Deploy Sophos Firewall su Openstack as a Service
Introduzione
In questa guida vi illustreremo come eseguire il deploy di Firewall Sophos su Openstack as a Service
Guida passo-passo
Dalla vostra dashboard di gestione Openstack as a Service spostarsi nel setto menù Compute → Instances e cliccare su Launch Instance
In questa prima schermata inserire l'Instance Name ed eventualmente una Description e in seguito cliccare su Next
Nella schermata seguente, nella sezione Select Boot Source selezionare Image, potete lasciare invariata la sezione Volume Size e a vostra discrezione se selezionare Yes o No sull'opzione Delete Volume on Instance Delete.
Dall'elenco sottostante cliccare sulla freccia che punta verso l'alto in corrispondenza dell'immagine SECURITY: Sophos 18.0.3 MR-3 Part 1.
Cliccate su Next
Nella schermata seguente vi si chiederà di scegliete il Flavor, cliccate sulla freccia verso l'alto in corrispondenza del Flavor G1-24.
Ora vi sarà richiesto di aggiungere le network alla vostra appliance Sophos.
ATTENZIONE, in questa sezione dovete obbligatoriamente fare le seguenti 2 operazioni:
Rispettate l'ordine di inserimento delle Network indicate di seguito.
Inserire almeno 2 network.
Questo per evitare problemi durante la creazione dell'istanza.
Selezionate come Prima Network la rete che verrà associata all'interfaccia di LAN del firewall.
Selezionate come Seconda Network la rete che verrà associata all'interfaccia di WAN del firewall (essendo una security appliance questa rete dovrebbe essere la cloudfire_public2_trasparent)
Fatto questo, il resto del Wizard può essere bypassato e quindi potete tranquillamente cliccare su Launch Instance
Terminato lo spawning dell'istanza cliccate sul a menù a tendina in corrispondenza di essa e spegnerla cliccando su Shut off Instance
Ora dobbiamo creare il volume secondario (dedicato ai report) e collegarlo all'istanza appena creata. Spostatevi nel sotto menù Volumes → Volumes e cliccate su +Create Volume
Date un nome al nuovo volume, specificate Image come Volume Source e di seguito, nella sezione Use Image as a source, selezionate SECURITY: Sophos 18.0.3 MR-3 Part 2, lasciate pure il resto invariato
Cliccate su Create Volume
Una volta creato il volume dobbiamo collegarlo all'istanza appena create per cui cliccate sul menù a tendina in corrispondenza di questo Volume e cliccate su Manage attachements
Nella finestra che apparirà selezionate l'istanza Sophos creata in precedenza e poi cliccate su Attach Volume
Ora possiamo avviare nuovamente la nostra istanza.Â
Torniamo al sotto menù Compute → Istances e clicchiamo su Start Instance in corrispondenza della nostra istanza Sophos. Attendere qualche secondo e poi, sempre dal menù a tendina, selezionare Console.
Il boot della macchina dovrebbe terminare correttamente e restituirvi il seguente output:Inserendo la password di default (admin) e accettando l'eula di seguito, accederete al menù di gestione del firewall
Ora la macchina è attiva e funzionante, ma per avviare il wizard via web dobbiamo abilitare l'accesso dall'esterno all'istanza, per cui selezionando il menù 4 entrerete nella console del device e dovrete inserire il seguente comando e dare invio:
system appliance_access enable
In secondo luogo, tornando alla dashboard del Openstack as a Service, spostatevi nel sotto-menù Network→Security Groups e cliccate su Manage Rules in corrispondenza del gruppo default.
Una volta al suo interno aggiungete una regola cliccando su Add Rule in modo da poter abilitare il vostro IP come trusted, in modo che la piattaforma vi permetta di accedere alla web-GUI.
In questo esempio, i campi sono compilati per lasciare aperte tutte le porte e protocolli dall'IP 1.2.3.4.
Fatto questo aprite il vostro browser e collegatevi, all'URL di gestione del firewall, che sarà : https://ip_pubblico_assegnato:4444
Una volta collegati alla web-GUI del firewall eseguite il wizard.Â
Unica cosa obbligatoriamente da modificare, in fase di configurazione delle interfacce di rete:
selezionare come modalità di funzionamento This firewall (Route mode)
come IP inserire l'IP privato assegnato all'istanza e relativa sub-net
Disabilitare Enable DHCP.
Terminato il wizard l'appliance si riavvierà perdendo l'opzione di accesso remoto, per cui una volta riavviato tornate in Console (punto precedente) e ridate il comando system appliance_access enable.
Ora potete accedere alla configurazione finale del Firewall e per far funzionare correttamente l'interfaccia di LAN.
Spostatevi nel menù Network ed editate l'interfaccia di LAN.
Nelle Advanced settings modificate l'MTU ed abbassatela a 1450 e cliccate su Save.
Tornate sulla dashboard del Openstack as a Service, nel sotto menù Compute → Instances, cliccate sul nome della vostra istanza Sophos, spostatevi nel form Interfaces e cliccate su edit in corrispondenza dell'intefaccia di LAN. Fatto questo de-selezionate l'opzione Port Security.
Così facendo dovreste vedere la porta di LAN Connected, e se avete una macchina sulla stessa subnet dovreste poter pingare l'interfaccia ed entrare in web-GUI dall'IP di LAN.
La configurazione di base è completata, piccolo tips rimasto in sospeso:
Ora l'appliance è ancora temporaneamente accessibile dall'IP pubblico grazie al comando system appliance_access enable, se la volete rendere permanentemente raggiungibile vi basterà modificare i permessi nella sezione Administration → Device Access.
Se invece volete renderla inaccessibile vi basterà , o riavviarla oppure rientrare in console e dare il comando system appliance_access disable. In questo caso si consiglia di rimuovere anche la regola aggiunta nel Security Group deault.