Herkese merhaba,
Sophos Connect uygulaması kullanarak SSL VPN bağlantısı gerçekleştirme konusunu daha önceki 2 makalemizde paylaşmıştık. Aralarındaki farklar, kullanım alanları ve amaçları noktalarında detaylı olarak bahsetmiştik.
Bu yazımızda,yine Sophos Connect uygulaması kullarak MFA özelliği aktif durumdayken kullanıcı adı ve şifre kaydetme işleminin nasıl yapılacağından bahsedeceğim.
Bildiğimiz üzere, Sophos Connect uygulaması üzerinde kullanıcı adı ve şifre kaydetme özelliği bulunmaktadır. Fakat MFA özelliğini devreye aldığımızda, kullanıcı adı ve şifre kaydetme özelliğinin artık kullanılabilir olmadığından bir önceki yazımızda bahsetmiştik. Bunun sebebi ise, MFA özelliği kullanılırken , 6 haneli geçici kodlar kullanılıyor ve bu kodlar 30/60/90 saniye gibi süreler için geçerli olmakla birlikte tek kullanımlık olma özelliğindedir. Dolayısıyla, eğer Sophos Connect uygulaması üzerinde kullanıcı adı ve şifre kaydet seçeneğini seçersek, uygulama o anda girmiş olduğumuz şifre+6 haneli kodu kaydedeceği için ikinci kez sisteme giriş yapmayı denediğimizde 6 haneli kod artık geçersiz olacağı için hata ile karşılaşacağız. Bunun kullanılabilir kılınabilmesi için yapılması gereken işlemlerden bahsedeceğim.
1-) SSL VPN Ayarlarının Yapılandırılması
Configure > VPN > SSL VPN (remote access) bölümünden SSL VPN yapılandırmasını gerçekleştiriyoruz. Buradan gerekli yapılandırmaları yapabilirsiniz.
2-) MFA Ayarlarının Yapılandırılması
Configure > Authenticaiton >One-time password bölümünden MFA yapılandırmasını gerçekleştiriyoruz. Buradan gerekli yapılandırmaları yapabilirsiniz.
3-) VPN Bağlantısı için Gerekli Konfigürasyon Dosyası Hazırlanması
Bildiğimiz üzere gerekli yapılandırmaları yaptıktan sonra user portal üzerinden ilgili kullanıcı için konfigürasyon dosyasını indirmemiz gerekecekti fakat bu aşamada farklı bir yöntem kullanacağız.
[
{
"gateway": "<Enter your gateway hostname or IP address>",
"user_portal_port": 443,
"otp": true,
"2fa": 1,
"can_save_credentials": true,
"check_remote_availability": true,
"run_logon_script": true
}
]Yukarıda gördümüz formatta bir .txt uzantılı dosyayı bilgisayarımıza kaydediyoruz.
Gateway : Bu aşamada Sophos firewall cihazımız üzerinde SSL VPN bağlantısı için kullanılacak WAN IP adresini yazıyoruz
User portal port : Sophos firewall üzerinde tanımlı user portal portunu yazıyoruz. Varsayılan olarak 443’tür ama sizin yapılandırmanıza göre değişiklik gösterebilir.
OTP : MFA metodunu kullanacağımız için true olarak ayarlıyoruz.
2FA : Yine MFA motodunu kullanacağımız için 1 olarak ayarlıyoruz.
Gerekli alanları doldurduktan sonra ilgili .txt uzantılı dosyayı .pro uzantılı olarak kaydedeceğiz.
Dosyayı .pro uzantılı olarak kaydettikten sonra dosya üzerine çift tıkladığımızda, Sophos Connect uygulaması üzerine otomatik olarak konfigürasyon dosyamız eklenmiş olacaktır.
Yukarıdaki ekran görüntüsünde göreceğimiz üzere, konfigürasyon dosyamız Sophos Connect uygulamasına otomatik olarak yüklendikten sonra bağlantımızı başlattıktan sonra sertifika ile ilgili bir uyarı alabilirisiniz, Continue to server(unsafe) butonuna tıklayıp devam edebilirsiniz.
Bir sonraki aşamada görüleceği üzere, uygulama bizden kullanıcı adı, şifre bilgilerinin yanında One-time password yani 6 haneli kod ve bir kez kullanacağınız karakter doğrulama alanı gelecektir. Bu alanları doldurduktan sonra Save username and password kutucuğunu da işaretleyip bağlantımızı başlatıyoruz.
Yukarıda göreceğimiz üzere bağlantımız başarılı bir şekilde sağlandı.
Disconnect butonuna tıklayıp bağlantımızı sonladrıp tekrar Connect butonuna tıkladıktan sonra, sistem bize tekrar kullanıcı adı ve şifre bilgisi sormayacaktır.
Yukarıda da görüldüğü gibi, tekrar giriş yapmayı denediğimizde sistem artık bizden sadece 6 haneli kod bilgisini soracaktır. Sophos/Google Authenticator uygulaması üzerinde bulunan güncel kodu girerek bağlantıya devam edebilirsiniz.
4-) .pro Uzantılı Konfigürasyon Dosyası Kullanım Avantajları
.pro uzantılı konfigürasyon dosyası kullanarak hazırlanan bağlantının en büyük avantajlarından bir tanesi de, her VPN konfigürasyon değişikliğinden sonra kullanıcıların yeniden user portal üzerinden konfigürasyon dosyasını indirmelerine gerek kalmamasıdır.
Örnek olarak, SSL VPN yapılandırmasında kullancılara sadece 192.168.1.0/24 network’üne izin verdiğimizi varsayalım. .pro ile hazırlanan konfigürasyondan sonra VPN bağlantısı yapan kullanıcılarda bu network’e erişim hakkı tanımlanmış olacaktır.
VPN ayarlarında mevcut network’e ek olarak 192.168.2.0/24 network’ünü de eklediğimizi varsayalım. Bu network’e de kullanıcıların erişim sağlayabilmeler için;
yukarıda gördüğünüz konfigürasyon dosyasının en sağında bulunan ayar butonuna tıkladığınızda “Update policy” bölümünü göreceğiz. Bu alana tıklayarak, Sophos firewall üzerinde yapılan konfigürasyon değişikliklerinin senkronize olmasını sağlayabilir ve böylece yönetim açısından çok büyük kolaylık sağlamış olacağız.