FortiGate Security Hardening Rehberi
Günümüz ağ güvenliği tehditleri, sadece dış saldırılardan ibaret değildir. Yanlış yapılandırılmış güvenlik duvarları, eski sürüm yazılımlar ve gevşek kullanıcı politikaları, en az dış tehditler kadar tehlike arz eder. FortiGate cihazları, kapsamlı güvenlik servisleriyle donatılmış olsa da, bu cihazlardan maksimum koruma sağlamak için detaylı bir security hardening süreci uygulanmalıdır.
1️⃣ Firmware & Destek Politikası
⚙️ Firmware Güncellemeleri
-FortiOS’un en güncel kararlı sürümü kullanılmalıdır (örneğin şu an LTS olarak FortiOS 7.2.x önerilmektedir).
-Her yükseltmeden önce “Release Notes” ve “Upgrade Path Tool” kullanılmalı.
-Fortinet’in PSIRT (Product Security Incident Response Team) duyuruları takip edilerek kritik CVE'ler kontrol edilmelidir.
⚙️ Life Cycle Takibi
-Kullanılan FortiGate modelinin End of Support (EOS) veya End of Engineering Support (EOES) tarihlerine dikkat edilmelidir.
-Güvenlik güncellemeleri almayan modeller mutlaka değiştirilmelidir.
2️⃣ Yönetim Servisleri Güvenliği
⚙️ Arayüzlere Erişim Kontrolü
-Management Access sadece belirli trusted subnet’lere (örneğin: 10.0.0.0/24) açık olmalıdır.
-"Admin Access" seçenekleri içinde sadece gerekli olanlar (HTTPS, SSH) açık bırakılmalı.
-HTTP, Telnet, SNMPv1 gibi zayıf protokoller tamamen devre dışı bırakılmalıdır.
⚙️ Güçlü Kimlik Doğrulama
-Admin profilinde parolalar karmaşık ve minimum 12 karakter olacak şekilde tanımlanmalı.
-2FA (Two Factor Authentication) yapılandırılarak özellikle WAN’dan yönetim erişimi olan sistemlerde MFA zorunlu hale getirilmelidir.
-"Idle timeout" değeri 300–600 saniye aralığında tanımlanmalı.
⚙️ Rol Tabanlı Yetkilendirme (RBAC)
-Tüm admin kullanıcılar için ayrı ayrı hesaplar tanımlanmalı.
-Her bir kullanıcıya yalnızca gerekli yetkiler verilmeli; super_admin yetkisi sınırlı tutulmalıdır.
-Admin hesapları, kritik işlemler için loglanabilir bir şekilde yetkilendirilmiş olmalıdır.
3️⃣ Ağ Politikaları ve Segmentasyon
⚙️ Default Policy’leri Devre Dışı Bırakın
-FortiGate üzerinde varsayılan olarak gelen “All to All” trafiğe izin veren kurallar kaldırılmalı veya en sona çekilmelidir.
-Tüm policy’lerde UTM profilleri tanımlanmalı, boş policy bırakılmamalıdır.
⚙️ Ağ Segmentasyonu
-LAN, DMZ, WAN ve VPN gibi kritik bölgeler farklı arayüzlerde tanımlanmalı.
-Bu segmentler arasında trafiği yöneten kurallar “least privilege” prensibi ile hazırlanmalı.
-Inter-VLAN routing gerekiyorsa, ACL veya firewall policy ile kısıtlamalar yapılmalıdır.
⚙️ Zone Kullanımı
-Fiziksel arayüzler yerine security zone’lar kullanılarak yönetim ve policy esnekliği artırılmalıdır.
-“Trusted”, “Guest”, “IoT” gibi zone tanımlamaları yapılabilir.
4️⃣ UTM (Unified Threat Management) Yapılandırmaları
???? Web Filter
-FortiGuard URL filtreleme servisi aktif edilmeli.
-Kategorilere göre web erişimleri kısıtlanmalı (örneğin: gambling, phishing, malware hosting).
-HTTPS inspection açık değilse “URL filtering only” yöntemiyle temel filtreleme yapılabilir.
⚙️ Application Control
-Sosyal medya, P2P, uzak masaüstü uygulamaları gibi uygulamalar tanımlanmalı ve gerektiği şekilde engellenmeli veya izlenmelidir.
-Policy'lere özel application control profilleri atanmalı.
⚙️ IPS (Intrusion Prevention System)
-Fortinet IPS imzaları günlük olarak güncellenmeli.
-Sunucuların bulunduğu segmentlerde mutlaka server-side IPS aktif olmalıdır.
-Yeni tanımlanan policy’lerde IPS profili “Protect” modunda uygulanmalıdır.
⚙️ Antivirus
-Gateway seviyesinde virüs ve zararlı yazılım taraması yapılmalıdır.
-"Flow-based" yerine "Proxy-based" AV motoru kullanılması daha detaylı analiz sağlar.
-Karantinaya alma ve loglama özellikleri aktif edilmelidir.
⚙️ SSL Inspection
SSL inspection en azından kategori bazlı "certificate-inspection" olarak aktif edilmeli.
Full SSL inspection için kurum içinde CA sertifikası dağıtımı yapılmalıdır.
5️⃣ Loglama, İzleme ve Olay Müdahale
⚙️ Loglama
-FortiGate üzerindeki loglar harici bir syslog/SIEM sunucusuna gönderilmeli.
-Olay bazlı loglar (config changes, login attempts, IPS/AV logs) mutlaka tutulmalı.
⚙️ İzleme
-FortiAnalyzer entegrasyonu varsa korelasyon kuralları yazılmalı.
-GUI üzerinden FortiView paneli düzenli olarak takip edilmelidir.
-"Anomaly Detection" aktif edilerek şüpheli davranışlar gözlemlenmelidir.
⚙️ Otomatik Tepki
-"Automation Stitch" özelliği ile belirli olaylara karşı tetikleyiciler tanımlanmalı.
-Örnek: Belirli bir IP’den brute-force tespiti ⇒ IP ban ⇒ Admin’e e-posta gönder
6️⃣ VPN Yapılandırma Güvenliği
⚙️ IPSec VPN
-AES256 + SHA256 + DH14/15 gibi güçlü algoritmalar kullanılmalı.
-Phase 1 ve Phase 2 yaşam süreleri kısa tutulmalı (örnek: 28800s).
-VPN trafiği için ayrı bir policy oluşturulmalı ve UTM profili atanmalı.
⚙️ SSL VPN (Varsa)
-Tunnel mode dışındaki diğer modlar (web-only) devre dışı bırakılmalı.
-Erişim profili minimum izinlerle hazırlanmalı.
-“Restrict to Group” ve “Portal Profile” özelleştirilmeli.
⚙️ Diğer Teknik Öneriler
-SNMP: Sadece SNMPv3 kullanılmalı, eski versiyonlar kapatılmalı.
-NTP: Zaman eşitlemesi için güvenilir bir NTP sunucusu (örneğin: time.windows.com) yapılandırılmalı.
-Backup: Konfigürasyon düzenli olarak alınmalı ve şifreli formatta saklanmalıdır.
-Password Recovery: Fortinet cihazlarında "password recovery via console" özelliği varsayılan olarak açıktır. Bu, fiziksel erişimi olan bir kişi tarafından suistimal edilebilir. BIOS seviyesinde korunmalıdır.
FortiGate doğru yapılandırıldığında üst düzey koruma sağlar. Ancak çoğu kurumda yapılan temel hata; cihazı kutudan çıkarıp çalışır hale getirdikten sonra güvenlik hardening adımlarının uygulanmamasıdır.
yazar: Asrın Haktan Şahin