Bloga Geri Dön

Siber Güvenlik

İki ayrı Fortigate FW ile Aktif ve Pasif Cihazlara Ayrı MGMT IP’sinden Erişilebilir Cluster Yapı Oluşturma

İki ayrı Fortigate Firewall kullanarak aktif ve pasif cihazları içeren bir küme yapı oluşturmak hem ağ güvenliğini sağlamak hem de yüksek erişilebilirlik elde etmek için etkili bir stratejidir. Bu yazıda, iki Fortigate Firewall kullanarak bu tip bir Cluster yapısı nasıl oluşturulur, adım adım ele alacağız.

ONUR ÖZ |

20.12.2023

Fortigate Firewall nedir?

 

Fortigate Firewall, Fortinet tarafından geliştirilmiş bir güvenlik cihazıdır. Bu cihaz, ağınızı siber tehditlere karşı korumak için antivirüs, VPN desteği, antispam, içerik filtreleme gibi bir takım güvenlik özellikleri içerir. Böylece ağ güvenliğini sağlayabilir ve ağınızdaki trafiği kontrol edebilirsiniz.

 

MGMT IP’si nedir?

 

Ağ cihazının yönetim arayüzüne erişmek için kullanılan IP adresine MGMT IP’si denir. Bu IP adresi ile bir cihaz uzaktan yapılandırılabilir, izlenebilir ve güncellenebilir. Bu sayede ağın performansı optimize edilebilir ve güvenliği artırılabilir.

 

Cluster Yapı nedir?

 

Birbirine bağlı ve birlikte çalışan birden çok bilgisayar veya sunucunun oluşturduğu sisteme Cluster Yapı denir. Cluster Yapı, birlikte çalışan cihazların merkezi bir yönetim altında koordineli bir şekilde çalışmasını sağlıyor. Amacı yüksek performans, iş sürekliliği ve yüksek erişilebilirlik gibi hedeflere ulaşmak.

 

İki ayrı Fortigate FW ile Cluster Yapı nasıl oluşturulur?

 

  1. HA konfigürasyonunda MGMT portu (konfigürasyonumuzda port1 Ekran Görüntüsü-1) kullanacağımız için ve şu anda default route MGMT portu üzerinden olduğu için öncelikle default route silinir (Ekran Görüntüsü-2 ve Ekran Görüntüsü-3). VM ise, cihaza sanallaştırma platformu (Vcenter, Azure, AWS vs) üzerinden erişebilirsiniz. Fiziksel cihaz ise, cihaza konsol kablosu takarak işlemleri yapabilirsiniz. Kolaylık olması açısından VMware üzerine kurulmuş Forti VM firewall üzerinde işlemleri yapacağım.

    fortigate firewall arayüzü
    Ekran Görüntüsü-1

    route konfigürasyonu
    Ekran Görüntüsü-2

    varsayılan route silme
    Ekran Görüntüsü-3
     
  2. Default route’lar silindikten sonra (HA tanımında bize engel olacak bir husus kalmadıktan sonra ) her iki cihazda da “config system ha (Ekran Görüntüsü-4 ve Ekran Görüntüsü-5)” altında tanımlarımızı yapabiliriz.

    FW-1 system ha tanımları
    Ekran Görüntüsü-4

    FW-2 system ha tanımları
    Ekran Görüntüsü-5

 

HA tanımlarında kullandığımız komutlar:

 

set group-id = Cluster’a ait kimlik numarası. Aynı switch’teki cluster’ların ID’leri farklı olmak zorundadır. Cluster oluşturmak istediğimiz firewall’lara aynı değeri girmeliyiz.

set group-name = Cluster’a ait isim. İki firewall’da da aynı değeri girmeliyiz.

set mode = Firewall cluster’ı nasıl kullanmak istediğimize göre değişir, biz aktif-pasif yapıda kullanmak istediğimiz için a-p girdik, aktif – aktif yapıda kullanmak istersek a-a girmeliyiz.

set password = Cluster’a ait verdiğimiz şifre. Her iki cihazda da aynı şifreyi vermeliyiz.

set hbdev = Cluster heartbeat paketlerini hangi interface’ler üzerinden göndereceğimizi belirlediğimiz komut, elimizde iki adet sanal firewall olduğu için portları biz belirledik. Fortigate fiziksel cihazlarda iki adet heartbeat portu bulunuyor, fiziksel cihazları cluster yaparken hb portları kullanacağız.

set session-sync-dev = Aktif ve pasif firewall’lar arasında session sync yaparken kullanacağı portu belirlediğimiz komut.

set session-pickup enable = Bu komut ile eğer aktif cihaz bir şekilde (kapanır, sorun yaşar, vs.) failover ederse, trafik 1-2 paket kaybı ya da hiç kayıpsız bir şekilde diğer firewall üzerinden devam etmesi için kullanılır.

set ha-mgmt-status enable = Cluster altındaki iki farklı firewall’a da ayrı MGMT IP’leri üzerinden erişebilmemizi sağlayan komuttur.

config ha-mgmt-interfaces = set ha-direct enable ile kullanıldığında cluster altındaki cihazların MGMT portunu ve cluster’a ait default gateway belirlediğimiz komuttur. Config router static altına gireceğimiz route’lardan bağımsız çalışır, sadece cihazın MGMT portuna/portundan yapılan erişimlerde geçerlidir.

set priority komutu ile aktif ve pasif firewall’lara ayrı ayrı öncelik tanımı yapabiliriz. Örneğin, aktif firewall’da 128, pasif firewall’da 64 gibi. Priority değeri yüksek olan öncelik sahibi olacaktır.

set override disable  = Örneğin, aktif cihaz FW-1, pasif cihaz FW-2 iken, FW-1 reboot olduğunda aktif cihaz FW-1 ayağa kalkana kadar FW-2 olur. FW-1 reboot’tan geri döndüğünde FW-1’in pasif olarak ayağa kalkmasını istiyorsak bu komutu kullanırız. Bu komut enable olursa priority değeri hangi firewall’da yüksekse aktif olur.

set ha-direct enable = Bu komut  syslog, FortiAnalyzer, SNMP, ve NetFlow gibi trafiklerin yukarıda belirttiğimiz config ha-mgmt-interfaces altındaki porttan çalışmasını sağlar.

set ha-direct enable kullanabilmek için MGMT port tanımı da aşağıdaki gibi olmalıdır.

FW-1 # config system interface

FW-1 (interface) # edit port1

 

FW-1 (port1) # show 
config system interface
    edit "port1"
        set ip x.x.x.x
        set allowaccess ping https ssh http fgfm
        set type physical
        set dedicated-to management
        set alias "mgmt"
        set snmp-index 1
    next
end

 

HA konfigürasyonunu yaptıktan sonra Fortigate GUI System>HA altında cihazlarımızı aktif ve pasif olarak görecek ve ayrı MGMT portlardan iki cihaza da bağlanabileceğiz. (Ekran Görüntüsü-6 ve Ekran Görüntüsü-7)

 

GUI SystemHA aktif ve pasif cihazlar
Ekran Görüntüsü-6

 

GUI SystemHA mevcut cihazlara bağlanma
Ekran Görüntüsü-7

 

HA direct ile SNMP konfigürasyonu

 

SNMP (Simple Network Management Protocol), ağ performansını değerlendirmek, ağdaki cihazları izlemek ve yönetmek için kullanılan bir protokoldür. Özellikle ağ üzerinde yer alan cihazların durumunu ve performansını izleyerek ağ yöneticilerine bilgi aktarmak amacıyla üretilmiştir. Firewall’u SNMP ile monitör etmek istediğimizde trafiğin “config sys ha” altında tanımladığımız porttan çıkması için SNMP konfigürasyonuna aşağıdaki tanımı da eklemeliyiz.

 

config system snmp user
    edit "TEST"
        set ha-direct enable
        
      next
end

 

SNMP sniffer :

 

2023-12-01 04:42:12.369062 port1 in X.X.X.X.62723 -> Y.Y.Y.Y.161: udp 62

2023-12-01 04:42:12.370163 port1 out Y.Y.Y.Y.161 -> X.X.X.X.62723: udp 126

2023-12-01 04:42:12.380470 port1 in X.X.X.X.62723 -> Y.Y.Y.Y.161: udp 226

2023-12-01 04:42:12.383763 port1 out Y.Y.Y.Y.161 -> X.X.X.X.62723: udp 234

2023-12-01 04:42:12.393995 port1 in X.X.X.X.62723 -> Y.Y.Y.Y.161: udp 62

2023-12-01 04:42:12.395029 port1 out Y.Y.Y.Y.161 -> X.X.X.X.62723: udp 126

2023-12-01 04:42:12.405143 port1 in X.X.X.X.62723 -> Y.Y.Y.Y.161: udp 226

2023-12-01 04:42:12.408567 port1 out Y.Y.Y.Y.161 -> X.X.X.X.62723: udp 234

2023-12-01 04:42:12.418706 port1 in X.X.X.X.62723 -> Y.Y.Y.Y.161: udp 62

2023-12-01 04:42:12.419729 port1 out Y.Y.Y.Y.161 -> X.X.X.X.62723: udp 126

2023-12-01 04:42:12.429776 port1 in X.X.X.X.62723 -> Y.Y.Y.Y.161: udp 226

2023-12-01 04:42:12.433037 port1 out Y.Y.Y.Y.161 -> X.X.X.X.62723: udp 234

2023-12-01 04:42:12.443262 port1 in X.X.X.X.62723 -> Y.Y.Y.Y.161: udp 62

2023-12-01 04:42:12.444290 port1 out Y.Y.Y.Y.161 -> X.X.X.X.62723: udp 126

ONUR ÖZ |

20.12.2023

Yorumlar