Sophos

Sophos Email Gateway – Gelen maillere İzin Ver – Engelle işlemleri

Datakey Destek

Bu yazıda Sophos Central içine gelen E-Mail Gateway için gelen mail’ler üzeirinden engelleme ve izin verme işlemlerine göz atacağız.

Sophos Central içinde https://central.sophos.com/manage/xgemail/dashboard bölümünde

Sophos Email Gateway – Gelen maillere İzin Ver – Engelle işlemleri

“Settings” ayarlarına giriş yaparak şirket içinde gelmesini ya da spam filtresine takılan mail uzantıları için işlemler gerçekleştirebilirsiniz.

Bu işlemlerin devamı olarak, Email Security altında “Inbound Allow / Block” linkine tıklıyoruz.

“Add” seçeneği ile yapılacak işlemler ise…

  • Add alow: Güvenli domain uzantısı ekler
  • Add block: İstenilen domainleri kara listeye ekler
  • Import allow/block list: CSV uzantılı ve içerisinde domain listeniz olan bir listeti içeri import etmenizi sağlar.

Örnek senaryoda güvenli bir domain’i güvenli göndericilere ekleyeceğiz.

“Add allow” seçeneğine tıklıyoruz ve güvenli gönderen uzantısını ekliyoruz.

Aşağıda “?” ile gösterilen yere tıklanınca domain ekleme sırasında yapabileceklerimizin örnek bir listesi gösterilmemektedir.

*domain.com uzantılı örnek mail gönderici adresi uzantısını ekliyoruz.

“Save” ile kayıt yaparak işlemi bitiriyoruz.

Elimize CSV formatında bir domain listesi var ise aşağıdaki kısımdan içeri import ederek toplu işlemlerde gerçekleştirebiliriz.

Yapacağınız işlemler kayıt gerçekleştikten hemen sonra uygulamaya alınacak ve eklediğiniz güvenli ya da güvensiz domainler tarafındaki ayarlar geçerli olacaktır.

Sophos XG Firewall Lisanslama İşlemleri

Datakey Destek

Lisanslama, Sophos XG Güvenlik Duvarı üzerindeki çeşitli özellikleri etkinleştirmek için kullanılır ve aynı yöntemler fiziksel ve sanal güvenlik duvarı olmasına bakılmaksızın uygulanır.

Sophos XG Firewall Lisanslama İşlemleri

Bazı Cyberoam iA / NG ve Sophos SG cihazları da XG Firewall işletim sistemini çalıştırabilir.

XG lisanslama modeline genel bakış

XG Firewall, tüm donanım ve sanal güvenlik duvarları için gerekli olan ve kalıcı olan bir Temel lisans içerir. Ek özellikler 1, 2 veya 3 yıllık abonelik olarak satın alınabilir. (1 yıldan büyük olarak alternatif seçeneklerde mümkün olabilmektedir.).

Abonelikler ayrı ayrı veya paket olarak satın alınabilir. Paketlerin bazıları, kalıcı Baz lisansını içeren bir donanım veya sanal cihaz içerir ve diğer paketler yalnızca abonelikleri içerir.

Aşağıdaki çizelgede tüm paketler (turuncu metin) gösterilmekte ve her paket içinde bireysel abonelikler gösterilmektedir. Paket adı ‘Protect’ içeriyorsa, bir XG serisi donanım cihazı veya sanal bir cihaz içerir.

XG Firewall paketleri ve abonelikler XG Firewall paketleri ve abonelikler

‘Enhanced’ ve ‘Enhanced Plus’ olmak üzere 2 destek seviyesi vardır.

Üst düzey destek, üst düzey Sophos destek personeline doğrudan erişim sağlar ve ayrıca bağlı tüm Sophos cihazları için garanti sağlar.

Bireysel abonelik satın alıyorsanız ve daha üst düzeyde destek almak istiyorsanız, Enhanced Plus Destek paketini satın almalısınız. Diğer paketlerden herhangi birini satın alıyorsanız, paket Enhanced Destek’i içerir ve ‘Enhanced Destek Yükseltme için Geliştirilmiş’ ürününü satın alarak daha yüksek düzeyde destek ekleyebilirsiniz.

Bir XG Güvenlik Duvarı ürünü satın aldığımda ne alırım?

Cihazı ilk satın aldığınızda donanım veya yazılım ürünün yanında bir tane de lisans bilgileri yazılı olan pdf dosyası size teslim edilir.  Burada yazılı olan lisans bilgileri ile cihazınızı aktif edebilirsiniz.

Ürünümü nasıl etkinleştiririm?

XG Firewall lisansları, size tahsis edildikleri seri numarası ile tanımlanır.

Bu bilgi ile temel lisansı etkinleştirebilir, dahil olan bir abonelik var ise başlatabilir, bir donanım için garantiyi başlatabilirsiniz. Ayrı abonelikler satın aldı iseniz size verilen pdf dosyasında bir veya birden fazla lisans anahtarı almış olursunuz.

  • Bir lisans anahtarını etkinleştirdiğinizde abonelikler başlar.
  • lisans anahtarları yalızca cihaza kaydolduktan sonra ve cihaz satın alına bir baz lisansı çalıştırıldıktan sonra etkinleşir. Cihaz 30 günlük ücretsiz bir deneme veya donanım değerlendirmesiyse, cihazla bağlantılı satın alınan bir Temel lisansa sahip oluncaya kadar lisans anahtarları etkinleştirilemez.
  • Deneme süresi dolan bir cihazı tekrar deneme olarak kullanmak için aynı lisans anahtarını kullanamazsınız.

Kayıt ve lisans anahtarı etkinleştirme, güvenlik duvarının Web Admin (WebAdmin) ekranındaki Administration Licensing sekmesinden veya my sophos sitesi üzerinden etkinleştirilebilir.

Lisans, Sophos lisans sisteminde merkezi olarak tutulur, bu nedenle, bir cihazı kaydetmek veya bir lisans anahtarını etkinleştirmek için MySophos kullanıyorsanız, lisansın alınabilmesi için cihazın WebAdmin lisans ekranında ( Administration > Licensing)) Senkronize Et düğmesine basmanız gerekir.

Bunu yapmazsanız, lisans bir sonraki günlük lisans senkronizasyon çağrısının bir parçası olarak otomatik olarak güncellenecektir. 

Lisans Senkronizasyonu

Lisans Senkronizasyonu

Garantim ne zaman başlıyor ve bitiyor?

Donanım cihazınızın kaydedilmesi garantiyi başlatacaktır. Garanti başlangıç ​​ve bitiş tarihleri ​​aşağıdaki kurallara göre belirlenir:

  • Garanti Başlangıç ​​Tarihi – İlk kayıtta, Garanti Başlangıç ​​Tarihi, Fatura Tarihi, Kayıt Tarihi’nden 90 günden daha önce olmadığı sürece, Kayıt Tarihi olarak ayarlanır; bu durumda Garanti Başlangıç ​​Tarihi, Fatura Tarihi artı 90 gün olarak ayarlanır.
  • Garanti Sona Erme Tarihi – Garanti, Garanti Başlangıç ​​Tarihinden itibaren en az 12 ay sürecektir. Etkin aboneliklerde Gelişmiş Destek varsa, garanti bu aboneliklerin son kullanım tarihine veya hangisi daha kısa ise Garanti Başlangıç ​​Tarihinden itibaren en fazla 5 yıla kadar uzatılır.
  • RED, AP ve Passive XG serisi donanımı için garanti kapsamı almak için, bağlı oldukları güvenlik duvarı cihazında Enhanced Plus Desteği gerekir.
  • Güvenlik duvarınızı ilk kurduğunuzda kaydı atladıysanız, güvenlik duvarının Web Admine her giriş yaptığınızda kaydolmanız istenir. 30 gün sonra, kayıt işlemini tamamlamadan oturum açamazsınız.

Sanal güvenlik duvarı ürünleri nasıl lisanslanır?

Lisansın yalnızca donanımın potansiyeli ile sınırlı olduğu donanımın aksine, sanal cihaz lisansları, kullanacakları maksimum çekirdek ve RAM sayısı ile sınırlandırılır. Örneğin SF SW/Virtual FullGuard – UP TO 4 CORES & 6GB RAM. Donanımda olduğu gibi, istediğiniz lisansın yanı sıra Temel lisansı da satın almanız gerekir. Bunlar ayrıca Baz lisansı ve abonelikleri içeren ‘Protect’ paketleri olarak da satın alınabilir.  Özellik aboneliklerinin çekirdek / RAM boyutlarının üzerinde çalıştıkları sanal cihazla eşleşmesi gerekir.

Hangi yüksek kullanılabilirlik modelleri desteklenir ve nasıl lisanslanırlar?

Sophos XG Firewall, Active-Active (küme) ve Active-Passive (bekleme) modlarını destekler:

  • Her bir Aktif güvenlik duvarı kendi lisansını gerektirir.
  • Aktif-Aktif mod için, her güvenlik duvarı aynı abonelikleri çalıştırıyor olması gerekir
  • Active-Passive donanım cihazları için, her bir güvenlik duvarı kaydedilmelidir, ancak yalnızca Active cihazı, lisansı Passive cihazıyla paylaşacağından, üzerinde çalışan aboneliklere sahip olması gerekir.
  • Active-Passive sanal güvenlik duvarları için, yalnızca Active lisansını satın almanız gerekir ve bu bir Passive örneği başlatmanıza izin verir.
  • Aktif-Pasif için, Aktif birim en azından bir Gelişmiş Destek aboneliğine sahipse, Pasif birimdeki Teknik destek sağlanacaktır.

Bu nedenle donanım cihazlarındaki Active-Passive için, hangi cihazın Aktif cihaz olduğuna ve üzerinde çalışan lisansların olması gereken cihaz olduğuna karar vermeniz çok önemlidir

Not: Aktif / Pasif, Azure’daki XG için henüz mevcut değildir.

30 günlük Ücretsiz Deneme Sürümünden sonra nasıl satın alabilirim?

30 günlük ücretsiz deneme sürümünü kullanarak sanal bir güvenlik duvarı kurduysanız ve kurulumunuz için bir lisans satın almak istiyorsanız, seri numarasının siparişinizde belirtilmesini sağlamalısınız. Bunu yapmazsanız, yeni bir seri numarası oluşturulacak ve lisans eklenmiş olacaktır.

Daha sonra satın alınan lisansı ücretsiz deneme seri numaranıza aktarmanız gerekir.

Sophos iView V2 ve SFM lisansları nasıldır?

Aynı lisans sistemi iView V2 ve Sophos Güvenlik Duvarı Yöneticisi (SFM) ürünleri için kullanılır, ancak satılan ürünler XG Güvenlik Duvarı’ndan farklıdır. SFM hem donanım hem de sanal cihaz olarak mevcuttur ve iView yalnızca sanal cihaz olarak kullanılabilir:

  • SFM, donanım cihazları (SFM200 / SFM300 / SFM400) veya yönetebilecekleri cihazlarla sınırlı sanal cihazlar olarak satılmaktadır (15/50/100/200/500/1000).
  • iView V2, ürünün erişebileceği veri boyutuna göre satılır (500 GB / 1 TB / 4 TB / 8 TB)

Güvenlik duvarında olduğu gibi, bunlardan herhangi biri satın alındığında, kalıcı bir Temel lisans dahil edilir. Aynı destek abonelikleri, Gelişmiş Destek ve Gelişmiş Artı Desteği de satın alınabilir. SFM donanımı için, garanti kuralları XG Güvenlik Duvarı ile aynıdır.

Sophos XG Firewall ile Static Yönlendirme

Datakey Destek

Sophos XG Firewall ile Static Yönlendirme

Bu yazıda birbirleriyle haberleşemeyen 2 network’ü statik yönlendirme ile nasıl haberleştirilebileceği uygulamalı bir şekilde anlatılacaktır.

Öncellikle lab ortamından kısaca bahsetmek istiyoruz. Merkez(172.16.16.0/24) ve Şube(172.17.17.0/24) olmak üzere 2 networkümüz vardır. Bu iki networkün önünde Sophos XG güvenlik duvarı konumlandırdık.

Güvenlik duvarları 10.0.0.0 networkü ile birbirlerine bağlılar ve yapılacak işlem ile merkez ve şubedeki bilgisayarları statik yönlendirme ile birbirleriyle haberleştirmek amaçlanmaktadır.

Herhangi bir ayar yapmadan önce merkezdeki ve şubedeki bilgisayarlarımızın birbirleriyle haberleşemediğinden emin olmak için her iki tarafta ping testleri yapıldı.

Şekilde görüldüğü gibi merkez bilgisayarımızdan şubedeki bilgisayarımıza ping çalıştırıyoruz ve haberleşmediklerini görüyoruz.

Aynı şekilde şubedeki bilgisayarımız da merkezdeki bilgisayarımızla haberleşemiyor.

Şimdi Her iki firewall’umuzda gerekli ayarları yapabiliriz.

Merkez bilgisayarımızda(172.16.16.18) bir tarayıcı açıp tarayıcıya firewall’un LAN IP’sini(172.16.16.16) port numarası(4444) ile birlikte htttps metodu kullanarak giriyoruz. (https://172.16.16.16:4444) bu ip ve port Sophos XG firewall’un varsayılan değerleridir.

Yukarıdaki değerler değiştirilebilir!

Açılan pencereden aşağıdaki gibi önce Routing sekmesine tıklıyoruz.

Sonra çıkan ekranda Static routing sekmesinden IPv4 unicast route alanından Add butonuna tıklıyoruz.

Çıkan ekrandan aşağıdaki gibi ayarlamalar yapıyoruz. Bu ayarlardan kısaca şöyle bahsedebiliriz.

Destination IP / Netmask : Gitmek istenilen hetef network ve subnet mask değerinin girileceği alandır.

Gateway: Hedefe giderken kullanacağı ağ geçidi adresidir.

Interface : Hedefe giden paketin kullanacağı fiziksel ağ arayüzüdür.

Save butonuna tıklayıp ayarları tamamlıyoruz.

Merkez Firewall üzerinde yapılan ayarları aşağıdaki gibi şubedeki firewall’umuzda da yapıyoruz.

Şubedeki firewall’umuzun LAN IP si aşağıdaki şekilde de görüldüğü gibi varsayılan(172.16.16.16) değerden farklı bir değer(172.17.17.17) olarak ayarlanmıştır.

Konumuz yönlendirme olduğu için bu ayarlamanın nasıl yapıldığından bahsedilmemiştir.

Hem şubede hem de merkezdeki bilgisayarlarımızın birbirleriyle haberleşmesini test ediyoruz.

Şekilde görüldüğü gibi merkezdeki bilgisayarımızdan şubedeki bilgisayarımıza ping atılabiliyor.

Aynı şekilde şubedeki bilgisayardan merkezdeki bilgisayara da ping atılabiliyor.