Sophos XG Firewall ve AD Entegrasyonu
Sophos XG Firewall ve kullanıcı entegrasyonu için birden fazla yöntem bulunmakta. Bu yöntemler sırası ile “LDAP, Active Directory, RADIUS, TACACS+ ve eDirectory” Bugün ki makalemde sizlere bir Sophos XG Firewall‘ un Microsoft Active Directory ile nasıl entegre edileceğini göstereceğim.
Sophos XG veya SG donanımınız, Microsoft Active Directory ile Entegrasyon için “Sophos Transparent Authentication Suite” yani STAS olarak geçen bir ajan uygulaması kullanmaktadır. Uygulamanın amacı Microsoft Domain Controller üzerindeki Event Log Database içerisinden “Event ID 4624” eventlerini okumak ve oturum açan kullanıcının kullanıcı adı bilgisini Sophos Firewall a bildirmektir.
Resim-1
Entegrasyon işlemimize STAS Ajan yazılımını Domain Controller Üzerine indirerek başlıyoruz.
Resim-2
Sophos Firewall ‘umuzun STAS yazılımı ile haberleşebilmesi için Authentication > STAS Menüsü altından STAS Bağlantısını aktive etmemiz gerekiyor.
Resim-3
STAS Aktivasyonunu yaptıktan sonra tüm Event ID lerin okunmasını istediğimiz Domain Controllerlarımızı “Collector” olarak eklememiz gerekmekte. Burada önemli olan tüm STAS Ajanlarımızı aynı “Collector Group” altında toplamamız gerekmekte. Ancak Domain Controllerlar arası Failover veya Load Balance yapılandırmanız var ise bu sefer “New Group” seçeneği ile grupları ayırmalıyız.
Resim-4
Son ekranımız aşağıdaki şekilde olacaktır.
Resim-5
Kimlik doğrulaması yapılmasını istediğimiz Zone ları Administration > Device Access menüsü altından seçmeliyiz.
Resim-6
Domain Controller sunucumuzu Authentication Source olarak eklememiz gerekmekte. Bu işlemi ise Authentication > Servers sekmesinden gerçekleştiriyoruz.
Resim-7
İlgili yapılandırmayı resimdeki şekilde yapıyoruz. Bu bölümde sağlayacağımız kullanıcı bilgisi, domain üzerinde Read hakkı olan herhangi bir kullanıcı olabilir. Yönetici yetkilerine sahip olan bir kullanıcı olmak zorunda değildir. Yapılandırma tamamlandıktan sonra alt kısımda bulunan Test Connection butonu ile bağlantınızı test etmenizde fayda bulunmaktadır.
Resim-8
Sunucu ekleme işlemimiz bittikten sonra yönetim gruplarımızı Sophos üzerine aktarmamız gerekiyor.
Resim-9
Açılan Import Group Wizard üzerinden aşama aşama ilgili grupları içeriye alıyoruz.
Resim-10
Daha önce eklemiş olduğumuz Domain Sunucumuzu seçerek devam ediyoruz.
Resim-11
Seçiminizi yaparken sadece grupları almaya özen göstermelisiniz.
Resim-12
Seçtiğimiz gruplar için ön tanımlı politika belirleyebiliriz.
Resim-13
Yapılandırma özetini görüntüledikten sonra OK butonu ile Sophos üzerindeki yapılandırmamızı tamamlıyoruz.
Resim-14
Authentication > Groups menüsü altından ilgili gruplarımızı görüntüleyebiliriz.
Resim-15
İlk aşamada indirmiş olduğumuz STAS yazılımını Her Domain Controller üzerinde ayrı ayrı kurmalı ve yapılandırmalıyız. Kurulumu çalıştırarak Next butonu ile ilerliyoruz.
Resim-16
Kurulum dosya yolunu belirterek Next butonu ile ilerliyoruz.
Resim-17
Uygulama kısayolumuz için bir isim belirleyerek Next butonu ile ilerliyoruz.
Resim-18
Uygulama kısayolları için seçim yaparak Next butonu ile ilerliyoruz
Resim-19
Kurulum işlemine Install butonu ile başlıyoruz.
Resim-20
STAS yazılımının ne şekilde çalışmasını istiyorsak ona uygun seçiminizi yapıyoruz.
Resim-21
STAS Servisinin çalışması için Log on As a Service yetkisine sahip kullanıcı bilgilerini giriyoruz.
Resim-22
STAS kurulumunu tamamlamak için Finish butonuna basıyoruz.
Resim-23
Start > Run > Services.msc ile erişeceğimiz servisler konsolundan STAS servisine Log on As a Service yetkisinin doğru olarak tanımlanması için girmiş olduğumuz kullanıcı parolasını yenilememiz gerekmektedir.
Resim-24
Start > Run > Secpol.msc ile erişeceğimiz Yerel Güvenlik Yapılandırması konsolundan oturum açma Eventlerini kaydetmemiz gerekmektedir.
Resim-25
Son aşama olarak STAS Yapılandırmasına başlıyoruz. STAS yazılımını çalıştırdığımızda karşımıza gelen General sekmesinde Domainimize ait Netbios ve FQDN bilgilerini girmemiz gerekiyor.
Resim-26
STA Agent sekmesinde takip edilecek Network bilgilerinizi girmemiz gerekiyor.
Resim-27
STA Collector sekmesinde Takibi yapacak olan Sophos Firewall a ilişkin IP bilgisini yazmamız gerekiyor. Logoff Detection kısmında ise oturumu kapatılan kullanıcı hesaplarını ne şekilde takip edeceğimize ilişkin yapılandırmayı yapabiliriz.
Resim-28
Exclusion List sekmesinde oturumunun takip edilmesini istemediğimiz hesapları hariç tutacağız. Bu kısımda Service Account larınızı ve Sunucularınızı ekleyebilirsiniz.
STAS Servisini Start ettiğimizde oturum açan kullanıcıların hem STAS > Advanced > Show Live Users altında hem de Sophos > Current Activities > Live Users altında göründüğünü fark edebilir ve bu noktadan sonra Firewall kurallarınızda ve Web/Application filtrelerinizde rahatlıkla kullanabilirsiniz.
Resim-29
STAS Servisini Start ettiğimizde oturum açan kullanıcıların STAS > Advanced > Show Live Users görünümü.
Resim-30
STAS Servisini Start ettiğimizde oturum açan kullanıcıların Sophos > Current Activities > Live Users görünümü.
Resim-31
Kullanıcının Firewall Erişim Kuralı içerisinde örnek kullanımı.