Çoklu Firewall Yönetimi: FortiGate, Sophos, MikroTik Entegrasyonu

Çoklu Firewall Yönetimi: FortiGate, Sophos, MikroTik Entegrasyonu ile Merkezi Log Yönetimi

Kurumsal ağ güvenliğinde farklı lokasyonlarda veya farklı amaçlarla birden fazla firewall markası kullanmak artık yaygın bir senaryo haline geldi. Şube ağlarında MikroTik, merkez ofiste FortiGate, DMZ bölgesinde Sophos gibi hibrit yapılar, BT yöneticilerini ciddi bir zorlukla karşı karşıya bırakıyor: her bir cihazın kendi arayüzünden log takibi yapmak, olay korelasyonu kurmak ve 5651 sayılı kanun gereği tüm internet erişim kayıtlarını merkezi olarak saklamak. NextLog5651, bu karmaşık yapıyı tek bir platformda birleştirerek FortiGate Sophos entegrasyon ve MikroTik merkezi log yönetimi ihtiyacını eksiksiz karşılayan bulut tabanlı bir çözüm sunuyor.

Neden Çoklu Firewall Ortamlarında Merkezi Log Yönetimi Şart?

Farklı firewall markaları kullanmanın operasyonel ve yasal zorlukları vardır. Her üreticinin kendine özgü log formatı, syslog yapılandırması ve raporlama arayüzü bulunur. Bu durum şu sorunları doğurur:

• Zaman Kaybı: Bir güvenlik olayını araştırmak için birden fazla arayüze giriş yapmak, farklı sorgu dillerini kullanmak gerekir.
• Korelasyon Eksikliği: Bir saldırı senaryosu birden fazla firewall'dan geçiyorsa, olayları manuel olarak birleştirmek neredeyse imkansızdır.
• 5651 Uyumsuzluk Riski: BTK denetimleri sırasında tüm internet erişim loglarını 2 yıl boyunca sunabilmek, dağınık sistemlerde büyük risk taşır.
• Yedek ve Saklama Maliyeti: Her firewall için ayrı depolama alanı, yedekleme stratejisi ve donanım yatırımı gerekir.

NextLog5651, FortiGate, Sophos, MikroTik ve SonicWall gibi popüler firewall markalarından gelen syslog mesajlarını otomatik olarak normalize eder, KVKK ve 5651 gerekliliklerine uygun şekilde saklar ve tek bir arayüzden sorgulama imkanı sunar.

FortiGate Sophos Entegrasyon: Log Format Farklılıkları ve Çözüm

FortiGate ve Sophos, kurumsal segmentte en çok tercih edilen firewall çözümleridir. Ancak her ikisinin de log formatı ve syslog yapılandırması birbirinden oldukça farklıdır.

FortiGate Syslog Formatı

FortiGate cihazları, yapılandırılmış key-value formatında syslog mesajları gönderir. Örnek bir FortiGate traffic log mesajı şu şekildedir:

date=2025-01-22 time=14:35:10 devname="FG-Branch01" logid="0000000013" type="traffic" subtype="forward" srcip=192.168.1.45 dstip=93.184.216.34 srcport=54321 dstport=443 action="accept" policyid=12 user="ahmet.yilmaz" service="HTTPS"

FortiGate logları, kullanıcı kimlik doğrulama bilgilerini (FSSO veya RADIUS entegrasyonu ile), politika ID'sini ve detaylı servis bilgilerini içerir. NextLog5651, bu yapıyı otomatik olarak parse ederek kullanıcı adı, kaynak IP, hedef URL ve zaman damgasını 5651 formatına uygun şekilde kaydeder.

Sophos XG/XGS Syslog Formatı

Sophos XG serisi, daha verbose ve okunabilir bir log formatı kullanır:

device="SFW-HQ" date=2025-01-22 time=14:35:12 log_id="010101600001" log_type="Firewall" log_component="Firewall Rule" status="Allow" src_ip=10.20.30.40 dst_ip=151.101.1.140 protocol="TCP" src_port=49876 dst_port=443 user="mehmet.kaya" fw_rule_id=8

Sophos logları, Application Control ve Web Filtering modüllerinden gelen detaylı kategori bilgilerini de içerir. NextLog5651, Sophos'un zengin içerik filtreleme loglarını, FortiGate logları ile aynı veri tabanı şemasında saklar ve karşılaştırmalı raporlama yapmanızı sağlar.

Log Format Karşılaştırması

NextLog5651, bu üç farklı formatı otomatik olarak tanır, normalize eder ve BTK'nın istediği formatta (kaynak IP, kullanıcı, hedef IP/URL, zaman damgası, port bilgisi) saklar.

MikroTik Merkezi Log Yönetimi: Şube Ağları İçin İdeal Çözüm

MikroTik RouterOS, maliyet etkinliği sayesinde şube ofislerde, perakende mağazalarda ve KOBİ'lerde yaygın olarak kullanılır. Ancak MikroTik'in yerleşik log yönetimi sınırlıdır: cihaz içi log kapasitesi düşüktür, uzun süreli saklama için harici çözüm gerekir ve 5651 uyumluluğu manuel yapılandırma ister.

MikroTik Syslog Yapılandırması (Adım Adım)

NextLog5651'e MikroTik loglarını göndermek için şu adımları izleyin:

• Adım 1: Winbox veya WebFig ile MikroTik cihazınıza bağlanın.
• Adım 2: System > Logging menüsüne gidin.
• Adım 3: "Actions" sekmesinde yeni bir action oluşturun: Name: nextlog-remote, Type: remote, Remote Address: [NextLog5651 sunucu IP], Remote Port: 514, BSD Syslog: yes.
• Adım 4: "Rules" sekmesinde yeni kural ekleyin: Topics: firewall,info (veya !debug,!packet), Action: nextlog-remote.
• Adım 5: IP > Firewall > Filter Rules bölümünde loglamak istediğiniz kurallara "log=yes, log-prefix=INET-OUT" gibi parametreler ekleyin.
• Adım 6: NextLog5651 web arayüzünden "Cihazlar > Yeni Cihaz Ekle" ile MikroTik cihazınızı tanımlayın ve log akışını doğrulayın.

MikroTik logları genellikle şu formattadır:

Jan 22 14:35:15 firewall,info INET-OUT: in:ether2 out:ether1, proto TCP, 192.168.88.10:54123->93.184.216.34:443, len 60

NextLog5651, bu mesajı parse ederek kaynak IP (192.168.88.10), hedef IP (93.184.216.34), port bilgilerini ve zaman damgasını çıkarır. MikroTik Hotspot kullanıyorsanız, kullanıcı adı bilgisi de otomatik olarak loglanır ve 5651 raporlarına dahil edilir.

Teknik Kurulum Adımları: FortiGate, Sophos, MikroTik Entegrasyonu

FortiGate Syslog Yapılandırması

FortiGate CLI üzerinden şu komutları çalıştırın:

config log syslogd setting
set status enable
set server "[NextLog5651 IP]"
set port 514
set facility local7
set source-ip [FortiGate Yönetim IP]
set format default
end

Traffic, UTM (Web Filter, Application Control, IPS) ve Authentication loglarını göndermek için:

config log syslogd filter
set severity information
set forward-traffic enable
set local-traffic enable
set sniffer-traffic disable
end

FortiGate'in FSSO (Fortinet Single Sign-On) veya RADIUS entegrasyonu varsa, kullanıcı adı bilgisi otomatik olarak loglara eklenir ve NextLog5651 tarafından 5651 raporlarında kullanılır.

Sophos XG/XGS Syslog Yapılandırması

• Adım 1: Sophos web arayüzüne admin olarak giriş yapın.
• Adım 2: Log Settings > Syslog menüsüne gidin.
• Adım 3: "Add" butonuna tıklayın ve şu bilgileri girin: Server Name: NextLog5651, IP Address: [NextLog5651 IP], Port: 514, Protocol: UDP, Facility: Local7.
• Adım 4: Log Categories bölümünde: Firewall, Web, Application, Authentication seçeneklerini işaretleyin.
• Adım 5: Severity Level: Information (veya daha yüksek) seçin.
• Adım 6: "Test Connection" ile bağlantıyı doğrulayın ve kaydedin.

Sophos, özellikle Web Filtering ve Application Control loglarında zengin içerik sunar: ziyaret edilen URL, kategori (Social Media, Streaming, vb.), kullanıcı adı, cihaz tipi gibi bilgiler NextLog5651 tarafından otomatik olarak parse edilir ve raporlanabilir hale gelir.

SonicWall Entegrasyonu (Bonus)

SonicWall cihazları da NextLog5651 ile uyumludur. SonicWall yönetim arayüzünden Log > Syslog menüsüne giderek NextLog5651 sunucu IP'sini ekleyin ve "All Logs" seçeneğini işaretleyin. SonicWall'un Content Filtering Service (CFS) ve Capture ATP logları da otomatik olarak işlenir.

NextLog5651'in Çoklu Firewall Ortamlarında Sağladığı Avantajlar

1. Otomatik Normalizasyon ve Korelasyon

NextLog5651, FortiGate'in key-value formatını, Sophos'un verbose mesajlarını ve MikroTik'in syslog çıktısını aynı veri tabanı şemasına dönüştürür. Bu sayede "Son 1 saatte hangi kullanıcı, hangi firewall'dan, hangi sitelere erişti?" gibi karmaşık sorguları tek bir arama ile yapabilirsiniz.

2. Tek Arayüzden Tüm Cihazları Yönetme

NextLog5651 web panelinde, tüm firewall'larınız tek bir harita üzerinde görüntülenir. Her cihazın log akış durumu, son log zamanı ve sağlık durumu anlık olarak izlenir. Herhangi bir cihazdan log gelmediğinde otomatik alarm alırsınız.