Sophos ile 5651 Loglama Nasil Yapilir? Kurulum Rehberi

Sophos firewall kullanan isletmeler icin 5651 sayili kanuna uyumlu log yonetimi hayati onem tasimaktadir. Bu rehberde, Sophos XGS ve XG serisi cihazlarinizdan Subgate Network'e syslog aktarimi yaparak yasal uyumluluk surecini nasil tamamlayabileceginizi adim adim ele aliyoruz.

1. Sophos XGS/XG Firewall Nedir?

Sophos, kurumsal ag guvenligi alaninda dunya capinda yaygin sekilde tercih edilen bir ureticidir. Sophos XGS serisi yeni nesil firewall cihazlari ve bir onceki nesil XG serisi, isletmelerin ag trafiklerini yonetmesine, tehditlere karsi korunmasina ve kullanici erisimlerini denetlemesine olanak tanir.

Sophos firewall'larin sundugu temel ozellikler arasinda uygulama kontrolu, web filtreleme, saldiri onleme sistemi (IPS), VPN destegi ve detayli loglama altyapisi yer almaktadir. Ozellikle loglama ozelligi, 5651 sayili kanuna uyumluluk acisindan kritik bir avantaj saglar.

2. 5651 Sayili Kanun ve Sophos Uyumlulugu

5651 sayili kanun, internet erisimi saglayan tum kurum ve isletmelerin kullanici erisim loglarini tutmasini, bu loglari en az 2 yil saklamasini ve gerektiginde yetkili makamlara sunabilmesini zorunlu kilmaktadir.

Sophos firewall cihazlari, agdan gecen tum trafik hakkinda detayli log uretme kapasitesine sahiptir. Ancak bu loglarin tek basina Sophos uzerinde saklanmasi yeterli degildir. Kanun geregi loglarin bagimsiz bir sistemde arsivlenmesi, dijital olarak imzalanmasi ve butunlugu bozulmadan muhafaza edilmesi gerekmektedir.

Bu noktada Sophos'un urettigi loglari Subgate Network gibi bir merkezi log yonetim platformuna aktarmak, yasal uyumluluk surecinin temel adimini olusturur.

3. Sophos'tan Subgate'e Syslog Gonderimi

Sophos firewall'dan Subgate'e log aktarimi, syslog protokolu uzerinden gerceklestirilir. Syslog, ag cihazlarinin log mesajlarini merkezi bir sunucuya gondermek icin kullandigi standart bir protokoldur.

Yapilandirma adimlari

1. Sophos yonetim paneline giris yapin. Web tarayicinizdan Sophos XGS/XG cihazinizin yonetim arayuzune erisin.
2. System Services > Log Settings bolumune gidin.
3. Syslog Servers alaninda "Add" butonuna tiklayarak yeni bir syslog hedefi ekleyin.
4. Subgate sunucunuzun IP adresini ve port numarasini (varsayilan: 514) girin.
5. Facility ve Severity Level ayarlarini yapilandirin. Tum log kategorilerini (Firewall, Web Filter, IPS, Authentication) secmeniz tavsiye edilir.
6. Degisiklikleri kaydedin ve test loglari gondererek baglantinin saglandigini dogrulayin.

4. Port 514 Konfigurasyonu

Syslog iletisimi varsayilan olarak UDP port 514 uzerinden gerceklesir. Bu portu yapilandirirken dikkat edilmesi gereken bazi noktalar bulunmaktadir:

• Firewall kurallari: Sophos cihazi ile Subgate sunucusu arasinda port 514 (UDP) trafikine izin veren bir kural tanimlanmalidir.
• Ag segmentasyonu: Eger Subgate sunucusu farkli bir VLAN veya alt agda bulunuyorsa, yonlendirme kurallarinin dogru yapilandirildigindan emin olun.
• TCP alternatifi: Daha guvenilir iletim icin TCP port 514 de tercih edilebilir. TCP kullanimi, log kayiplarini onlemeye yardimci olur.
• TLS sifreleme: Hassas ortamlarda syslog iletisiminin TLS uzerinden sifrelenmeleri saglanabilir (port 6514).

5. Sophos Captive Portal ve Subgate Entegrasyonu

5651 sayili kanun, internet kullanan kisilerin kimlik bilgilerinin kayit altina alinmasini gerektirmektedir. Sophos cihazlarinin sundugu captive portal ozelligi, kullanicilarin internete erismeden once bir dogrulama adimini tamamlamasini saglar.

Sophos uzerinde captive portal yapilandirildiginda kullanicilar, Wi-Fi agina baglandiktan sonra bir karsilama sayfasiyla karsilanir. Bu sayfada TC kimlik numarasi, telefon numarasi veya e-posta adresi gibi bilgilerle giris yapmalari istenebilir.

Subgate ile entegre calistiginda bu surec daha da guclenmektedir:

• Kimlik dogrulama verileri Subgate tarafinda guvenli sekilde arsivlenir.
• Captive portal uzerinden girilen bilgiler, syslog kayitlariyla otomatik olarak eslestilir.
• Hangi kullanicinin, hangi zaman araliginda, hangi siteleri ziyaret ettigi tek bir panelden sorgulanabilir hale gelir.
• SMS veya e-posta dogrulama ile cift katmanli kimlik teyidi uygulanabilir.

6. Otomatik Imzalama: SelfSign ve KamuSM

Loglarin toplanmasi ve saklanmasi tek basina yeterli degildir. 5651 sayili kanun uyarinca log dosyalarinin degistirilmedigini kanitlayacak bir butunluk mekanizmasi gereklidir. Bu gereklilik, dijital imzalama ile karsilanmaktadir.

Subgate Network, Sophos'tan alinan loglari varsayilan olarak SelfSign ile gunluk otomatik sekilde imzalar. KamuSM hesabiniz varsa, Syslog Ayarlar sayfasindan KamuSM bilgilerinizi girerek resmi TUBITAK KamuSM imzalamasi da yapabilirsiniz. Her iki yontem de yasal gecerliligi sahiptir.

Otomatik imzalama surecinin avantajlari:

• Her gun belirlenen saatte loglar otomatik olarak paketlenir ve imzalanir.
• Imzalama islemlerinin durumu kontrol panelinden izlenebilir.
• Basarisiz imzalama denemelerinde otomatik bildirim gonderilir.
• Imzali log arsivleri en az 2 yil sureyle guvenli depolamada saklanir.

7. Raporlama ve Log Analizi

Subgate Network, Sophos'tan toplanan loglari sadece saklamakla kalmaz; ayni zamanda anlamli verilere donusturur. Raporlama modulu sayesinde ag trafiginizi cok yonlu olarak analiz edebilirsiniz:

• Kullanici bazli raporlar: Her kullanicinin internet kullanim detaylari, eristigi siteler ve baglanti sureleri.
• Uygulama analizi: Agda en cok kullanilan uygulamalar ve bant genisligi tuketimi.
• Guvenlik olaylari: IPS alarmlari, engellenen siteler ve potansiyel tehditler.
• Zaman bazli istatistikler: Gunluk, haftalik ve aylik erisim trendleri.
• PDF rapor olusturma: Yetkili makamlara veya yonetime sunulmak uzere hazir formatlarda rapor indirme imkani.

Bu raporlar, yalnizca yasal zorunluluklari karsilamak icin degil, ag altyapinizi optimize etmek ve guvenlik aciklarina proaktif yaklasim gelistirmek icin de degerli bilgiler sunar.

8. Dikkat Edilmesi Gerekenler

Sophos ile 5651 uyumlu loglama surecinde basarili sonuc elde etmek icin asagidaki noktalara dikkat etmenizi oneriririz:

1. Firmware guncelligini koruyun. Sophos cihazinizin yazilimini duzenli olarak guncelleyerek hem guvenlik aciklariini kapatin hem de loglama altyapisinin sorunsuz calismasini saglayin.
2. Tum log kategorilerini aktif edin. Sadece firewall loglarini degil; web filtre, kimlik dogrulama, VPN ve IPS loglarini da syslog uzerinden gonderin.
3. Syslog iletimini duzenli test edin. Log aktariminin sessizce kesilmedikden emin olmak icin haftalik kontroller planlarin.
4. Misafir agini ayirin. Kurumsal ag ile misafir agini VLAN yapilandirmasi ile birbirinden izole edin. Bu hem guvenlik hem de log yonetimi acisindan kritiktir.
5. Yedekleme stratejisi olusturun. Loglari tek bir noktada saklamak yerine, birden fazla ortamda (yerel sunucu + bulut) yedekli bir yapi tercih edin.
6. Captive portal ayarlarini gozden gecirin. Dogrulama yontemlerinin (SMS, e-posta, TC kimlik) dogru yapiliradirildigindan ve kayitlarin eksiksiz tutuldugundanemin olun.