Sora Yazılım
Türkçe
Türkiye merkezli özel yazılım çözümleri

FortiGate VPN Yapılandırması: IPsec ve SSL VPN Rehberi

Sora Yazılım Ekibi

FortiGate VPN yapılandırması, şubeler arası şifreli bağlantı için IPsec site-to-site tünelleri ile uzak kullanıcılar için SSL VPN veya ZTNA erişimini kapsar. Tüm modlar güvenli şifreleme önerileri ve doğru firewall politikalarıyla birlikte tanımlanır.

FortiGate'te VPN Türleri

FortiGate dört temel VPN yaklaşımı sunar: IPsec site-to-site, IPsec dialup (uzak kullanıcı), SSL VPN (web ve tünel modu) ve ZTNA. Seçim, bağlanacak tarafların türüne ve güvenlik gereksinimlerine göre yapılır.

Site-to-site IPsec, iki sabit lokasyonu (örneğin merkez ve şube) kalıcı bir şifreli tünelle birleştirir. Dialup IPsec ve SSL VPN ise gezici/uzak kullanıcıların kuruma erişmesini sağlar.

ZTNA (Zero Trust Network Access), klasik geniş VPN erişimini, kimlik ve cihaz duruşuna göre uygulama düzeyinde yetkilendirmeyle değiştiren daha yeni bir yaklaşımdır ve Security Fabric ile bütünleşir.

VPN politikaları, normal firewall politikalarıyla aynı mantıkta yazılır; ayrıntı için firewall politikaları yönetimi rehberimize bakın.

IPsec Site-to-Site Tünel Yapılandırması

IPsec site-to-site, iki FortiGate arasında Phase 1 (IKE) ve Phase 2 (IPsec) parametreleri eşleştirilerek kurulur; ardından tünel arayüzü için yönlendirme ve firewall politikaları tanımlanır.

VPN > IPsec Wizard ile site-to-site şablonunu seçin. Phase 1'de uzak ağ geçidi IP'si, kimlik doğrulama yöntemi (genelde pre-shared key) ve şifreleme/karma önerilerini belirleyin. İki taraftaki öneriler birebir uyuşmalıdır.

Phase 2'de korunacak yerel ve uzak alt ağları tanımlayın. Tünel kurulduktan sonra, ilgili alt ağlara giden trafiği tünel arayüzüne yönlendiren statik rotalar ve her iki yönde firewall politikaları ekleyin.

AşamaBelirlenen parametreler
Phase 1 (IKE)Uzak ağ geçidi, kimlik (PSK/sertifika), şifreleme, DH grubu
Phase 2 (IPsec)Yerel/uzak alt ağlar, PFS, yaşam süresi
YönlendirmeUzak alt ağ için statik rota (tünel arayüzü)
PolitikaHer iki yönde firewall kuralı

SSL VPN ile Uzak Erişim

SSL VPN, kullanıcıların tarayıcı (web modu) veya FortiClient (tünel modu) üzerinden kuruma güvenli erişmesini sağlar; portal, kullanıcı grupları ve erişilebilir kaynaklar merkezi olarak tanımlanır.

SSL VPN portalında hangi kaynakların yayınlanacağını, tünel modu IP aralığını ve split tunneling davranışını yapılandırın. Kullanıcıları yerel veya harici (LDAP/RADIUS) kimlik kaynaklarıyla doğrulayın.

Önemli bir not: Fortinet, FortiOS 7.6 ile birlikte özellikle düşük bellekli bazı modellerde SSL VPN tünel/web modunu kullanımdan kaldırmaya başlamıştır. Yeni dağıtımlarda IPsec dialup veya ZTNA değerlendirilmelidir.

Kullanıcı trafiğini tararken UTM uygulamak için VPN politikalarına güvenlik profilleri ekleyin; ilk kurulum bağlamı için kurulum rehberimize dönebilirsiniz.

ZTNA'ya Geçiş ve Modern Erişim

ZTNA, kullanıcıya tüm ağı açmak yerine yalnızca yetkili uygulamalara, kimlik ve cihaz duruşu doğrulamasıyla erişim verir; bu, geniş VPN erişimine göre saldırı yüzeyini ciddi şekilde daraltır.

FortiGate ZTNA, FortiClient ve Security Fabric ile birlikte çalışarak her erişim isteğini sürekli doğrular. Kullanıcı konumundan bağımsız olarak 'asla güvenme, daima doğrula' ilkesi uygulanır.

ZTNA, SSL VPN'in kullanımdan kalktığı senaryolarda doğal bir halef olarak konumlanır ve uygulama bazlı erişim sayesinde yanal hareket riskini azaltır.

ZTNA dağıtımının genel mimarideki yerini FortiGate nedir rehberinde ele alıyoruz.

VPN Güvenliği İçin En İyi Pratikler

VPN güvenliği; çok faktörlü doğrulama, güçlü şifreleme önerileri, gereksiz erişimi kısıtlama, düzenli firmware güncelleme ve VPN loglarının izlenmesini gerektirir.

  • Tüm uzak erişim VPN'lerinde çok faktörlü doğrulama (MFA) zorunlu kılın.
  • Zayıf şifreleme/karma önerilerini (ör. DES, MD5) devre dışı bırakın.
  • Split tunneling'i yalnızca gerekli olduğunda ve bilinçli kullanın.
  • VPN açıklarına karşı firmware'i güncel tutun.
  • VPN oturum loglarını merkezi olarak izleyin.

VPN loglarını merkezi toplamak ve anormallikleri yakalamak için FortiAnalyzer ile loglama yazımıza göz atın.

Sık Sorulan Sorular

FortiGate'te IPsec mi SSL VPN mi kullanmalıyım?

Sabit lokasyonlar arasında kalıcı bağlantı için IPsec site-to-site idealdir. Gezici kullanıcılar için tarihsel olarak SSL VPN kullanılmış olsa da, yeni dağıtımlarda IPsec dialup veya ZTNA önerilir.

Phase 1 ve Phase 2 nedir?

IPsec'te Phase 1 (IKE) güvenli bir yönetim kanalı kurar ve kimlik doğrular; Phase 2 ise gerçek veri trafiğini taşıyan IPsec güvenlik birliklerini ve korunan alt ağları tanımlar.

SSL VPN gerçekten kaldırılıyor mu?

Fortinet, FortiOS 7.6 ile bazı düşük bellekli modellerde SSL VPN tünel/web modunu kullanımdan kaldırmaya başlamıştır. Bu modellerde IPsec veya ZTNA tercih edilmelidir; yüksek bellekli platformlarda durum sürüm notlarına göre değişebilir.

VPN için FortiClient şart mı?

IPsec ve SSL VPN tünel modu için bir istemci gerekir; FortiClient yaygın seçimdir. SSL VPN web modu ise tarayıcı üzerinden istemcisiz erişim sağlar.

ZTNA, VPN'in yerini tamamen alır mı?

Birçok uzak erişim senaryosunda ZTNA, geniş VPN erişiminin yerini alır ve daha dar, uygulama bazlı erişim sunar. Site-to-site bağlantılar için IPsec hâlâ standarttır.

VPN'i nasıl daha güvenli yaparım?

MFA'yı zorunlu kılın, güçlü şifreleme önerileri kullanın, erişimi en az ayrıcalıkla sınırlayın, firmware'i güncel tutun ve VPN loglarını sürekli izleyin.

Sonuç

FortiGate, site-to-site IPsec'ten ZTNA'ya kadar geniş bir güvenli erişim yelpazesi sunar. Doğru mod seçimi, güçlü şifreleme ve çok faktörlü doğrulama ile uzak erişim hem kullanışlı hem de güvenli hale gelir; SSL VPN'in kullanımdan kalktığı senaryolarda ZTNA modern bir halef sunar.

VPN ve ZTNA mimarinizi tasarlamak için Sora Yazılım ağ güvenliği ekibiyle görüşebilirsiniz.

← Blog

Bu yazıdaki konulara ihtiyacınız mı var?

Sora Yazılım uzmanlarıyla ücretsiz keşif görüşmesi planlayın; somut bir yol haritası önerelim.

Ücretsiz keşif görüşmesiHizmetlerimizÇözümlerimiz