in bir kopyasını sistemde saklamak faydalıdır.

Entegre Güvenlik ve Proaktif Yönetim

FortiGate ile IPsec VPN kurulumu, HA mimarisi, detaylı loglama ve sistem yükseltmeleri kurumsal ağ güvenliğinin temel taşlarıdır. Her bir fonksiyonun doğru şekilde planlanması ve uygulanması, operasyonel süreklilik ve güvenlik olaylarına hızlı müdahale açısından kritik öneme sahiptir.