Sophos XG Firewall: Active Directory Entegrasyonu (STAS Kurulumu)

0
442

Merhabalar,

Bu makalemizde Sophos XG Firewall’ larda kullanıcıların kimlik doğrulaması ve erişim denetimleri (Domain Authentication) için gerekli olan Active Directory entegrasyonunun yapılandırmasını inceleyeceğiz.

Konu Başlıkları:

  • STAS Nedir?
  • Nasıl Çalışır
  • Active Directory Konfigürasyonu
  • AD Üzerinde STAS Kurulumu
  • AD Üzerinde STAS Konfigürasyonu
  • Sophos XG Güvenlik Duvarı STAS Ayarları
  • Sophos XG Güvenlik Duvarı Active Directory Entegrasyonu

STAS Nedir?

Sophos Transparent Authentication Suite (STAS), Windows etki alanındaki kullanıcıların Windows’ da oturum açarken Sophos XG Güvenlik Duvarı’ nda otomatik olarak oturum açmalarını sağlar. STAS bir ajan (STAS Agent) ve toplayıcıdan (Collector) oluşur.

Nasıl Çalışır?

  1. Kullanıcı, LAN’ da yer alan herhangi bir bilgisayardan kullanıcı adı ve şifresini girerek Active Directory (AD) Etki Alanı Denetleyicisi’ nde (Domain Controller) oturumunu açar.
  2. AD, kullanıcı oturum açma bilgilerini alır ve bir güvenlik denetim günlüğü (Security Audit) oluşturur.Başarılı kullanıcı kimlik doğrulaması üzerine AD, 672 (Windows 2003) veya 4768 (Windows 2008 ve üstü) kimliğine sahip bir olay (event) oluşturur.
  3. STAS ajanı, AD sunucusunundaki bu Security Audit’ leri izler ve kullanıcı adı ile IP adresini toplayıcıya (Collector) aynı anda TCP 5566 portu üzerinden iletir.
  4. Collector ise, 6060 numaralı UDP portu üzerinden Sophos XG Güvenlik Duvarına başarılı kimlik doğrulama güncellemeleri göndererek yanıt verir. XG Güvenlik Duvarı ise kullanıcı adı ve IP adres eşleşmesi ile Live User veritabanına yazar. (Sophos XG Güvenlik Duvarı, eğer Domain’ de olmayan bir bilgisayardan gelen bir trafik algılar ise, 6677 numaralı port üzerinden Collector’ ü sorgulayabilir.)
  5. Kullanıcı bir internet isteği başlatır.
  6. Sophos XG Güvenlik Duvarı, kullanıcı bilgilerini yerel kullanıcı haritasıyla eşleştirir ve güvenlik politikalarını buna göre uygular.

Active Directory Konfigürasyonu:

STAS ajanı yukarıda da belirttiğimiz üzere AD üzerindeki Security Audit’ te yer alan kullanıcı oturum açma loglarını takip ettiğinden dolayı, Local Security Audit kuralında Logon/Logoff loglarının aktif durumda olması gerekir.

Start > Administrative Tools > Local Security Policy > Security Settings > Local Policies > Audit Policy

Audit account logon olaylarını görüntülemek için çift tıklayınız ve Audit account logon events Properties penceresini açınız.

Burada Success ve Failure bölümlerinin işaretli olduğundan emin olun. Eğer değilse, mutlaka işaretleyin ve kaydedin.

AD Üzerinde STAS Kurulumu:

STAS yazılımını indirmek için;

Sophos XG Firewall arayüzünde, Authentication > … (en sağda yer alan 3 nokta sembolüne tıklayınız) > Client Downloads bölümünden yazılımı Domain Controller’ a indirip kurulumunu gerçekleştirin.

AD Üzerinde STAS Konfigürasyonu:

Masaüstünde yer alan Sophos Transparent Authentication Suite kısayoluna tıklayarak STAS yazılımını açın.

STA Collector sekmesinde;

  1. Sophos Appliances altında, Sophos XG Firewall cihazınızın IP adresini girin.
  2. Workstation Polling Settings ayarını WMI olarak seçin.
  3. Logoff Detection ayarlarını varsayılan değerde bırakabilirsiniz.
  4. Detection Interval süresi; eğer kullanıcı logoff yapmış ise burada belirtilen süre sonrasında kullanıcı XG Firewall Live User veritabanından düşürülür.
  5. Portları varsayılan ayarlarda bırakınız 6677 and 5566.

STA Agent sekmesinde STAS tarafından izlenecek ağlarınızı belirtin.

General sekmesinde;

  1. Domain Controller’ ınızın NetBIOS adını girin.
  2. Domain Controller’ ınızın FQDN adresini girin.
  3. Apply butonuna tıklayın ve STAS servisini başlatmak için Start butonuna tıklayın.

Sophos XG Güvenlik Duvarı STAS Ayarları:

  1. STAS’ ı aktif duruma getirin. Authentication > STAS

2. Aktif ettikten sonra Collector adresini tanımlayın.

Bu noktada, XG Güvenlik Duvarı UDP 6060 üzerinden AD sunucusundaki STAS ile iletişim kurmaya çalışır. AD Sunucusunda STAS ‘ı açın ve General sekmesine giderek Sophos Appliances altındaki XG Güvenlik Duvarının IP adresini görüntüleyin. Bu, STAS’ ın XG Güvenlik Duvarına doğru bağlandığının bir göstergesidir.

3. Trafiği kullanıcı tabanlı bir şekilde kontrol etmek amacıyla kimlik tabanlı bir güvenlik duvarı kuralı oluşturmak için Firewall > + Add Firewall Rule ‘a tıkayarak yeni bir user kuralı oluturun.

4. Administration > Device Access bölümü altında ilgili Zone için Client Authentication ‘ı aktif edin.

Test

Live User’ ları doğrulayın.

Kullanıcılar Domain Controller’ da başarılı bir şekilde kimlik doğrulaması yaptıktan ve oturum açtıktan sonra, STAS veya Sophos XG Güvenlik Duvarı’nda canlı kullanıcı olarak görüntülenebilir.

STAS üzerinde;

Sophos XG Firewall üzerinde;

Monitor & analyze > Current Activities

Sophos XG Güvenlik Duvarı Active Directory Entegrasyonu:

Domain gruplarınıza göre kurallar yazmak , User Portal veya SSL VPN girişlerinde Active Directory veritabanından kullanıcı kimlik doğrulaması yapmak isterseniz XG Firewall üzerinde Active Directory Server tanımlaması yapmanız gerekmektedir.

Bir AD kullanıcı Sophos Güvenlik Duvarı’ na ilk kez giriş yaptığında, kullanıcı otomatik olarak varsayılan grubun üyesi olarak eklenir. Kullanıcının AD grubu Sophos Güvenlik Duvarı’ nda varsa, kullanıcı bu grubun üyesi olarak eklenir. Bu grupları XG Firewall’ a import etmek için Active Directory Server’ ı tanımlamamız gerekmektedir.

Bunun için öncelikli olarak Domain sunucusunun Netbios, Domain ve Search Query adlarını görüntüleyin;

Active Directory’ de Start > Administrative Tools > Active Directory Users and Computers. Domain adınızın üzerinde sağ tıklayarak Properties ‘ i görüntüleyin.

Buradaki örnekte; domain name sophos.com, search query: dc=sophos, dc=com

Authentication > Servers > Add diyerek Active Directory tanımlamasını yapın.

AD’ yi birincil kimlik doğrulama yöntemi olarak ayarlayın.

Authentication > Services, Firewall Authentication Methods altında AD Server‘ ı  birincil kimlik doğrulama yöntemi olarak ayarlayın.

Böylelikle Active Directory sunucunun tanımlamasını gerçekleştirmiş olduk. Şimdi ise Grup İçe Aktarma Sihirbazı Yardımı’ nı kullanarak Sophos Güvenlik Duvarı’ndaki AD gruplarını import edebilirsiniz.

Authentication > Servers altında ikonuna tıklayarak sihirbaz yardımını açın.

 

 

 

 

 

 

 

 

 

 

Böylece Firewall kurallarında Domain gruplarına göre kurallar yazabilirsiniz. Kullanıcı Domain sunucusunda oturum açtığında XG Firewall kullanıcının hangi grupta olduğunu anlayacak ve hangi kuralla eşleşiyorsa kullanıcıya o Firewall kuralını uygulayacaktır.

CEVAP VER

Lütfen yorumunuzu giriniz!
Lütfen isminizi buraya giriniz