Sophos Red cihazları çoklu şubelerimiz ile merkezimiz arasında güvenli Layer 2 VPN bağlantıları kurulması için tasarlanmış ünitelerdir. Yönetim arayüzleri olmayan bu cihazlar Sophos XG Firewall üzerinde Virtual EthernetInterface yaratılarak yönetilmektedir.
Günümüz itibariyle RED15 ve RED50 olmak üzere iki ünitesi bulunan RED cihazları ismindende anlaşılacağı üzere 15 ve 50 kullanıcı kapasiteli lokasyonlara konumlandırmaktayız. RED10 ünitemiz 11/01/2015 tarihinde End-of-Sale (EoS), 01/01/2018 tarihinde ise End-of-Life (EoL) oldu ve yerine Migration olarak RED 15 ünitesi çıkarıldı.
Genel yapıya bakacak olursak;
* RED cihazlarının yönetim arayüzü bulunmamaktadır.
* RED cihazlar kaydedildikleri Sophos XG Firewall üzerinden yönetilmektedir.
* RED cihazları ile Sophos XG Firewall arasında oluşturulan Layer 2 VPN tünel AES-256 ile şifrelenmektedir.
* RED 15 Vlan Tagging desteklememektedir. Günümüz itibariyle sadece RED 50 ünitemiz VLAN desteklemektedir.
* RED cihazlarında lisans maliyeti bulunmamakla birlikte sadece 1 kez donanım maliyeti söz konusudur.
* RED cihazlarının üzerinde default olarak 1 yıllık üretici garantisi (Manufacturer’s Warranty) bulunmaktadır . Ürünün donanımsal garantisinin devam edebilmesi için Hardware-Warranty süresini 3 yıla kadar uzatabilirsiniz.
* RED cihazlarını kullanabilmeniz için Sophos XG Firewall üzerinde Network Protection Lisansınızın olması gerekmektedir. “Network Protection” Lisansı EnterpriseGuard, FullGuard ve FullGuard Plus Lisanslarınız altında bulunmaktadır. Detaylı bilgi için aşağıdaki linkte paylaştığım lisanslama modeline ve doğru ürün konumlandırma kılavuzlarına göz atmanızda fayda var.
https://www.firatmeray.com/sophos-xg-firewall-lisanslama-modeli/
https://www.firatmeray.com/sophos-xg-firewall-dogru-urun-konumlandirma/
* RED cihazlarının kullanmış olduğu RED-Tünel teknolojisi Sophos tarafından tescillenmiş ve OSI Layer 4 Transport katmanını kullanmaktadır.
* RED cihazını şubenizde bulunan Firewall arkasına konumlandırıyorsanız aşağıdaki TCP ve UDP servislerini RED cihazinin IP adresine doğru Port Forwarding(Yönlendirme) yapılmalı, RED cihazının ip adresi için RED_To Local & RED_To_Wan kural yazmalı ayrıca red.astaro.com adresine DNS Lookup sorgu izni verilmelidir.
RED 10: TCP 3400 + UDP 3400
RED 15: TCP 3400 + UDP 3410
RED 50: TCP 3400 + UDP 3410
TCP Port 3400 (Control Connection, using SSL, authenticated with mutual X509 cert check)
UDP Port 3410 (Encapsulated traffic, AES256 (enc), SHA1-HMAC (auth))
RED Çalışma Mantığı;
Sophos XG Firewall üzerinde bir RED ünitesi Virtual EthernetInterface olarak yapılandırıldığında, RED ID ve yapılandırma bilgileri Sophos Provisioning Server üzerinde senkronize bir şekilde tutulmaktadır. Böylelikle RED cihazları herhangi bir Network arkasına konumlandırıldığında yapılandırma dosyasını RED ünitesi otomatik olarak Sophos Provisioning Server üzerinden indirmektedir.
Yapılandırma dosyası aşağıdaki bilgileri içermektedir;
* Firewall IP Adresi
* WAN Uplink Mode (DHCP, Static IP)
* Eğer RED Static IP olarak yapılandırılmışsa (IP Address, Netmask, Default Gateway ve DNS server bilgisi)
* Tünel Çalışma Modu (Standard/Unified, Standard/Split, Transparent/Split)
* Unlock code
*** RED cihazlarını yapılandırmadan önce kullanacağımız VPN çalışma modunu (Standard/Unified, Standard/Split, Transparent/Split) belirlememiz gerekmektedir. Çalışma modunu belirledikten sonra önerim bir Excel listesi(Lokasyon Adı, Network, Red ID ve Unlock ID) tutmanız yönünde, böylelikle cihazları yapılandırdıktan sonra üzerlerine birer etiket vurup lokasyonlara kargolayabilirsiniz.
Sophos Red Çalışma Modları;
https://www.firatmeray.com/sophos-red-standard-split-mode-kurulumu/
https://www.firatmeray.com/sophos-red-standard-split-mode-kurulumu-bridge-network/
https://www.firatmeray.com/sophos-red-standard-unified-mode-kurulumu/
https://www.firatmeray.com/sophos-red-standard-unified-bridge-mode-kurulumu/
https://www.firatmeray.com/sophos-red-transparentsplit-kurulumu/
Sophos Red Teknik Özellikleri;
Umarım sizler için faydalı bir paylaşım olmuştur.
Fırat Meray | Network and Information Security Specialist