FortiGate & NGFW22 Mayıs 20267 dakika okuma

FortiGate Administrative Access Ayarları: Her Seçenek Ne İşe Yarar?

FortiGate arayüzünde karşılaşılan Administrative Access bölümü; HTTPS, SSH, PING, FMG-Access, Security Fabric Connection, LLDP gibi onlarca seçenek barındırır. Bu seçeneklerin tamamını, ne zaman açılıp kapatılması gerektiğini adım adım açıklıyoruz.

FortiGateAdministrative AccessSecurity FabricHTTPSSSHLLDP

Administrative Access Nedir?

FortiGate'te her fiziksel veya sanal arayüze (interface) bağımsız olarak hangi yönetim protokollerinin erişebileceğini Administrative Access bölümünden belirlersiniz. Bu ayar; güvenliği doğrudan etkiler — gereksiz protokolleri kapatmak saldırı yüzeyini ciddi ölçüde azaltır.

Aşağıda ekrandaki tüm seçenekler tek tek açıklanmıştır.

IPv4 Administrative Access Seçenekleri

HTTPS

FortiGate'in web tabanlı yönetim arayüzüne (GUI) erişim için kullanılır. Varsayılan port 443'tür. Yönetim amacıyla kullanacağınız arayüzde mutlaka açık olmalıdır. WAN (internet) tarafına bakan arayüzde kapalı tutulması önerilir; yönetimi sadece iç ağ veya özel yönetim arayüzü üzerinden yapın.

HTTP

Şifresiz HTTP üzerinden GUI erişimidir. Güvenlik açısından kesinlikle önerilmez. Yalnızca özel test ortamlarında veya HTTPS yönlendirmesi için geçici olarak açılabilir. Üretim ortamında kapalı tutun.

PING

ICMP ping sorgularına yanıt verip vermeyeceğini belirler. Ağ bağlantısını test etmek ve arıza tespitinde kullanışlıdır. İç ağ arayüzlerinde açık tutmak normaldir; WAN tarafında açmak, cihazın internette "görünür" olmasına neden olur — genellikle kapalı tutulur.

FMG-Access

FortiManager'ın bu arayüz üzerinden FortiGate'e bağlanmasına izin verir. Merkezi yönetim için FortiManager kullanıyorsanız, FortiManager'ın bağlandığı arayüzde bu seçenek açık olmalıdır. FortiManager kullanmıyorsanız kapalı bırakın.

SSH

Komut satırı (CLI) üzerinden şifreli erişim sağlar. Güvenli olmasına karşın sadece yönetim arayüzünde açık tutulması önerilir. Brute-force saldırılarına karşı SSH portunu değiştirmek ve login attempt limit ayarlamak iyi bir pratiktir.

SNMP

Ağ izleme araçlarının (Zabbix, PRTG, SolarWinds vb.) FortiGate'den istatistik ve durum bilgisi çekmesi için kullanılır. SNMP kullanıyorsanız açın ve mutlaka SNMPv3 ile community string güvenliği uygulayın. Kullanmıyorsanız kapalı tutun.

FTM (FortiToken Mobile)

FortiToken Mobile ile iki faktörlü kimlik doğrulama (2FA) push bildirimlerinin bu arayüz üzerinden iletilmesini sağlar. FortiToken tabanlı VPN veya yönetici girişi kullanıyorsanız ilgili arayüzde açık olmalıdır.

RADIUS Accounting

RADIUS sunucusundan gelen accounting mesajlarını (kullanıcı oturum başlangıç/bitiş bilgileri) kabul eder. Captive portal veya 802.1X kimlik doğrulama kullanan yapılarda gereklidir. Kullanmıyorsanız kapalı bırakın.

Security Fabric Connection

Fortinet Security Fabric ekosisteminin en kritik ayarlarından biridir. FortiAP, FortiSwitch ve diğer Fabric cihazlarının FortiGate'i "root" olarak tanıyabilmesi için bu seçenek açık olmalıdır.

Security Fabric Connection kapalıysa:

  • FortiAP cihazları FortiGate'e bağlanıp authorize edilemez
  • FortiSwitch yönetimi FortiGate üzerinden yapılamaz
  • FortiAnalyzer log bağlantısı kurulmayabilir

Hangi arayüzde açık olmalı? FortiAP veya FortiSwitch'in bağlı olduğu iç ağ arayüzünde (örn. internal, lan, port2) mutlaka açık olmalıdır.

Speed Test

FortiGate GUI'sindeki dahili bant genişliği ölçüm aracının bu arayüz üzerinden çalışmasına izin verir. Genellikle WAN arayüzünde kullanılır; yönetim ve test amaçlıdır, üretimde opsiyoneldir.

Receive LLDP ve Transmit LLDP

LLDP (Link Layer Discovery Protocol), komşu cihazları otomatik olarak keşfetmek için kullanılan bir Layer 2 protokolüdür. Cisco'nun CDP'sine benzer, ancak vendor bağımsızdır.

Receive LLDP

Komşu cihazlardan gelen LLDP paketlerini dinler ve cihaz bilgilerini (hostname, port, capabilities) öğrenir. "Use VDOM Setting" seçeneği, VDOM genelindeki varsayılan ayarı kullanır. "Enable" ile bu arayüz için bağımsız olarak açılabilir.

Transmit LLDP

FortiGate'in kendi bilgilerini komşulara LLDP ile duyurmasını sağlar. Ağ haritalaması ve otomatik topoloji keşfi için kullanışlıdır. FortiSwitch ile entegre çalışırken LLDP'nin açık olması önerilir.

Use VDOM Setting

LLDP için "Use VDOM Setting" seçilirse, arayüz VDOM düzeyindeki genel LLDP yapılandırmasını miras alır. Her arayüz için ayrı ayrı ayar yapmak yerine merkezi yönetim sağlar.

Güvenlik Önerileri: Hangi Protokoller Nerede Açık Olmalı?

Arayüz Önerilen Açık Protokoller Kapalı Tutulacaklar
WAN (İnternet) Tümü kapalı (mümkünse)
LAN / Internal HTTPS, PING, Security Fabric, LLDP HTTP, FTM (gerekmedikçe)
Yönetim (MGMT) HTTPS, SSH, PING, FMG-Access HTTP, SNMP (kullanılmıyorsa)
FortiAP / FortiSwitch Security Fabric Connection, LLDP SSH, SNMP (gerekmedikçe)

Sonuç

Administrative Access ayarları, FortiGate güvenliğinin temel taşlarından biridir. "İhtiyacın kadar aç, geri kalanını kapat" prensibi ile hareket etmek, saldırı yüzeyini minimuma indirir. Lider Network NSE sertifikalı mühendisleri olarak FortiGate güvenlik denetimleri ve yapılandırma optimizasyonu konularında yanınızdayız.

İlgili Makaleler

FortiGate & NGFW

FortiGate Nedir? Kurumsal Ağlarda Yeni Nesil Güvenlik

Oku FortiGate & NGFW

Fortinet Security Fabric: Entegre Güvenlik Ekosistemi

Oku FortiGate & NGFW

Kurumsal Şirketler İçin Doğru Firewall Nasıl Seçilir?

Oku
Tüm MakalelerÜcretsiz Altyapı Analizi