Author: sanli.coskun

How to Install Wildcard Certificates on Cisco ISE

How to Install Wildcard Certificates on Cisco ISE

Merhaba;

Önceki yazılarımda Cisco ISE üzerinde CSR üretip  CA üzerinden bu sertifikayı imzalamayı ve  serviste kullanmayı anlatmıştım, bu yazımda da  Wildcard bir sertifikayı Cisco ISE üzerinde nasıl kullanırız onu göstermek istiyorum.

İşleme başlamadan önce ihtiyacım olan openssl in windows versiyonunu indirip bilgisayarıma kuruyorum.

1.Adım;

Başlat cmd yazıp yönetici olarak çalıştırıyorum.

Read More Read More

CONFIGURING THE NAT POLICY PALOALTO & CHECKPOINT

CONFIGURING THE NAT POLICY PALOALTO & CHECKPOINT

Sizlere bu makalemde enterprise seviye de kullanılan iki firewall da Nat işlemlerinin nasıl yapıldığını anlatmaya çalışacağım ,her firewall un kendine göre kolaylıkları zorlukları mevcut bu ürünleri kullanmayan yada merak eden arkadaşlar varsa yardımcı olacağını düşünüyorum.

İki Firewall un da birbirleri arası migration tool ları mevcut bu arada ,nat policy obje işlemleri bu tool larla çok daha kolay yapılabiliyor, amaç checkpoint te nasıl yapıyordum ,paloaltoda bu nasıl oluru görmek. Paloalto zone base bir firewall bildiğiniz üzere checkpoint te R80.10 dan sonra geldi bu özellik ,nat işlemi yaparken zone seçimleri vs dikkat edeceğimiz noktaları göstermeye çalışacağım

Bu iki firewall da Hide,Static , Pat örnekleri yapıp ,sahada karşılaştığım hairpinning ,U-turn Nat gibi sorunlardan örnekler vererek gideceğim

Kafamızda canlanması adına aşağıdaki topolojiye göre hareket edelim

Public Ip Adresim :10.34.110.0/16

Server Ip Adresim : 10.100.100.0/24

Client Ip Adresim : 10.100.50.0/24


Pat (Hide) :

Port Address Translation (PAT), is an extension to network address translation (NAT) that permits multiple devices on a local area network (LAN) to be mapped to a single public IP address. The goal of PAT is to conserve IP addresses.

Static Nat:

Static Network Address Translation (NAT) allows the user to configure one-to-one translations of the inside local addresses to the outside global addresses. It allows both IP addresses and port number translations from the inside to the outside traffic and the outside to the inside traffic.

Checkpoint

Hide Nat:

Pat yapmak istediğim obje üzerinden NAT sekmesine gelip “Add authomatic address translation rules” kutucuğunu işaretliyorum “Translation Method” kısmını “Hide” olarak bırakıyorum.


Static Nat:

Çift yönli bir nat olacağı için bu sefer obje üzerinde Nat sekmesine gelip “Add authomatic address translation rules” kutucuğunu işaretliyorum “Translation method” kısmını bu sefer “Static” seçiyorum.

IPv4 kısmına 10.34.110.152 olan public ip adresimi yazıp bitiriyorum.


Paloalto

Hide Nat:

Policy > Nat sekmesinden add deyip source address de local networkumu ,source address translation kısmında da untrust interface imi ve firewall un dış bacak ip adresimi seçiyorum.


 

 

 

 

 

 


 

 

Static Nat:

Policy > Nat sekmesinden add deyip source address de Sunucu Ip Adresini ,source address translation kısmında “Translatation Type” Static ,”Translated Address” natlayacağım public ip adresimi yazıyorum , burada da çift taraflı bir nat yazacağımız için “Bi-directional” kutucuğu işaretliyorum.

 

 

 

 

 

 

 

 

 

 

Örnek 1.

10.100.100.12 ip adresi internete çıkarken 10.34.110.153 üzerinden çıkış sağlasın

Örnek 2.

10.34.110.152 real ip adresi üzerinden 8090 portu kullanılarak 10.100.100.12 ip adresine uzak masaüstü portu ile erişim sağlansın

Chekpoint :

Örnek1 : SRV-10.100.100.12 host üzerinde Nat sekmesine gelip “Add automatic address translation rules” kutucuğunu işaretliyorum ardından, “Translation Method” > “Hide behind IP address” kısmına 10.34.110.153 public ip adresimi yazıyorum.


 

 

 

 

 

 

Örnek2:

İstekler real ip adresimize geleceği için policy sekmesinde yazacağımız kural aşağıdaki şekilde olacak

 

 

 

Nat sekmesindeki durumumuzda 10.34.110.152 8090 portundan gelen trafiği 10.100.100.12 3389 olarak translate et şeklinde

 

 

Paloalto:

Örnek1:

Nat tablomuz srv-mng > untrust şeklinde Source Address Translation kısmı “Dynamic Ip and Port” “Translation Adress” kısmında da internete çıkış ip adresim olan 10.34.110.153 ü seçiyorum.


 

 

 

Örnek2:

Security tabında yazacağımı kural aşağıdaki gibi olacak 10.34.110.152 üzerinden 8090 portuna izin ver.


 

 

Nat kuralımız da untrust > untrust a 10.34.110.152 ye gelen 8090 isteğini 10.100.100.12 nin 3389 a bırak.


 

 

 

Son olarak bahsedeceğim konu Hairpin NAT , NAT Reflection , U-Turn Nat kavramlara örnek vermek.

Aşağıdaki topolojiyi ele alırsak zaman zaman şöyle bir ihtiyacımız doğabiliyor.

Local networkteki Client larımız Web sunucumuza real ip adresinden erişim sağlaması gerekebilir.Bu daha çok public ip adresinin kısıtlı olduğu durumlarda , web sunucuların natlanmasında , cisco colobration ürünlerinde vs ihtiyaç olabiliyor.


 

 

 

 

 

 

Paloalto da bu işlem U-Turn Nat şeklinde geçiyor ve nat kuralım aşağıdaki şekilde olacaktır.

Client zone > Untrust Zone


 

 

 

 

Görüşmek üzere.

https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk110019

https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClEiCAK

Checkpoint Two-Factor Authentication with Cisco DUO

Checkpoint Two-Factor Authentication with Cisco DUO

        İki adımlı doğrulama (two-factor authentication); Günlük hayatta bankacılık işlemlerinde sık kullandığımız Giriş Şifresi + sms kodu yada uygulamadan üretilen doğrulama kodu olarak bildiğiniz bir güvenlik mekanizmasıdır.Sizlere makalemde Checkpoint Firewall ile Cisco DUO entegrasyonunu sağlayıp ,vpn ile kuruma erişim sağlayan kullanıcılardan şifrelerinin yanında ,telefonlarındaki DUO uygulamasından da ikinci bir onay almalarını isteyeceğim.
Örnek topolojim aşağıdaki gibi olacak.


    İlk olarak DUO admin sayfasına giriş yapıyorum ,ardından two-factor authentication özelliğini kullanacağım uygulamayı belirlemek için Application sekmesinden Check Point VPN i buluyorum.


Authentication Proxy sunucu ile DUO erişiminde kullanacağım Integration key ,Secret key ve API hostname bilgilerini bir kenara not alıyorum.


Tüm kullanıcıların telefonlarına otomatik bir şekilde DUO programının linkini göndermek , register işleminin kullanıcının kendi kendine yapmasını sağlamak için kullanacağım ekran Bulk Enroll Users


Tek kullanıcı test edeceğim için bu işlemi manuel olarak tanımladım.


Bir yöntem de DUO nun uygulumasını Store üzerinden yükleyip karekod ile de hesabınızla eşleştirebilirsiniz.

User enroll işleminin farklı yolları olduğundan DUO nun sitesini incelemekte fayda var.


İkinci adımda networkumuzde Authentication Proxy işini yapacak bir sunucuya ihtiyacımız var ,bu sunucu Windows veya Linux olabilir, görevi DUO ile Chekpoint arasındaki authentication işlemini yönetecek ,vpn ile şirket kaynaklarına erişmek isteyen kişi, kullanıcı şifresini girdikten sonra ikinci doğrulama için telefonundaki uygulamaya bu isteği iletecek.

Authentication Proxy rolü için aşağıdaki linkten programı kuruyorum

https://dl.duosecurity.com/duoauthproxy-latest.exe

Ardından C:\Program Files (x86)\Duo Security Authentication Proxy\conf dizinindeki authproxy.cfg dosyasını notepad ile açıyorum ve aşağıda paylaştığım satırları yapıştırıyorum.

[ad_client]

host=10.10.10.10

service_account_username=duoservice

service_account_password=password1

search_dn=DC=coskunsanli,DC=local

[radius_client]

host=10.10.10.33

secret=radiussecret1

[radius_server_auto]

ikey=DI0XU4XA1J8SM9DYFTO1

skey=Cnf4V9Jg5ZWv5sVmoldiFc3FbIHNWX21Dr8WKrsv

api_host=api-a9f29fb9.duosecurity.com

radius_ip_1=10.10.10.33

radius_secret_1=radiussecret1

client=ad_client

port=1812

failmode=safe


Kaydedip kapattıktan sonra Authentication Proxy servisini aşağıdaki komutlar ile tekrar başlatıyorum.

net stop DuoAuthProxy

net start DuoAuthProxy

Üçüncü son adımda Checkpoint üzerindeki gereksinimleri yerine getireceğim.

New Host deyip Authentication Proxy rolu olan sunucumun ip adresini yazıyorum.


Radius Server tanımı için;

New > Server > More > RADIUS


Radius sunucuma bir isim veriyorum , service kısmına NEW-RADIUS versiyon olarakta RADIUS Ver. 2.0 belirliyorum.


Vpn ile erişim sağlayacaklar active directory kullanıcıları olacağı için Identity Awareness blade i açık olmalı

 

Yukarda tanımladığım RADIUS sucusunu authentication işlemine dahil etmek için

Gateway > Mobile Access > Settings > Authentication Method


Mobile Access tabından coskun.sanli kullanıcısına vpn izni veriyorum.


Sıra test etmeye geldi

Firewall umun dış ip adresini yazıp active directory şifremle giriş yapmak istiyorum.


Ardından telefonumdaki DUO uygulamasından bu işlem için bir onay isteği geliyor.

Approve diyorum.

Not: Bu uygulama açık olduğunda ekran görüntüsü alınamamaktadır.


Vpn erişimim sağlandı sıra logları incelemeye geldi.


Firewall üzerinde gördüğüm log aşağıdaki gibidir.


DUO admin panel üzerinden Users tabında da erişim loglarına ulaşabilirsiniz.


Görüşmek üzere.

Kaynak https://duo.com/docs/checkpoint

FMC INTEGRATION WITH ISE VIA PXGrid

FMC INTEGRATION WITH ISE VIA PXGrid

Merhaba ;

Yazımızın konusu Cisco FirePower , ISE entegrasyonu

Öncelikle PXGrid teknolojisinden bahsedeyim ;Network altyapısını oluşturan güvenlik, monitoring, kimlik yönetimi, tehdit algılama, önleme gibi tüm bileşenlerin arasındaki entegrasyonu sağlayıp ,aralarında bilgi alışverişi sağlayan multivendor çalışan bir teknolojidir.

Ağımıza yeni katılan bir cihazın ip adresi, mac adresi, kimlik bilgisi, konumu, üzerindeki yazılımları vs gibi önemli bilgileri ISE ile öğrenebiliyoruz. Bu öğrendiğimiz bilgileri networkdeki diğer cihazlar ile paylaşıp ,bu bilgiler üzerinden yetkilendirme , gruplama gibi işlemleri yapabiliriz. PXGrid in yaptığı da bu cihazlar arası bilgi alışverişi sağlamak.

Makalenin sonunda ISE üzerindeki SGT (Security Group Tags) lere göre Firepower üzerinde kural yazabilir. FirePower ile Active Directory entegrasyonunu sağlayabilir duruma geleceğiz.

ISE üzerinde yapılması gereken işlemler;

PXGrid servisini enable etmek için

Administrator > Deployment

Servislerin durumunu kontrol etmek için kullanacağımız komut

show application status ise

Entegrasyonun sağlandığında PXGrid isteğini otomatik olarak kabul edilmesi ile ilgili bir ayardır, manuel de yapılabilir.

ISE üzerinde sertfika konfigürasyonunu tekrardan anlatmayacağım ,detaylı bilgiyi sitemde bulabilirsiniz.

FMC üzerinde yapılması gereken ayarlar;

Microsoft CA Root sertfikamızı ,FMC sunucumuza import ediyoruz.

Object > PKI > Trusted CAs

PXGrid servisi için bir sertifika kullanacağız , bunun için CSR oluşturuyoruz.

Object > PKI >Internal Cas Generate CA

İlgili alanları doldurduktan sonra Generate CSR diyoruz.

Oluşturduğumuz CSR ı kopyalayıp Microsoft CA üzerinden onaylıyoruz.

Bu işlem sonunda elimizde pxgrid2.cer adında Microsoft CA in onayladığı bir sertifikaya sahip oluyoruz.

Sertifika işlemini bitirmek için aynı ekranda pxgird2.cer gösterip save diyoruz.

FMC için oluşturduğumuz Internal CA sertifika hazır , internal sertfikalar altında görebilmek için bir işlemimiz daha var

Oluşturduğumuz sertifikayı private key i ile birlikte export alıyoruz.

Export ettiğimiz *.p12 uzantılı dosyamızı pem formatına çevirmemiz gerekmektedir. Bu işlem için online bir tool kullanacağız.

Object > PKI >Internal Certs Add Internal Cert

Certificate Date yazan kısım için pxgrid2.cer , Key için *.pem dosyamızı gösteriyoruz.

Bag Attributes ile başlayan kısımları silerek OK diyoruz.

Internal Certs altında sertifikamızı görebiliyoruz artık.

Bir sonraki adım Integration > Identity Sources kısmından entegrasyon yapacağımız alana ulaşıyoruz.

İstenilen bilgileri sağlayıp Test butonuna basıyoruz.

Active Directoy entegrasyonu için tanımlarımıza devam ediyoruz.

System > Integration Directory bu kısımda Active Directory sunucumuzu ekliyoruz.

System > Integration Realm configuration Active Directory erişim bilgilerimizi giriyoruz.

System > Integration User Download Active Directory üzerindeki gruplarımızı seçiyoruz.

Firewall kurallarında bu entegrasyonu kullanabilmek için

Policy > Identity New Policy

Bir önceki adımda Realm konfigürasyonumuzu burada seçiyoruz.

Policy sekmesinde de identity Policy miz artık seçilebilir duruma geliyor.

Artık kurallarımızda Active Directory objelerimizi kullanabiliriz.

SGT için ISE üzerinde oluşturduğum statik grupların FMC üzerine geldiğini kontrol edelim.

COSKUN1 ve COSKUN2 adındaki 2 adet Grup firewall a gelmiş.

FMC 6.5 sürümüne kadar Active Directory entegrasyonunu agent ile yapabiliyorduk , 6.5 den sonra bu işlem için ISE veya ISE PIC kullanılması gerekecek bunu da dipnot olarak belirtmeykte fayda var.

Makalemizin başında PXGrid için multivendor çalışan bir teknoloji olduğundan bahsetmiştim ,bir sonraki makalemizin konusu da ISE / Checkpoint entegrasyonu PXGrid ile sağlayabiliriz.

Görüşmek üzere.

IOS Self-Signed Certificate Expiration

IOS Self-Signed Certificate Expiration

Son zamanlarda cisco forumlarında gezen arkadaşların çoğu haberi görmüştür.

“1 ocak tan itibaren cisco cihazlar üzerindeki self sign sertifika süresi sona erecektir”

Sitede paylaşılan belli ios router switch lerde artık harici bir ca üzerinden sertifika sağlamamız gerektiği yazmaktadır.

Bu makalede sizlere bunun etkilerinden bahsetmeye çalışacağım.

Burada dikkatte aldığım tamamen cihaz erişimi ile ilgili kısımdır(SSH). VPN VOICE gibi işlemlerde sertfika kullanıyorsanız prosedürlerine göre ilerlemekte fayda vardır.

Read More Read More

Configure ISE Threat-Centric NAC with Rapid7

Configure ISE Threat-Centric NAC with Rapid7

Cisco ISE Makaleler serimde bugün ISE Threat-Centric NAC özelliğinin ne işe yaradığını ve Rapid7 InsighVM ürünü ile nasıl birlikte çalıştığını, bizlere ne gibi faydalar sağladığını anlatmaya çalışacağım.

Rapid7 InsignVM ürünü tam anlamıyla zafiyet yönetim sistemidir, perentasyon dediğimiz zafiyet analizi yapan bunları bizim anlayabileceğimiz bir dile çeviren, bu zafiyetlerin nasıl kapanacağını, hangi işlemleri yapmamız gerektiğini, rapor şeklinde de sunabilen bir SIEM çözümünün parçasıdır.

Bu işlemleri nasıl yapar;

Networku discover ederek ağımızdaki asset leri bulur.

Buldukları asset leri gruplar.

Read More Read More

Virtual System Create on Checkpoint VSX

Virtual System Create on Checkpoint VSX

Makalemin ilk bölümünde Checkpoint VSX ‘in tanımını yapmıştım ardından topolojimdeki ip adreslerini verip VSX Cluster kurulumunu gerçekleştirmiştim ,bu bölümde ise virtual system create edilmesi ip yapılandırılması ve HA testlerinin gerçekleştirilmesini anlatmaya çalışacağım

Örneğimiz:

Aşağıdaki topolojide de göreceğiniz üzere datacenterımda firmalarıma ait sunucular(web,application vs) mevcut , bu serverların dış dünyaya erişimini VSX  üzerinden eriştireceğim.

Multi-Domain Management Server ıma bağlanıyorum, New Domain deyip management için bir ip adresi veriyorum.

Trusted Client , yöntem için firewall a hangi ipler bağlanacaksa izin vereceğim kısım

Ip bilgilerini girdikten sonra OK diyerek Virtual Domain in oluşmasını bekliyorum.

Domain oluşturuldu , “Connect to Domain Server “diyerek devam ediyorum.

Management operasyonunu sağladığım Domaini yarattım şimdi Gateway operasyonunu yapacağım

VSX > Virtual System

CORP-A-VSX ismini veriyorum ve hangi cluster da kurulacaksa onu seçiyorum

Cluster kurulumunda External interface için “share mode” seçmiştim , hatırlarsanız bu işlemden sonra da external için bir Vswitch oluşturmuştu ve eth3 bu bacağa bağlamıştı

Eth3 External bacağım ve  real ip adreslerimden bir aralık veriyorum

Internal için ise 10.10.30.180/24 tanımlıyorum.

Virtual System create ediliyor ve arka tarafta neler yaptığı ile ilgili rapor veriyor

Corp-A-Server adında bir management server ve Corp-A-VSX adında birde gateway e sahibim artık

Yarattığım VSX i incelemeye başlıyorum

Topolology sekmesinde eth2 local network , wrp128 adında external bacaklara sahibim.

External bacağım yukarda bahsettiğim VSwitch e bağlı dikkat ederseniz

Diğer bir farklı ekran ,standart kurulumlarda ssh ile bağlandığımızda cpconfig komutu ile Core XL instance belirliyorduk ,VSX yapıda aşağıdaki ekrandan gerekli düzenlemeyi yapabiliriz.

CORP-A firması için standart kurallarımı yazıyorum ve policy basıyorum

Serverlarımdan control ettiğimde internet erişimi geldiğini görmekteyim

CORP-A için yarattığım sistemler VSXGateway1 üzerinden çalıştığını loglardan kontrol ediyorum.

Cluster testim için VSXGateway1 down ediyorum.

Sistemin VSXGateway2 üzerinde artık

Main Domain altında çalışan tüm VSX sunucuları , management sunucuları görebilirsiniz.

Chekpoint VSX Virtual System eXtension

Chekpoint VSX Virtual System eXtension

Günümüzde sistem ve networkun her alanında sanalaştırma ismini duymaktayız , vmware esx, cisco nexus vdc , fortigate vdom gibi çoğu firmanın sanallaştırma tarafında bir çok ürünü bulunmakta bende bu makalemde sizlere checkpoint VSX yapısını örneklerle açıklamaya çalışacağım.

Virtual System eXtension; Bir saşe üzerinde yarattığım sanal firewallar olarak düşünebiliriz,bu firewalları Cloud firewall hizmetleri adı altında ISP firmaların müşterilerine sağladıkları hizmetlerlerdir aslında

Örneğimde; Checkpoint VSX cluster kurulumu yapacağım , interface tanımları ,virtual switch, virtual router tanımlarından bahsedeceğim.

Read More Read More

Cisco ISE Posture

Cisco ISE Posture

Makalemizin konusu Cisco ISE Posture ;

Networkumuze erişim sağlayacak clientlarda belli kriterler aradığımız , bu kriterler sağlandığı taktirde kaynaklara erişim izni verdiğimiz bir sistemdir. Antivirüs yazılımı yüklü olmayan ,Windows updateleri eksik , Windows Defender servisi çalışmayan clientları networke dahil etme , bu kriterler sağlanırsa dahil et gibi örnekler verebiliriz.

Makalemde konuyu anyconnect yazılımını kullanarak yapacağım.Anyconnect in deploy edilmesi profil belirlenmesi ve posture işlemi şeklinde devam edeceğim.

Önceki makalelerde Anyconnect yazılımını GPO üzerinden deploy edilmesini açıklamıştım , bu makalede client kendi yükleyecek.

Read More Read More

Enjoy this blog? Please spread the word :)