Merhaba arkadaşlar, ben Cem Zengin.

Bugün internet trafiğinin %90’ından fazlası HTTPS (SSL/TLS) protokolü kullanılarak şifrelenmiş durumdadır. Bu durum kullanıcı güvenliği için harika olsa da, siber saldırganların veya zararlı yazılımların kendilerini şifreli trafik arkasına gizlemesine de olanak tanır. FortiGate üzerinde standart bir virüs veya IPS taraması yaptığınızda, şifreli HTTPS trafiğinin içeriğini göremezsiniz.

İşte bu noktada SSL Deep Inspection (Derin Paket Analizi) devreye girer. Bu yazıda, SSL Deep Inspection özelliğinin nasıl çalıştığını, nasıl yapılandırılacağını ve kullanıcıların tarayıcılarında “Güvenli Değil” hatası almaması için FortiGate CA sertifikasını Active Directory üzerinden nasıl dağıtacağımızı inceleyeceğiz.

1. SSL Deep Inspection Nasıl Çalışır?

SSL Deep Inspection, aslında bir Man-in-the-Middle (Ortadaki Adam) senaryosudur:

  1. Kullanıcı şifreli bir web sitesine gitmek ister.
  2. FortiGate bu isteği yakalar, hedef site ile kendi arasında şifreli bir bağlantı kurar.
  3. FortiGate, trafiği tarar (Antivirus, Web Filter, IPS vb. ile).
  4. Ardından FortiGate, kendi üzerindeki CA (Sertifika Yetkilisi) sertifikasını kullanarak web sitesi adına anlık sahte bir sertifika üretir ve bunu kullanıcıya sunar.
  5. Eğer kullanıcının bilgisayarı FortiGate’in bu CA sertifikasına güvenmiyorsa, tarayıcıda kırmızı ekranlı sertifika hatası (NET::ERR_CERT_AUTHORITY_INVALID) belirir.

2. FortiGate CA Sertifikasını İndirme

Sertifika hatasını önlemek için öncelikle FortiGate üzerindeki kök sertifikayı indirmeli ve bilgisayarlara yüklemeliyiz.

  1. FortiGate arayüzünde System > Certificates sayfasına gidin.
  2. Fortinet_CA_SSL (veya kendi oluşturduğunuz özel CA) sertifikasını seçin.
  3. Üst menüden Download butonuna tıklayarak sertifikayı bilgisayarınıza .cer formatında kaydedin.

3. CA Sertifikasının Active Directory GPO ile Dağıtılması

Şirket ağındaki yüzlerce bilgisayara bu sertifikayı tek tek yüklemek yerine Active Directory Group Policy (GPO) kullanarak tek seferde dağıtabiliriz.

  1. Domain Controller sunucunuzda Group Policy Management konsolunu açın.
  2. Tüm kullanıcılara veya ilgili OU’ya (Organizational Unit) uygulanacak yeni bir GPO oluşturun (Örn: GPO_FortiGate_CA_Deploy).
  3. GPO’ya sağ tıklayıp Edit deyin ve şu yolu takip edin: Computer Configuration > Policies > Windows Settings > Security Settings > Public Key Policies > Trusted Root Certification Authorities
  4. Sağ tıklayıp Import seçeneğini seçin.
  5. FortiGate’den indirdiğiniz .cer uzantılı sertifika dosyasını gösterip sihirbazı tamamlayın.
  6. Bilgisayarlar bir sonraki başlangıçta veya gpupdate /force komutu çalıştırıldığında bu sertifikayı otomatik olarak “Güvenilir Kök Sertifika Yetkilileri” arasına ekleyecektir.

4. Web Arayüzü (GUI) ile SSL Deep Inspection Yapılandırması

Sertifika dağıtımını yaptıktan sonra FortiGate tarafında analiz profilini etkinleştirebiliriz.

  1. Security Profiles > SSL/SSH Inspection sayfasına gidin.
  2. deep-inspection hazır profilini seçip düzenleyin veya yeni bir profil oluşturun.
  3. Aşağıdaki parametreleri ayarlayın:
    • CA Certificate: Fortinet_CA_SSL (Kullanıcılara dağıttığımız sertifika ile aynı olmalıdır)
    • Inspection Method: Deep Inspection
    • Exempt from SSL Inspection (Hariç Tutulacaklar): Finans, bankacılık ve sağlık siteleri gibi kişisel verilerin geçtiği veya sertifika sabitlemesi (Certificate Pinning) kullanan uygulamaları (Örn: Dropbox, OneDrive) bu taramadan hariç tutmalısınız. FortiGate’in hazır kategorilerini (Finance and Banking, Health) seçerek muafiyet listesine ekleyin.
  4. Apply diyerek profili kaydedin.

5. Güvenlik Duvarı Politikasına (Firewall Policy) Uygulama

Oluşturduğumuz SSL Deep Inspection profilini, kullanıcılarımızın internet çıkış kuralına uygulamamız gerekir:

  1. Policy & Objects > Firewall Policy sayfasına gidin ve internet kuralınızı düzenleyin.
  2. Aşağı kaydırarak Security Profiles bölümünü aktif edin.
  3. SSL Inspection alanında oluşturduğunuz veya düzenlediğiniz deep-inspection profilini seçin.
  4. Aynı kuralda Antivirus, Web Filter ve Application Control gibi güvenlik profillerini de aktif edin (Derin paket analizi olmadan bu filtrelerin gücü sınırlı kalacaktır).
  5. OK butonuna basarak kuralı güncelleyin.
config firewall policy
    edit 10
        set ssl-ssh-profile "deep-inspection"
        set av-profile "default"
        set webfilter-profile "default"
    next
end

6. Sorun Giderme (Troubleshooting)

SSL Deep Inspection devreye alındığında bazı uygulamalarda bağlantı sorunları yaşanabilir. Bu durumlarda:

  • Logları İnceleyin: Log & Report > Forward Traffic altından bloke olan veya sertifika hatası veren trafiği bulun. Hangi domain adresinin hata verdiğini tespit edin.
  • Muafiyet (Exemption) Listesi Oluşturma: Hata veren uygulamaların domain adreslerini (örn: *.microsoft.com, *.google.com) Security Profiles > SSL/SSH Inspection profilindeki Exempt from SSL Inspection bölümüne “Address” olarak ekleyin.

Sertifika dağıtımı ve derin analiz süreçlerinde yaşadığınız sorunları yorumlar bölümünde tartışabiliriz. Güvenli günler dilerim!