← Blog'a Dön

Adım Adım Fortigate Firewall Yapılandırma ve Güvenlik Rehberi (101)

30 Aralık 2025
#BilgiGüvenliği#NetworkSecurity#NGFW#AğGüvenliği#SiberSavunma#Fortigate#FirewallGüvenliği#CyberSecurityLab#VMware#KaliLinux
👁 0🤍 0
Adım Adım Fortigate Firewall Yapılandırma ve Güvenlik Rehberi (101)

Firewall Güvenliği 101: Bir Fortigate Laboratuvarı ile Siber Tehditlere Karşı Savunma Stratejileri

Kali Linux, VMware ve Fortigate NGFW ile Adım Adım Güvenlik Duvarı Yapılandırması, Saldırı Senaryoları ve En İyi Uygulamalar

1. Giriş: Neden Firewall, Neden Şimdi?

Siber tehditlerin sürekli evrildiği bir dünyada, ağınızın ilk savunma hattı ne kadar güçlü? Fiziksel erişimden internet tabanlı saldırılara kadar bir firewall'ü nasıl doğru yapılandırabilirsiniz?

Bu yazıda, bir Fortigate sonraki nesil güvenlik duvarı (NGFW) kullanarak temel ve kritik güvenlik adımlarını bir laboratuvar ortamında nasıl test edebileceğinizi göstereceğiz.

Kullanacağımız araçlar:

  • VMware Workstation/ESXi: Sanal ağ ortamı oluşturmak için
  • Fortigate Firewall: Sonraki nesil güvenlik duvarımız
  • Kali Linux: Penetrasyon testleri için saldırgan makinesi
  • Windows İstemciler: Hedef sistemleri simüle etmek için

2. Laboratuvar Ortamının Kurulumu ve Temel Kavramlar

Sanal Ağ Mimarimiz

İlk adım, gerçekçi bir ağ topolojisi oluşturmak:

# VMware'de sanal ağ switch'leri:
- VMnet2 (Internal): 192.168.10.0/24 - Muhasebe Departmanı
- VMnet3 (DMZ): 192.168.20.0/24 - Pazarlama Departmanı
- VMnet1 (NAT): 10.10.10.0/24 - Dış Ağ (Internet simülasyonu)

Ağ Diyagramı:

[Kali Linux] --- [Fortigate FW] --- [Windows Muhasebe]
(10.10.10.10)    (Interfaces:        (192.168.10.20)
                  WAN: 10.10.10.1
                  LAN: 192.168.10.1
                  DMZ: 192.168.20.1)
                         |
                         --- [Windows Pazarlama]
                             (192.168.20.30)

Fortigate İlk Yapılandırma

Fortigate VM'sini kurduktan sonra, CLI üzerinden temel ayarları yapılandırıyoruz:

# PuTTY ile Fortigate'e bağlanma (varsayılan IP: 192.168.1.99)
config system interface
    edit "port1"
        set vdom "root"
        set ip 10.10.10.1 255.255.255.0
        set allowaccess ping https ssh
    next
end

# Admin şifresini değiştirme
config system admin
    edit "admin"
        set password "GüçlüŞifre123!"
    next
end

Kritik Kavram: Firewall Kuralları "Yukarıdan Aşağıya" Çalışır

Firewall kuralları liste üstünden başlayarak değerlendirilir. Bir kural eşleştiği anda işlem durur:

# Örnek kural dizilimi:
1. Kural: DMZ -> Internet: İZİN VER (HTTP/HTTPS)
2. Kural: Internal -> DMZ: REDDET (Tüm trafik)
3. Kural: Internal -> Internet: İZİN VER (Tüm trafik)
# 2. kural eşleştiği için Internal'dan DMZ'ye erişim engellenir

Teknik İpucu: Her zaman en spesifik kuralları listenin üstüne, genel kuralları alta yerleştirin.

3. Dış Tehditlere Karşı Savunma: "Kale Kapılarını Güçlendirmek"

Tehdit 1: Yönetim Arayüzünün Hedeflenmesi

Sorun: Varsayılan portlar (HTTPS:443, SSH:22) otomatik saldırı araçları tarafından kolayca taranır.

Çözüm: Yönetim Portlarını Değiştirme

Fortigate GUI'de:

Sistem -> Yönetici Erişimi -> HTTPS -> Yönetici Erişim Portu: 443 → 4443

CLI alternatifi:

config system global
    set admin-sport 4443
end

Test:

# Kali Linux'tan port tarama
nmap -sS -p 443,4443 10.10.10.1
# Sonuç: 443 kapalı, 4443 açık olmalı

Tehdit 2: Yetkisiz Erişim Denemeleri (Brute Force)

Sorun: Log kayıtlarındaki "login failed" uyarıları sistematik saldırı göstergesi olabilir.

Çözüm: Hesap Kilitleme Politikası

config system admin
    edit "admin"
        set password "YeniGüçlüŞifre456!"
        set accprofile "super_admin"
        set vdom "root"
        set password-expire enable
        set force-password-change enable
    next
end

config user setting
    set auth-lockout-threshold 5
    set auth-lockout-duration 900
end

En İyi Uygulama: Parola politikası: en az 12 karakter, büyük/küçük harf, rakam, özel karakter

Tehdit 3: Coğrafi Filtreleme ile Akıllı Engelleme

Sorun: Ağınıza dünyanın her yerinden erişim gerekli mi?

Çözüm: Coğrafi Kısıtlama

GUI'de coğrafi nesne oluşturma:

Policy & Objects -> Addresses -> Create New -> Address
Ad: TR_IP_Blok
Tip: Geography
Ülke: Turkey

Kural oluşturma:

Firewall Policies -> Create New
Gelen Interface: port1
Kaynak: TR_IP_Blok
Giden Interface: internal
Hedef: all
Servis: HTTP, HTTPS
Eylem: ACCEPT
Log: Enable

4. İç Tehditlere ve Yatay Hareketlere Karşı Savunma

Tehdit 4: Ağ İçi Yatay Hareket (Lateral Movement)

Sorun: Bir segmentteki cihaz ele geçirilirse, saldırgan diğer segmentlere sıçrayabilir.

Çözüm: En Az Ayrıcalık İlkesi (Principle of Least Privilege)

Başlangıç testi - Ping ile connectivity kontrolü:

# Muhasebe PC'den (192.168.10.20) Pazarlama PC'ye (192.168.20.30) ping
C:\> ping 192.168.20.30
# Sonuç: Başarısız (firewall kuralı yok)

Spesifik izin kuralı oluşturma:

config firewall policy
    edit 0
        set name "Muhasebe_to_Pazarlama_HTTP"
        set srcintf "internal"
        set dstintf "dmz"
        set srcaddr "Muhasebe_Subnet"
        set dstaddr "Pazarlama_Server"
        set action accept
        set service "HTTP"
        set schedule "always"
        set logtraffic all
    next
end

Önemli Uyarı: "ANY" servisini kullanmaktan kaçının. Sadece gerekli servislere izin verin.

Tehdit 5: Fiziksel Erişim Tehdidi

Sorun: Fiziksel erişim olması durumunda USB üzerinden kötü amaçlı yazılım yüklenebilir.

Çözüm: USB Auto Install Devre Dışı Bırakma

config system global
    set usb-auto-install disable
end

5. Proaktif Güvenlik ve Olağanüstü Durum Yönetimi

Loglama ve Denetim (Logging & Audit)

Tüm kritik olayların loglanması zorunludur:

# Log ayarları
config log setting
    set log-user-activity enable
    set fw-policy-implicit-log enable
end

# Logları merkezi syslog sunucusuna gönderme
config log syslogd setting
    set status enable
    set server "192.168.10.100"
    set port 514
end

Regülasyon Uyumu: BDDK, KVKK gibi düzenlemeler detaylı log tutulmasını şart koşar.

NTP (Zaman Senkronizasyonu)

Log kayıtlarında tutarlı zaman bilgisi olmadan forensic analiz imkansızdır:

config system ntp
    set ntpsync enable
    set server-mode enable
    config ntpserver
        edit 1
            set server "tr.pool.ntp.org"
        next
    end
end

Yapılandırma Yedekleme

Düzenli yedekler olağanüstü durum kurtarma süresini dramatik şekilde kısaltır:

# Manuel yedek alma
execute backup config tftp backup_20231201.conf 192.168.10.100

# Otomatik yedekleme için script
config system auto-install
    edit 1
        set auto-install-config enable
        set schedule weekly
        set day sunday
    next
end

6. Sonuç: Güvenlik Bir Süreçtir, Bir Ürün Değildir

Bu adım adım rehberde, bir Fortigate firewall'ü temelden ileri seviyeye nasıl güvenli hale getirebileceğinizi gördük. Unutmayın: Firewall "kur ve unut" cihazı değildir. Sürekli izleme, güncelleme ve test gerektiren dinamik bir savunma bileşenidir.

Özetlediğimiz kritik başlıklar:

  • Yönetim erişiminin güvenliği
  • Ağ segmentasyonu ve en az ayrıcalık ilkesi
  • Proaktif izleme ve log yönetimi
  • Olağanüstü durum kurtarma planlaması

Kendi laboratuvar ortamınızı kurarak bu adımları denemeye ne dersiniz? Sorularınız ve deneyimleriniz için yorum bırakmaktan çekinmeyin!

Not: Bu yazıda anlatılan tüm teknikler eğitim ve bilgilendirme amaçlıdır. Canlı sistemlerde uygulamadan önce uygun test ortamlarında deneyim kazanılması önemle tavsiye edilir.