Bu yazımızda FortiGate cihazlarında IP-MAC Binding işleminin nasıl yapılacağını adım adım anlatacağız. Bu işlem, belirli bir IP adresine sadece belirli bir MAC adresinin erişmesine izin verilmesini sağlar. Böylece ağ güvenliğiniz bir seviye daha artar. Tüm işlemler terminal (CLI) üzerinden yapılacaktır.
1. IP-MAC Binding Kullanılacak Interface’i Aktif Etme
İlk adımda, binding işlemini uygulamak istediğiniz ağ arabiriminde bu özelliği aktif hale getirmeniz gerekir.
1 2 3 4 | config system interface edit internal # (Burada 'internal' yerine ilgili arayüz ismini yazın) set ipmac enable end |
2. IP-MAC Binding Ayarlarını Yapılandırma
Bu adımda, firewall üzerinden geçiş yapan trafiğe IP-MAC kontrolü uygulanacak şekilde ayarlar yapılır.
1 2 3 4 5 | config firewall ipmacbinding setting set bindthroughfw enable # Firewall'dan geçen trafik için IP-MAC kontrolü set bindtofw enable # Firewall'a erişen trafik için IP-MAC kontrolü set undefinedhost allow # Tanımlanmamış istemcilere izin ver (opsiyonel) end |
3. IP-MAC Binding Tablosu Oluşturma
Son olarak hangi IP ile hangi MAC adresinin eşleşeceğini belirtmeniz gerekir. Bu eşleştirmeleri tablo olarak tanımlayabilirsiniz.
1 2 3 4 5 6 7 | config firewall ipmacbinding table edit 1 set ip 192.168.1.2 set mac 00:10:F3:04:7A:4C set name exchange_server_pc_adi set status enable end |
Her cihaz için farklı edit numaraları ile ayrı tanımlar yapılabilir.
Dikkat Edilmesi Gerekenler
MAC adresleri benzersizdir: Tanımladığınız her IP için doğru ve o cihaza ait MAC adresini yazmalısınız. Aksi takdirde bağlantı engellenir.
DHCP kullanımında dikkatli olun: Eğer cihazlarınıza IP’ler DHCP ile atanıyorsa, bu IP’lerin sabitlenmesi (Static DHCP veya IP reservation) tavsiye edilir. Aksi halde binding uyumsuzlukları yaşanabilir.
Tanımsız cihazlara izin veriliyorsa (undefinedhost allow): Bu ayar güvenlik açısından zafiyet yaratabilir. Yalnızca test ortamlarında kullanılması önerilir. Gerçek ortamda
set undefinedhost denykullanarak bilinmeyen cihazları engellemek daha güvenlidir.Firewall kurallarını gözden geçirin: IP-MAC binding tanımlansa bile, doğru şekilde yapılandırılmamış firewall kuralları bu eşleştirmenin etkisiz kalmasına neden olabilir.
Yedek alın: Yapılandırma öncesinde sistem yedeği alınması, olası hatalarda geri dönüş açısından önemlidir.
Logları takip edin: IP-MAC uyuşmazlıkları ve erişim hataları loglarda detaylı olarak görülebilir. Sorun yaşarsanız
log & reportbölümünden kontrolleri yapabilirsiniz.
Sonuç:
Bu üç adımı tamamladıktan sonra FortiGate cihazınızda IP-MAC Binding aktif hale gelecektir. Bu yöntemle sadece tanımladığınız cihazlar ağınıza bağlanabilir ve firewall’dan geçebilir. Bu da hem ağ güvenliğini artırır hem de istenmeyen bağlantıların önüne geçmenizi sağlar.
