Author: sanli.coskun

Checkpoint R80.10 (Upgrade from R77.30)

Checkpoint R80.10 (Upgrade from R77.30)

Merhaba arkadaşlar sitemde bu hafta sizlere Checkpoint’in uzun zamandan beri beklenen versiyonu R80.10 anlatmaya ve R77.30 dan upgrade işlemi nasıl yapılır , karşılaşabileceğiniz sorunlar nelerdir,bunları anlatmaya çalışacağım.

Bildiğiniz üzere Checkpoint de Management versiyonu herzaman Gateway lerden üst versiyon olmak zorundadır. R80 versiyonu sadece Management olarak çıktığı için yapımızı tam olarak R80/R80.10 versiyonuna çıkaramıyordur.Tüm sürümler yayınlandığı için artık bu işlemi yapabiliyoruz.Aşağıdaki linkten görebileceğiniz üzere Gateway ve Management serverınızı için R80.10 versiyonu yayınlanmış durumda

Read More Read More

Checkpoint Backup and Restore

Checkpoint Backup and Restore

 Merhaba Arkadaşlar Checkpoint makalelerinde bugun sizlere sanaldan fiziksele, appliance dan open server a hertürlü geçişi  yapabileceğiniz backup restore işlemini anlatmaya çalışıcam

Bu konuda dikkat edilmesi gereken en önemli nokta hangi versiyona geçecekseniz o versiyonun upgrade tool unu kullanmalısınız.

Bu toolu expert oldukdan sonra cd /opt/CPsuite-R80/fw1/bin/upgrade_tools/ altında bulabilirsiniz

EXPORT:

Management cihazda expert moda geçiyoruz

cd /opt/CPsuite-R80/fw1/bin/upgrade_tools/ klasörüne giriyoruz
mkdir /opt/CPsuite-R80/fw1/bin/upgrade_tools/YEDEKLER komutu ile yedek alacağım yer için YEDEKLER adında klasörü yaratıyorum
cd bin /upgrade_tools/ export alacağım tool un olduğu dizin
ls ile dosyalara bakıyoruz
./migrate export /opt/CPsuite-r77/fw1/YEDEKLER/21MART2014 komutu ile yedek

klasöründe 21MART.tgz adında yedeği oluşturuyoruz

Daha sonradan oluşturulan dosyayı ls komutu ile kontrol ediyoruz

Backup ı dışarı çıkartmak için baby ftp programını çalıştırıyorum

Expert mod dan ftp ye bağlanıp komutlarımı veriyorum

ftp 10.0.0.10 ile ftp sunucuma connection sağlıyorum
kullanıcı adı kısmında anonymous şifreyide bir mail adresi yazmanız gerekmektedir
abc@abc.com
bin
put 21MART2014.tgz

IMPORT:

Yeni kurduğum server da YEDEKLER adında bir klasör yaratıyorum

mkdir /opt/CPsuite-R80/fw1/bin/upgrade_tools/YEDEKLER
Expert modda yedeğimizin oldugu alana gidiyoruz
cd /opt/CPsuite-R80/fw1/bin/upgrade_tools/YEDEKLER
daha sonra ftp 10.0.0.10 ile ftp ye bağlanıyorum
kullanıcı adı kısmında anonymous şifreyide bir mail adresi yazmanız gerekmektedir abc@abc.com
bin
get 21MART2014.tgz

komutlarını sırayla vererek dosyayı yeni firewallumuza çekiyorum

./migrate import / opt/CPsuite-r77/fw1/YEDEKLER/21MART2014

Restore işlemi bittikten sonra kuralları kontrol ediyoruz

Cisco ISE Portal Builder

Cisco ISE Portal Builder

Cisco ISE Portal Builder;

Bir önceki makalemizin konusu Guest Portal dı bu makaleyi konunun devamı olarak görecek olursak kısaca ; Networkümüze bağlanmak isteyen kullanıcılar kurum politikası gereği istenen bilgileri dolduruyor sonrasında bir kullanıcı şifreye sahip oluyor ve bu bilgilerle networke yada internete erişim sağlıyorlardı.

Cisco ISE Portal Builder ; ISE Server da portal sayfaları için tek bir template bulunmaktadır.ISE Portal bizlere daha fazla template ve bu templateleri daha fazla özelleştirme imkanı veren bir portaldır.Bu makalemizde bir template seçip bunu kurumumuza göre hazırlayacağız ardından ISEPB Portal Upload & Config Tool yardımı ile ISE serverımıza import etmeyi göreceğiz.

Read More Read More

Cisco ISE 2.3 Guest Portal

Cisco ISE 2.3 Guest Portal

Bundan önceki makalelerimizde Dot1x kullanarak Active Directory kullanıcılarımızı networke nasıl dahil ettiğimizi gördük.

Bu işlemler sırayla ;

  • Switchde ISE Server tanımı
  • ISE Serverda switch tanımı
  • ISE serverın Active Directory entegrasyonu
  • Client Pc de dot1x aktif edilmesi ve networke erişim sağlamasıydı.

Central Web Authentication ; Networke giriş yapmak isteyen kullanıcıları karşılayan BYOD ,Register Device , Guest vs. olarak gruplayan sonrasında belirlediğimiz yetkilerle networke erişim izni verdiğimiz bir yapıdır.

Read More Read More

CISCO ISE Upgrade

CISCO ISE Upgrade

Merhaba Arkadaşlar CISCO ISE makaleler serisinde sıra geldi upgrade işlemine
Cisco download sayfasını incelediğimizde versiyonlar arası geçiş paketlerini görebilirsiniz.
ISE 1.4 den ISE 2.0 , 2.2 ye direk geçiş paketleri varken 2.3 için minumum 2.0 a geçmeniz gerekmektedir.
Bu makalemde sizlere 2.1 den 2.3 e geçiş aşamasını anlatacağım
Öncelikle download paketlerini indiriyorum.

Sonrasında ISE Sunucumun bir snapshot ını alıp aksi bir durumda geri dönüşü hızlandırıyorum.

İndirdiğim upgrade dosyasını ftp ile ISE sunucumun diskine çekiyorum kullanacağım komut seti
” copy ftp://10.10.10.10/ise-upgradebundle-2.3.0.298.SPA.x86_64.tar.gz disk:/

Kopyalama işlemi bitti dosyam artık ISE serverımda

Upgrade için önce repository oluşturuyorum bu repository local disk de bulunacak ve adı da” upgrade ” olacak

ise01/admin# conf t
Enter configuration commands, one per line. End with CNTL/Z.
ise01/admin(config)# repository upgrade
ise01/admin(config-Repository)# url disk:
e% Warning: Repositories configured from CLI cannot be used from the ISE web UI and are not replicated to other ISE nodes. If this repository is not created in the ISE web UI, it will be deleted when ISE services restart.
ise01/admin(config-Repository)# end
ise01/admin#

Upgrade işlemini tetiklemeye geldi sıra kullanacağımız komut

” application upgrade prepare ise-upgradebundle-2.3.0.298.SPA.x86_64.tar.gz upgrade “

Bu işlem datanın boyutuna göre değişiklik gösterecek aşağıdaki linki incelerseniz Standalone bir yapıda 240 dakika diyor
Upgrade işlemini takip edeceğiniz komut seti
ise01/admin# application upgrade proceed

Burada belirtmek istediğim son bir nokta upgrade sonrasında Guest Operating System Red Hat Linux seçilmeli . (Red Hat Linux vmxnet ve e1000 desteklemektedir.)
https://www.cisco.com/c/en/us/td/docs/security/ise/2-1/upgrade_guide/b_ise_upgrade_guide_21/b_ise_upgrade_guide_21_chapter_00.html

Cisco ISE Certificate + User Authentication

Cisco ISE Certificate + User Authentication

Merhaba arkadaşlar makalemin bu bölümde networkteki kullanıcılarımın authentication işlemlerinde kullanacağım yöntem olarak sertifika ve active directory bilgisi isteyeceğim

Bir önceki makalemde Cisco Ise üzerinde sertifika oluşturmayı anlatmıştım makaleyi okumadan önce o postu incelemenizde fayda var.

Elimde iki adet sertifika var bir tanesi local deki CA serverım root , diğeride ISE üzerinden CSR kodumuzla oluşturduğumuz sertifika bu ikisini bir GPO ile Computers OU sunun üzerine basıyorum.

Read More Read More

Cisco AnyConnect Deploy via GPO

Cisco AnyConnect Deploy via GPO

Merhaba arkadaşlar Cisco ISE Makalelerimin  bu bölümünde enterprise yapılarda Anyconnect yazılımının clientlara deploy aşamasında dikkat edilmesi gereken hususlar konusuna değineceğim

Anyconnect üzerinde vpn posture amp umbrella gibi diğer Cisco ürün ailesi ile konuşan agentlar mevcut, ISE için kurulması gereken agentlar Core , Network Access Manager ve son olarak posture işlemi için ISE Posture

Anyconnect ISE server ımızla nasıl konuşuyor biraz ondan bahsedelim , ISE Server üzerinde kullanacağımız protokol EAP-FAST olmalı sonrasında daha önceki makalemizde bahsettiğimiz AnyConnect Editor vasıtasıyla clientların bu protokolu kullanırken user machine authentication için nasıl yol izleyeceğini seçiyorum ve bunlardan bir profil çıkarıyorum

Sonrasında bu profil dosyamız Clinet üzerindeki AnyConnect yazılımıma gösteriyorum ve ISE Serverım üzerindeki policy ilerime göre networke erişimini sağlıyorum.

GPO üzerinden software install seçeneğinden Anyconnect kurulumu yapamıyoruz burada önerilen Microsoft System Center ürünlerini kullanıp kullanıcıya deploy etmek ama ben bu işlemi bat file hazırlayıp deploy işlemini gerçekleştiricem.

İlk olarak kurulum dosyalarımızı dc üzerinde bir paylaşıma açıyorum 

Sonrasında bat filemızı aşağıdaki gibi hazırlıyorum

Önce core agent sonrasında network access manager ve posture agentlarını kur ve en son agenttan sonrada restart et diyorum

msiexec /package \\dc01\anyconnect_kurulum\anyconnect-core.msi /norestart /quiet

msiexec /package \\dc01\anyconnect_kurulum\anyconnect-nam.msi /norestart /quiet

msiexec /package \\dc01\anyconnect_kurulum\anyconnect-posture.msi /restart /quiet 

Hazırladığım bat file ı  computer Policy altında startup Policy yerleştiriyorum

2.adımda NAM (Network Access Manager) için konfigüration dosyasının kopyalanacağı yere user için yetki vermem gerekiyor.Aşağıdaki resimde windows xp ve sonrası için işletim sistemlerinde bu dosyaların tutulduğu yer gösterilmekte.

Bizim kullanıcımız windows10 ve policy m aşağıdaki gibi yaratıyorum

Sıra geldi konfigürasyon dosyamızı client a kopyalama işlemine bunun için de aslında 2 yöntem var  1. yol xcopy ile bir bat file hazırlanması   2.yol ise GPO üzerinden source destination ların belirlenip dosyayı göstermek

Son işlemimiz Anyconnect Agent client üzerine kuruldu, configuration file üzerine kopyalandı ama ISE üzerinde machine authentication hatası alıyorsunuz , ISE üzerindeki policyleriniz doğru ama bir türlü machine authentication sağlayamıyor, sebebi windows 8 ve sonrası işletim sistemlerindeki değişen güvenlik tanımlarından kaynaklanmaktadır, aslında burda machine bilgisini ISE a gönderirken bu işlemi şifreli olarak göndermesi ve bunu ISE çözemiyor olması sorunun asıl kaynağıdır bu cisco da bir BUG olarak geçmekte çözümü ise gene GPO üzerinden hazırlaycağım register kaydı.

ISE loglarına baktığımızda artık user+machine authentication sağlanmış durumdadır.

 

Enjoy this blog? Please spread the word :)