Giriş
Fortigate güvenlik duvarları, güçlü işlemcileri ve gelişmiş filtreleme özellikleriyle bilinir. Ancak, siber tehditler çok hızlı değiştiği için statik kurallar bazen yetersiz kalabilir. Bu nedenle, dinamik olarak güncellenen harici tehdit istihbaratlarını (Threat Feed) sisteme entegre etmek hayati önem taşır.
Bu rehberde, fevren.tr tarafından sunulan ve anlık güncellenen zararlı IP listesini, Fortigate cihazınıza “External Connector” olarak nasıl tanımlayacağınızı ve bu saldırganları ağınıza girmeden nasıl durduracağınızı anlatacağız.
1. Adım: Harici IP Listesini Tanımlama (External Connector)
FortiOS, harici bir URL üzerindeki metin dosyasını okuyup, içindeki IP adreslerini dinamik bir nesne (object) olarak kullanabilir. İşleme başlamak için şu adımları izleyin:
- Fortigate yönetim paneline giriş yapın.
- Sol menüden Security Fabric > External Connectors sayfasına gidin.
- Üst kısımdaki Create New butonuna tıklayın.
- Açılan listede, “Threat Feeds” başlığı altındaki IP Address seçeneğine tıklayın.
Bağlantı Ayarları:
Açılan yapılandırma penceresinde ayarları şu şekilde girin:
- Name:
Fevren_Saldirdi_Listesi(Türkçe karakter ve boşluk kullanmamaya özen gösterin). - URL of external resource:
https://fevren.tr/guncel.txt - HTTP Basic Authentication: Kapalı (Disable).
- Refresh Rate: Varsayılan değerde bırakabilir veya ihtiyaca göre (örneğin 60 dakika) ayarlayabilirsiniz.
- Status: Enable (Aktif).
Son olarak, OK butonuna basarak nesneyi oluşturun.
İpucu: Bağlantı durumunu kontrol etmek için oluşturduğunuz nesnenin üzerine gelin. Yeşil bir “Up” simgesi görüyorsanız, Fortigate listeyi başarıyla çekmiş demektir. “View Entries” diyerek IP listesini gözle kontrol edebilirsiniz.
2. Adım: Engelleme Kuralını Yazma (Firewall Policy)
Listeyi sisteme tanıttık. Şimdi, bu listedeki IP adreslerinden gelen tüm trafiği reddetmek için bir güvenlik politikası yazmalısınız.
- Sol menüden Policy & Objects > Firewall Policy sekmesine gidin.
- Create New butonuna tıklayarak yeni bir kural oluşturun.
- Kuralı, listenin en tepesine taşıdığınızdan emin olun. Çünkü Fortigate kuralları “Sequence” (Sıra) numarasına göre yukarıdan aşağıya işler.
Politika Ayarları:
- Name:
Block_Fevren_Blacklist - Incoming Interface:
WAN(veya internet hattınızın bağlı olduğu port). - Outgoing Interface:
LAN(veya korumak istediğiniz iç ağlar). - Source: Az önce oluşturduğumuz
Fevren_Saldirdi_Listesinesnesini seçin. - Destination:
all(Tüm hedefler). - Schedule:
always(Her zaman). - Service:
ALL(Tüm portlar). - Action: DENY (Reddet).
Önemli: “Log Violation Traffic” seçeneğini aktif edin. Böylece, engellenen saldırıları loglarda görebilirsiniz. Ayarları tamamladıktan sonra OK diyerek kaydedin.
3. Adım: İzleme ve Raporlama
Sistemin çalıştığını doğrulamak için logları incelemeniz gerekir.
- Log & Report > Forward Traffic menüsüne gidin.
- Filtre çubuğuna kural ismini (
Block_Fevren_Blacklist) yazın veya “Action” sütununda Deny olan kayıtları süzün. - Eğer kaynak (Source) kısmında
fevren.trlistesindeki IP’leri görüyorsanız, savunma hattınız aktif demektir.
Neden External Connector Kullanmalısınız?
Manuel IP engelleme (manuel blacklist) yöntemi sürdürülebilir değildir. Oysa External Connector kullanarak:
- Otomasyon Sağlarsınız: Liste
fevren.trüzerinde güncellendiğinde, Fortigate cihazınız bunu otomatik algılar. Sizin müdahale etmenize gerek kalmaz. - Performansı Korursunuz: Fortigate, bu tür harici listeleri (ISDB mantığına benzer şekilde) verimli işler, cihazı yormaz.
- Hızlı Tepki Verirsiniz: Yeni bir saldırı dalgası başladığında, liste güncellendiği anda koruma altına girersiniz.
Fortigate Kullanıcıları İçin Not:
FortiOS versiyonunuza bağlı olarak menü yerleri küçük farklılıklar gösterebilir (Örn: 6.4 öncesinde “Fabric Connectors” olarak geçebilir). Ancak temel mantık (External Connector oluştur -> Policy içinde Source olarak kullan -> Action DENY yap) her zaman aynıdır.
fevren.tr listesi tamamen metin tabanlı (Plain Text) olduğu için Fortigate formatıyla %100 uyumludur.