Firewall Active Directory Konfigürasyonu
Merhabalar,
Bu makalede Firewall Active Directory konfigürasyonu anlatacağım.
STAS ajanı yukarıda da belirttiğimiz üzere AD üzerindeki Security Audit’ te yer alan kullanıcı oturum açma loglarını takip ettiğinden dolayı, Local Security Audit kuralında Logon/Logoff loglarının aktif durumda olması gerekir.
Start > Administrative Tools > Local Security Policy > Security Settings > Local Policies > Audit Policy
Audit account logon olaylarını görüntülemek için çift tıklayınız ve Audit account logon events Properties penceresini açınız.
Burada Success ve Failure bölümlerinin işaretli olduğundan emin olun. Eğer değilse, mutlaka işaretleyin ve kaydedin.
AD Üzerinde STAS Kurulumu:
STAS yazılımını indirmek için;
Sophos XG Firewall arayüzünde, Authentication > … (en sağda yer alan 3 nokta sembolüne tıklayınız) > Client Downloads bölümünden yazılımı Domain Controller’ a indirip kurulumunu gerçekleştirin.
AD Üzerinde STAS Konfigürasyonu:
Masaüstünde yer alan Sophos Transparent Authentication Suite kısayoluna tıklayarak STAS yazılımını açın.
STA Collector sekmesinde;
- Sophos Appliances altında, Sophos XG Firewall cihazınızın IP adresini girin.
- Workstation Polling Settings ayarını WMI olarak seçin.
- Logoff Detection ayarlarını varsayılan değerde bırakabilirsiniz.
- Detection Interval süresi; eğer kullanıcı logoff yapmış ise burada belirtilen süre sonrasında kullanıcı XG Firewall Live User veritabanından düşürülür.
- Portları varsayılan ayarlarda bırakınız 6677 and 5566.
STA Agent sekmesinde STAS tarafından izlenecek ağlarınızı belirtin.
General sekmesinde;
- Domain Controller’ ınızın NetBIOS adını girin.
- Domain Controller’ ınızın FQDN adresini girin.
- Apply butonuna tıklayın ve STAS servisini başlatmak için Start butonuna tıklayın.
Sophos XG Güvenlik Duvarı STAS Ayarları:
- STAS’ ı aktif duruma getirin. Authentication > STAS
2. Aktif ettikten sonra Collector adresini tanımlayın.
Bu noktada, XG Güvenlik Duvarı UDP 6060 üzerinden AD sunucusundaki STAS ile iletişim kurmaya çalışır. AD Sunucusunda STAS ‘ı açın ve General sekmesine giderek Sophos Appliances altındaki XG Güvenlik Duvarının IP adresini görüntüleyin. Bu, STAS’ ın XG Güvenlik Duvarına doğru bağlandığının bir göstergesidir.
3. Trafiği kullanıcı tabanlı bir şekilde kontrol etmek amacıyla kimlik tabanlı bir güvenlik duvarı kuralı oluşturmak için Firewall > + Add Firewall Rule ‘a tıkayarak yeni bir user kuralı oluturun.
4. Administration > Device Access bölümü altında ilgili Zone için Client Authentication ‘ı aktif edin.
Test
Live User’ ları doğrulayın.
Kullanıcılar Domain Controller’ da başarılı bir şekilde kimlik doğrulaması yaptıktan ve oturum açtıktan sonra, STAS veya Sophos XG Güvenlik Duvarı’nda canlı kullanıcı olarak görüntülenebilir.
STAS üzerinde;
Sophos XG Firewall üzerinde;
Monitor & analyze > Current Activities
Sophos XG Güvenlik Duvarı Active Directory Entegrasyonu:
Domain gruplarınıza göre kurallar yazmak , User Portal veya SSL VPN girişlerinde Active Directory veritabanından kullanıcı kimlik doğrulaması yapmak isterseniz XG Firewall üzerinde Active Directory Server tanımlaması yapmanız gerekmektedir.
Bir AD kullanıcı Sophos Güvenlik Duvarı’ na ilk kez giriş yaptığında, kullanıcı otomatik olarak varsayılan grubun üyesi olarak eklenir. Kullanıcının AD grubu Sophos Güvenlik Duvarı’ nda varsa, kullanıcı bu grubun üyesi olarak eklenir. Bu grupları XG Firewall’ a import etmek için Active Directory Server’ ı tanımlamamız gerekmektedir.
Bunun için öncelikli olarak Domain sunucusunun Netbios, Domain ve Search Query adlarını görüntüleyin;
Active Directory’ de Start > Administrative Tools > Active Directory Users and Computers. Domain adınızın üzerinde sağ tıklayarak Properties ‘ i görüntüleyin.
Buradaki örnekte; domain name sophos.com, search query: dc=sophos, dc=com
Authentication > Servers > Add diyerek Active Directory tanımlamasını yapın.
AD’ yi birincil kimlik doğrulama yöntemi olarak ayarlayın.
Authentication > Services, Firewall Authentication Methods altında AD Server‘ ı birincil kimlik doğrulama yöntemi olarak ayarlayın.
Böylelikle Active Directory sunucunun tanımlamasını gerçekleştirmiş olduk. Şimdi ise Grup İçe Aktarma Sihirbazı Yardımı’ nı kullanarak Sophos Güvenlik Duvarı’ndaki AD gruplarını import edebilirsiniz.
Authentication > Servers altında 
ikonuna tıklayarak sihirbaz yardımını açın.
Böylece Firewall kurallarında Domain gruplarına göre kurallar yazabilirsiniz. Kullanıcı Domain sunucusunda oturum açtığında XG Firewall kullanıcının hangi grupta olduğunu anlayacak ve hangi kuralla eşleşiyorsa kullanıcıya o Firewall kuralını uygulayacaktır.
