Sophos XG/XGS Firewall 5651 Log Ayarları ve
Sophos XG ve XGS Firewall ile 5651 Sayılı Kanun Uyumluluğu: Neden Kritik?
Sophos XG ve yeni nesil XGS serisi güvenlik duvarları, kurumsal ağlarda yüksek performanslı tehdit koruması sunarken, Türkiye'de faaliyet gösteren her internet erişim sağlayıcısı ve toplu kullanım sunan işletme için 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun kapsamında log saklama yükümlülüğü bulunmaktadır. Sophos cihazlarınız üzerinden geçen tüm internet trafiğinin kayıt altına alınması, yasal mercilerin talebi halinde ibraz edilmesi ve en az iki yıl süreyle saklanması zorunludur. Bu süreç yalnızca teknik bir ayar değil, aynı zamanda KVKK uyumluluğu, zaman damgası güvenliği ve adli geçerlilik gerektiren kapsamlı bir entegrasyon işidir.
Sophos XG/XGS cihazları varsayılan olarak detaylı trafik logları üretir ancak bu logların yasal formatta saklanması, imzalanması ve denetim raporlarına dönüştürülmesi için harici bir 5651 loglama çözümü şarttır. NextLog5651, Sophos güvenlik duvarlarından gelen syslog akışını bulut tabanlı altyapıda işleyerek, BTK ve mahkeme taleplerini karşılayacak formatta arşivler ve KVKK'nın 12. maddesi uyarınca kişisel verilerin güvenliğini sağlar. Bu yazıda, Sophos XG ve XGS modellerinde syslog yapılandırmasından NextLog5651 entegrasyonuna, yasal imzalama sürecine ve sık karşılaşılan hatalara kadar tüm adımları somut örneklerle ele alacağız.
Sophos XG/XGS Firewall Syslog Yapılandırması: Adım Adım Kurulum
Sophos XG ve XGS modellerinde syslog çıktısı almak için öncelikle Log Settings menüsüne erişim gerekir. Sophos web arayüzüne admin yetkisiyle giriş yaptıktan sonra şu adımları izleyin:
1. Syslog Sunucusu Tanımlama
Configure → System Services → Log Settings yolunu izleyerek Syslog sekmesine geçin. Burada "Add Syslog Server" düğmesine tıklayarak NextLog5651 bulut sunucu bilgilerinizi girin:
- Server Name: NextLog5651 veya tanımlayıcı bir isim
- IP Address / FQDN: NextLog5651 panelinizden aldığınız syslog sunucu adresi (örn. syslog.nextlog5651.com veya özel IP)
- Port: Genellikle 514 (UDP) veya 6514 (TCP/TLS). NextLog5651 güvenli iletim için TLS destekli 6514 portunu önerir.
- Protocol: UDP hızlı ancak kayıp riski taşır; TCP veya TLS seçimi kayıt bütünlüğü açısından tercih edilmelidir.
- Format: Sophos varsayılan olarak kendi formatını kullanır; NextLog5651 parser'ı Sophos formatını otomatik tanır, ancak RFC 5424 uyumlu çıktı için "Syslog" formatını seçin.
2. Log Kategorilerini Etkinleştirme
5651 uyumluluğu için mutlaka kaydedilmesi gereken log kategorileri:
- Firewall: Tüm kabul edilen (allow) ve reddedilen (deny) trafik kuralları
- Web Filter: HTTP/HTTPS erişimleri, URL kategorileri, kullanıcı bazlı web logları
- Application Control: Uygulama bazlı erişim (Skype, Torrent, sosyal medya vb.)
- IPS (Intrusion Prevention): Saldırı tespit ve engelleme kayıtları
- ATP (Advanced Threat Protection): Zararlı yazılım ve sandbox analizleri
- Authentication: Kullanıcı giriş/çıkış logları (Active Directory, LDAP, RADIUS entegrasyonları)
- VPN: SSL VPN ve IPsec bağlantı kayıtları
Her kategori için "Send logs to Syslog server" kutucuğunu işaretleyin ve Severity Level olarak en az "Information" seviyesini seçin. "Debug" seviyesi gereksiz detay yaratır ve depolama maliyetini artırır; "Warning" ve üzeri ise kritik erişim kayıtlarını kaçırabilir.
3. Zaman Senkronizasyonu (NTP) Kontrolü
5651 loglama sürecinde zaman damgası (timestamp) doğruluğu adli delil niteliği taşır. Sophos cihazınızın saatinin NTP sunucusuyla senkronize olduğundan emin olun:
- Administration → Time → Time Zone: "Europe/Istanbul" (UTC+3) seçin.
- NTP Servers: TÜBİTAK NTP sunucularını (ntp.ulakbim.gov.tr) veya Google Public NTP'yi (time.google.com) ekleyin.
- Sync Interval: Varsayılan 1024 saniye yeterlidir; kritik ortamlarda 512 saniyeye düşürülebilir.
Zaman senkronizasyonu hatasında, mahkeme talebi karşılandığında log zaman damgaları geçersiz sayılabilir ve idari para cezası (150.000 TL'ye kadar) riski doğar.
NextLog5651 ile Sophos Entegrasyonu: Bulut Tabanlı Loglama Altyapısı
Sophos XG/XGS cihazınızdan syslog çıktısı aldıktan sonra, bu ham logların yasal formata dönüştürülmesi, imzalanması ve uzun süreli arşivlenmesi NextLog5651'in temel işlevidir. Entegrasyon süreci şu aşamalardan oluşur:
NextLog5651 Hesap Kurulumu ve Sophos Profili Oluşturma
NextLog5651 paneline (https://www.nextlog5651.com) giriş yaparak Cihaz Ekle bölümünden "Sophos XG/XGS" profilini seçin. Sistem size özel bir syslog sunucu adresi ve port tahsis eder. Bu bilgileri Sophos arayüzünde tanımladıktan sonra, ilk loglar genellikle 5-10 dakika içinde NextLog5651 panelinde görünmeye başlar.
Parser ve Alan Eşleme (Field Mapping)
Sophos logları varsayılan olarak key=value formatında gelir (örn. user=ahmet src=192.168.1.10 dst=93.184.216.34 dstport=443 action=allow). NextLog5651 parser'ı bu alanları otomatik tanır ve 5651 formatına dönüştürür:
- Kaynak IP (src): İç ağ kullanıcı IP'si
- Hedef IP (dst): Erişilen dış sunucu
- Hedef Port (dstport): HTTP (80), HTTPS (443), DNS (53) vb.
- Protokol (proto): TCP, UDP, ICMP
- Kullanıcı Adı (user): Active Directory veya RADIUS kimlik doğrulamasından gelen kullanıcı
- İşlem (action): allow, deny, drop
- Zaman Damgası (timestamp): ISO 8601 formatında UTC veya yerel saat
NextLog5651, bu alanları BTK'nın 2014/10 sayılı tebliği uyarınca standart formata çevirir ve her kaydı SHA-256 hash ile imzalar. İmza süreci, log bütünlüğünün denetim sırasında kanıtlanmasını sağlar.
KVKK Uyumluluğu ve Veri Minimizasyonu
Sophos web filter logları URL detayı, kullanıcı adı ve bazen HTTP başlıkları içerir. KVKK'nın 4. maddesi (veri minimizasyonu) ve 12. maddesi (güvenlik) gereği, NextLog5651 şu önlemleri alır:
- Kişisel veri maskeleme: E-posta adresleri, telefon numaraları gibi hassas alanlar otomatik maskelenir (örn. ah***@example.com).
- Rol tabanlı erişim (RBAC): Yalnızca yetkili personel (IT yöneticisi, hukuk müşaviri) tam log detaylarını görebilir.
- Şifreleme: Loglar hem iletim sırasında (TLS 1.3) hem de depolama sırasında (AES-256) şifrelenir.
- Saklama süresi: 5651 kanunu minimum 2 yıl, KVKK ise "amacın gerektirdiği süre" der. NextLog5651 varsayılan 2 yıl + 6 ay (güvenlik payı) saklar, sonra otomatik siler.
Yasal İmzalama Süreci ve Adli Delil Niteliği
5651 loglama sürecinin en kritik aşamalarından biri, toplanan logların değiştirilemez (immutable) ve adli delil olarak kabul edilebilir hale getirilmesidir. NextLog5651, her log kaydını alır almaz şu işlemleri gerçekleştirir:
1. Zaman Damgası Güvenliği (Timestamping)
NextLog5651, gelen her log satırına RFC 3161 uyumlu zaman damgası (TSA - Time Stamp Authority) ekler. Bu damga, TÜBİTAK UEKAE veya uluslararası TSA sağlayıcılarından alınır ve log kaydının belirli bir anda var olduğunu kriptografik olarak kanıtlar. Sophos cihazınızın NTP senkronizasyonu doğru olsa bile, TSA damgası bağımsız bir üçüncü taraf onayı sağlar ve mahkeme süreçlerinde itiraz edilemez delil oluşturur.
2. Hash Zinciri (Blockchain Benzeri Yapı)
Her log kaydı SHA-256 ile hash'lenir ve bir önceki kaydın hash'i ile zincirlenir. Bu yöntem, herhangi bir kaydın sonradan değiştirilmesini teknik olarak imkansız hale getirir. Denetim sırasında, hash zinciri baştan sona doğrulanır; tek bir kayıt değiştirilse bile zincir kırılır ve manipülasyon tespit edilir.
3. Elektronik İmza (E-İmza) Entegrasyonu
Kurumsal müşteriler için NextLog5651, aylık log raporlarını nitelikli elektronik imza (KEP imzası) ile imzalama seçeneği sunar. Bu rapor, BTK veya mahkeme talebine yanıt olarak sunulduğunda, 6698 sayılı KVKK ve 5070 sayılı Elektronik İmza Kanunu kapsamında yasal geçerliliğe sahiptir. İmza süreci, NextLog5651 panelinden tek tıkla başlatılır ve imzalı PDF raporu otomatik oluşturulur.
Sophos XG/XGS ile NextLog5651 Entegrasyonunda Sık Karşılaşılan Sorunlar ve Çözümleri
| Sorun | Olası Neden | Çözüm |
|---|---|---|
| Loglar NextLog5651'e ulaşmıyor | Firewall kuralı syslog trafiğini engelliyor | Sophos'ta Firewall Rule ekleyin: kaynak LAN, hedef NextLog5651 IP, port 514/6514, protokol UDP/TCP, action Allow |
| Zaman damgası 3 saat geride/ileride | Time Zone yanlış veya NTP senkronize değil | Administration → Time bölümünden "Europe/Istanbul" seçin ve NTP sunucularını kontrol edin (ntp.ulakbim.gov.tr) |
| Kullanıcı adı yerine IP adresi loglanıyor | Active Directory entegrasyonu eksik veya STAS (Sophos Transparent Authentication Suite) çalışmıyor | Authentication → Services → STAS bölümünden domain controller bağlantısını doğrulayın; STAS agent loglarını inceleyin |
| Web filter logları eksik veya belirsiz | SSL/TLS Inspection kapalı, HTTPS trafiği şifresiz geçiyor | Web → SSL/TLS Inspection altında "Decrypt and Scan" politikasını etkinleştirin; CA sertifikasını istemci cihazlara dağıtın |
| Yüksek log hacmi, depolama maliyeti artıyor | Debug seviyesi loglar veya gereksiz kategoriler aktif | Log Settings içinde severity "Information" veya "Warning" ile sınırlayın; System/Heartbeat loglarını devre dışı bırakın |
| NextLog5651 panelinde parser hatası | Sophos log formatı özelleştirilmiş veya yeni firmware sürümü | NextLog5651 destek ekibiyle iletişime geçin; parser güncelleme genellikle 24 saat içinde yapılır |
Sophos XG vs XGS: 5651 Loglama Açısından Farklar
Sophos, 2020 yılında XGS serisiyle yeni nesil donanım ve Xstream mimarisini tanıttı. 5651 loglama perspektifinden iki seri arasındaki temel farklar:
Performans ve Log Hacmi
XGS serisi, özellikle TLS Inspection ve DPI (Deep Packet Inspection) etkinken çok daha yüksek throughput sunar. Örneğin, XGS 136 modeli TLS inspection ile 3.8 Gbps, XG 135 ise 1.2 Gbps işler. Bu, aynı kullanıcı sayısında daha detaylı ve eksiksiz log demektir; XG serisi yüksek yük altında bazı logları atlayabilir (log drop), XGS bu riski minimize eder.
Yeni Log Kategorileri
XGS serisi, Xstream SSL Inspection ve Synchronized Security (Sophos endpoint ile entegrasyon) gibi özelliklerde ek log alanları üretir. Örneğin, endpoint'teki zararlı yazılım tespiti firewall loguyla ilişkilendirilir ve NextLog5651'e zengin bağlam (context) bilgisiyle gelir. Bu, olay müdahale (incident response) sürecinde kritik detay sağlar.
Firmware ve API Desteği
XGS serisi, SFOS 19.0 ve üzeri firmware ile gelir ve REST API üzerinden log sorgulama imkanı sunar. NextLog5651, bu API'yi kullanarak periyodik log doğrulama (log integrity check) yapabilir ve eksik kayıtları tespit edebilir. XG serisi eski firmware sürümlerinde bu özellik sınırlıdır.
5651 Loglama Maliyeti ve ROI: Sophos + NextLog5651 Senaryosu
Birçok kurum, 5651 uyumluluğunu sağlamak için on-premise log sunucusu kurmayı değerlendirir ancak bu yaklaşım gizli maliyetler içerir:
| Maliyet Kalemi | On-Premise (Kendi Sunucu) | NextLog5651 (Bulut) |
|---|---|---|
| Donanım (sunucu, disk, yedekleme) | 50.000 - 150.000 TL (ilk yatırım) | 0 TL |
| Yazılım lisansı (SIEM, log yönetimi) | 20.000 - 100.000 TL/yıl | Aylık aboneliğe dahil (500 - 2.000 TL/ay, log hacmine göre) |
| IT personel zamanı (kurulum, bakım) | ~40 saat/ay (maaş maliyeti) | ~2 saat/ay (sadece izleme) |
| Elektrik, soğutma, veri merkezi | 5.000 - 10.000 TL/yıl | 0 TL |
| Yasal danışmanlık (KVKK, 5651 uyumluluk) | 15.000 - 30.000 TL (tek seferlik + yıllık denetim) | NextLog5651 KVKK uyumlu altyapı sağlar, danışmanlık ihtiyacı minimal |
| Toplam 3 yıllık maliyet (TCO) | ~300.000 - 600.000 TL | ~50.000 - 100.000 TL |
NextLog5651 ile Sophos entegrasyonu, ilk günden itibaren uyumlu bir altyapı sağlar ve BTK denetiminde veya mahkeme talebinde hazır rapor sunar. On-premise çözümlerde, log formatı hataları veya eksik kayıtlar nedeniyle idari para cezası riski yüksektir.
Gerçek Dünya Senaryosu: Otel İşletmesi ve Sophos XGS ile 5651 Uyumluluğu
İstanbul'da 200 odalı bir otel, misafir WiFi hizmeti sunduğu için 5651 kapsamında internet erişim sağlayıcısı statüsündedir. Otelin IT altyapısı:
- Sophos XGS 2300: Merkezi firewall, tüm misafir ve personel trafiğini yönetir
- Misafir WiFi: Captive portal ile kimlik doğrulama (pasaport/TC kimlik numarası)
- PMS Entegrasyonu: Opera PMS ile oda numarası ve misafir bilgisi senkronizasyonu
- NextLog5651: Sophos syslog çıktısını alır, misafir kimlik bilgisiyle eşleştirir, 2 yıl saklar
Kurulum süreci: Sophos XGS'te Captive Portal Authentication etkinleştirildi, misafir giriş bilgileri (ad, soyad, pasaport no, oda no) NextLog5651 API'sine POST edildi. Sophos firewall logları (kaynak IP, hedef URL, zaman)
Sık Sorulan Sorular
5651 loglama ve hotspot hakkında en çok sorulan konular.
- NextLog5651 ile 5651 uyumlu loglama nasıl sağlanır?
- Firewall veya hotspot cihazınızdan gelen oturumlar NextLog5651 tarafından toplanır, imzalanır ve yasal formatta arşivlenir.
- Kimler NextLog5651 kullanmalı?
- Misafir veya personel interneti veren otel, fabrika, hastane, kamu kurumu ve KOBİ'ler.
- Teklif ve keşif için nasıl iletişime geçilir?
- 0312 945 36 42 numaralı telefon, satis@datakobi.com e-posta veya nextlog5651.com/iletisim formu.
Ağınızın Güvenliğini Şansa Bırakmayın
NextLog 5651 Loglama ve Hotspot sistemleriyle işletmenizi yasal risklerden koruyun.
Fabrika
Hastane
Kamu
Otel
Yurt
KOBİ