Günümüzde siber saldırılar yalnızca büyük kurumları değil, her ölçekteki işletmeyi hedef almaktadır. Birçok kurum FortiGate güvenlik duvarı kullanmasına rağmen, varsayılan veya eksik yapılandırmalar nedeniyle gereksiz güvenlik riskleriyle karşı karşıya kalabilmektedir. Aşağıdaki üç temel adımı uygulayarak FortiGate cihazınızın güvenlik seviyesini önemli ölçüde artırabilir ve dış tehditlere karşı daha güçlü bir koruma sağlayabilirsiniz.
1- WAN Arayüzünde HTTP/HTTPS Yönetim Erişimini Kapatın
FortiGate yönetim panelinin internet üzerinden erişilebilir olması, yetkisiz erişim girişimleri ve parola deneme saldırıları için önemli bir risk oluşturur.
Bu nedenle:
- WAN portları üzerinde HTTP erişimini devre dışı bırakın.
- HTTPS yönetim erişimini kapatın veya yalnızca belirli IP adresleriyle sınırlandırın.
- Yönetim erişimini mümkün olduğunca yalnızca iç ağ veya VPN üzerinden gerçekleştirin.
- Kullanılmayan yönetim servislerini (HTTP, HTTPS, Telnet vb.) kapatın.
Bu adım, cihazınızın internet üzerindeki görünürlüğünü azaltarak saldırı yüzeyini önemli ölçüde küçültür.
2- SSL-VPN Erişimlerini Geo-IP Filtreleme ile Sınırlandırın
Son yıllarda SSL-VPN servisleri, siber saldırganların en sık hedef aldığı uzaktan erişim teknolojilerinden biri haline gelmiştir. Bu nedenle mümkün olan senaryolarda SSL-VPN yerine FortiGate Remote Access IPsec VPN altyapısına geçiş yapılması önerilmektedir. Geçiş yapılamayan ortamlarda Türkiye Geo-IP kısıtlamasını aktif ediniz.
FortiGate Geo-IP filtreleme özelliği kullanılarak:
- SSL-VPN erişimi yalnızca Türkiye IP bloklarıyla sınırlandırılabilir.
- Yurt dışından gelen bağlantı denemeleri engellenebilir.
- Brute force ve otomatik saldırı girişimleri önemli ölçüde azaltılabilir.
Özellikle son yıllarda artan VPN hedefli saldırılar düşünüldüğünde, coğrafi erişim kısıtlamaları etkili ve düşük maliyetli bir güvenlik katmanı sunmaktadır.
Policy Object – Adresss – Create New – Adresss – Type Geo – Ülke Türkiye – Kaydet diyiniz
SSL-VPN – SSL-VPN Settings – Restrict Access (oluşturduğunuz adress geo seçiniz)
3- SSL-VPN Kullanıcıları İçin Çok Faktörlü Kimlik Doğrulama (MFA) Aktif Edin
Kullanıcı adı ve parola bilgilerinin ele geçirilmesi durumunda, tek faktörlü doğrulama artık yeterli güvenlik sağlamamaktadır.
FortiGate SSL-VPN kullanıcılarında:
- FortiToken veya üçüncü taraf MFA çözümleri kullanın.
- Tüm uzaktan erişim kullanıcıları için MFA zorunluluğu uygulayın.
- Kritik sistemlere erişen hesaplar için ek güvenlik politikaları tanımlayın.
Çok faktörlü kimlik doğrulama sayesinde saldırganlar kullanıcı parolasını ele geçirmiş olsalar bile VPN bağlantısı kuramazlar.
User & Authentication – User Definition – User (kullanıcı seçiniz) Edit in CLI konsol açınız
set two-factor email
set email-to [email protected]
next
end
Açılan konsol ekranına yukarıdaki kodları girip enter diyiniz. mail adresinizi kedinize göre düzenleyiniz.
FortiGate cihazlarında gerçekleştirilecek küçük ancak etkili yapılandırma değişiklikleri, kurumunuzun siber güvenlik seviyesini önemli ölçüde yükseltebilir.
Bilinmesi grekenler;
– FortiOS 6.x sürümlerinde e-posta tabanlı iki faktörlü kimlik doğrulama (MFA) işlemleri CLI üzerinden gerçekleştirilmektedir.
– MFA Doğrulama Sürelerinin Optimize Edilmesi bazı kurumlarda SMTP gecikmeleri nedeniyle doğrulama kodları kullanıcıya geç ulaşabilmektedir. Bu durum, kullanıcı doğrulama işlemini tamamlayamadan kodun geçerliliğini yitirmesine neden olabilir. set two-factor-email-expiry 120 ayarlayınız.
– E-posta tabanlı MFA’nın çalışabilmesi için FortiGate üzerinde SMTP sunucu ayarlarının doğru yapılandırılmış ve test edilmiş olması gerekmektedir. SMTP yapılandırmasında yaşanacak sorunlar doğrulama kodlarının kullanıcılara ulaşmasını engelleyecektir.
Öneriler;
✓ VPN kullanıcılarına verilen IPv4 firewall kurallarında “ALL → ALL” yaklaşımından kaçının. Sadece gerekli servis ve portlara erişim tanımlayın.
✓ Belirlenen sayıda başarısız giriş denemesinden sonra istemci IP adresini otomatik olarak engelleyin ve engelleme süresini kurum güvenlik politikasına uygun şekilde yapılandırın.
✓ SSL-VPN servisinde minimum TLS sürümünün TLS 1.2 veya üzeri olarak yapılandırıldığını doğrulayın. Özellikle eski FortiOS sürümlerinden yükseltilen sistemlerde bu ayarın kontrol edilmesi tavsiye edilir.
✓ İstemciler için VPN SSL’den VPN IPSec’e geçiş yapmayı düşününüz
