Sophos XG Firewall KLOG Server Kurulumu (VMware)

KLOG Server Nedir?

KLOG Server marka bağımsız 5651 yasasına uygun zaman damgası hizmeti sağlayan Syslog sunucusudur.

KLOG Server Linux(CentOS)
tabanlı bir yazılım olup VMware ve Microsoft Hyper-V sanallaştırma platformları üzerinde çalışmaktadır. Basitçe KLOG Virtual Appliance ile Step by Step kurulumlar yapabilirsiniz.

Sanallaştırma Platformları olmayan lokasyonlarda VMware Workstation veya Oracle VirtualBox üzerine KLOG Server kurulumu yapabilirsiniz.

Peki Neden KLOG Server?

* KLOG Server Linux tabanlıdır ve kurulumu Windows lisansı gerektirmez.
* Web tabanlı yönetim ekranına ve konsol bağlantısına sahiptir.
* Kurulum ve yapılandırması çok basittir.
* Log üreten cihazı otomatik olarak tespit eder ve log almaya başlar.
* Anlık log içeriği izleme ve loglarda arama özelliğine sahiptir.
* Loglama ve imzalama durumu Dashboard ekranından takip edilebilir.
* İhtiyaç durumunda imzalanmış loglar ve imza dosyaları web ara yüzden indirilebilir.
* İmzalanmış logları günlük olarak FTP sunucusuna veya paylaşılmış klasöre aktarılabilir.
* Çoklu yönetici veya bayi/müşteri yapısına sahiptir.
* Eposta yoluyla bildirim mekanizmasına sahiptir.

VMware Workstation & Oracle VirtualBox Indirme Linkleri

Workstation 15.5 Player Download
https://www.vmware.com/go/getplayer-win
https://www.vmware.com/go/getplayer-linux

VirtualBox 6.1.8
https://download.virtualbox.org/virtualbox/6.1.8/VirtualBox-6.1.8-137981-Win.exe
https://www.virtualbox.org/wiki/Linux_Downloads

KLOG Sanal Sunucu Indirme Linkleri;

VMware OVA kurulum linki: http://www.klogserver.com/download/klogserver.ova
Hyper-V kurulum linki: http://www.klogserver.com/download/klogserver.zip

Genel Özet;

Default IP: 10.10.56.51
Kullanıcı adı/Parola: admin/admin

KLOG Server imzalama, lisans kontrolü ve zaman senkronizasyonu aşamasında aşağıdaki adreslere bağlantı kurmaktadır. Bu adreslere doğru herhangi bir kısıtlama olmaksızın KLOG sunucusunun erişim sağlaması gerekmektedir.

klogserver.com (TCP 80 ve 443)
kamusm.gov.tr (TCP 80 ve 443)
zd.kamusm.gov.tr (TCP 80 ve 443)
googleapis.com (TCP 443)
google.com (TCP 80 ve 443)

*** Hyper-V KLOG kurulumu için aşağıdaki makaleme göz atmanızda fayda var.
https://www.firatmeray.com/sophos-xg-firewall-klog-server-kurulumu-hyper-v/

KLOG VMware Deployment;

indirmiş olduğumuz KLOG OVA sanal makinamızı VMware ESXI Hostumuza ESXI\Virtual Machines\Create Register VM diyerek import etmeliyiz.

Sophos XG Firewall, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, Sophos XG Firewall KLOG Server, fırat meray

Karşımıza çıkan ekranda Deploy a virtual machine from an OVF or OVA file diyerek ileri diyoruz.

Sophos XG Firewall, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, Sophos XG Firewall KLOG Server, fırat meray

Bu alanda import edeceğimiz sanal sunucuya bir isim verip indirdiğimiz OVA dosyamızı Drag and Drop ile yükleme alanına bırakıyoruz.

Sophos XG Firewall, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, Sophos XG Firewall KLOG Server, fırat meray
Sophos XG Firewall, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, Sophos XG Firewall KLOG Server, fırat meray

Sanal sunucumuzun barınacağı Datastoru seçiyoruz ve ileri diyoruz.

Sophos XG Firewall, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, Sophos XG Firewall KLOG Server, fırat meray

Karşımıza çıkan alanda KLOG Sunucumuzun atanacağı Virtual Ethernet Networkümüzü seçiyoruz.

Disk provisioning;

Thin: Seçerseniz ESXi Datastore üzerinde atanan alan kadar yer kaplamaz. Örneğin 250 GB alan atarsanız Datastore alanında sadece kullandığı kadarını rezerve eder. Loglar artmaya başlayınca verdiğimiz sınıra kadar yer işgal eder.

Thick: Seçerseniz ESXi Datastore üzerinde atanan alan kadar yer kaplar. Örneğin 250 GB alan atarsanız Datastore alanında hepsini rezerve eder.

Sophos XG Firewall, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, Sophos XG Firewall KLOG Server, fırat meray

Kullanmış olduğum ESXi üzerinde yer işgali olmaması için Thin olarak seçim yapıyorum.

Sophos XG Firewall, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, Sophos XG Firewall KLOG Server, fırat meray

Ayarlarımızı doğruladıktan sonra Finish diyerek import işlemini tamamlayabiliriz.

Sophos XG Firewall, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, Sophos XG Firewall KLOG Server, fırat meray

Bu aşamadan sonra OVF dosyamız import olacaktır. Recent tasks alanından ilerleyişi kontrol edebilirsiniz.

Sophos XG Firewall, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, Sophos XG Firewall KLOG Server, fırat meray
Sophos XG Firewall, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, Sophos XG Firewall KLOG Server, fırat meray

import aşamasından sonra sanal sunucumuzun genel durumunu üzerine tıklayarak kontrol edebilirsiniz.

Sophos XG Firewall, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, Sophos XG Firewall KLOG Server, fırat meray

Sunucumuzla aynı Networkte olan bir makine üzerinden KLOG sunucumuza erişmek için bilgisayarımıza IP tanımlaması yapıyoruz.

KLOG Default IP: 10.10.56.51
KLOG Kullanıcı adı/Parola: admin/admin

*** Not: Yayınlanan 2.4.1 sürümüyle birlikte artık VMWare Console üzerinden ip değiştirebilmekteyiz.

Sophos XG Firewall, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, Sophos XG Firewall KLOG Server, fırat meray

Default ip(10.10.56.51) üzerinden Sanal sunucumuzun Web arayüzüne erişim sağlayıp ilk iş olarak Network bilgilerimizi güncelliyoruz.

Sophos XG Firewall, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, Sophos XG Firewall KLOG Server, fırat meray

KLOG sunucumuza barınacağı Local veya Server Networkümüzden bir ip adresi verip uygula diyoruz.

Sophos XG Firewall, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, Sophos XG Firewall KLOG Server, fırat meray

Tanımlamış olduğumuz yeni IP üzerinden tekrardan KLOG Sunucumuza giriş sağlıyoruz.
Kullanıcı adı/Parola: admin/admin

Sophos XG Firewall, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, Sophos XG Firewall KLOG Server, fırat meray

Ve ilk iş olarak Admin Parolamızı ve Tarih Saat bilgilerimizi güncelliyoruz.

Sophos XG Firewall, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, Sophos XG Firewall KLOG Server, fırat meray

Eğer KLOGU Import ettiğiniz Host sunucusunun, KLOG Sanal Sunucunun ve KLOG’a bağlantı sağladığınız bilgisayarın Tarih&Saat bilgisi Türkiye saat dilimine uygun değilse Lisans update problemi yaşayabilirsiniz.

Sophos XG Firewall, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, Sophos XG Firewall KLOG Server, fırat meray

KLOG tarafındaki genel ayarları yaptıktan sonra Sophos XG Firewall üzerinde Configure\System Servies\Log settings\Add diyerek yeni bir Log sunucusu tanımlıyoruz.

Sophos XG Firewall, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, Sophos XG Firewall KLOG Server, fırat meray

Syslogları ileteceğimiz KLOG Sunucusunun ayarlarını aşağıdaki gibi tanımlıyoruz.

Sophos XG Firewall, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, Sophos XG Firewall KLOG Server, fırat meray

KLOG SYSLOG Sunucusuna sadece Firewall Loglarını iletiyoruz. Diğer alanları boş bırakıyoruz.

Sophos XG Firewall, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, Sophos XG Firewall KLOG Server, fırat meray

KLOG Server imzalama, lisans kontrolü ve zaman senkronizasyonu aşamasında aşağıdaki adreslere bağlantı kurmaktadır. Bu adreslere herhangi bir tarama olmadan KLOG sunucusunun erişim sağlaması gerekmektedir.

klogserver.com (TCP 80 ve 443)
kamusm.gov.tr (TCP 80 ve 443)
zd.kamusm.gov.tr (TCP 80 ve 443)
googleapis.com (TCP 443)
google.com (TCP 80 ve 443)

KLOG Server To Wan Rule

Sophos XG Firewall, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, Sophos XG Firewall KLOG Server, fırat meray

Yaptığımız ayarlardan sonra Sophos XG Firewall üzerinden geçen trafik loğlarını artık KLOG Servera doğru iletiyor olacağı için KLOG\Log Kaynakları\Yeni cihaz alanından Sophos XG Firewall Local Gateway IP adresini görebilirsiniz. Kullanmış olduğumuz cihazın Seri Numarasını ve üreticisini seçtikten sonra Ekle diyoruz.

Sophos XG Firewall, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, Sophos XG Firewall KLOG Server, fırat meray

Cihazı ekledikten sonra Log Kaynakları alanından Lisans durumunu sorgulayarak güncel lisansınızı indirebilirsiniz.

Sophos XG Firewall, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, Sophos XG Firewall KLOG Server, fırat meray

Gün sonu olarak KLOG Server üzerindeki loğları her gece 12’den sonra imzalıyor olacaktır. Imzalanan loğları Log Dosyaları alanından kontrol edebilirsiniz.

Sophos XG Firewall, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, Sophos XG Firewall KLOG Server, fırat meray

Opsiyonel işlem olarak KLOG sunucunuz için DNS sunucunuza Host kaydı atayabilirsiniz. Böylelikle isim üzerindende çözümleme yaptırabilirsiniz.

Sophos XG Firewall, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, Sophos XG Firewall KLOG Server, fırat meray

Local DNS sunucumuz üzerinde alan adımıza tıklayıp boş bir yere sağ tuş yapıp New Host (A or AAA) diyoruz.

Sophos XG Firewall, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, Sophos XG Firewall KLOG Server, fırat meray

Karşımıza çıkan New Host kaydında Name alanına Dashboard da yazan haliyle klogserver yazıp IP address kısmına ise tanımlamış olduğunuz KLOG Local IP bilgisini yazıp Add Host diyoruz.

Sophos XG Firewall, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, Sophos XG Firewall KLOG Server, fırat meray

Aşağıda görebileceğiniz üzere kaydımız eklendi artık domain ortamında çözümleme yapan herhangi bir makina üzerinden KLOG sunucumuza isim üzerinden çözümleme yapılabilir.

Not: DNS kaydı atmak çok gerekli bir işlem değil fakat eğer bir Monitoring yazılımı kullanıyorsanız ve DNS sunucudaki Host kayıtları üzerinden çözümleme yapıyorsanız bu işlemi yapmanızda fayda var. Monitoringde izleme işlemini IP üzerinden yapıyorsanız DNS kaydı atmanız gerekmemektedir.

Sophos XG Firewall, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, Sophos XG Firewall KLOG Server, fırat meray

KLog Server 2.4.1 Sürüm Notları (Yeni özellikler ve iyileştirmeler)

* Canlı log grafı ve dinamik dashboard.
* Canlı log izleme özelliği.
* Loglarda arama özelliği.
* Canlı işlemci ve bellek kullanımı grafiği.
* Cihaz bazında disk kullanımı grafıği.
* Web ara yüzünde diğer iyileştirilmeler.
* Konsol erişimi.
* Konsol üzerinden ağ ayarlarını görme ve güncelleme özelliği.
* Konsol üzerinden sorun giderme araçları (ping, traceroute, nslookup ve telnet).
* Konsol üzerinden sistem loglarını izleme özelliği.
* Konsol üzerinden var sayılan ayarlara dönme özelliği.
* Konsol üzerinden admin kullanıcının parolasını sıfırlama özelliği.

Çözülen bug’lar
* Bug D809889: Mac makinelerde bildirim mail’lerdeki gönderici adresi, root@localhost olarak gözüküyor.
* Bug D705313: Sistem yöneticileri’nin kullanıcı adı küçük/büyük harfe duyarlıdır.
* Bug D206626: Her iki DNS sunucusu tanımlandığında, dashboard’da DNS sunucu bilgisi gözükmüyor.
* Bug D747545: Mail sunucu ayarlarında bağlantı güvenliğini kapattığınız durumda bile, şifreleme aktif kalıyor.

Önemli uyarı

* Bu güncellemeden sonra admin kullanıcısının parolası admin olarak değiştirilecek. Güncelleme yaptıktan hemen sonra parolayı değiştiriniz.
* Güncelleme esnasında cihazın sertifikası yenilenecektir ve güncellemeden sonra geçersiz sertifika uyarısı alabilirsiniz.

Referanslar;
https://www.klogserver.com/

Umarım sizler için faydalı bir paylaşım olmuştur.
Fırat Meray | Network and Information Security Specialist