Sophos XG Firewall Active Directory (STAS) Entegrasyonu

Merhabalar,

Bu makalemizde Sophos XG Firewall üzerinde Active Directory entegrasyonunu anlatıyoruz olacağım.

Kullanıcılara özel politikalar yazmak, kullanıcı hareketlerini loğlarda izleyebilmek yada SSL VPN bağlantısı ile ofisimize eriştirmek istersek Active Directory entegrasyonu yapmalıyız.

AD yapısı olmadığını Workgroup çalışan ofislerde MAC/IP Mapping yaparak kullanıcıların Static IP alması sağlanabilir. Böylelikle oluşturacağımız objelerden kullanıcılar yakalanabilir ve özel kurallar yazabilirsiniz.

AD entegrasyonu sağlamak için Domain Admin yetkisine sahip kullanıcı kullanıcı yaratılabilir. Domain Admin vermeyen kurumlar için Manage Auditing and Security Log, Event Log Readers ve Log on as a service hakkında sahip kullanıcı ile entegrasyon sağlanabilir. Böylelikle oluşturacağımız kullanıcı login bilgisini okuyabiliyor olacaktır. Bu işlemi yapmak için ilk olarak bu makaledeki gibi STAS yazılımımızı kurarken sophosad kullanıcısı Domain Admin hakkına sahip olmalıdır çünkü yazılım yüklendiği sırada arka planda Registry kayıtları atmakla birlikte C:\ sürücünü altına yazılımın barınacağı klasörü yüklemektedir. Bu yüzden ilk admin hakkı ile kurup bütün işlemler bittikten sonra admin hakkını alabiliriz. Böylelikle sophosad admin hakkuna sahip olmadan logları toplayabilecek ve servisi çalıştırıyor olacaktır. Bu konu hakkında detaylı bilgiye aşağıdaki linkten ulaşabilirsiniz;

https://firatmeray.com/sophos-xg-firewall-active-directory-admin-hakki-olmadan-stas-yapilandirmasi/

Biz bu makalemizde Domain Admin örneğimizle ilerliyor olacağız ilk olarak sophosad adında bir kullanıcı yaratıp Domain Admin hakkı veriyoruz.

Sophos XG Firewall, Sophos XG Active Directory, Sophos Active Directory ADC, fırat meray
Sophos XG Firewall, Sophos XG Active Directory, Sophos Active Directory ADC, fırat meray

Sophos XG kullanıcı bilgilerini Logon hareketlerinden yakalamaktadır. Bu işlem için GPO\Default Domain Policy\Audit Policy alanından başarılı ve başarısız loğlarımızı açıyoruz.

Sophos XG Firewall, Sophos XG Active Directory, Sophos Active Directory ADC, fırat meray

Aynı ayarları Domain Controller sunucularının kullandığı Default Domain Controllers Policy ayarlarınıda uygulamamız gerekiyor.

Eğer sunucularınız 2008r2 öncesiyle Local Policies alanından, 2008r2 ve sonrası ise Adcanved Audit Policy Configuration alanından loğları açmanız yeterli olacaktır.

Sophos XG Firewall, Sophos XG Active Directory, Sophos Active Directory ADC, fırat meray
Sophos XG Firewall, Sophos XG Active Directory, Sophos Active Directory ADC, fırat meray

Oluşturduğumuz kullanıcı agent çalıştırma yetkisine sahip olacağı için Log on as a service hakkı veriyoruz.

Sophos XG Firewall, Sophos XG Active Directory, Sophos Active Directory ADC, fırat meray

STAS ile kurulum yapacağımız için Configure\Authentication\Client Downloads alanından STAS .exe indirip Domain Controller üzerine kurulum yapıyoruz.

Sophos XG Firewall, Sophos XG Active Directory, Sophos Active Directory ADC, fırat meray
Sophos XG Firewall, Sophos XG Active Directory, Sophos Active Directory ADC, fırat meray
Sophos XG Firewall, Sophos XG Active Directory, Sophos Active Directory ADC, fırat meray

Oluşturduğumuz kullanıcıyı STAS exe kurulumunda tanımlıyoruz.

Sophos XG Firewall, Sophos XG Active Directory, Sophos Active Directory ADC, fırat meray

Uygulamayı kurduktan sonra çalışma dışı saat içerisindeyseniz ve sistemi etkilemeyecekse sistemi yeniden başlatmakta fayda var.

Sophos XG Firewall, Sophos XG Active Directory, Sophos Active Directory ADC, fırat meray

DC açıldıktan sonra hizmetler kısmından STAS servisine oluşturduğumuz kullanıcıyı tanımlıyoruz.

Bu işlem ile artık bu hizmet sophosad tarafından başlatılacak.

Sophos XG Firewall, Sophos XG Active Directory, Sophos Active Directory ADC, fırat meray
Sophos XG Firewall, Sophos XG Active Directory, Sophos Active Directory ADC, fırat meray
Sophos XG Firewall, Sophos XG Active Directory, Sophos Active Directory ADC, fırat meray
Sophos XG Firewall, Sophos XG Active Directory, Sophos Active Directory ADC, fırat meray

Servisimize NetBIOS ve FQDN adımızı tanımlıyoruz.

Sophos XG Firewall, Sophos XG Active Directory, Sophos Active Directory ADC, fırat meray

Domain Controller ip adresimizi ve dinleme yapılacak networkümüzü yazıyoruz.

Sophos XG Firewall, Sophos XG Active Directory, Sophos Active Directory ADC, fırat meray

STA Collector alanına Sophos XG Firewall Local Gateway IP Adresimizi yazıyoruz.

WPS kısmına WMI seçiyoruz. Bu ayar ile WMI loğlarından login bilgisini okuyor olacak.

Sophos XG Firewall, Sophos XG Active Directory, Sophos Active Directory ADC, fırat meray

DC tarafında ayarlarımızı bitirdikten sonra Configure\Authentication\STAS\Activate STAS diyoruz.

Sophos XG Firewall, Sophos XG Active Directory, Sophos Active Directory ADC, fırat meray

Exe kurduğumuz DC sunucuyu Sophos XG üzerine tanıtmak için Add new collector açıp sunucumuzun ip adresini yazıyoruz.

Sophos XG Firewall, Sophos XG Active Directory, Sophos Active Directory ADC, fırat meray
Sophos XG Firewall, Sophos XG Active Directory, Sophos Active Directory ADC, fırat meray

Yaptığımız ayarları kaydedip Authentication menüsüne tıklıyoruz.

Sophos XG Firewall, Sophos XG Active Directory, Sophos Active Directory ADC, fırat meray

Authentication alanında Add deyip Servers alanına DC tanımlıyoruz.

Sophos XG Firewall, Sophos XG Active Directory, Sophos Active Directory ADC, fırat meray

Bir sonraki adımda ihtiyacımız olacak NETBIOS ve FQDN isimlerimizi not ediyoruz.

Sophos XG Firewall, Sophos XG Active Directory, Sophos Active Directory ADC, fırat meray

Önemli nokta aktuelsistem.com olan domain adresimizi dc=aktuelsistem,dc=com olarak tanımlama yapıp ayarların doğruluğunu kontrol ettikten sonra kaydediyoruz.

Sophos XG Firewall, Sophos XG Active Directory, Sophos Active Directory ADC, fırat meray
Sophos XG Firewall, Sophos XG Active Directory, Sophos Active Directory ADC, fırat meray

AD kullanıcılarına ilerde SSL VPN tanımlaması yapabiliriz bu sebepten dolayı Firewall authentication methodu hariç VPN metodlarınada domainimizi aktif ediyoruz.

Sophos XG Firewall, Sophos XG Active Directory, Sophos Active Directory ADC, fırat meray
Sophos XG Firewall, Sophos XG Active Directory, Sophos Active Directory ADC, fırat meray
Sophos XG Firewall, Sophos XG Active Directory, Sophos Active Directory ADC, fırat meray

DC ile Sophos XG arasında bağlantının olup olmadığını Following Sophos Appliances alanından kontrol edebiliriz.

Eğer burada Sophos XG Güvenlik Duvarımızın ip adresini görmüyorsak %100 Windows Güvenlik Duvarı açıktır yapılması gereken işlem ya Windows Firewall kapatılacak yada 6677,5566 portlarına in/out olarak izin verilecek.

Eğer kullandığınız Antivirüs Programı Windows Firewallı eziyorsa Antivirüs Console üzerinden bu portların açılması gerekiyor.

Sophos XG Firewall, Sophos XG Active Directory, Sophos Active Directory ADC, fırat meray

Port geçişine izin verdikten sonra Sophos XG Firewall ile Windows DC arasında iletişimin başladığını görebiliriz.

Sophos XG Firewall, Sophos XG Active Directory, Sophos Active Directory ADC, fırat meray

Login olan kullanıcıları STAS\Show Live Users ve Sophos XG\MONITOR & ANALYZE\ Current activities\Live Users alanından kontrol edebiliriz.

Sophos XG Firewall, Sophos XG Active Directory, Sophos Active Directory ADC, fırat meray
Sophos XG Firewall, Sophos XG Active Directory, Sophos Active Directory ADC, fırat meray

Domain Controller üzerinde olan Grupları yada OU’ları import ederek kural setlerinde merkezileştirme yapabiliriz.

Bu işlem için Configure\Authentication\Servers alanında aktif olan sunucumuzun üzerindeki import işaretine tıklıyoruz ve Organization Unitimizi seçip Next Next diyerek ekleme yapıyoruz.

Sophos XG Firewall, Sophos XG Active Directory, Sophos Active Directory ADC, fırat meray
Sophos XG Firewall, Sophos XG Active Directory, Sophos Active Directory ADC, fırat meray
Sophos XG Firewall, Sophos XG Active Directory, Sophos Active Directory ADC, fırat meray
Sophos XG Firewall, Sophos XG Active Directory, Sophos Active Directory ADC, fırat meray
Sophos XG Firewall, Sophos XG Active Directory, Sophos Active Directory ADC, fırat meray
Sophos XG Firewall, Sophos XG Active Directory, Sophos Active Directory ADC, fırat meray
Sophos XG Firewall, Sophos XG Active Directory, Sophos Active Directory ADC, fırat meray

Sıra geldi import ettiğimiz OU için kural oluşturmaya Protect\Firewall\Add firewall rule\User/network rule alanına tıklayıp Lan to Wan ve Lan to Lan kurallarımızı ekliyoruz.

Sophos XG Firewall, Sophos XG Active Directory, Sophos Active Directory ADC, fırat meray

Lan to Wan Rule

Sophos XG Firewall, Sophos XG Active Directory, Sophos Active Directory ADC, fırat meray
Sophos XG Firewall, Sophos XG Active Directory, Sophos Active Directory ADC, fırat meray
Sophos XG Firewall, Sophos XG Active Directory, Sophos Active Directory ADC, fırat meray

Lan to Lan Rule

Sophos XG Firewall, Sophos XG Active Directory, Sophos Active Directory ADC, fırat meray
Sophos XG Firewall, Sophos XG Active Directory, Sophos Active Directory ADC, fırat meray

Firewall basic kurallarımızı yazarak makalemizi bitiriyoruz 😊

Umarım sizler için faydalı bir paylaşım olmuştur.
Fırat Meray | Network and Information Security Specialist