Fortigate Etiketine sahip yazılar.
Nis
6
2011

Fortigate ve Alertemail Default Port Sorunu

Turktelekom tarafından spam mesajlara karşı yapılan SMTP port adreslerini 25 den 587 çevrim işlemleri sonucunda FORTIGATE firewall cihazımda Alert Email fonksiyonunda sıkıntılar yaşıyordum.

Eğer sizlerde de aynı problem varsa;

Firewall cihazınızın CLI ekranına geçin ve

 

[box type=”warning”]FGT# config system alertemail

FGT (alertemail) # set port 587

FGT (alertemail) # end[/box]

komutlarını yazın. Artık Alert Mail sisteminiz sorunsuzca çalışacaktır.

 

 

 

 

Kas
3
2010

Fortigate v4.0,build0291 ve Active Directory Entegrasyonu Nasıl Yapılır?

Bir süredir IP temelli tanımlamalarla kullanmakta olduğum Fortigate 60B cihazımda sık sık tıkanmalar ve CPU kullanım miktarının üst seviyelere tırmanması gibi sorunlar yaşayınca cihazımı mevcut active directory yapımla eşlenik olarak kullanmaya karar verdim.

Bu eşleşme durumunda kullanıcı Active Directory üzerinde login olduktan sonra ilgili kullanıcı hakları ile internete erişebilecektir.

Active directory bünyesinde DHCP ve DNS yönetimi de bulunduğundan FORTIGATE cihazımıza ekstra yük binmemektedir. Ayrıca CLI konsoldan yapacak olduğumuz ip-mac-binding eşleşmelerine de gerek duyulmayacaktır.

Çünkü; Active Directory kullanıcı ayarlarında yer alan …. kullanıcısı sadece … makinasında oturum açabilir tanımı ile bir nev’i kullanıcıyıda belirli bir pc ye bağlamış oluruz.

Şimdi gelelim yapılması gerekenlere; devamı…

Ara
25
2008

Fortigate Ip MAC Eşleştirme Aracı (IPMAC Binding Tool)

Birçoğumuz yaşamışızdır, Firewall cihazı üzerinde IP-MAC eşleştirmesi yapmak isteriz ama cihaz sayısı 100 lerce olunca o kadar kodu CLI yada Hyperterminal üzerinden nasıl yazacağımızı kara kara düşünürüz. Çünkü her bir bilgisayar yada aygıt için en az 6 satır kod yazmak bir süre sonra insanın beynini uyuşturuyor. 🙂

Bu konuda bir aracı yazılım yapmak uzun zamandır aklımdaydı fakat iş temposundan ötürü elimi süremiyordum. Dün akşam AYKUT ile görüştüğümde de böyle bir programcık için ricada bulundu, ben de biraz kafa dağıtmak biraz da yardım olsun diye oturdum aşağıdaki programcığı yazdım. (EXE – 32 Kb)

Programın çalışması için bir TXT belge içersine aşağıdaki gibi tüm bilgisayarları satır satır yazıyorsunuz.

192.168.0.102,00:16:E6:40:3B:21,BURAK
192.168.0.103,00:50:FC:41:F4:7C,SALIH
192.168.0.104,00:B0:D0:08:96:31,HULYA
192.168.0.105,00:16:E6:40:15:19,OGUZ

burada dikkat edilmesi gereken nokta <IP ADRESI>,<MAC ADRESI>,<DOMAIN_ADI> şeklinde satır satır bilgilerin işlenmesi gerekir. Ayrıca DOMAIN ADI kısmında da boşluk yerine _ (alt çizgi) konulması gereklidir.

Ayrıca programda 3 ayrı kontrol kutucuğuda bulunuyor bunlar ile script bünyesinde yer alan

set bindthroughfw disable
set bindtofw enable
set undefinedhost allow

satırları denetim altında tutularak isteğe göre değiştirilebiliniyor.

Tüm IP adreslerinizi yukarıdaki düzene uygun olarak bir txt dosyada toplayıp kaydederseniz ve bu program aracılığı ile de o dosyayı seçip SCRIPT OLUŞTUR tuşuna basarsanız sizin dosyanızın yanında sekercioglu_script.txt adında hazır scriptinizi oluşturacaktır. Artık bu script dosyanızı FORTIGATE cihazınızın üzerine System>Maintenance>Scripts menülerinden ulaşacağınız aşağıdaki ekran aracılığı ile yükleyebilirsiniz.

Link: Fortigate IP/Mac Eşleştirici

Güncelleme: IP Mac Eşleştirme aracına WinArpSpoof dosyalarını okuma özelliği de ekledim. Bu sayede  WinArpSpoof yazılımı ile network taraması yapıldıktan sonra şayet bulunan cihazları KAYDET(Save) derseniz. WAS yazılımı size uzantısı .was olan bir dosya oluşturacaktır.

Bunu da Fortigate IP/Mac Eşleştirici yazılımı ile okuttuktan sonra script oluştur dediğinizde; ağınızda bulunan tüm cihazlar için ip mac binding script kodu oluşturulacaktır.

Güncelleme-2: Programımıza Fortigate DHCP Reserved IP özelliğini de ekledim. Bu sayede IP – MAC tablosuna göre belirli makinalara belirli IP adreslerinin verilmesini ve bu IP adres verme işlemlerinin sabitlenmesini sağlayan scripti de yine sizin vermiş olduğunuz tabloya göre hazırlıyor (09.04.2009)

Kas
26
2008

Fortigate üzerinde paket takibi (packet sniffing) nasıl yapılır?

Tüm fortigate ürünleri kendi içersinde güçlü bir packet sniffer barındırmaktadır. Bu yazımda anlatacaklarım FortiOS v2.80-MR5 ve sonrası firmware ile çalışan fortigate cihazları içindir.

Sniffer Temelleri:

Fortigate üzerinde yer alan sniffer, arabirimler üzerinde gerçekleşen haberleşmeleri takip etmek amacı ile kullanılmakta olup 3 ayrı katmandan oluşur. Bu katmanları incelersek

  1. paket başlıklarını içerir
  2. paketlerin başlık ve verilerini IP bazlı olarak verir
  3. paketlerin başlık ve verilerini ETHERNET bazlı olarak verir

Şimdi bu katmanlarla ilgili olarak bir takım örnekler verelim;

Tüm paket izleme komutlarının yazım şekli şu şekildedir:

# diag sniffer packet <arabirim> <‘filtre’> <katman> <adet>

açıklarsak;

<arabirim> belirli bir arabirim ya da ‘any’ dersek tüm arabirimlerle alakalı haberleşmeler

<katman> alınacak olan verilerin detay bilgisine bağlı olarak katman bilgisi (1-2-3)

<adet> paket izleme ile alınacak veri adedi

<‘filtre’> daha fazla detay alabilmek için kullanılabilecek filtre cümlesi

Örnek 1: Basit İzleme

Tüm haberleşmeye ait 3 paket veriyi 1. katman detaylarına göre izle

# diag sniffer packet internal none 1 3
192.168.0.1.22 -> 192.168.0.30.1144: psh 2859918764 ack 1949135261
192.168.0.1.22 -> 192.168.0.30.1144: psh 2859918816 ack 1949135261
192.168.0.30.1144 -> 192.168.0.1.22: ack 2859918884

göreceğiniz gibi haberleşmemizin arasına girerek haberleşmeden  küçük bir kesit veriyi aldık. Raporda görüleceği gibi 192.168.0.1 Ip adresi 22. portunu kullanarak ve 192.168.0.30 Ip adresine 1144 portu üzerinden bağlantı kuruyor. Sniffer sorgu cümlesinde belirtmiş olduğumuz ‘none’ ifadesi filtre kullanmadan sorgula manasına gelir. “1” ise 1. katmanı kullan ve “3” manası da 3 tane paket yakala ve dur demektir.

Örnek 2: Basit İzleme

# diag sniffer packet internal none 1 3
192.168.0.30.1156 -> 192.168.0.1.80: syn 2164883624
192.168.0.1.80 -> 192.168.0.30.1156: syn 3792179542 ack 2164883625
192.168.0.30.1156 -> 192.168.0.1.80: ack 3792179543

görüldüğü gibi bir takım verileri yakaladık, 192.168.0.30 numaralı IP adresi 80 portundan 192.168.0.1 adresine bağlanmayı SYN  ile bağlantı deniyor ve karşılık olarak da SYN ACK alıyor. Sonunda da 3 yönlü haberleşmeden sonra bağlantı kuruldu.

Bilgi katmanını 1. seviyeye aldığımızda kaynak ve hedef IP adresleri ile ilgili port bilgilerini görebiliriz.

Eğer <adet> bilgisini girmezseniz sistem haberleşme bilgilerini siz CTRL+C basana kadar almaya devam edecektir.

İPUCU: Bu bilgileri alırken bir dosyaya da LOG kaydı olarak kaydetmek en güzelidir. Bunun için de PUTTY (Freeware,Windows) SSH Client yazılımı ile log alabilirsiniz. Daha sonra bu bilgileri istediğiniz gibi arama ve sıralamada kullanabilirsiniz.

Katman 2 ve Katman 3 :

2. Katman daha fazla bilgi içerir

Katman 1: IP başlıklarını içerir ki bunu yukarıda görmüştük

Katman 2: IP paket içeriklerini gösterir

2. Katmana bir örnek verirsek

# diag sniffer packet internal none 2 1
192.168.0.1.22 -> 192.168.0.30.1144: psh 2867817048 ack 1951061933

0x0000   4510 005c 8eb1 4000 4006 2a6b c0a8 0001        E..\..@.@.*k….
0x0010   c0a8 001e 0016 0478 aaef 6a58 744a d7ad       …….x..jXtJ..
0x0020   5018 0b5c 8ab9 0000 9819 880b f465 62a8      P..\………eb.
0x0030   3eaf 3804 3fee 2555 8deb 24da dd0d c684      >.8.?.%U..$…..
0x0040   08a9 7907 202d 5898 a85c facb 8c0a f9e5       ..y..-X..\……
0x0050   bd9c b649 5318 7fc5 c415 5a59                  …IS…..ZY

3. Katman da ise ETHERNET (ETHER FRAME) bilgileri de yer alır. Bu formattaki bilgiler teknik destek ve bir sorunun çözümünde kullanılır.

Bu işlem için Fortigate to Ethereal scriptini kullanabilirsiniz. Bu dosya 3. Katmandan alınacak olan verileri ETHEREAL programı tarafından okunabilecek hale getirir.

FİLTRE KULLANIMI

Şu ana kadar bahettiğimiz gibi yapılan sorgulamalarda filtre kullanımı sorgunun gücünü ve amacını daha da ortaya koyacaktır. Filtre anahtarları aşağıda yer aldığı gibidir.

<filter>    filtre
Yazım: ‘[[src|dst] host<host_name_or_IP1>] [[src|dst] host<host_name_or_IP2>] [[arp|ip|gre|esp|udp|tcp] [port_no]] [[arp|ip|gre|esp|udp|tcp] [port_no]]’

Şayet ikinci bir host tanımlıysa, sadece 2 host arası trafiği izlemek için aşağıdaki filtreyi kullanabilirsiniz.

<filtre>    esnek mantıksal filtreler
Örnek: forti1 ve forti2 yada forti3 cihazları arasındaki UDP port 1812 haberleşmesini görebilmek için
udp and port 1812 and host forti1 and \( forti2 or forti3 \)‘ filtresi kullanılabilir.

bir pc ile diğer bir pc arasındaki trafiği filtresiz olarak izlemeye kalkarsanız, sniffer tüm paketleri görüntüleyeceği için takibi zor bir durum ortaya çıkabilir. Bu yüzden filtre kullanılır.

Örnek 3 : Filtrelerle İzleme

İki bilgisayar arasında yada fortigate ile pc arasındaki trafiği izlemek için kullanılır.

Not: Filtrelerinizde tek (‘ ‘ ) tırnak kullanımını unutmayın.

# diag sniffer packet internal ‘src host 192.168.0.130 and dst host 192.168.0.1’ 1

192.168.0.130.3426 -> 192.168.0.1.80: syn 1325244087
192.168.0.1.80 -> 192.168.0.130.3426: syn 3483111189 ack 1325244088
192.168.0.130.3426 -> 192.168.0.1.80: ack 3483111190
192.168.0.130.3426 -> 192.168.0.1.80: psh 1325244088 ack 3483111190
192.168.0.1.80 -> 192.168.0.130.3426: ack 1325244686
192.168.0.130.1035 -> 192.168.0.1.53: udp 26
192.168.0.130.1035 -> 192.168.0.1.53: udp 42
192.168.0.130.1035 -> 192.168.0.1.53: udp 42
192.168.0.130 -> 192.168.0.1: icmp: echo request
192.168.0.130.3426 -> 192.168.0.1.80: psh 1325244686 ack 3483111190
192.168.0.1.80 -> 192.168.0.130.3426: ack 1325244735
192.168.0.130 -> 192.168.0.1: icmp: echo request

Bu trafik log yapısında göründüğü gibi çok fazla trafik bu hat üzerinde gerçekleşmektedir, bu filtre komutu sadece 192.168.0.130 kaynağından 192.168.0.1 hedefine doğru olan trafikleri gösterir ama 192.168.0.130 a doğru olanları göstermez (örn: ICMP yanıtları). Bunun sebebi de filtrede yazdığımız

‘src host 192.168.0.130 and dst host 192.168.0.1’ komutudur.

Bir bilgisayardan daha önce yakaladığımız diğer ICMP ve DNS sorgularında görebileceğiniz gibi, eğer trafiğin sadece özel bir tipi ile ilgileniyorsanız (örn: TCP trafik sadece) filtre cümlemizi aşağıdaki gibi değiştirmemiz gerekebilir.

# diag sniffer packet internal ‘src host 192.168.0.130 and dst host 192.168.0.1 and tcp’ 1

192.168.0.130.3569 -> 192.168.0.1.23: syn 1802541497
192.168.0.1.23 -> 192.168.0.130.3569: syn 4238146022 ack 1802541498
192.168.0.130.3569 -> 192.168.0.1.23: ack 4238146023

Gerçi ICMP (Ping) de çalışıyordu, izleme sadece TCP haberleşmeyi gösterir. Görebileceğiniz gibi Hedef: 192.168.0.1.23 (yani 192.168.0.1 in 23. portu) bize 192.168.0.1 ile telnet(23. port) haberleşmesi olduğunu gösterir.

Aynı durumu şöyle de görebiliriz.

# diag sniffer packet internal ‘host 192.168.0.130 and icmp’ 1

192.168.0.130 -> 192.168.0.1: icmp: echo request
192.168.0.1 -> 192.168.0.130: icmp: echo reply

Bu örnekte sadece 192.168.0.130 IP adresli pc ye gelen ve giden ICMP paketlerini yakalıyoruz.

Değişik kombinasyonlar ile bu paket yakalama örneğini geliştirebiliriz. Örnek vermek gerekirse; 192.168.0.130 IP adresli pc ye gelen ve giden ICMP ve TCP haberleşmesini izlemek için aşağıdaki komutu kullanabiliriz.

# diag sniffer packet internal ‘host 192.168.0.130 and (icmp or tcp)’ 1

Bu izleme yöntemi 192.168.0.130 IP adresli cihaza gelen ve giden tüm ICMP  ve TCP paketlerini KATMAN 1 standartlarına göre gösterecektir.

Şimdi paket izleme işlemini biraz daha sınırlandıralım:

Örneğin, 2 cihaz arasındaki trafiğe ait TCP 80 portundan yapılan haberleşmeleri izlemek istediğimizde ise;

# diag sniffer packet internal ‘host 192.168.0.130 or host 192.168.0.1 and tcp port 80’ 1

192.168.0.130.3625 -> 192.168.0.1.80: syn 2057246590
192.168.0.1.80 -> 192.168.0.130.3625: syn 3291168205 ack 2057246591
192.168.0.130.3625 -> 192.168.0.1.80: ack 3291168206
192.168.0.130.3625 -> 192.168.0.1.80: psh 2057246591 ack 3291168206
192.168.0.1.80 -> 192.168.0.130.3625: ack 2057247265

Eğer iki cihaz arasında telnet ya da ssh trafiği yürütülüyorsa göremeyiz çünkü sadece TCP 80 portunu görmek istedik.

Bir sonraki yazımda ise tcp bayraklarının paket izleme ile nasıl takip edileceğinden bahsedeceğim.

Dosyalar:

Fortigate ile yakalanan katman 3 göre olan paketlerin ethereal yazılımının anlayacağı şekile dönüştüren Perl Converter için TIKLAYIN

Haz
14
2008

Fortinet Fortigate Firewall ile Ipsec Vpn Nasıl Yapılır?

Merhaba; Öncelikle Fortigate Ipsec Vpn yapısı ile ilgili bilgi verelim. Ipsec Vpn yaparak merkez ağımıza bir şubeden yâda mobil bir kullanıcının bağlanmasını sağlayarak sanki ofisimizdeymiş gibi çalışırız. Bu konu ile ilgili olarak İp sec Vpn bize merkez networkumuza izin verilen kurallar içerisinde bağlanmamızı sağlayan yapıdır. Güvenliği diğer bağlantı şekillerine nazaran daha güçlü olduğu için en çok rağbet gören sanal özel ağ yapılandırmasıdır. Ipsec Vpn iki şekilde yapılır. Side to Side (Fortigate’ten Fortigate cihazına) Client to Side (Mobil bir pc (notebook, pc vs’den Fortigate cihaza)Bu makalede Client to Side ipsec vpn’i göreceğiz.
Öncelikle Fortigate Firewalla bağlanıyoruz ve sırası ile resimdeki adımları gerçekleştiriyoruz.

IPSEC Resim 1

Var olan bir yapıyı inceleyelim.

clip_image001

Burada yapılması gereken create phase1 diyerek aşağıdaki resimdeki gibi yapımızı ayarlıyoruz.

Preshared Key kısmına güvendiğimiz sağlam bir şifre veriyoruz.3 aşamalı encryption sağlayabiliriz. Ama yapılan encryptiona göre performans kaybı yaşanabilir. Bu yüzden önerilen 2 aşamalı encryptiondır.

IPSEC Resim 2

clip_image002

Resimde görüldüğü üzere remote gateway kısmında dialup user seçilmiştir.

Şimdi Phase2 oluşturulmalı ve Phase 1 entegre edilmelidir.

devamı…

TeamViewer ile İnternet üzerinden Uzaktan Erişim ve Destek Sekercioglu.eu Uzaktan Yardım
Ammyy Uzaktan Yardım
WinRAR
WEBMAIL Google PageRank Checker
Twitterda Takip Edin! Twitterda Takip Edin!
Twitter

Üye Paneli

Son Yazılar

Kategoriler

Son Yorumlar