Sophos Red Standard Unified Mode Kurulumu
Merhabalar,
Bir önceki makalemde Sophos RED üniteleri ile ilgili genel bir paylaşım yaptığım için tekrardan bu makalemde RED ünitelerinin genel mimarisine değinmeyeceğim. Eğer bir önceki makalemi okumadıysanız aşağıdaki linki kullanarak erişim sağlayabilirsiniz.
https://www.firatmeray.com/sophos-xg-firewall-red-remote-ethernet-device-nedir/
Bu makalemde sizlerle Sophos Red (Standard/Unified) Çalışma Modunu detaylı inceliyor olacağız.
Yapımız gereği Şube Networkümüzün Default Gatewayi Sophos RED 50 cihazı olacak yani Redin arkasındaki Network(192.168.2.0/24) trafiğini Merkezde bulunan Sophos XG Firewall üzerine yönlendiriyor olacak böylelikle Red cihazının bulunduğu lokasyon Merkez üzerinden internete çıkacak. Bu yapının Sophos Red Standard\Unified Mode (Bridge Network) den farklı Şube ile Merkez farklı NetworkBloklarına sahip olmasıdır.
Bu yapıda Şubemiz Merkez üzerinden internete çıkacağı için URL\APP Filtering ve Loglama yapabiliriz..
RED cihazını aktif edebilmek için RED ID ve Unlock Code bilgisine sahip olmamız gerekmektedir.
Sophos XG Firewall ünitemize ilk defa RED yapılandırması yapıyorsak Configure\System Services\Red Configuration\Red Status durumunu ON pozisyonuna çekip gerekli alanları dolduruyoruz.
İlk defa kaydedilen RED ünitelerinin unlock code bilgisi aşağıdaki resimde yazılan mail adresine otomatik olarak iletiliyor olacaktır. Daha önceden farklı bir mail adresi üzerine kayıt edilen RED ünitesini yeni bir Sophos XG Firewall üzerine kaydetmek istiyorsanız ve elinizde unlock code bilgisi yoksa Sophos Support ekibi ile iletişime geçmeniz en hızlı ve sağlıklı yöntem olacaktır.
Eğer daha önceden yapılandırılmışsa sadece Configure\System Services\Red Configuration\Red Status durumunu ON pozisyonuna çekmemiz yeterli olacaktır.
Sophosun genel Zone mimarisi içerisinde oluşturacağımız bölgeler için Ankara, Eskişehir vs gibi Zone tanımlaması yapmalısınız. Böylelikle çalışabilirlik açısından düzgün bir yönetime sahip olabilirsiniz.
Configure\Network\Zones\Add diyerek Red cihazının tanımlanacağı Zone alanını oluşturalım
Red50 cihazını kargolayacağımız lokasyon Ankarada olduğu için ve tek bir şubem olduğu için Red_Ankara diye bir tanımlama yapıyoruz. Ankarada birden çok şubem olsaydı Red_Ankara_Kızılay şeklinde tanımlamalar yapıyor olacaktım.
Red cihazının Sophos XG üzerindeki servis erişimlerini açıyoruz ve yaptığımız ayarları kaydediyoruz.
Oluşturmuş olduğumuz Zone görüntüsü aşağıdaki gibi olacaktır.
Şubemiz için Zone tanımlaması yaptıktan sonra Configure\Network\Interfaces\Add interface\Add RED diyerek Virtual İnterface oluşturuyoruz.
RED ID: Red ünitesinin altında yazan bilgileri yazıyoruz.
Unlock Code: ilk kurulumdan sonra sistem tarafından otomatik olarak oluşturulur ve ünitenin kayıtlı olduğu mail adresine mail yolu ile iletilir.
Firewall IP/hostname alanına Merkez Sophos XG firewall ünitemizin Public IP adresini yazıyoruz.
Eğer Merkezde yedek internet devreniz varsa Failover yada Load balancing bir bağlantı sağlamak istiyorsanız 2n firewall IP/hostname alanına yedek hattınızın Public IP adresini yazmalısınız.
Çoklu şubeli yapılarda RED cihazlarını şubelere kargolayacağımız için Uplink Connection tipini DHCP de bırakmanızı öneriyorum.
Burada en önemli nokta Zone olarak bölgemiz için tanımladığımız Zone(Red_Ankara) alanını seçiyoruz.
Çalışma modu olarak Standard/Unifiedı seçtikten sonra Red cihazımıza Local Gateway IP adresi tanımlayıp Red cihazı üzerinde DHCP Pool yaratıp ayarlarımızı kaydediyoruz.
Tunnel compression işaretlerseniz tünelden geçecek veriler sıkıştırılıp gönderilecektir.
RED ünitemizin WAN1 veya 2 Uplink Portuna Şube Modem\Firewalldan bir kablo taktığımızdan otomatik ip aldığını aşağıdaki ekrandan görebiliriz.
Zone alanına Red_Ankara altına eklediğimiz sanal interface ara yüzümüzün tanımladığını görebilirsiniz.
Sıra geldi kural yazma aşamasına. Basic olarak Lan to Red, Red to Lan ve Red to Wan kurallarımızı yazarak Red_Ankara lokasyonu için erişimleri açalım.
Lan to Red
Red to Lan
Red to Wan
Yazdığımız kuralı internete natlamak için “Rewrite source adress(masquerading)” alanını işareledikten sonra “Use outbound address” alanından default MASQ’yu ve Primary ISP devremizi seçiyoruz.
Yazdığımız kurallardan sonra Rule setimiz aşağıdaki gibi olacaktır.
Yaptığımız bütün ayarlardan sonra Şubemize konumlandırdığımız Red ünitemize bağlı cihazlar Merkez üzerinden çıkıyor olacak.
Public IP kontrolü yaptığımızda Merkez internetimizin IP adresini görüyor olacağız
RED 50 ünitesi üzerinde 2 Wan Portu olduğu için hangi Porta takarsanız ekranda o port ile ilgili bilgi görünecektir.
Not: Bütün ayardan sonra Sophos RED ünitelerinizin güncellemelerini yapmayı unutmayınız.
Not 2: Eğer Sophos XG Firewall Vmware üzerinde çalışıyorsa “Promiscuous Mode” enable edilmelidir.
Umarım sizler için faydalı bir paylaşım olmuştur.
Fırat Meray | Network and Information Security Specialist
Bro ellerine sağlik