Sophos Firewall: Harici Threat Feed (Kara Liste) Kurulum Rehberi

Yazan /

Sophos Firewall: Harici Threat Feed (Kara Liste) Kurulum Rehberi

Giriş

Siber saldırılar her geçen gün artıyor ve standart güvenlik önlemleri bazen yetersiz kalabiliyor. Bu nedenle, sistem yöneticileri olarak güncel tehdit istihbaratlarını (Threat Intelligence) güvenlik duvarlarımıza entegre etmeliyiz. Özellikle, bilinen saldırgan IP adreslerini içeren dinamik listeler (Threat Feed), savunma hattımızın ilk aşamasını oluşturur.

Bu rehberde, fevren.tr üzerinde yayınlanan ve sürekli güncellenen zararlı IP listesini, Sophos Firewall cihazınıza “External Host” olarak nasıl ekleyeceğinizi ve trafiği nasıl engelleyeceğinizi adım adım anlatacağız.

1. Adım: Harici IP Listesini Tanımlama (External Host)

Sophos, bir web adresindeki (URL) metin dosyasını okuyabilir ve içindeki IP adreslerini otomatik olarak veritabanına çeker. Bunu yapmak için şu adımları izleyin:

  1. Sophos yönetim paneline giriş yapın.
  2. Sağ menüden Hosts and Services (Hostlar ve Servisler) > IP Host sekmesine gidin.
  3. Sağ üstteki Add (Ekle) butonuna tıklayın.

Açılan pencerede ayarları aşağıdaki gibi yapılandırın:

  • Name: Fevren_Saldirdi_Listesi (veya istediğiniz bir isim).
  • IP Version: IPv4.
  • Type: IP List seçeneğini işaretleyin.
  • List Type: External (Harici) seçeneğini seçin.
  • URL: https://fevren.tr/guncel.txt adresini yapıştırın.
  • Save butonuna basarak kaydedin.

Not: Sophos, bu adresi belirli aralıklarla (varsayılan olarak 60 dakikada bir) kontrol edecek ve listeye yeni eklenen zararlı IP’leri otomatik olarak güncelleyecektir. Sizin tekrar işlem yapmanıza gerek kalmaz.

2. Adım: Engelleme Kuralını Oluşturma (Firewall Rule)

Listeyi tanımladık, şimdi bu listedeki IP adreslerinden gelen saldırıları engellemek için bir kural yazmalıyız.

  1. Sol menüden Rules and Policies (Kurallar ve Politikalar) > Firewall Rules sekmesine gidin.
  2. Add Firewall Rule > New Firewall Rule diyerek yeni bir kural ekleyin.
  3. Kuralı, listenin en üstüne (Top) yerleştirdiğinizden emin olun. Çünkü Sophos kuralları yukarıdan aşağıya doğru işler.

Kural Ayarları:

  • Rule Name: Block_Fevren_Blacklist
  • Action: Drop (Paketi sessizce düşür) veya Reject (Reddet). Güvenlik için genellikle Drop önerilir.
  • Logging: Log firewall traffic kutucuğunu mutlaka işaretleyin. (Hangi IP’nin engellendiğini görmek için).

Kaynak ve Hedef Ayarları:

  • Source Zones: WAN (İnternetten gelen trafiği kesmek için).
  • Source Networks and Devices: Az önce oluşturduğumuz Fevren_Saldirdi_Listesi nesnesini seçin.
  • Destination Zones: Any (LAN, DMZ, VPN vb. tüm bölgeler).
  • Destination Networks: Any.

Sonuç olarak, kuralı kaydedin (Save). Artık fevren.tr listesindeki herhangi bir IP adresi sisteminize erişmeye çalıştığında, Sophos bu bağlantıyı daha kapıdayken düşürecektir.

3. Adım: Kontrol ve İzleme

Kurulumu tamamladıktan sonra sistemin çalıştığını doğrulamak önemlidir.

  1. Sol menüden Log Viewer (Günlük Görüntüleyici) ekranını açın.
  2. Filtreleme bölümünden Firewall modülünü seçin.
  3. Arama kutusuna kural adınızı (Block_Fevren_Blacklist) yazın veya “Action” sütununda kırmızı renkli Denied ibarelerini kontrol edin.

Eğer loglarda engellenen IP adreslerini görüyorsanız, tehdit beslemesi başarıyla çalışıyor demektir.

Neden Bu Listeyi Kullanmalısınız?

Kendi oluşturduğumuz ve toplulukla paylaştığımız bu liste; brute-force, port taraması ve bilinen botnet aktiviteleri tespit edilen IP adreslerinden oluşur. Dolayısıyla, bu listeyi kullanarak:

  • Firewall işlemci yükünü azaltırsınız (Gereksiz trafik içeri girmeden engellenir).
  • Sıfırıncı gün saldırılarına karşı ek bir katman oluşturursunuz.
  • Kolektif bir güvenlik ağına dahil olursunuz.

Related Posts

Yorum bırakın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Scroll to Top