Selamlar. Bu makalede mevcut bir Active Directory ortamını Sophos XG Firewall‘a entegre edeceğiz. Daha önceki Sophos kullanım örneği makalelerinde kullandığım GNS3 yapısına benzer bir yapıyı bu anlatımda da kullanacağım. Ancak bu sefer topolojiyi EVE-NG Community Edition‘da kurmayı tercih ettim.
Topolojimiz görseldeki gibi olacak.
- İçerde tek bir network kullanacağım.
- Sophos’u yönetmek için Management PC bağladım.
- sistemdesk.local isimli bir domain ortamı var
- PERSONEL ve YONETIM departmanları Sophos’dan IP alıyor. 172.16.16.30 ile 172.16.16.254 arasını dağıtacak şekilde DHCP’yi yapılandırdım.
- Departmanların internete çıkabilmesi için Rule oluşturdum.
Şimdi Active Directory yapısını Sophos’a entegre edeceğiz.
MGMT PC’den Sophos arayüzüne bağlanıp Administration kısmında Device Access sekmesine geliyoruz. Burada LAN zone’u için Client Authentication‘ın işaretli olduğundan emin oluyoruz.
Şimdi Domain Controller’ı Sophos’a tanıtalım. Solda Authentication‘a gelip Servers sekmesine geliyoruz ve Add diyoruz.
Açılan pencerede DC ile ilgili bilgileri giriyoruz. Connection security kısmında SSL/TLS seçmeniz için DC’de sertifika oluşturmanız ve LDAP’a tanıtmanız gerekiyor. Şimdilik bu adımı atlıyorum ve plaintext seçiyorum. Search queries kısmında ise Add butonuna basıp görseldeki gibi domain’imi yazıyorum. Test connection‘a tıkladığımızda successful diyorsa tamamdır. Burayı Save’liyoruz.
Domain controller şu an Servers kısmına geldi. Services sekmesine gelip Firewall authentication method kısmında DC’yi üste alıyoruz.
Şimdi Active Directory gruplarını import edelim. Tekrar servers sekmesine gelip import butonuna basıyoruz.
Active Directory’deki grupları seçiyoruz ve wizardı kapatıyoruz.
Groups sekmesi altında eklediğimiz grupların geldiği görebiliriz fakat grupdaki userlar henüz gözükmüyor. Bu kurulum bittikten sonra Domain userları domaine ilk giriş yaptıklarında buraya eklenecekler.
STAS’ı enable edelim ve Collector server görevini yapacak olan DC’nin IP’sini yazalım. Collector olarak ayrı bir makine kullansaydık buraya onun IP’sini yazacaktık ama bu yapıda STAS Agent ve Collector olarak DC’yi kullanıyorum.
User’ların domaine giriş yaptığında 4768 no’lu bir Event ID oluşmasını sağlamam gerekiyor. Çünkü STAS bu ID’yi okuyup bize giriş yapan kullanıcıları gösterecek.
Bunun için DC’de Group Policy’ye girelim ve şu yolu takip edelim.
Administrative tools –> Group policy management –> forest (…) –> domains –> sistemdesk.local –> Default domain policy’ye sağ tıklayıp Edit diyoruz.
Açılan Group Policy Management Editor’de şu yolu açıyoruz:
Computer configuration –> policies –> Windows settings –> Security settings –> Windows firewall with advanced security –> tekrar Windows firewall with advanced security –> Inbound rules
Inbound Rules”da sağ tıklayıp yeni bir kural oluşturalım. Burada Windows management instrumentation(WMI) seçiyoruz.
Aynı pencerede şurayı açalım:
Computer configuration –> policies –> Windows settings –> Security settings –> Local Policies –> Audit Policy
Burada Audit account logon events‘i Success ve Failure olarak işaretleyelim.
Advanced audit policy configuration –> Audit policies –> Account logon kısmında Audit kerberos authentication service‘e tıklayalım ve bunu da succes ve failure olarak işaretleyelim.
Aynı yerde Logon/Logoff”a tıklayıp Audit logon‘u yine Success ve Failure işaretleyelim.
gpupdate /force diyerek yaptığımız değişiklikleri uyguluyoruz.
Şu komutlarla az önce yaptığımız policyleri kontrol edebiliriz:
auditpol.exe /get /category:”Logon/Logoff”
auditpol.exe /get /category:”Account Logon”
Eğer DC’de 4768 no’lu log oluşmassa STAS Agent kullanıcı aktivitesini algılayamaz. Onu da kontrol edelim. Personel user’ı domainde oturum açtığında Windows Event Viewer’a bakıyoruz.
DC’de Windows Firewall izinlerini ayarlayalım.
inbound traffic to TCP port 5566, and UDP port 6677
outbound traffic to UDP port 6060
Şimdi Sophos’da STAS yazılımını indirelim ve DC’ye atalım.
Kurulumunu yapalım. Agent ve collector DC’de olacağı için Suite olarak kuruyorum.
STAS’ı admin olarak açalım. Burada domeinimize ait NETBIOS ve FQDN’i girelim.
STA Agent sekmesine geliyoruz. STA Agent zaten DC’de çalışacağı için. buraya ip girmiyorum. Monitored networks kısmını editleyerek domaine giriş çıkışların .takip edileceği networku yazıyoruz. Tek bir IP bloğumuz var demiştik. 172.16.16.0/24 giriyoruım.
STA collector sekmesinde Sophos Appliances sekmesinde Sophos cihazımızın iç network ipsini giriyoruz.
Exclusion List sekmesinde Login logoff takibinin dışında tutmak istediğimiz user, IP yada networkler varsa yazabiliriz. Burayı boş bırakıyorum.
Log dosya boyutunu 25 MB yapalım. Altta bağlantıları IP girerek test edebiliriz. Apply diyelim ama pencereyi kapatmayalım. DC’deyiz. services.msc açıyoruz ve Sophos Transparent Authentication Suite servisini açıp Logon sekmesinde tekrar admin parolasını giriyoruz. OK dediğimizde bir uyarı çıkacak bunu da onaylayıp STAS programına dönüyoruz. General sekmesinde Start butonu ile çalıştırıyoruz.
Şimdi deneme yapalım. Personel domain user’ı ile giriş yapıyorum. Daha sonra hem STAS‘daki Advanced sekmesindeki Show Live users kısmından hem de Sophos panelindeki Current Activities kısmından kontrol ettiğimde domaine giriş yapan kullanıcıları görebiliyorum.
Personel grubuna internete erişim verelim.
Current Activities –> Live connections altında username bazlı tabloya baktığınızda kullanıcının internette nerelere girip çıktığını görebilirsiniz.
Böylece Sophos’da Active Directory entegrasyonunu tamamlamış olduk. Bir sonraki makalede görüşmek üzere. Hoşçakalın.
Leave A Comment