Sophos XG Firewall da RED Kurulum Adımları

Sophos Remote Ethernet Device (RED) mümkün olduğunca dağıtılması kolay olacak şekilde tasarlanmış küçük bir ağ cihazıdır. Ana amacı, dağıtım konumundan Sophos XG Firewall’a güvenli bir tünel sağlamaktır.

RED cihazında kullanıcı arayüzü yoktur. Sophos Güvenlik Duvarı’ndan yapılandırılmak ve yönetilmek üzere tasarlanmıştır.  RED cihazlar, herhangi bir DHCP bağlantısına bağlı olan, uzak bir lokasyona gönderilebilir ve lokasyon hakkında önceden bilgi sahibi olmadan ve teknik kuruluma gerek kalmadan, uzaktan yapılandırılabilir. Yapılması gereken yalnızca, üzerindeki RED ID not alındıktan sonra cihazın uzak lokasyona gönderilmesidir. Uzak lokasyonda yapılması gereken tek işlem ise cihazın WAN portunu bir kabloyla modem’e ve LAN portlarından birini mevcut switch’e bağlamaktır.

Biz bu makalede Sophos RED’ın nasıl yapılandırılacağını ele alacağız.

Sophos RED nasıl çalışır.

Sophos XG Firewall üzerinde yapılan tanımlamalar (Firewall IP adresi, Oluşacak tünelin çalışma modu (Standard/ Unified), RED in wan portunun yapılandırma türü (DHCP, Static IP), 4G kullanılıyorsa bağlantı ayarları, Unlock Code), Sophos provisioning server lara aktırılır. Sophos provisioning serverlar firewall dan gelen bu bilgiyi saklarlar. Bir RED cihazı herhangi bir yerde internete takıldığında, en yakın Sophos sunucusuna RED ID sini bildirerek, kendi konfig dosyasını alır ve ilgili firewall ile bağlantıyı sağlar.

Unlock Code, RED Cihazımızın yanlışlıkla veya kötü amaçlı olarak başka bir firewall a yönlendirilmesini önlemek için kullanılır. Ilk defa RED cihazını bir firewall’a tanımlıyorsanız Unlock Code girmeye gerek yoktur, fakat daha önceden kaydedilmiş bir cihazı farklı Sophos XG firewall’a tanımlamak istediğinizde Unlock Code girmek gerekmektedir. Unlock Code ilk kurulumdan sonra sistem tarafından oluşturulur ve sistem yöneticisine mail yoluyla gönderilir.

Sophos RED Çalışma Modları

Standard/Unified

Bu modda, red cihazı üzerinden geçen tüm internet trafifiği merkezdeki firewall a yönlendirilir. Merkezdeki firewall, şubedeki cihazların
ağ geçidi ve DHCP sunucusu olarak görev alır. Tüm kullanıcılar merkezdeki firewalldan internete çıkar. Bu yapıda, tüm politikaları merkezdeki Sophos XG Firewall üzerinde belirleyebilir, istediğiniz trafiğe izin verebilir veya engelleyebilirsiniz.  Bu yapıda, bant genişliği önemlidir. Bu trafiği kaldırabilecek bant genişliği olmalıdır.

Standard/Split

Bu mod fiziksel olarak Standart / Unified moda benzer. Uzak ağ Sophos Firewall tarafından yönetilir ve uzak ağın DHCP hizmeti ve ağ geçidi merkezdeki firewall tarafından sğlanır. Standard/Split modunda Split tünel oluşturulur ve sadece merkezdeki ağlara ait trafik tünelden gönderilir. Diğer tüm trafik doğrudan yerel internet bağlantısından gönderilir. Böylelikle tünel üzerindeki bant genişliği kullanımını en aza indirilir ve Sophos Güvenlik Duvarı üzerindeki bant genişliği gereksinimlerini hafifler, ancak aynı zamanda uzak ağın yönetilebilirliğini de büyük ölçüde azaltır. İnternete gelen veya giden trafik, filtrelenemez veya tehditlere karşı korunamaz. Güvenlik yalnızca uzak ve yerel LAN’lar arasında uygulanabilir.

 

Transparent/Split

Bu modda, Sophos XG firewall’un uzak ağı yönetmesi beklenmemektedir. Merkezdeki Sophos XG şubedeki ağ geçidinden DHCP üzerinden IP alıp, uzak ağa bağlanır. Bu modda, şubedeki kullanıcıların ağ geçidi ve DHCP sunucusu, şubedeki modem olacaktır. Standard/Split modda olduğu gibi, yalnızca belirli ağlara yönelik trafik tünele iletilir ve İnternet trafiği şube modem’i üzerinden geçer.

Sophos RED Yapılandırması

1 : RED cihazınızı kutusundan çıkarın ve arkasındaki RED ID yi bulun

2 : SOPHOS XG Güvenlik Duvarı’na giriş yapın

3 : İsteğe bağlı olarak istediğiniz isimde resimde gördüğünüz gibi bir ZONE oluşturun.

4 :  Red Configuration kısmından Red Status u etkinleştirin (Configure\System Services\RED). Organization Name, City, Country, Email bilgilerini doldurun

5 : Network Interface bölümüne gidin (Configure\Network)

6 : Add Interface kısmından Add RED i tıklayın.

7 : İlgili Alanları Doldurun

RED Settings

Branch Name                     : Red cihazınızın konumlandığı lokasyon adı

Type                                      : Hangi RED ürününü kullanıyorsanız tipi

RED ID                                  : Red cihazınızın arka yüzünde yer alan ID

Tunnel ID                             : Otomatik ve manuel olarak yapılandırabilirsiniz

Unlock Code                         : RED cihazınız daha önceden başka bir firewall da tanımlandıysa, Unlock Code  girmeniz gerekir. Bu Code cihazın daha önceden tanımlandığı XG Firewall un üzerinde bulunabilir veya önceki konfiği yapan sistem yöneticinin mailinden bulunabilir. RED cihazını eklediğiniz zaman Unlock Code, System Services bölümünde RED sekmesinde tanımlanan mail adresine gönderilecektir.  RED cihazımız ilk kez kullanılıyorsa Unlock Code otomatik oluşacaktır

Firewall IP/Hostname      : Sophos XG firewall cihazınızın dış ip adresini giriniz.
Eğer Sophos XG Ffirewallunuzda birden fazla internet hattınız varsa, Failover veya Load Balancing için  2nd Firewall IP/Hostname bölümüne ikinci hattın IP sini girebilirsiniz. Use 2nd IP/Hostname for kısmında aktif edeceğiniz seçeneğe göre, Sophos RED, merkezdeki ilk İnternet hattının kesildiğini algılarsa, ikinci hat üzerinden VPN kurmaya çalışır veya aynı anda iki tünel oluşturup, trafiği her iki internet hattı üzerinden geçirir.

Device deployment            : Otomatik veya manuel seçilebilir. Manuel seçilirse, oluşacak Config dosyası Usb bellek aracılığı ile RED e yüklenmelidir.

Uplink Settings

Uplink Connection             : Red Cihazının internete bağlnatısı için Dhcp veya Statik seçebilirsiniz.

3G/UMTS Failover             : Failover olarak kullanacağınız 3G hattınız varsa bu kısımda seçip ayarlarını yapabilirsiniz.

RED Network Settings

RED Operation Mode        :  Yukarda açıklamalarda belirttiğimiz gibi, kullanacağınız modu belirleyin.

RED IP                                   :  RED Cihazınızın local ip adresi

RED Netmask                      :  RED Cihazınızın local Netmaskı

Zone                                      :  RED Cihazınızın bulunacağı Zone

Configure DHCP                 :  RED üzerinde DHCP servisinin aktif olup olmayacağını belirtin

RED DHCP Range               :  RED üzerinde DHCP servisi aktif ise, dağıtılacak ip aralığını belirtin

Tunnel Compression        :  Bu seçeneği işaretlerseniz, trafik karşılıklı sıkıştırılıp gönderilecektir.

Kaydettikten sonra, Network/Interface kısmından RED cihazınızın bağlantı durumunu görebilirsiniz.

8 : Red cihazınız için Firewall Kuralı oluşturun.

Sophos XG üzerinde Protect/ Firewall a gidin. Add Firewall Kısmından User/Network Rule u tıklayın. Resimde gördüğünüz gibi bilgileri girin ve kaydedin.

Bu örnekte, firewall kuralımızı Standard/Split moda göre oluşturduk. Eğer Standard/Unified mod kullanılıyorsa, bu kuralla birlikte birde, Red cihazlarımızın bulunduğu zone dan WAN a doğru bir kural yazmamız gerekmektedir. Bu kuralımız internete çıkış kuralı olacağından, NAT işaretlenmeli ve uygulanacak Web, Application ve Ips politikaları seçilmelidir.