Ağ güvenliğinin merkezinde yer alan firewall cihazlarının kendi güvenliğini sağlamak, kurumsal altyapının ilk savunma hattıdır. Varsayılan ayarlarla bırakılmış bir FortiGate firewall, saldırganlar için potansiyel bir hedef haline gelebilir. Bu rehberde, FortiOS işletim sistemine sahip FortiGate cihazlarınızı en iyi siber güvenlik pratiklerine göre nasıl sertleştireceğinizi (hardening) adım adım inceleyeceğiz.
1. Yönetici (Admin) Hesaplarının ve Erişiminin Güvenliği
Cihaz yönetimine yetkisiz erişimlerin engellenmesi, hardening sürecinin en kritik adımıdır.
Varsayılan Admin Kullanıcısının Devre Dışı Bırakılması
Varsayılan olarak gelen admin kullanıcısı kaba kuvvet (brute-force) saldırılarının ilk hedefidir. Bunun yerine benzersiz bir kullanıcı adı tanımlayıp, varsayılan hesabı silmeli veya devre dışı bırakmalısınız.
config system admin
edit "newadmin"
set password "GucluSifre123_!"
set accprofile "super_admin"
next
end
Yeni admin ile giriş yaptıktan sonra eski varsayılan hesabı silin.
Trusted Hosts (Güvenilir Hostlar) Tanımlama
Yöneticilerin firewall’a sadece belirli IP veya IP bloklarından erişmesini zorunlu kılmalısınız. Bu sayede admin şifresi ele geçirilse bile yetkisiz bir IP’den yönetim arayüzüne ulaşılamaz.
config system admin
edit "newadmin"
set trusthost1 192.168.10.50 255.255.255.255
set trusthost2 10.0.0.0 255.255.255.0
next
end
Varsayılan Yönetim Portlarının Değiştirilmesi
HTTP (80) protokolünü tamamen kapatmalı, HTTPS (443) ve SSH (22) portlarını ise standart dışı portlarla değiştirmelisiniz.
config system global
set admin-sport 8443
set admin-ssh-port 8222
set admin-http disable
set admin-telnet disable
end
2. Şifreleme ve Protokol Güçlendirme
Zayıf şifreleme standartlarını devre dışı bırakarak “Man-in-the-Middle” (Ortadaki Adam) saldırılarını engelleyin.
SSL/TLS Sürüm Sınırlaması
Yönetim arayüzüne erişimde TLS 1.2 ve TLS 1.3 dışındaki eski ve güvensiz sürümleri (TLS 1.0, TLS 1.1) tamamen engelleyin.
config system global
set admin-https-ssl-versions tls1-2 tls1-3
end
Güçlü Şifre (Cipher) Seçimi
Güvensiz şifreleme algoritmalarını (DES, 3DES, RC4 gibi) devre dışı bırakıp yalnızca güçlü şifreleme setlerine (AES-GCM, SHA256/384) izin verin.
config system global
set ssl-strong-cipher enable
end
3. Sistem Zaman Aşımı (Idle Timeout) Ayarları
Yöneticinin bilgisayar başından ayrılması durumunda açık kalan oturumlar güvenlik riski oluşturur. Varsayılan olarak 5 dakika olan boşta kalma süresini azaltın.
config system global
set admintimeout 3
end
Yukarıdaki komut boşta kalma zaman aşımını 3 dakika olarak ayarlar.
4. Arayüz (Interface) Düzeyinde Güvenlik
Dış dünyaya (WAN) bakan veya iç ağdaki kritik olmayan bacaklardaki yönetim servislerini sınırlayın. Her interface üzerinde ping, ssh ve https servislerini gözden geçirin.
config system interface
edit "wan1"
set allowaccess ping
next
end
Gereksiz durumlarda WAN arayüzünde ping dahil tüm erişim protokollerini (set allowaccess) tamamen boş bırakın.
FortiGate Hardening CLI Komutları Özeti
Aşağıdaki tabloda en kritik hardening CLI komutlarını ve önerilen durumlarını bulabilirsiniz:
| Parametre / Alan | Açıklama | Önerilen CLI Değeri |
|---|---|---|
admin-sport |
HTTPS Yönetim Portu | Standart dışı port (Örn: 8443) |
admin-ssh-port |
SSH Yönetim Portu | Standart dışı port (Örn: 8222) |
admin-http |
HTTP Arayüzü | disable |
admin-telnet |
Telnet Arayüzü | disable |
admintimeout |
Oturum Zaman Aşımı | 3 veya 5 (dakika) |
ssl-strong-cipher |
Güçlü Cipher Kullanımı | enable |
gui-theme |
Arayüz Teması | Tercihe bağlı (Siber güvenlik için mariner veya dark) |
⚠️ Önemli Not: Varsayılan yönetim portlarını (HTTPS/SSH) değiştirdikten sonra, tarayıcı üzerinden giriş yaparken yeni portu belirtmeyi unutmayın (Örneğin:
https://192.168.1.1:8443). Değişiklikleri uygulamadan önce cihazınızın yedeğini mutlaka alın.