Merhaba arkadaşlar, ben Cem Zengin.

Siber güvenlik mimarisinde sıklıkla tercih edilen Palo Alto Networks Next-Generation Firewall (NGFW) cihazları üzerinde, kullanıcıların kurumsal ağa uzaktan güvenli bir şekilde bağlanmasını sağlayan SSL VPN teknolojisi GlobalProtect olarak adlandırılır. GlobalProtect, sadece şifreli tünel sunmakla kalmaz; aynı zamanda uç nokta cihazların güvenlik durumunu (Host Information Profile - HIP) da denetleme yeteneğine sahiptir.

Bu yazıda, Palo Alto firewall arayüzü (Web GUI) üzerinden sıfırdan adım adım GlobalProtect SSL VPN kurulum adımlarını ele alacağız.

1. GlobalProtect Bileşenleri Nelerdir?

Yapılandırmaya başlamadan önce GlobalProtect’in iki temel mantıksal bileşenini anlamak gerekir:

  1. GlobalProtect Portal: Kullanıcıların ilk bağlandığı, kimlik doğrulaması yaptığı, en güncel VPN yazılımını indirdiği ve ağ geçitlerinin (Gateway) listesini aldığı karşılama arayüzüdür.
  2. GlobalProtect Gateway: Kullanıcılar ile firewall arasında şifreli IPSec/SSL tünelinin (Tunnel Interface) fiilen kurulduğu ve ağ trafiğinin aktığı uç noktadır.

2. Hazırlık Adımları: Arayüz ve IP Havuzlarının Tanımlanması

Kuruluma başlamadan önce tünel arayüzünü ve kullanıcılara dağıtılacak IP adres havuzunu hazırlayalım.

  1. Network > Interfaces > Tunnel sayfasına gidin.
  2. Add butonuna tıklayarak yeni bir tünel arayüzü oluşturun (Örn: tunnel.1).
    • Virtual Router: default (Cihazınızda çalışan aktif sanal yönlendiriciyi seçin)
    • Security Zone: VPN-Zone adında yeni bir katman (Zone) oluşturarak buraya atayın.
  3. Device > Local User Database > Users sayfasına gidin ve test amaçlı lokal bir kullanıcı oluşturun (Örn Kullanıcı: gpuser, Şifre: CokGucluVpn123).

3. SSL Sertifikası Oluşturma (CA & Device Certificate)

Kullanıcıların SSL VPN portalına bağlanırken sertifika uyarısı almaması veya güvenli bağlantı kurabilmesi için firewall üzerinde bir kök CA (Certificate Authority) sertifikası ve bunun tarafından imzalanmış bir cihaz sertifikası oluşturmalıyız.

  1. Device > Certificate Management > Certificates sayfasına gidin.
  2. Alt kısımdan Generate butonuna tıklayın:
    • Name: GP-Root-CA
    • Common Name: GP-Root-CA
    • Certificate Authority: Bu kutucuğu işaretleyin (aktif edin).
  3. Tekrar Generate deyin (Bu sefer cihaz sertifikasını oluşturacağız):
    • Name: GP-Device-Cert
    • Common Name: Dış bacak (WAN) IP adresinizi veya çözülebilir alan adınızı yazın (Örn: vpn.sirket.com.tr veya 85.90.95.10)
    • Signed By: GP-Root-CA (Az önce oluşturduğumuz kök CA sertifikasını seçin)
    • Certificate Authority: Bu kutucuğu işaretlemeyin (boş bırakın).
  4. Device > Certificate Management > SSL/TLS Service Profile sayfasına gidin.
    • Add deyin, isim verin ve oluşturduğumuz GP-Device-Cert sertifikasını bu profil ile eşleştirin.

4. GlobalProtect Portal Yapılandırması

Kullanıcılarımızın web üzerinden bağlanıp ayarlarını alacağı arayüzü tasarlayalım:

  1. Network > GlobalProtect > Portals sayfasına gidin ve Add butonuna tıklayın.
  2. General Tab:
    • Name: GP-Portal
    • Interface: ethernet1/1 (WAN arayüzünüz)
    • IP Address: WAN portunuzun IP adresi.
  3. Authentication Tab:
    • SSL/TLS Service Profile: Adım 3’te oluşturduğumuz SSL profilini seçin.
    • Client Authentication: Add diyerek kimlik doğrulama profili ekleyin (Örn: Local Database Authentication Profile).
  4. Agent Tab:
    • Configs: Add butonuna basarak yeni bir yapılandırma ekleyin.
    • External Gateway: Bu bölüme giderek portalın kullanıcıyı yönlendireceği Gateway IP/FQDN bilgisini ekleyin (Örn: vpn.sirket.com.tr veya WAN IP’niz).

5. GlobalProtect Gateway Yapılandırması

Tünel bağlantısının sonlandırılacağı ağ geçidini tanımlıyoruz:

  1. Network > GlobalProtect > Gateways sayfasına gidin ve Add deyin.
  2. General Tab:
    • Name: GP-Gateway
    • Interface: ethernet1/1 (WAN arayüzü)
    • IP Address: WAN IP adresiniz.
  3. Authentication Tab:
    • SSL profilinizi ve kimlik doğrulama profilinizi (Portal ile aynı) seçin.
  4. Agent Tab:
    • Tunnel Settings: Tunnel Mode kutucuğunu işaretleyin ve oluşturduğumuz tunnel.1 arayüzünü seçin.
    • Client IP Pool: Dışarıdan bağlanan VPN kullanıcılarına verilecek IP blok aralığını tanımlayın (Örn: 172.16.100.10 - 172.16.100.100).
    • Access Route: Kullanıcılara hangi lokal ağlara (LAN) erişeceklerinin bilgisini verin (Örn: 192.168.10.0/24 yerel ağınız). Eğer Split-Tunnel yapmayıp tüm internet trafiğini Palo Alto üzerinden geçirecekseniz buraya 0.0.0.0/0 yazmalısınız.

6. Güvenlik Politikaları (Security Policy) ve NAT Tanımlamaları

Son adımda, VPN zonundan gelen kullanıcıların yerel ağdaki sunuculara veya internete erişebilmesi için gerekli kuralları tanımlamalıyız.

  1. Policies > Security sayfasına gidin ve Add deyin:
    • Name: VPN-to-LAN-Access
    • Source Zone: VPN-Zone (tunnel.1’i atadığımız katman)
    • Destination Zone: LAN-Zone (İç sunucuların olduğu katman)
    • Source Address: Any (veya VPN IP Havuzu)
    • Destination Address: 192.168.10.0/24 (Lokal ağımız)
    • Action: Allow
  2. Değişikliklerin devreye girmesi için sağ üst köşedeki Commit butonuna basarak yapılandırmayı kaydedin.

7. Bağlantı Testi ve İzleme

İstemci bilgisayarınızda bir tarayıcı açıp https://vpn.sirket.com.tr (veya WAN IP’niz) adresine gidin. Karşınıza gelen kimlik doğrulama ekranına kullanıcı bilgilerinizi yazın. Başarılı doğrulamadan sonra işletim sisteminize uygun (Windows/Mac) GlobalProtect Agent yazılımını indirip kurun. Kurulan programda portal adresini yazıp tekrar oturum açtığınızda tünel kurulacak ve güvenli erişiminiz başlayacaktır.

İzleme ve Hata Ayıklama (Monitor):

Palo Alto arayüzünde Monitor > Logs > System altından VPN bağlantı loglarını anlık olarak görebilirsiniz. Ayrıca Network > GlobalProtect > Gateways sayfasına gelerek o anda kaç kullanıcının hangi IP adresleriyle bağlı olduğunu canlı izleyebilirsiniz.

Kurulum esnasında yaşadığınız sertifika veya yönlendirme hatalarını yorumlarda belirtebilirsiniz. Bir sonraki teknik yazıda görüşmek üzere!