Sophos XG Firewall RIP Configuration with Web Interface & CLI Commands

Merhabalar,

Bu makalemde Sophos XG Firewall üniteleri arasında RIP yapılandırmasını anlatacağım fakat RIP çalışma mantığını kavrayabilmeniz için genel mimariye temelden giriş yapmamız gerekmektedir. Genel mimari hakkında bilgi sahibi olduktan sonra RIP yapılandırmasına Step by Step giriş yapacağız.

***Not: Dynamic Routing Protokollere tek bir makalede değinerek kafanızı karıştırmayacağım. Her protokolü ayrı bir makale içerisinde, otonom sistemler ile birlikte detaylı ele alacağım. Böylelikle yapacağım uygulamalarda Dynamic Protokoleri adım adım sizlere aktarıyor olacağım.

Bir önceki Dynamic Area makalelerime göz atmak için aşağıdaki linkleri kullanabilirsiniz;

Sophos XG Firewall BGP Configuration with Web Interface & CLI Commands
https://www.firatmeray.com/sophos-xg-firewall-bgp-yapilandirmasi/

Sophos XG Firewall OSPF Yapılandırması
https://www.firatmeray.com/sophos-xg-firewall-ospf-yapilandirmasi/

Sophos XG Firewall OSPF over GRE Tunnel
https://www.firatmeray.com/sophos-xg-firewall-ospf-over-gre-tunnel/

Sophos XG Firewall GRE Tunnel over IPsec with OSPF
https://www.firatmeray.com/sophos-xg-firewall-gretunnel-over-ipsec-with-ospf/

Bildiğiniz üzere Routerlar üzerinde farklı networkleri konuşturmak için Statik yönlendirmeler(Static Routing) yazmaktayız fakat İleride Networkümüzün büyüyeceğini varsayarsak Statik rotalar yazmamız işimizi karmaşık bir hale sokacaktır. Bu yüzden Dynamic Routing protokollerini kullanmaktayız.

Dynamic Routing Protokolleride kendi içerisinde ikiye ayrılır. Bunlar Interior Gateway Protocol(IGP) ve Exterior Gateway(EGP)

Sophos XG Firewall, Sophos XG Firewall RIP rip, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Interior Gateway Protocol(IGP): Veri paketleri aynı otonom sistem içerisinde aktarılacaksa Interior Gateway Protocols(IGP) kullanılır. IGP kullanan ağlar arasındaki iletişimin gerçekleşmesi için her iki ağın da aynı otonom sisteme ait olması gerekmektedir. Bu gruptaki otonom sistemleri Intra-AS(Autonomous System) olarak tanımlamaktayız.

Exterior Gateway(EGP): Veri paketlerini farklı Otonom Sistemler(AS) arasında aktarmak için kullanılır. Routerlar cihazların hangi otonom sisteme ait olduklarını o Networke atanan otonom sistem numarasından tanımlar. Farklı otonom sistemlerinin birleşimlerini Inter-AS(Autonomous System) olarak tanımlamaktayız.

Sophos XG Firewall, Sophos XG Firewall RIP rip, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Peki Otonom Sistem/Autonomous System(AS) Nedir?

Otonom Sistem kavramını aslında Internet Servis Sağlayıcılarının(ISP) kullanmış olduğu IP Network havuzları oluşturur. Otonom sistemlerde amaç IP ağlarının coğrafi konumlarına göre gruplara paylaşılması/bölünmesi ile IP ağlarının yönetimini kolaylaştırılması ve sınırların çizilmesi amacıyla kullanılır.

2007 yılına kadar tüm otonom sistem numaraları(ASN) 2-Byte 16 bit olarak ifade edilmekteydi. IPv4 adresleri gibi otonom sistem numaralarınında tükeneceğinden dolayı Internet Engineering Task Force (IETF) tarafından 4-Byte 32 bit destekli sistemlere geçilmesi önerildi.

2007 itibariyle 2-Byte ve 4-Byte‘lık bir ASN arasında bir ayrım yoktur ve tüm ASN‘ler 4-Byte 32 bit olarak kabul edilmektedir..

2-Byte 16 bit destekli otonom sistemler ile 65535 arasında değerler almaktaydı ve 64512 – 64534 arasında bulunan numaralar “Private Range” olarak rezerve edilmiştir.

4-Byte 32bit destekli sistemler ise ile 4294967295 arası değerler almaktadır. 4200000000 – 42949672 arasında bulunan numaralar “Private Range” olarak rezerve edilmiştir.

Eğer otonom sistemin başka bir otonom sisteme veya internete bağlanması gerekiyorsa Border Gateway Protocol‘ün manuel yapılandırılması gerekmektedir.

Autonomous System(AS) numaraları Internet Assigned Numbers Authority(IANA) tarafından Regional Internet Registries(RIRs) kuruluşlarına atanmaktadır. Yani bağlı bulunduğunuz bölgedeki ARIN, RIPE, Lacnic, AFRINIC ve APNIC gibi kuruluşlardan satın alınabilirler.

Türkiyede bulunan otonom sistem numalarına ve ip adreslerine aşağıdaki link yardımıyla ulaşabilirsiniz;
https://bgp.he.net/country/TR

Sophos XG Firewall, Sophos XG Firewall RIP rip, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Bölgesel İnternet Kayıt Merkezi (Regional Internet registry(RIR))

Sophos XG Firewall, Sophos XG Firewall RIP rip, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Yukarıdaki resmimize bakacak olursak Türkiye RIPE NCC bölgesine aittir. Kullanmış olduğum Static Public IP adresini sorguladığımda Türk Telekoma ait olduğunu görmekteyiz.

https://apps.db.ripe.net/db-web-ui/query?searchtext=

Sophos XG Firewall, Sophos XG Firewall RIP rip, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Yukarıdaki resmi incelediğimizde 78.188.0.0/17 bloğunun Türk Telekomun AS9121 otonom numarasına sahip Backbone Omurgasının arkasında olduğunu görebiliriz. Yani Türk TelekomRipe‘den aldığı 78.188.0.0/17Subnetini anons etmektedir.

https://bgp.he.net

Sophos XG Firewall, Sophos XG Firewall RIP rip, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

AS9121 otonom sisteminin hangi otonom sistemlere bağlantısının olduğunu ve durumunu aşağıdaki linkte kontol edebilirsiniz.

https://bgp.he.net/AS9121

Sophos XG Firewall, Sophos XG Firewall RIP rip, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray
Sophos XG Firewall, Sophos XG Firewall RIP rip, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Bildiğiniz üzere Türkiye‘nin direkt olarak Telecom Italia Sparkle – MedNautilus – Mediterranean Backbone hattına bağlantısı bulunmaktadır. Ayrıca Türkiyenin Mediterranean Backbone bağlantısı üzerinden dolaylı olarak European Backbone bağlantısıda bulunmaktadır.

***Not: STI(Sparkle Telecom Italia), Telecom Italia S.p.A iştiraki bir firmadır. Dünya çapında önde gelen bir küresel telekomünikasyon hizmeti sağlayıcısı olan Sparkle Telecom Italia, 2003 yılında kurulmuş. Firmanın faaliyet alanı özellikle AvrupaAkdeniz ve Latin Amerika bölgeleridir.

Türkiye’nin de bulunduğu İnternet omurgası, önemli backbone noktaları ve deniz altından geçen fiber optik kabloları gösteren haritalara aşağıdaki linklerden ulaşabilirsiniz

https://www.tisparkle.com/our-assets/global-backbonehttps://www.submarinecablemap.com/

Sophos XG Firewall, Sophos XG Firewall RIP rip, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

AS9121 Peerlarına bakacak olursak, AS9121 omurgasının Exchange Peerlar ile 100G bağlantısının olduğunu görebiliriz.

https://www.peeringdb.com/net/1367

Sophos XG Firewall, Sophos XG Firewall RIP rip, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Yeri gelmişken POP Location, TNAP ve VA kavramlarına değinmemizde fayda var;

Bildiğiniz üzere Internet Servis sağlayıcıları Metro Ethernet olmayan kurumunuza Fiber bağlantıyı en yakın POP (Point of Presence) noktasından çekmektedir. POP noktası VoIP teknolojisini kullanan internet operatörlerinin internet omurgasına doğrudan erişim sağladıkları ana erişim noktalarıdır.

Evlerinizde veya işyerlerinde telefon kablosu olduğu için Telekom DSL aktarmasını bina dışı kutunuzdan, sokak başındaki aktarma noktasına, oradan da en yakın santrale yapmaktadır. Detaylı bilgi için bir eski makalelerimeme göz atmanızda fayda var.

xDSL (Digital Subscriber Line) Teknolojisi Nedir?
https://www.firatmeray.com/xdsl-digital-subscriber-line-teknolojisi-nedir/

xDSL Hattınız için En Uygun MTU Değerini Bulma/Hesaplama
https://www.firatmeray.com/xdsl-hattinizin-en-uygun-mtu-degerini-bulma/

TNAP(Türkiye Network Altyapı Platformu) ise internet servis sağlayıcılarının kendi aralarındaki internet trafiğini yedekli ve aynı zamanda güvenli bir yol üzerinden taşıyarak kaliteyi arttırmak ve erişim sürelerini aza indirgemek hedefiyle Borusan TelekomDsmartGlobal İletişimGrid TelekomKoç.netSuperonline ve TurkNet gibi Türkiye’nin önde gelen 7 ISS’i tarafından kurulmuş olan bir oluşum. Kullanıcıların internet trafiği hızını, güvenliğini ve kalitesini arttıran bu platform özellikle Türkiye’deki internet trafiği yükünün paylaşılmasında önemli bir çözüm rolü üstleniyor

Sophos XG Firewall, Sophos XG Firewall RIP rip, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

VAE yani Veri Akışı Erişimi kelimesinin kısaltmasıdır. İnternet Servis Sağlayıcısı, yerleşik operatör ile Veri Akışı Erişimi (VAE) anlaşması gerçekleştirerek müşterilerini yeni bir erişim yöntemiyle internet hizmeti sağlamasıdır. Eğer bir İnternet servis sağlayıcı, bir bölgede kendi altyapısına sahip değilse başka bir operatörün altyapısını (Örn. Turk Telekom) kullanarak hizmet satar. Altyapıya sahip olan şirket, diğer ISS’ye Veri Akışı Erişimi sağlamış olur.

Sophos XG Firewall, Sophos XG Firewall BGP Configuration Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

*** Peki genel bilgilendirme sonrası asıl konumuza dönecek olursak;

RIP Nedir?

Routing Information Protocol (RIP) yani Türkçe karşılığıyla Yönlendirici Bilgi Protokolü, Distance Vector(uzaklık vektörü) algoritmasıyla çalışan ve yönlendirmeleri hesaplamak için Bellman-Ford algoritmasını kullanan bir protokoldür.

Bellman Ford Algoritması; En kısa yol bulma(Shortest Path Algorithm) algoritmalarından birisidir. Yapı olarak Dijkstra Algoritmasına benzemektedir. Yani Bellman Ford Algoritması A noktasından B noktasına gidelebilecek en kısa yolu hesaplamaktadır.

RIP yönlendiriciler, en iyi yol seçimini yaparken sadece geçtiği cihaz (hop) sayısına  bakar. RIP en fazla 15 hop’u kabul eder. Bu sayı aşıldığı zaman (yani 16. hopa gelince) destination unreachable (kaynak bulunamadı) hatasını verir.

Sophos XG Firewall, Sophos XG Firewall RIP rip, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray


# # # # # # # # # # # # # # # # EK BILGI # # # # # # # # # # # # # # # #

OSPF(Open Shortest Path First) IETF (Internet Engineering Task Force) tarafıdan geliştirilen ve Dijkstra – Shortest Path First(Önce En Kısa Yol) algoritmasını kullanan Link-State Routing protokolüdür.

Link-State Routing protokolünü kullanan Routerlar diğer Routerlardan öğrendikleri bilgiler sayesinde tüm ağın topoloji haritasını çıkarabilirler yani tüm ağ bilgisine sahiptirler.

OSPF’te en kısa yol seçilirken Coast(maliyet) hesabı yapılır. Aşağıdaki Dijkstra Algoritmasını temsil eden şeklimize bakacak olursak A(0) noktasından B(5) noktasına erişmek istersek, maliyet olarak en kısa yol 0 – 7 – 6 – 5 geçildiğinde toplamı 11 maliyete sahip olan yoldur.

Bu yüzden OSPF‘te en iyi yol, en düşük maliyetli yoldur.

Sophos XG Firewall, Sophos XG Firewall RIP rip, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

# # # # # # # # # # # # # # # # EK BILGI # # # # # # # # # # # # # # # #

RIP, yönlendirici cihazların tablosunda Administrative Distance (Yönetim Mesafesi) değeri 120’dir

Administrative distance : Router’larımız birden fazla yönlendirme protokolü çalıştırıyorsa bu değere göre hangi protokole güvenileceğine karar verilir.Bu değerin düşük olması güvenin(kararlılığın) yüksek olması anlamına gelir.

Sophos XG Firewall, Sophos XG Firewall RIP rip, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

RIP mesajları kapsüle edilmiş şekilde UDP (User Datagram Protocol – Kullanıcı Datagramı Protokolü) segmentinde 520’nci porttan yollanır. RIP kullanan yönlendiriciler, 30 saniyelik döngüler halinde komşu yönlendiricilere tüm routing (yönlendirme) tablosunu gönderir.

Sophos XG Firewall, Sophos XG Firewall RIP rip, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

RIP, version 1 ve version 2 olmak üzere 2 gruptan oluşur.

RIP version 1, classfull (sınıfsal) bir protokoldür. Versiyon 1 subnetmask (alt ağ maskesi) göndermeyen, A, B, C,D sınıflarına göre çalışan bir protokoldür.

RIP versiyon2 ise classless bir protokoldür ve güncelleme bilgilerinde subnetmaski de taşır.

Sophos XG Firewall, Sophos XG Firewall RIP rip, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

VPN Türleri ve Referans Modelleri;

Sophos XG Firewall, Sophos XG Firewall RIP rip, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Aşağıdaki şemamıza bakacak olursak Sophos XG Firewall ünitelerimiz arasında RIP Zone yaratılarak komşuluk ilişkisi kuracağız.

Sophos XG Firewall, Sophos XG Firewall RIP rip, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

HQ Firewall Config

Öncelikle en doğru yapılandırma olarak RIP alanımız için Configure\Network\Zones\Add diyerek yeni bir Zone tanımlaması yapmalıyız.

Sophos XG Firewall, Sophos XG Firewall RIP rip, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Karşımıza çıkan ekranda alanımıza bir isim verip bu alandan erişim sağlanabilecek servis(DNS, PING, SSH) izinlerini veriyoruz. Burada en önemli nokta RIP komşuluk ilişkisi için tanımlayacağımız alana Dynamic Routing erişim izni vermelisiniz.

Erişim izinlerinden sonra alanımızı kaydediyoruz.

Sophos XG Firewall, Sophos XG Firewall RIP rip, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Yaptığımız ayarlardan sonra Zone görüntümüz aşağıdaki gibi olacaktır.

Sophos XG Firewall, Sophos XG Firewall RIP rip, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Sıra geldi RIP tarafına bakacak Interface arayüzüne ip atamaya. Uygulamamız gereği üniteler 8. Portlardan birbirine bağlı. Bu nedenle Port 8 üzerine tıklayıp içerisine giriş yapıyoruz.

Sophos XG Firewall, Sophos XG Firewall RIP rip, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Karşımıza çıkan ekranda önemli nokta Network Zone olarak oluşturmuş olduğumuz RIP_Zonu seçmeliyiz.
Interface için doğru zonu seçtikten sonra interface ip adresini 220.218.140.10 olarak tanımlayıp ayarlarımızı kaydediyoruz.

Sophos XG Firewall, Sophos XG Firewall RIP rip, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Yaptığımız IP tanımlama ayarlarından sonra Interfaces görüntümüz aşağıdaki gibi olacaktır.

Sophos XG Firewall, Sophos XG Firewall RIP rip, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Sıra geldi RIP tanımlamalarını yapmaya;

Cihazlarım Directly olarak bağlı olduğu için Default Metric değerini 1 olarak bırakıyorum.

Yukarıda belirttiğim gibi RIP AD değeri 120 olduğu için AD değeriylede oynamıyoruz. Gönderilen ve alınan paketler için RIPv2 kullanacağım.

Update, Timeout, Garbage değerleri default aşağıdaki gibidir;

Update: 30 saniyelik döngüler halinde komşu yönlendiricilere tüm routing (yönlendirme) tablosunu gönderilecektir.

Timeout: Gönderilen update paketinde zaman aşımı süresi 180 saniye olduğunda, rota artık geçerli değildir fakat komşuların rotanın düşürüldüğü konusunda bilgilendirilebilmesi için yönlendirme tablosunda kısa bir süre tutulur.

Garbage: 30 saniyelik gönderilen Update paketi 180 saniye sonunda zaman aşımına(Timeout) uğrayacaktır. Rota bu durumda artık geçerli olmamakla birlikte yönlendirme tablosunda tutulacaktır. Garbage 120 saniye sonucunda beklemekte olan bu paket tamamen Routing Tablosundan silinecektir.

Sophos XG Firewall, Sophos XG Firewall RIP rip, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

RIP Networks alanına HQ Firewall arkasında bulunan 192.168.10.0/24 Local Networkümüzü ve 220.218.140.0/24 RIP Networkümüzü tanımlıyoruz.

Override Interface Configuration alanından ise gelen paketleri kimlik doğrulamaya tabi turuyoruz.

Sophos XG Firewall, Sophos XG Firewall RIP rip, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

RIP Zonuma bakan network Port 8 olduğu için Port 8 ethernet arayüzümüzü seçip gelen giden paketler için V2 olarak seçiyorum.

Split horizon; bir interface arayüzünden öğrenilen rota bilgisinin aynı interface arayüzünden geri gönderilmesini engeller.

Authentication alanına bir şifre tanımlaması yapıp ayarlarımızı kaydediyoruz.

Sophos XG Firewall, Sophos XG Firewall RIP rip, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Yaptığımız ayarlardan sonra RIP Field görüntümüz aşağıdaki gibi olacaktır.

Sophos XG Firewall, Sophos XG Firewall RIP rip, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

CLI üzerinden RIP tanımlamak için aşağıdaki komutları kullanabilirsiniz.;

RIP CLI Configuration
CLI\3.Route Configuration\1.Configure Unicast Routing\1.Configure RIP

enable
configure terminal
hostname HQ_Rip
router rip
version 2
network 192.168.10.0/24
network 220.218.140.0/24
distance 120
interface Port8
ip rip send version 2
ip rip receive version 2
ip rip authentication mode text
ip rip authentication string 12345678
end
write

Sophos XG Firewall, Sophos XG Firewall RIP rip, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

RIP tanımlamasını yaptıktan sonra RIP Arealar arkasında bulunan Networklerin birbirine erişebilmesi için erişim kurallarımızı yazıyoruz.

RIP IN Rule

Sophos XG Firewall, Sophos XG Firewall RIP rip, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

RIP Out Rule

Sophos XG Firewall, Sophos XG Firewall RIP rip, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Yazdığımız Firewall kurallarından sonra Rule Set görüntümüz aşağıdaki gibi olacaktır.

Sophos XG Firewall, Sophos XG Firewall RIP rip, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Cihazların RIP üzerinden komşuluk ilişkisi kurulabilmesi için RIP_Zone alanına Dynamic RoutingSSHPing ve DNS izni vermiştik. Tekrardan ayarlarımızın doğruluğunu teyit ediyoruz. Burada en önemli nokta paketlerin haberleşebilmesi için Dynamic-Routing alanının RIP_Zone için enable olması gerekmektedir.

Sophos XG Firewall, Sophos XG Firewall RIP rip, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Sıra geldi BO Firewall RIP yapılandırmasına;

BO Firewall Config

HQ Firewall ünitemizde olduğu gibi öncelikle en doğru yapılandırma olarak RIP alanımız için Configure\Network\Zones\Add diyerek yeni bir Zone tanımlaması yapmalıyız.

Sophos XG Firewall, Sophos XG Firewall RIP rip, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Karşımıza çıkan ekranda alanımıza bir isim verip bu alandan erişim sağlanabilecek servis(DNS, PING, SSH) izinlerini veriyoruz. Burada en önemli nokta RIP komşuluk ilişkisi için tanımlayacağımız alana Dynamic Routing erişim izni vermelisiniz.

Erişim izinlerinden sonra alanımızı kaydediyoruz.

Sophos XG Firewall, Sophos XG Firewall RIP rip, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Yaptığımız ayarlardan sonra Zone görüntümüz aşağıdaki gibi olacaktır.

Sophos XG Firewall, Sophos XG Firewall RIP rip, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Sıra geldi RIP tarafına bakacak Interface arayüzüne ip atamaya. Uygulamamız gereği üniteler 8. Portlardan birbirine bağlı. Bu nedenle Port 8 üzerine tıklayıp içerisine giriş yapıyoruz.

Sophos XG Firewall, Sophos XG Firewall RIP rip, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Karşımıza çıkan ekranda önemli nokta Network Zone olarak oluşturmuş olduğumuz RIP_Zonu seçmeliyiz.
Interface için doğru zonu seçtikten sonra interface ip adresini 220.218.140.20 olarak tanımlayıp ayarlarımızı kaydediyoruz.

Sophos XG Firewall, Sophos XG Firewall RIP rip, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Yaptığımız IP tanımlama ayarlarından sonra Interfaces görüntümüz aşağıdaki gibi olacaktır.

Sophos XG Firewall, Sophos XG Firewall RIP rip, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Sıra geldi RIP tanımlamalarını yapmaya;

Cihazlarım Directly olarak bağlı olduğu için Default Metric değerini 1 olarak bırakıyorum.

Yukarıda belirttiğim gibi RIP AD değeri 120 olduğu için AD değeriylede oynamıyoruz. Gönderilen ve alınan paketler için RIPv2 kullanacağım.

Update, Timeout, Garbage değerleri default aşağıdaki gibidir;

Update30 saniyelik döngüler halinde komşu yönlendiricilere tüm routing(yönlendirme) tablosunu gönderilecektir.

Timeout: Gönderilen update paketinde zaman aşımı süresi 180 saniye olduğunda, rota artık geçerli değildir fakat komşuların rotanın düşürüldüğü konusunda bilgilendirilebilmesi için yönlendirme tablosunda kısa bir süre tutulur.

Garbage:30 saniyelik gönderilen Update paketi 180 saniye sonunda zaman aşımına(Timeout) uğrayacaktır. Rota bu durumda artık geçerli olmamakla birlikte yönlendirme tablosunda tutulacaktır. Garbage 120 saniye sonucunda beklemekte olan bu paket tamamen Routing Tablosundan silinecektir.

Sophos XG Firewall, Sophos XG Firewall RIP rip, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

IP Networks alanına HQ Firewall arkasında bulunan 192.168.20.0/24 Local Networkümüzü ve 220.218.140.0/24 RIP Networkümüzü tanımlıyoruz.

Override Interface Configuration alanından ise gelen paketleri kimlik doğrulamaya tabi turuyoruz.

Sophos XG Firewall, Sophos XG Firewall RIP rip, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

RIP Zonuma bakan network Port 8 olduğu için Port 8 ethernet arayüzümüzü seçip gelen giden paketler için V2 olarak seçiyorum.

Split horizon; bir interface arayüzünden öğrenilen rota bilgisinin aynı interface arayüzünden geri gönderilmesini engeller.

Authentication alanına bir şifre tanımlaması yapıp ayarlarımızı kaydediyoruz.

Sophos XG Firewall, Sophos XG Firewall RIP rip, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Yaptığımız ayarlardan sonra RIP Field görüntümüz aşağıdaki gibi olacaktır.

Sophos XG Firewall, Sophos XG Firewall RIP rip, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray
CLI üzerinden RIP tanımlamak için aşağıdaki komutları kullanabilirsiniz.;
RIP CLI Configuration
CLI\3.Route Configuration\1.Configure Unicast Routing\1.Configure RIP

enable
configure terminal
hostname BO_Rip
router rip
version 2
network 192.168.20.0/24
network 220.218.140.0/24
distance 120
interface Port8
ip rip send version 2
ip rip receive version 2
ip rip authentication mode text
ip rip authentication string 12345678
end
write

Sophos XG Firewall, Sophos XG Firewall RIP rip, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

RIP tanımlamasını yaptıktan sonra RIP Arealar arkasında bulunan Networklerin birbirine erişebilmesi için erişim kurallarımızı yazıyoruz.

RIP IN Rule

Sophos XG Firewall, Sophos XG Firewall RIP rip, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

RIP Out Rule

Sophos XG Firewall, Sophos XG Firewall RIP rip, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Yazdığımız Firewall kurallarından sonra Rule Set görüntümüz aşağıdaki gibi olacaktır.

Sophos XG Firewall, Sophos XG Firewall RIP rip, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Cihazların RIP üzerinden komşuluk ilişkisi kurulabilmesi için RIP_Zone alanına Dynamic RoutingSSHPing ve DNS izni vermiştik. Tekrardan ayarlarımızın doğruluğunu teyit ediyoruz. Burada en önemli nokta paketlerin haberleşebilmesi için Dynamic-Routing alanının RIP_Zone için enable olması gerekmektedir.

Sophos XG Firewall, Sophos XG Firewall RIP rip, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

| CLI Outputs |

+++ Ping Test +++

Sophos XG Firewall, Sophos XG Firewall RIP rip, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray
Sophos XG Firewall, Sophos XG Firewall RIP rip, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

+++ Dump Check +++

CLI\5. Device Management\3. Advanced Shell
tcpdump ‘port 520’
tcpdump ‘proto ICMP’
tcpdump -nei any host 192.168.10.7

Sophos XG Firewall, Sophos XG Firewall RIP rip, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray
Sophos XG Firewall, Sophos XG Firewall RIP rip, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

+++ RIP Show Commands +++

CLI\3.Route Configuration\1.Configure Unicast Routing\1.Configure RIP
show version
show ip rip
show ip rip status

Sophos XG Firewall, Sophos XG Firewall RIP rip, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

+++ Show Config +++

CLI\3.Route Configuration\1.Configure Unicast Routing\1.Configure RIP
enable
configure terminal
show running-config
show startup-config

Sophos XG Firewall, Sophos XG Firewall RIP rip, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

+++ Debug Commands +++

CLI\3.Route Configuration\1.Configure Unicast Routing\1.Configure RIP
enable
debug rip events
debug rip packet
terminal monitor

Sophos XG Firewall, Sophos XG Firewall RIP rip, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Genel Config Özet

##### Advanced TCP Dump Commands #####

CLI\5. Device Management\3. Advanced Shell
tcpdump ‘port 520’
tcpdump ‘proto ICMP’
tcpdump -nei any host 192.168.10.7

##### RIP Show Commands #####

CLI\3.Route Configuration\1.Configure Unicast Routing\1.Configure RIP
show version
show ip rip
show ip rip status

CLI\3.Route Configuration\1.Configure Unicast Routing\1.Configure RIP
enable
configure terminal
show running-config
show startup-config

##### Debug Commands #####

CLI\3.Route Configuration\1.Configure Unicast Routing\1.Configure RIP
enable
debug rip events
debug rip packet
terminal monitor

##### RIP CLI Configuration #####

CLI\3.Route Configuration\1.Configure Unicast Routing\1.Configure RIP

+++ HQ CLI Config +++
enable
configure terminal
hostname HQ_Rip
router rip
version 2
network 192.168.10.0/24
network 220.218.140.0/24
distance 120
interface Port8
ip rip send version 2
ip rip receive version 2
ip rip authentication mode text
ip rip authentication string 12345678
end
write

+++ BO CLI Config +++
enable
configure terminal
hostname BO_Rip
router rip
version 2
network 192.168.20.0/24
network 220.218.140.0/24
distance 120
interface Port8
ip rip send version 2
ip rip receive version 2
ip rip authentication mode text
ip rip authentication string 1234567end
write

##### Delete Config #####

CLI\3.Route Configuration\1.Configure Unicast Routing\1.Configure RIP

+++ HQ CLI Config +++
enable
configure terminal
no hostname HQ_Rip
no router rip
no network 192.168.10.0/24
no network 220.218.140.0/24
interface Port8
no ip rip send version 2
no ip rip receive version 2
no ip rip authentication mode text
no ip rip authentication string
end
write

+++ BO CLI Config +++
enable
configure terminal
no hostname BO_Rip
no router rip
no network 192.168.20.0/24
no network 220.218.140.0/24
interface Port8
no ip rip send version 2
no ip rip receive version 2
no ip rip authentication mode text
no ip rip authentication string
end
write

##### Disable Debug #####

CLI\3.Route Configuration\1.Configure Unicast Routing\1.Configure RIP
enable
no debug rip events
no debug rip packets
end
write

Referanslar;
https://community.sophos.com/kb/en-us/132891
https://bilgiguvenligi.saglik.gov.tr/Haberler/Detay/54/gerceklesen-en-buyuk-ddos-saldirisi-ve-memcahce-zafiyeti
https://radore.com/blog/radore-tnap-ve-stiseabone-omurgalarina-baglandi.html
https://fullnet.com.tr/faq-items/vae-nedir/

Umarım sizler için faydalı bir paylaşım olmuştur.
Fırat Meray | Network and Information Security Specialist