Fortigate Firewall Admin Erişimi Önerileri
Security Hardening (sıkılaştırma) anlam olarak güvenlik seviyesinin artırılmasına ilişkin ayarları anlatmak için kullanılan bir terimdir. Bu makalemizde Fortigate Firewall cihazımıza erişen admin yetkili kullanıcıların uymasında fayda gördüğümüz sıkılaştırma önerilerine yer verilmiştir. Söz konusu öneriler sisteminizi hedef alan kötü niyetli kişilerin işlerini biraz daha zorlaştırmak için olup bir nebze olsun görünmezliğinizi sağlamaya yöneliktir.
Dışardan erişimi mümkün olduğu kadar kısıtlayın:
ihtiyacınız olmayan network servislerini kapatın. Ping servisini dış networkünüze bakan arayüze mutlaka kapatın. Fortigate Interface ayarları altında Administrative Access ayarları içerisinden bu ayarları yapabilirsiniz. Sadece HTTPS erişiminin açık olması eğer FortiManager kullanıyorsanız FortiManager seçeneğinin eklenmesi yeterlidir.
Administrative erişim için kullandığınız portlarını değiştirin:
Fortigate defaut erişim portları System Settings altından değiştirilebilir. Default port numarası örneğin HTTPS için 443 iken bu ayarlar kullanılarak default portun değiştirilmesi tavsiye edilir. HTTP port ayarlarının altında redirect to HTTPS seçeneği seçilmelidir. Böylece otomatik olarak http ye yönlenen talepler HTTPS portuna yönlenecektir.
Yönetici Hesaplarının bağlanabileceği uç noktaları belirleyin.
Admin hesaplarınızın herhangi bir IP den sisteminize giriş yapmasına müsaade etmeyin. Her admin için tanımlı uç noktalar IP adresi veya Subnet bazında Fortigate Firewall cihazınıza tanıtabilirsiniz. Bunu yapmanız için System, Administrators menüsü altında ayarlamak istediğiniz admin hesabı seçtikten sonra Restrict login to trusted host seçeneğini aktif hale getirmeniz ve bir bağlantı IP si tanımlamanız gerekir.
Default Admin hesabını değiştirin veya silin:
Super admin yetkisi ile gelen Admin hesabı herkes tarafından bilinen bir hesaptır. Her ne kadar şifresini değiştirerek kullanmaya devam etseniz bile SSH portunun default port numarası ile açık bırakıldığı senaryolarda brute force saldırıları ile uğraşanların işlerini kolaylaştıracaktır. Bu nedenle admin hesabının değiştirilmesi veya silinmesi doğru bir önlem olacaktır. Bu işlemi Fortigate arayüzünü kullanarak yapamazsınız.Fortigate CLI arayüzünden aşağıda ki komutları kullanarak hesap ismini değiştirebilir veya tamamen silebilirsiniz.
- Config System Admin
- Rename admin to testadmin
- Delete testadmin
Sisteminizde birden fazla firewall admin görev yapıyorsa ortak admin hesabı kullanmaktan kaçınmak ve her admin kullanıcısına yetki tanımına uygun hesaplar açmak basit ancak oldukça önemli bir tedbirdir.
MultiFactor Authentication Kullanın:
Eğer cihazınızı yönetmek üzere internetten erişime açtıysanız erişim yetkilendirme seviyenizi yükseltmelisiniz. Bu işlem için hard token denilen token cihazı kullanılabileceği gibi mobil uygulama token uygulamasıda kullanabilirsiniz.
Bu işlemler için FortiToken menüsü kullanılarak öncelikle Fortigate firewall cihazınızda kullanmak istediğiniz token uygulamasını seri numarası ile birlikte sisteme tanıtmalısınız. Daha sonra İlgili kullanıcı menüsünden Enable Two Factor Authentication seçeneği aktif hale getirilerek kullanmak istediğiniz token listeden seçmek suretiyle admin hesabınızın sisteme girişlerinden hesap şifresi ile birlikte token girişinin de istenmesi sağlanır.