Deploy Sophos Firewall su Openstack as a Service

Owned by Simone Borghi
Last updated: 24 April 2024 by Elisa Bondavalli
5 min read

Introduzione

In questa guida vi illustreremo come eseguire il deploy di Firewall Sophos su Openstack as a Service

Guida passo-passo

  • Dalla vostra dashboard di gestioneย Openstack as a Serviceย spostarsi nel setto menรนย Computeย โ†’ Instancesย e cliccare suย Launch Instance

  • In questa prima schermata inserireย l'Instance Nameย ed eventualmente unaย Descriptionย e in seguito cliccare suย Next

  • Nella schermata seguente, nella sezioneย Select Boot Sourceย selezionareย Image,ย potete lasciare invariata la sezioneย Volume Sizeย e a vostra discrezione se selezionareย Yesย oย Noย sull'opzioneย Delete Volume on Instance Delete.

    Dall'elenco sottostante cliccare sulla freccia che punta verso l'alto in corrispondenza dell'immagine SECURITY: Sophos 18.0.3 MR-3 Part 1.

  • Cliccate su Next

  • Nella schermata seguente vi si chiederร  di scegliete ilย Flavor,ย cliccate sulla freccia verso l'alto in corrispondenza delย Flavorย G1-24.

Ora vi sarร  richiesto di aggiungere le network alla vostra appliance Sophos.

ATTENZIONE, in questa sezione dovete obbligatoriamente fare le seguenti 2 operazioni:

  1. Rispettate l'ordine di inserimento delle Network indicate di seguito.

  2. Inserire almeno 2 network.

Questo per evitare problemi durante la creazione dell'istanza.

  • Selezionate comeย Primaย Network la rete che verrร  associata all'interfaccia diย LANย del firewall.

    Selezionate comeย Secondaย Network la rete che verrร  associata all'interfaccia diย WANย del firewall (essendo una security appliance questa rete dovrebbe essere la cloudfire_public2_trasparent)

  • Fatto questo, il resto del Wizard puรฒ essere bypassato e quindi potete tranquillamente cliccare suย Launch Instance

  • Terminato lo spawning dell'istanza cliccate sul a menรน a tendina in corrispondenza di essa e spegnerla cliccando suย Shut off Instance

  • Ora dobbiamo creare il volume secondario (dedicato ai report) e collegarlo all'istanza appena creata. Spostatevi nel sotto menรนย Volumesย โ†’ Volumesย e cliccate suย +Create Volume

  • Date un nome al nuovo volume, specificateย Imageย comeย Volume Source e di seguito, nella sezioneย Use Image as a source,ย selezionateย SECURITY: Sophos 18.0.3 MR-3 Part 2,ย lasciate pure il resto invariato

  • Cliccate suย Create Volume

  • Una volta creato il volume dobbiamo collegarlo all'istanza appena create per cui cliccate sul menรน a tendina in corrispondenza di questo Volume e cliccate suย Manage attachements

  • Nella finestra che apparirร  selezionate l'istanza Sophos creata in precedenza e poi cliccate suย Attach Volume

Ora possiamo avviare nuovamente la nostra istanza.ย 

  • Torniamo al sotto menรนย Computeย โ†’ Istancesย e clicchiamo suย Start Instanceย in corrispondenza della nostra istanza Sophos. Attendere qualche secondo e poi, sempre dal menรน a tendina, selezionareย Console.
    Il boot della macchina dovrebbe terminare correttamente e restituirvi il seguente output:

  • Inserendo la password di default (admin) e accettando l'eula di seguito, accederete al menรน di gestione del firewall

Ora la macchina รจ attiva e funzionante, ma per avviare il wizard via web dobbiamo abilitare l'accesso dall'esterno all'istanza, per cui selezionando il menรนย 4 entrerete nella console del device e dovrete inserire il seguente comando e dare invio:

system appliance_access enable

  • In secondo luogo, tornando alla dashboard delย Openstack as a Service,ย spostatevi nel sotto-menรนย Networkโ†’Security Groupsย e cliccate suย Manage Rulesย in corrispondenza del gruppoย default.

    Una volta al suo interno aggiungete una regola cliccando suย Add Rule in modo da poter abilitare il vostro IP come trusted, in modo che la piattaforma vi permetta di accedere alla web-GUI.


  • In questo esempio, i campi sono compilati per lasciare aperte tutte le porte e protocolli dall'IP 1.2.3.4.

    Fatto questo aprite il vostro browser e collegatevi, all'URL di gestione del firewall, che sarร :ย https://ip_pubblico_assegnato:4444

  • Una volta collegati alla web-GUI del firewall eseguite il wizard.ย 

    Unica cosa obbligatoriamente da modificare, in fase di configurazione delle interfacce di rete:

    1. selezionare come modalitร  di funzionamentoย This firewall (Route mode)

    2. come IP inserire l'IP privato assegnato all'istanza e relativaย sub-net

    3. Disabilitare Enable DHCP.

  • Terminato il wizard l'appliance si riavvierร  perdendo l'opzione di accesso remoto, per cui una volta riavviato tornate inย Consoleย (punto precedente) e ridate il comando system appliance_access enable.

  • Ora potete accedere alla configurazione finale del Firewall e per far funzionare correttamente l'interfaccia diย LAN.

    Spostatevi nel menรนย Networkย ed editate l'interfaccia diย LAN.

    Nelle Advanced settingsย modificate l'MTU ed abbassatela aย 1450ย e cliccate suย Save.

  • Tornate sulla dashboard delย Openstack as a Service,ย nel sotto menรนย Computeย โ†’ Instances, cliccate sul nome della vostra istanza Sophos, spostatevi nel formย Interfacesย e cliccate su edit in corrispondenza dell'intefaccia di LAN. Fatto questo de-selezionate l'opzioneย Port Security.


    Cosรฌ facendo dovreste vedere la porta di LANย Connected,ย e se avete una macchina sulla stessa subnet dovreste poter pingare l'interfaccia ed entrare in web-GUI dall'IP diย LAN.

La configurazione di base รจ completata, piccolo tips rimasto in sospeso:

  • Ora l'appliance รจ ancora temporaneamente accessibile dall'IP pubblico grazie al comandoย system appliance_access enable,ย se la volete rendere permanentemente raggiungibile vi basterร  modificare i permessi nella sezioneย Administrationย โ†’ Device Access.

  • Se invece volete renderla inaccessibile vi basterร , o riavviarla oppure rientrare in console e dare il comandoย system appliance_access disable.ย In questo caso si consiglia di rimuovere anche la regola aggiunta nelย Security Group deault.





Sommario

Articoli collegati