Bu yazımızda sizlere, Sophos XG Firewall ile sanal platformlar için cihaz kurulumu ve lisanslamadan bahsedeceğim.
Sophos ürün ailesi, fiziksel cihazlarla birlikte sanallaştırma ortamları üzerinde kurulumu da destek-lemektedir. Bazı seneryolarda ve müşteri ortamlarında fiziksel cihaz konumlandırmak yerine sanallaş-tırma platformları üzerinde çalışan cihazlar tercih edilebilir ya da demo/PoC aşamalarında yine sanal platformlar, fiziksel cihaz konumlandırmaya tercih edilebilir.
Sanallaştırma platformları olarak;
- Vmware (Workstation, ESXi 6.5 ve üzeri)
- Hyper-v (Server 2008 R2 ve üzeri)
- KVM (CentOS 7.4.1708 ve üzeri)
- Xen (XenServer 7.3 ve üzeri) sürümleri kullanılması tercih edilmektedir.
Kurulum adımlarının aşamaları :
1.Sanal platform için yükleme dosyasının indirilmesi
İlk adım olarak kullanacağımız sanallaştırma platformunu belirledikten sonra, ilgili sanallaştırma platformu için gerekli yükleme dosyasının indirilme işlemini gerçekleştireceğiz.
İlgili yükleme dosyasını indirmeden önce, her cihazın bir hesap üzerinde kayıtlı olması gerektiği bilgisidir.
Her sanal yada fiziksel cihaz, bir hesap üzerinde kayıtlı olması gerekmektedir. Bu hesap bilgisi bize, cihazı kimin kullandığını ayırt etmemiz ve lisans girişlerinin yapılabiliyor olması adına son kullanıcı adına özel olarak oluşturulmalıdır.
İşlemlerimize öncelikle cihaz kaydı için kullanacağımız hesap oluşturma işlemleri ile başlayacağız. Bunun için öncelikle https://id.sophos.com adresini ziyaret edeceğiz. Bu adres üzerinden oluşturulan hesap üzerine birden fazla cihaz kaydı yapılabilir ama yukarıda da belirttiğim üzere, her müşteri özelinde yeni hesap oluşturmak ve o müşteriye ait cihazları ilgili hesaba kaydetmek daha doğru ve yönetilebilir bir işlem olacaktır.
İlk kez hesap oluşturacağımızı düşünürsek, ilgili adrese ulaştıktan sonra yukarıdaki ekran görüntüsünde de göreceğimiz üzere “Create Sophos ID” bölümüne tıklayıp yeni bir hesap oluşturmamız gerekcektir. Aynı müşteri için ikinci bir cihaz kaydı yapmak istiyorsak eğer, yeniden hesap oluşturmaya gerek kalmadan aynı bilgileri kullanabilirsiniz.
Hesap oluşturma işlemleri sırasında sizden istenen bilgilerin eksiksiz şekilde doldurulduğundan ve özellikle eposta adresinin kullanılan ve geçerli bir eposta adresi olduğundan emin olunuz.
Hesap oluşturma işlemlerini başarılı bir şekilde gerçekleştirdikten sonra portala giriş yaparak sırasıyla,
MySophos > Network Protection > Download Installers > Virtual Installers bölümüne gelerek kullanacağımız sanallaştırma platformu için uygun yükleme dosyalarını göreceğiz.
Kullanılacak olan sanallaştırma platformuna uygun yükleme dosyasını belirledikten sonra Download butonu ile indirme işlemlerimizi başlatıyoruz.
Biz bu bölümde VMware Workstation ortamını kullanacağız.
İndirme işlemi tamamlandıktan sonra, o anda sistemde mevcut olan en son firmware versiyonuna ait .zip formatında bir dosya indirilecektir. Yapmamız gereken işlem, .zip formatlı kurulum dosyasını klasöre çıkartmak olacaktır.
Dosyaların klasöre çıkarıldıktan sonraki içeriği yukarıdaki gibi olacaktır ve .ovf formatında ve 2 adet sanal disk ile gelecektir.
VMWare Workstation üzerinde cihaz kurulumu yaparken, VMWare ana ekranında direkt olarak “Open a Virtual Machine” bölümünü kullanacağız çünkü yükleme dosyası .ovf formatında indirildi ve direkt olarak çalıştırmaya hazır olarak gelecektir. ovf format ile yükleme işlemi tamamlandıktan sonra,
- 4 GB Memory
- 1 CPU
- 16GB ve 80 GB olmak üzere 2 adet disk
- 3 adet Network adaptörü (3 interface) ile makine kullanıma hazır hale gelecektir.
Genellikle demo amaçlı kullanım yapılacağı için 4 GB memory yeterli olacaktır fakat mutlaka performas sorunu yaşamamak adına CPU sayısını da artırmanızda fayda olacaktır.
Cihaz üzerinde gelen 16GB bölümlü disk, config,database gibi bölümler için ayrıldığından bu bölümü kesinlike değiştirmeyin. 80 GB’lık disk alanı ise, rapor, loglama için ayrılmış olup kullanım değerlerinize göre yükseltilebilir.
2.Sanal cihazın yapılandırılması
Memory, CPU ,interface sayısı gibi değerleri kendi kullanımımıza göre ayarladıktan sonra makineyi açıyoruz.
İlk yükleme aşamasında cihazımızın hazır konuma gelmesini bekliyoruz ve Password ekranı gelene kadar bekliyoruz.
Sisteme hem konsol bağlantısı hem de web arayüzü bağlantısı için kullanacağımız kullanıcı adı ve şifre bilgileri admin /admin olarak gelecektir ve güvenlik gereği kurulumun ilerleyen aşamalarında sistem sizden şifreyi değiştirmeyi isteyecektir.
Bu aşamadan sonra kurulum işlemlerine web arayüzünden devam edebilirsiniz. İlk kurulum aşamasında cihazda varsayılan olarak 3 adet Network adaptörü yani interface geldiğini söylemiştik. Bu 3 interface sırasıyla;
- LAN (172.16.16.16 )- DHCP Server
- WAN (N/A)- DHCP Client
- DMZ (Disabled) şeklinde gelecektir.
Cihaz üzerindeki ilk interface, Lokal ağ balantısı için ayrılmış ve üzerinde 172.16.16.16 IP adresi bulunmaktadır. Ayrıca bu interface üzerinde DHCP server özelliği açık olduğu için aynı ayda olan cihazlara IP dağıtım işlemi de yapacaktır.
Cihaza Web arayüzünden erişmek için mutlaka bu IP bloğuna sahip bir makine üzerinden erişim sağladığınızdan emin olunuz.
İkinci interface WAN yani internet bağlantısı için ayrılmıştır ve DHCP client özelliği açıktır . Eğer ilk aşamada cihaza internet verme şansınız yoksa, bu aşama atlanabilir.
Belirttiğimiz üzere cihazda LAN portu üzerinde static bir IP adresi vardır ve bu IP adresi üzerinden cihaın web arayüzüne erişim sağlayacağız. Bu işlem için; https://172.16.16.16:4444 bağlantısını kullanacağız.
Güvenlik amaçlı http protokolü desteklenmediği için bunun yerine https protokolü kullanılacak ve web arayüzü için de 4444 portunu kullanacağız. Bu port daha sonra isteğe bağlı olarak değiştirilebilir.
Karşılama ekranında “Click to begin” butonu ile cihaz yapılandırma işlemlerini başlatıyoruz.
Daha önce de belirttiğim gibi sistem güvenlik amacıyla ilk işlem olarak şifremizi değiştirmemizi isteyecektir ve yeni bir şifre belirlerken kriterlere de uymamız gereken yönergeyi göreceğiz.
Şifre belirlendikten sonra “Install the latest firmware automatically during setup” bölümü aktif gelecektir , bu kısım size, cihazın içerisinde gelen firmware yazılımından sonra yayınlanmış yeni bir yazılım varsa onun otomatik yüklemesini sağlayacak yapılandırma kısmıdır ve buradaki seçimi kaldırıp devam edebilirsiniz.
Daha sonra en altta bulunan “I accept the Sophos End User License Agreement and acknowledge the Privacy Notice.” kutucuğunu işaretleyip devam edeceğiz.
Bir sonraki adımda cihazın internet bağlantısı ayarları karşımıza gelecektir ve daha önce de belirttiğim gibi, ikinci port WAN yani internet hattı için ayrılmış olup sanallaştırma platformu üzerinde cihazın kullanacağı internet bağlantısı ayarlarını henüz yapmamış iseniz “Continue offline” kutucuğunu işaretleyip bu adımı daha sonra yapılandırmak üzere atlayabilir yada “Manual configuration ” kutucuğuna tıklayıp WAN hattı yapılandırmasını bu adımda tanımlayabilirsiniz.
Bir sonraki adımda cihazın ülke/bölge ayarları gelecektir ve varsayılan olarak Europe/London seçili gelecektir. Cihazdan alınacak rapor ve loglarda yaşanacak olası bir karışıklığın önüne geçmek adına mutlaka Europe/Istanbul olarak içinde bulunduğumuz zaman dilimini seçmeniz gerecektir.
Son adım olarak cihaz üzerinde hangi modüllerin lisanslı ve kullanılabilir olacağının özetinin verildiği bir bölüm olacaktır. Sanal cihazla bütün modülleri kullanılabilir şekilde eksiksiz full lisans olarak gelecektir. Sophos, tüm özelliklerin test edilebilmesi için kullanıcılara bütün lisansları eksizsiz olarak deneme lisansı ile sunmaktadır. Bu aşamada “Skip to Finish” butonuna tıklayıp kurulumu tamamlıyoruz ve cihazınızın yeniden başlatılıp hazır hale gelmesini bekliyoruz.
Yeniden başlatma işlemlerinden sonra karşımıza gelen giriş ekranına kullanıcı adı admin ve şifre olarak da belirlediğimiz yeni şifremizi yazıp devam ettikten sonra karşımıza yukarıdaki ekran gelecektir. Bu aşamada cihazın bir hesaba kayıt olması için seri numarasına sahip olması gerekmektedir ve bizden elimizde seri numarası olup olmadığını soran bölüm gelecektir. Seri numaramız olmadığı için ikinci seçenek olan
I don’t have a serial number (start a trial). kutucuğuna tıklayıp sistemin bize yeni bir seri numarası vermesini ve cihazın hangi hesap üzerine kayıt edileceğini soracak olan bölümün gelmesini bekleyeceğiz. Burada yine dikkat etmemiz gerek nokta ise, bu işlemin yapılabilmesi için daha önceki aşamalarda cihazın WAN yani internet hattı ayarlarının yapılmış olması gerekmektedir. Eğer cihaza internet bağlantısı yapmadıysanız
I do not want to register now kutucuğunu işaretleyip bu aşamayı atlayabilir ve kuruluma devam edebilirsiniz.
Cihaz arayüzüne bağlandıktan sonra kayıt işlemlerinin tamamlanması ve deneme lisanslarının aktif edilebilmesi için cihaz üzerinde WAN hattı tanımlamısı yapmamız gerekmektedir.
Bunun için Configure > Network > PortB üzerinde tıklayıp WAN hattı için gerekli IP tanımlamalarınızı gerçekleştirmeniz gerekmektedir.
Cihazınızın yapılandırmadan sonra başarılı bir şekilde internete erişebildiğini test etmek için,
Monitor& Analyze > Tools > Ping bölümüne 8.8.8.8 yazıp PING butonuna basarak internete doğru ping cevabı alıp almadığınızı kontrol edebilirsiniz.
3.Cihaz Kayıt işlemleri ve Lisans aktivasyonu
İnternet erişimi işlemlerinizi de tamamlandıktan sonra cihazın ilgili hesaba kaydı ve deneme lisanslarının aktif hale getirilebilmesi için,
System > Administration > Licensing bölümüne tıklıyoruz ve karşımıza yukarıdaki gibi bir ekran gelecektir. Bu aşamada “Click here” butonuna tıklayarak kayıt işlemlerimizi başlatacağız.
Sistem bizi daha önce cihaz kurulum aşamasında “I do not want register now” butonuna tıklayıp atladığımız ekrana geri yönlendirecek ve bu bölümde ikinci sırada bulunan “I don’t have a serial number (start a trial)” butonuna tıklayıp devam ediyoruz.
Bu aşamada karşımıza yukarıdaki ekran gelecektir. Sistem bize cihazı hangi hesaba kaydedeceğimizi soracaktır. İlk aşamada belirttiğimiz gibi https://id.sophos.com üzerinden açılacak olan hesap müşteri özelinde olacaktır ve her cihaz bu oluşturulan hesap altına kaydedilecektir.
Daha önce hesabı oluşturduğumuz için “Sign In” butonuna tıklayıp oluşturulan hesap bilgilerini yazarak cihazın kayıt işlemlerini tamamlıyoruz.
Eğer daha önce hesap oluşturmamışsak ve ilk defa bu işlemi yapacaksak, “Create Sophos ID“ bölümüne tıklayarak hem yeni bir hesap oluşturmuş hem de ilgili cihazı o hesap altına kaydetmiş oluyoruz.
Hesap bilgilerimi yazıp devam ettikten sonra systemin bize bir seri numarası atadığını ve cihazı hangi hesaba kaydedeceğini gösteren bir özet bölümü gelecektir , doğruluğundan emin olduktan sonra devam edebiliriz.
En son aşamada ilgili cihazınız için 30 günlük deneme lisansının otomatik olarak cihazınıza atanacağını gösteren özet bölümünü göreceğiz ve “Confirm Registration + Evaluation License” butonuna tıklayıp kayıt ve lisanlama işlemlerini de tamamlamış oluyoruz.