امن‌سازی دسترسی مدیریتی FortiGate؛ اشتباهاتی که نباید انجام داد

پاسخ کوتاه: دسترسی مدیریتی FortiGate باید فقط از مسیرهای مشخص، کاربران مشخص و با لاگ قابل بررسی انجام شود. اگر پنل مدیریت روی اینترنت باز باشد، حتی با رمز قوی هم ریسک غیرضروری به شبکه اضافه می‌شود.

در خیلی از شبکه‌ها خود فایروال از سرورها مهم‌تر است؛ چون مسیر ترافیک، VPN، NAT، Policy و لاگ‌های امنیتی از آن عبور می‌کند. به همین دلیل امن‌سازی دسترسی مدیریتی FortiGate یک کار تزئینی نیست؛ بخشی از hardening پایه فایروال است.

چرا دسترسی مدیریتی FortiGate حساس است؟

حساب مدیریتی FortiGate می‌تواند Policy را تغییر دهد، مسیرها را دستکاری کند، VPN بسازد، لاگ‌ها را پاک کند یا ترافیک را از مسیر دیگری عبور دهد. اگر این دسترسی درست محدود نشود، مهاجم لازم نیست حتماً به سرورها برسد؛ کنترل فایروال برای ایجاد اختلال یا ماندگاری کافی است.

علت‌های رایج ناامن بودن پنل مدیریت FortiGate چیست؟

• باز بودن HTTPS یا SSH مدیریت روی WAN بدون محدودیت IP
• استفاده مشترک چند نفر از یک حساب admin
• فعال نبودن MFA برای مدیران
• نبودن trusted hosts برای حساب‌های حساس
• روشن بودن Telnet، HTTP یا سرویس‌های مدیریتی غیرضروری
• بررسی نشدن لاگ‌های ورود موفق و ناموفق
• استفاده از نام‌های پیش‌فرض و رمزهای قدیمی در حساب‌ها

چک‌لیست سریع امن‌سازی دسترسی مدیریتی FortiGate

• Management Access را فقط روی Interfaceهای واقعاً لازم فعال کنید.
• برای دسترسی از اینترنت، اولویت با VPN مدیریتی است؛ نه باز گذاشتن مستقیم پنل روی WAN.
• برای هر مدیر یک حساب جداگانه بسازید و حساب مشترک را حذف یا محدود کنید.
• برای ادمین‌ها trusted hosts تعریف کنید تا ورود فقط از IP یا subnet مشخص ممکن باشد.
• MFA را برای حساب‌های مدیریتی فعال کنید.
• HTTP و Telnet را خاموش کنید و تا جای ممکن از HTTPS و SSH با محدودیت منبع استفاده کنید.
• Administrative timeout را منطقی تنظیم کنید تا نشست‌های مدیریتی باز نمانند.
• لاگ ورود مدیران، تغییرات configuration و تلاش‌های ناموفق را به‌صورت دوره‌ای بررسی کنید.

روش بررسی در FortiGate چگونه است؟

از مسیرهای مدیریتی شروع کنید. روی هر Interface ببینید چه سرویس‌هایی برای Administrative Access فعال است. اگر HTTPS یا SSH روی WAN روشن است، بررسی کنید منبع دسترسی محدود شده یا نه. بعد سراغ حساب‌های مدیر بروید: نقش هر حساب، فعال بودن MFA، trusted hosts و آخرین زمان استفاده را بررسی کنید.

در مرحله بعد لاگ‌ها را ببینید. اگر لاگ ورود ناموفق زیاد دارید، اگر ورود از کشورها یا IPهای نامرتبط دیده می‌شود، یا اگر چند نفر با یک حساب مشترک وارد می‌شوند، مشکل فقط فنی نیست؛ فرآیند مدیریت دسترسی هم باید اصلاح شود.

اشتباهات رایج در hardening مدیریت FortiGate

• تکیه روی تغییر پورت: تغییر پورت می‌تواند اسکن‌های ساده را کم کند، اما جای محدودسازی IP و MFA را نمی‌گیرد.
• باز گذاشتن پنل برای راحتی: دسترسی راحت امروز، در حادثه امنیتی فردا هزینه‌ساز می‌شود.
• حساب مشترک بین چند مدیر: وقتی همه با یک حساب وارد می‌شوند، تشخیص مسئول تغییرات سخت می‌شود.
• بی‌توجهی به لاگ: اگر لاگ ورود و تغییرات بررسی نشود، حتی تنظیمات خوب هم دیر اثر خود را نشان می‌دهد.

یک الگوی عملی برای شبکه سازمانی

برای بیشتر سازمان‌ها، الگوی قابل دفاع این است: دسترسی مستقیم مدیریت از اینترنت بسته باشد، مدیران از طریق VPN یا شبکه مدیریتی وارد شوند، حساب‌ها شخصی و دارای MFA باشند، trusted hosts روی حساب‌های حساس تنظیم شود و لاگ‌ها به یک مسیر قابل نگهداری ارسال شوند. این الگو ساده است، اما جلوی بخش بزرگی از خطاهای رایج را می‌گیرد.

مطالب و خدمات مرتبط

• آموزش و مفاهیم FortiGate
• مشاوره و عیب‌یابی FortiGate
• کنترل دسترسی‌های مدیریتی
• پیکربندی امن تجهیزات شبکه
• درباره علیرضا عربیان

Glossary کوتاه

• Trusted Hosts: محدود کردن ورود مدیر به IP یا subnet مشخص.
• MFA: احراز هویت چندمرحله‌ای برای کاهش ریسک سرقت رمز.
• Management Plane: بخشی از تجهیز که برای مدیریت، ورود و تغییر تنظیمات استفاده می‌شود.
• Administrative Access: سرویس‌هایی مثل HTTPS، SSH یا Ping که روی Interface برای مدیریت فعال می‌شوند.

جمع‌بندی عملی

اگر فقط یک کار برای امن‌سازی FortiGate انجام می‌دهید، دسترسی مدیریتی را از حالت عمومی خارج کنید. بعد حساب‌ها را شخصی کنید، MFA و trusted hosts را فعال کنید و لاگ ورود مدیران را زیر نظر بگیرید. این چند قدم ساده، سطح حمله فایروال را به شکل محسوسی کمتر می‌کند.

نویسنده: علیرضا عربیان، فعال در حوزه شبکه، امنیت شبکه و پیاده‌سازی تجهیزات Fortinet، Cisco، Juniper و F5.