WatchGuard UTM Firewall üzerinde Mobile SSL/VPN Konfigürasyonu
Merhaba,
Bu yazımızda WatchGuard üzerinden şirketimizin iç network üne güvenli bir şekilde erişebilmemizi sağlayacak bir Mobile VPN türü olan SSL/VPN’ i inceleyeceğiz.
Sırasıyla, cihazımızın VPN bağlantısını sağlamada kullandığı VPN Tünelinin yapısını, Authentication türünü ve VPN Client lerin haklarını ele alıyor olacağız.
WatchGuard, Mobile SSL/VPN bağlantısı kuracak istemcide “Mobile VPN with SSL client” isminde ki küçük bir uygulamaya ihtiyaç duymaktadır.
(Uygulamaya ftp.intercomp.com.tr adresinden ulaşabilirsiniz.)
Uygulama adımlarımıza başlayabiliriz;
Cihazımıza WSM (WatchGuard System Manager) yazılımı ile connect oluyoruz ve aşağıdaki Ekran görüntüsünde de görülen adımlardan “Mobile VPN with SSL Configuration” menüsüne erişiyoruz.
1) Mobile VPN with SSL Configuration General tabın da yapabileceklerimiz şunlardır;
En üstte kırmızı ile belirtmiş olduğumuz Authentication Server bölümü SSL/VPN istemcilerinin cihaz ile hangi Kimlik Denetleme Metodunu kullanarak konuşacaklarını belirlediğimiz alandır.
Seçenekler sırasıyla;
a) Firebox-DB : Cihaz üzerinde ki Database
Radius : Kimlik denetiminin Radius Sunucu üzerinde olması.
SecurID: Kimlik denetiminin Algoritmik sayısal değerler üreten bir token ile sağlanması.
LDAP: Kimlik denetiminin LDAP protokolü ile sağlanması.
Active Directory: Kimlik denetiminin ActiveDirectory Authentication ile DC server’ a verilmesi.
b) Firebox IP Addresses alanı tahmin ettiğimiz gibi cihazımızın External IP adresini tanımladığımız alandır. WatchGuard görüldüğü üzere bu bölümde bizlere hem Primary IP,
Hem de Backup IP tanımlama imkanı sunmaktadır. Biz tek External Interface imiz olduğu için gereken tanımlamamızı bu şekilde yapıyoruz.
c) Networking and IP Address Pool bölümümüz yine anlaşılacağı gibi cihazımız ile Mobile SSL/VPN istemcisi arasındaki Tünelin yapısını belirlemektedir.
Burada da 2 seçeneğimiz bulunuyor. Açıklamasında da belirtildiği üzre;
– Bridge VPN Traffic: Mobile SSL/VPN istemcisi ile ağımız Bridge olarak haberleşiyor olacaktır.
– Routed VPN Traffis: Cihazımız Mobile SSL/VPN istemcisi ile belirttiğimiz ağları ve kaynakları Route yaparak konuşturuyor olacaktır.
– Force all client traffic through tunnel checkbox’ ı tüm istemcilerin trafiğini VPN Tüneli üzerinden geçirecektir.
– Allow Access to Networks connected through Trusted, Optional and VLANs seçimimiz istemcilerin cihaz üzerinde ki tüm Trusted, Optional ve VLANs
network lerine erişimine izin vermemizi sağlar.
– Eğer Mobile SSL/VPN istemcisinin sadece cihaz üzerinde ki belirleyeceğimiz network lere erişmesini istersek bunu da Specify allowed resources checkbox ı ile sağlayabileceğiz.
Son olarak Virtual IP Address Pool seçeneğimiz ise Routed VPN Traffic metodu ile sağladığımız VPN Tünelinde Mobile SSL/VPN istemcilerinin alacakları IP Network ünü tanımlayacağımız alandır.
(Dipnot: Virtual IP Address Pool bölümünde de yapılan uyarıda olduğu gibi Route metot ta bilindiği üzere belirleyeceğimiz Tünel Network ü VPN istemcisinin Local Network ünden tamamen farklı bir Network olmalıdır.)
2) Bölümümüz ise Mobile VPN with SSL Configuration ın Advanced sekmesidir. Burada da anlaşıldığı gibi SSL/VPN in gelişmiş diğer yapılandırmasını sağlayabilmekteyiz. İsteğimize göre Advanced seçeneklerini de düzenledikten sonra Tamam diyerek SSL/VPN in ilk oluşumunu tamamlıyoruz…
Aşağıdaki Ekran Görüntüsünde de gördüğümüz gibi Activate Mobile VPN with SSL sonrası kurallarımız son hali;
Authentication Server olarak Firebox-DB seçip oluşturduğumuz SSL/VPN konfigürasyonumuza Firebox-DB de SSL kullanıcılarını tanımlayarak devam ediyoruz…
Setup – > Authentication -> Authentication Servers adımlarını sırasıyla takip ediyoruz.
Karşımıza gelecek pencere aşağıdaki gibidir. Firebox sekmesinde iken Add (Ekle) diyerek Setup Firebox User penceresine ulaşıyoruz. Testimizde “vpnuser” isminde, parolası “12345678” olan bir kullanıcı oluşturuyoruz.
Ve bu kullanıcıyı Ekran Görüntüsünde de görüldüğü üzere SSL VPN-Users grubuna sol yön butotuna tıklayarak dahil ediyoruz.
İşlem tamamlanmıştır. Şimdi tüm yaptıklarımızı SaveToFirebox diyerek cihaza kaydetmemiz yeterlidir.
Client ımıza kurulumunu yaptığımız Mobile VPN with SSL client aracımızı açıyoruz. Aşağıdaki Ekran görüntüsünde ki gibi Server, username ve Password alanlarını doldurarak Connect diyoruz
SSL Bağlantımızı başarıyla gerçekleştirdiğimize göre şimdi Mobile SSL/VPN kullanıcılarını da izlemeyle konfigürasyonumuza devam edelim.
Force all client traffic through tunnel checkbox’ ı tüm istemcilerin trafiğini VPN Tüneli üzerinden geçirecektir demiştik daha önce, şimdi bunu aktif ediyoruz.
Adımlarımıza ilk olarak VPN user ların erişim denetimini sağlayacak basit bir HttpProxy oluşturarak başlıyoruz.
Aşağıdaki Ekran Görüntüsünde de görüldüğü gibi; http-VPNUsers isminde oluşturacağımız yeni kural ın From tarafına cihazımızın kendi database inde yaratılan SSLVPN-Users (Firebox-DB) grubunu ekleyerek tamamlıyoruz.
Basit bir test için oluşturduğumuz bu HTTPProxy kuralında bir WebBlocker tanımlayıp Exceptions alanına *.facebook.*/* satırını ekleyip alacağı aksiyonu “Deny” yapıyoruz.
Yaptığımız bu son değişiklikleri de cihazımıza kaydediyoruz. Tekrar Mobile VPN with SSL client ımızı açıyoruz ve cihaza Connect oluyoruz ve bir sonraki ekran görüntümüzde ki sonuçları inceliyoruz.
İşte sonuç 🙂
Sırada bu yazımızda paylaşacağımız son adımımıza geliyoruz.
Şimdi de VPN konfigürasyonumuzu açıklarken belirttiğimiz Bridge VPN Traffic tünel yapısını test ediyoruz. Aslında düzenlememiz gereken tek bir nokta var.
Ekran görüntümüzde ki Routed VPN traffic seçeneği yerine Bridge VPN Traffic seçeneğini seçmek ve Bridge to interface alanından ilgili internal interface imizi belirterek
Start ve End (başlangıç ve bitiş) IP lerimizi tanımlıyoruz.
Yaptığımız değişikliklerimizi cihazımıza kaydettikten sonra tekrar Mobile VPN with SSL client ımızı açıyoruz ve cihaza Connect oluyoruz ve sonuç aşağıda gördüğümüz gibi; Trusted network ü müz 192.168.2.0 idi.
SSL ile Connect olduğumuzda sağlanan netice ve aldığımız IP 192.168.2.225
Bir sonraki yazımızda görüşmek üzere.
Erdem AYGUT