Category: Firewall

CONFIGURING THE NAT POLICY PALOALTO & CHECKPOINT

CONFIGURING THE NAT POLICY PALOALTO & CHECKPOINT

Sizlere bu makalemde enterprise seviye de kullanılan iki firewall da Nat işlemlerinin nasıl yapıldığını anlatmaya çalışacağım ,her firewall un kendine göre kolaylıkları zorlukları mevcut bu ürünleri kullanmayan yada merak eden arkadaşlar varsa yardımcı olacağını düşünüyorum.

İki Firewall un da birbirleri arası migration tool ları mevcut bu arada ,nat policy obje işlemleri bu tool larla çok daha kolay yapılabiliyor, amaç checkpoint te nasıl yapıyordum ,paloaltoda bu nasıl oluru görmek. Paloalto zone base bir firewall bildiğiniz üzere checkpoint te R80.10 dan sonra geldi bu özellik ,nat işlemi yaparken zone seçimleri vs dikkat edeceğimiz noktaları göstermeye çalışacağım

Bu iki firewall da Hide,Static , Pat örnekleri yapıp ,sahada karşılaştığım hairpinning ,U-turn Nat gibi sorunlardan örnekler vererek gideceğim

Kafamızda canlanması adına aşağıdaki topolojiye göre hareket edelim

Public Ip Adresim :10.34.110.0/16

Server Ip Adresim : 10.100.100.0/24

Client Ip Adresim : 10.100.50.0/24


Pat (Hide) :

Port Address Translation (PAT), is an extension to network address translation (NAT) that permits multiple devices on a local area network (LAN) to be mapped to a single public IP address. The goal of PAT is to conserve IP addresses.

Static Nat:

Static Network Address Translation (NAT) allows the user to configure one-to-one translations of the inside local addresses to the outside global addresses. It allows both IP addresses and port number translations from the inside to the outside traffic and the outside to the inside traffic.

Checkpoint

Hide Nat:

Pat yapmak istediğim obje üzerinden NAT sekmesine gelip “Add authomatic address translation rules” kutucuğunu işaretliyorum “Translation Method” kısmını “Hide” olarak bırakıyorum.


Static Nat:

Çift yönli bir nat olacağı için bu sefer obje üzerinde Nat sekmesine gelip “Add authomatic address translation rules” kutucuğunu işaretliyorum “Translation method” kısmını bu sefer “Static” seçiyorum.

IPv4 kısmına 10.34.110.152 olan public ip adresimi yazıp bitiriyorum.


Paloalto

Hide Nat:

Policy > Nat sekmesinden add deyip source address de local networkumu ,source address translation kısmında da untrust interface imi ve firewall un dış bacak ip adresimi seçiyorum.


 

 

 

 

 

 


 

 

Static Nat:

Policy > Nat sekmesinden add deyip source address de Sunucu Ip Adresini ,source address translation kısmında “Translatation Type” Static ,”Translated Address” natlayacağım public ip adresimi yazıyorum , burada da çift taraflı bir nat yazacağımız için “Bi-directional” kutucuğu işaretliyorum.

 

 

 

 

 

 

 

 

 

 

Örnek 1.

10.100.100.12 ip adresi internete çıkarken 10.34.110.153 üzerinden çıkış sağlasın

Örnek 2.

10.34.110.152 real ip adresi üzerinden 8090 portu kullanılarak 10.100.100.12 ip adresine uzak masaüstü portu ile erişim sağlansın

Chekpoint :

Örnek1 : SRV-10.100.100.12 host üzerinde Nat sekmesine gelip “Add automatic address translation rules” kutucuğunu işaretliyorum ardından, “Translation Method” > “Hide behind IP address” kısmına 10.34.110.153 public ip adresimi yazıyorum.


 

 

 

 

 

 

Örnek2:

İstekler real ip adresimize geleceği için policy sekmesinde yazacağımız kural aşağıdaki şekilde olacak

 

 

 

Nat sekmesindeki durumumuzda 10.34.110.152 8090 portundan gelen trafiği 10.100.100.12 3389 olarak translate et şeklinde

 

 

Paloalto:

Örnek1:

Nat tablomuz srv-mng > untrust şeklinde Source Address Translation kısmı “Dynamic Ip and Port” “Translation Adress” kısmında da internete çıkış ip adresim olan 10.34.110.153 ü seçiyorum.


 

 

 

Örnek2:

Security tabında yazacağımı kural aşağıdaki gibi olacak 10.34.110.152 üzerinden 8090 portuna izin ver.


 

 

Nat kuralımız da untrust > untrust a 10.34.110.152 ye gelen 8090 isteğini 10.100.100.12 nin 3389 a bırak.


 

 

 

Son olarak bahsedeceğim konu Hairpin NAT , NAT Reflection , U-Turn Nat kavramlara örnek vermek.

Aşağıdaki topolojiyi ele alırsak zaman zaman şöyle bir ihtiyacımız doğabiliyor.

Local networkteki Client larımız Web sunucumuza real ip adresinden erişim sağlaması gerekebilir.Bu daha çok public ip adresinin kısıtlı olduğu durumlarda , web sunucuların natlanmasında , cisco colobration ürünlerinde vs ihtiyaç olabiliyor.


 

 

 

 

 

 

Paloalto da bu işlem U-Turn Nat şeklinde geçiyor ve nat kuralım aşağıdaki şekilde olacaktır.

Client zone > Untrust Zone


 

 

 

 

Görüşmek üzere.

https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk110019

https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClEiCAK

Chekpoint VSX Virtual System eXtension

Chekpoint VSX Virtual System eXtension

Günümüzde sistem ve networkun her alanında sanalaştırma ismini duymaktayız , vmware esx, cisco nexus vdc , fortigate vdom gibi çoğu firmanın sanallaştırma tarafında bir çok ürünü bulunmakta bende bu makalemde sizlere checkpoint VSX yapısını örneklerle açıklamaya çalışacağım.

Virtual System eXtension; Bir saşe üzerinde yarattığım sanal firewallar olarak düşünebiliriz,bu firewalları Cloud firewall hizmetleri adı altında ISP firmaların müşterilerine sağladıkları hizmetlerlerdir aslında

Örneğimde; Checkpoint VSX cluster kurulumu yapacağım , interface tanımları ,virtual switch, virtual router tanımlarından bahsedeceğim.

Read More Read More

Checkpoint R80.10 (Upgrade from R77.30)

Checkpoint R80.10 (Upgrade from R77.30)

Merhaba arkadaşlar sitemde bu hafta sizlere Checkpoint’in uzun zamandan beri beklenen versiyonu R80.10 anlatmaya ve R77.30 dan upgrade işlemi nasıl yapılır , karşılaşabileceğiniz sorunlar nelerdir,bunları anlatmaya çalışacağım.

Bildiğiniz üzere Checkpoint de Management versiyonu herzaman Gateway lerden üst versiyon olmak zorundadır. R80 versiyonu sadece Management olarak çıktığı için yapımızı tam olarak R80/R80.10 versiyonuna çıkaramıyordur.Tüm sürümler yayınlandığı için artık bu işlemi yapabiliyoruz.Aşağıdaki linkten görebileceğiniz üzere Gateway ve Management serverınızı için R80.10 versiyonu yayınlanmış durumda

Read More Read More

Checkpoint Backup and Restore

Checkpoint Backup and Restore

 Merhaba Arkadaşlar Checkpoint makalelerinde bugun sizlere sanaldan fiziksele, appliance dan open server a hertürlü geçişi  yapabileceğiniz backup restore işlemini anlatmaya çalışıcam

Bu konuda dikkat edilmesi gereken en önemli nokta hangi versiyona geçecekseniz o versiyonun upgrade tool unu kullanmalısınız.

Bu toolu expert oldukdan sonra cd /opt/CPsuite-R80/fw1/bin/upgrade_tools/ altında bulabilirsiniz

EXPORT:

Management cihazda expert moda geçiyoruz

cd /opt/CPsuite-R80/fw1/bin/upgrade_tools/ klasörüne giriyoruz
mkdir /opt/CPsuite-R80/fw1/bin/upgrade_tools/YEDEKLER komutu ile yedek alacağım yer için YEDEKLER adında klasörü yaratıyorum
cd bin /upgrade_tools/ export alacağım tool un olduğu dizin
ls ile dosyalara bakıyoruz
./migrate export /opt/CPsuite-r77/fw1/YEDEKLER/21MART2014 komutu ile yedek

klasöründe 21MART.tgz adında yedeği oluşturuyoruz

Daha sonradan oluşturulan dosyayı ls komutu ile kontrol ediyoruz

Backup ı dışarı çıkartmak için baby ftp programını çalıştırıyorum

Expert mod dan ftp ye bağlanıp komutlarımı veriyorum

ftp 10.0.0.10 ile ftp sunucuma connection sağlıyorum
kullanıcı adı kısmında anonymous şifreyide bir mail adresi yazmanız gerekmektedir
abc@abc.com
bin
put 21MART2014.tgz

IMPORT:

Yeni kurduğum server da YEDEKLER adında bir klasör yaratıyorum

mkdir /opt/CPsuite-R80/fw1/bin/upgrade_tools/YEDEKLER
Expert modda yedeğimizin oldugu alana gidiyoruz
cd /opt/CPsuite-R80/fw1/bin/upgrade_tools/YEDEKLER
daha sonra ftp 10.0.0.10 ile ftp ye bağlanıyorum
kullanıcı adı kısmında anonymous şifreyide bir mail adresi yazmanız gerekmektedir abc@abc.com
bin
get 21MART2014.tgz

komutlarını sırayla vererek dosyayı yeni firewallumuza çekiyorum

./migrate import / opt/CPsuite-r77/fw1/YEDEKLER/21MART2014

Restore işlemi bittikten sonra kuralları kontrol ediyoruz

Checkpoint Gaia Advanced Cluster and Troubleshoot

Checkpoint Gaia Advanced Cluster and Troubleshoot

Merhaba

Cluster yapıdaki chekpoint firewallumuzda sorun yaşandığımızda nasıl bir yol izlememiz gerektiğini bu makalemde anlatıyor olacağım daha çok GAIA işletim sisteminin CLI ının becerilerini kullanarak ilerleyeceğiz faydası olması dileğiyle

Checkpoint cluster da bildiğiniz üzere senkronizasyon yaparken L3 bir hattı kullanıyor bu hat üzerinde CCP (Cluster Control Protocol TCP 81116 ) portu üzerinden haberleşerek aradaki iletişimi gerçekleştiriyor.

Kullanacağımiz komutların başında “cphaprob stat” gelmektedir.Bu komut cluster memberlarının durumlarını bize göstermekte

Read More Read More

Check Point R77 30 GAIA (VRRP) Cluster Kurulumu

Check Point R77 30 GAIA (VRRP) Cluster Kurulumu

Bu makalemizde Checkpoint R77.30 VRRP yapılandırmasını anlataya çalışıcam

Yazılarımda teknik terimlerden çok “nasıl yapılır ,nasıl çözülür “ kısmıyla ilgilendiğim için terimler kısmına çok fazla girmeyeceğim,

Vrrp nedir ?

Virtual Router Redundancy Protocol dür. Bu ne anlama gelir cisco dan da aşina olduğumuz L3 bir yedeklilik sağlar nedir bu yedeklilik bir GW gittiğinde(çöktüğünde) diğer GW den internete çıkmamızı sağlar,VRRP cluster üyesi tüm gwler tek bir cihaz gibi davranır,bunuda sanal bir router gibi davranarak yapar.

Daha önceki yazımda High Availability kısmında Cluster XL yapısını anlatmıştım hatırlarsanız burda active/passive çalışmaktaydı ,VRRP yapımızda active/active çalıştıracağız.

Demoyu kısaca anlatayım ve ardından uygulamaya geçelim

2 adet Gateway rolunde Checkpoint R77.30

1 adet Management rolunde Checkpoint R77.30

Gateway ler için ilk kurulum ekranında products kısmından “Security Gateway” clustering kısmından “VRRP Cluster” cluster Global id olarakta “1” deyip Next diyorum.

vrrp1 

Next dedikten sonra information ekranında cpconfig ve gui den yapacağımız işlemleri söylüyor next diyorum ilerleyen adımlarda bunları açıklayacağım

 vrrp2

Interfacelerde dynamic ipler kullanmayacağım next deyip bir sonraki adıma geçiyorum.

vrrp3

Management server a eklemek için kullanacağım SIC şifresini veriyorum ve kurulumu tamamlıyorum.

 vrrp4

2 adım önceki information da verilen uyarılardan 1.sini bu adımda yapıyoruz.

Her iki gateway lerimize ssh ile bağlanıp expert olduktan sonra 6 i seçip bu gateway bir cluster üyesidir diye belirtiyorum “enable cluster membership for this gateway”

vrrp5

İnterface bilgilerimiz aşağıdaki gibi eth0 external eth1 intetrnal network olarak yapılandırıyorum.

vrrp6

Sağ taraftan “High Availability” hemen altından VRRP diyoruz

Burada her iki ethernet için virtual ip lerimizi belirtiyorum , iki gateway de de dikkat edilmesi gereken yerler virtual id aynı olmalı ,Primary gateway için “priorty” değeri 100 olarak belirliyorum burdaki değer ise öncelik değeridir.

 vrrp7

İkinci gateway de virtual gateway lerimizi aynı şekilde tanımlıyorum.

vrrp8

First configuration daki verilen uyarıları bu şekilde tanımladık cpconfig den cluster member olduğunu belirttik web gui den de virtual router larımızı ve priority lerini tanımladık.

Şimdi gelelim SmartDashboard ile bağlanıp cluster ımızı oluşturmaya

Aşağıdaki adımları izleyip cluster ımızı oluşturuyorum.

vrrp9

Cluster ımıza bir isim ve local network teki virtual ip mi veriyorumardından cluster modu mu seçiyorum

vrrp10

Gateway lerimi ekleyip next diyorum

vrrp11

Get topology dediğimde interface lerimin durumu aşağıda

vrrp12

ClusterXL and VRRP sekmesini kontrol ediyorum

vrrp13

VRRP de yazılması gereken kural aşağıdaki şekilde olmalıdır.

Cluster dan multicast e vvrp ve igmp portlarına accept

vrrp14

Son olarak Policy mizi basıp Smart Monitor den Gateway durumlarına bakıyorum

 vrrp15

Her iki gateway de de active olarak görüyoruz

 vrrp16

Önemli Not: Cluster yapıda NTP önemli etkendir kesinlikle kullanılmalı diğer önemli bir husus VRRP kullanılan yapıda Firewall ların bağlı olduğu portlarda spanning tree kapalı olmalıdır.

Enjoy this blog? Please spread the word :)