Fortigate üzerinde SSL-VPN servisini kullanıldığında kullanıcı adı ve şifre doğrulamaya ek olarak bağlantı yapılan cihazlar üzerinde ek kontroller yapılabilir.
Yapılabilecek kontroller:
- İşletim sistemi kontrolü: Belli bir versiyondan düşük olan işletim sistemlerinin SSL-VPN bağlantısı yapması engellenebilir. Örneğin sadece Windows 10 ve Windows 11 bağlanabilsin.
- Anti virüs yazılımı kontrolü: Anti virüs yazılımı olmayan cihazların bağlantısı engellenebilir. Duruma göre yazılımın üretici bilgisi de kontrol edilebilir.
- Registry değer kontrolü: Mevcutta olan veya manuel eklenecek özel bir registry değeri kontrol edilerek SSL-VPN bağlantısına izin verilebilir.
- Dosya kontrolü: Herhangi bir dizinde belirlenecek bir dosyanın varlığı kontrol edilebilir. Dosya içeriği kontrol edilemez.
- Servis/Uygulama kontrolü: Bir servisin veya uygulamanın çalışma durumu kontrol edilebilir
Aşağıdaki örnek ayar ile bağlantı yapan cihazın hem domainde olduğu hem de test.txt dosyasının olup olmadığının kontrolü yapılabilir. Cihaz domainde değilse veya test.txt yoksa SSL-VPN bağlantısı başarısız olacaktır. Bağlantının başarılı olabilmesi için iki kontrolünde aynı anda başarılı olması gerekmektedir.
config vpn ssl web host-check-software
edit "TEST_HOSTCHECK"
config check-item-list
edit 1
set type registry
set target "HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Tcpip\\Parameters:Domain==netsys.local"
next
edit 2
set target "C:\\Users\\onder\\Desktop\\test.txt"
set md5s "e10adc3949ba59abbe56e057f20f883e" > Dosyanın MD5 hash değeri buraya eklenir
next
end
next
end
config vpn ssl web portal
edit "full-access"
set tunnel-mode enable
set ip-pools "SSLVPN_TUNNEL_ADDR1"
set split-tunneling-routing-address "10.0.0.0/8"
set host-check custom
set host-check-policy "TEST_ HOSTCHECK "
next
end
This Post Has 0 Comments