Category: Firewall

Chekpoint VSX Virtual System eXtension

Chekpoint VSX Virtual System eXtension

Günümüzde sistem ve networkun her alanında sanalaştırma ismini duymaktayız , vmware esx, cisco nexus vdc , fortigate vdom gibi çoğu firmanın sanallaştırma tarafında bir çok ürünü bulunmakta bende bu makalemde sizlere checkpoint VSX yapısını örneklerle açıklamaya çalışacağım.

Virtual System eXtension; Bir saşe üzerinde yarattığım sanal firewallar olarak düşünebiliriz,bu firewalları Cloud firewall hizmetleri adı altında ISP firmaların müşterilerine sağladıkları hizmetlerlerdir aslında

Örneğimde; Checkpoint VSX cluster kurulumu yapacağım , interface tanımları ,virtual switch, virtual router tanımlarından bahsedeceğim.

Read More Read More

Checkpoint R80.10 (Upgrade from R77.30)

Checkpoint R80.10 (Upgrade from R77.30)

Merhaba arkadaşlar sitemde bu hafta sizlere Checkpoint’in uzun zamandan beri beklenen versiyonu R80.10 anlatmaya ve R77.30 dan upgrade işlemi nasıl yapılır , karşılaşabileceğiniz sorunlar nelerdir,bunları anlatmaya çalışacağım.

Bildiğiniz üzere Checkpoint de Management versiyonu herzaman Gateway lerden üst versiyon olmak zorundadır. R80 versiyonu sadece Management olarak çıktığı için yapımızı tam olarak R80/R80.10 versiyonuna çıkaramıyordur.Tüm sürümler yayınlandığı için artık bu işlemi yapabiliyoruz.Aşağıdaki linkten görebileceğiniz üzere Gateway ve Management serverınızı için R80.10 versiyonu yayınlanmış durumda

Read More Read More

Checkpoint Backup and Restore

Checkpoint Backup and Restore

 Merhaba Arkadaşlar Checkpoint makalelerinde bugun sizlere sanaldan fiziksele, appliance dan open server a hertürlü geçişi  yapabileceğiniz backup restore işlemini anlatmaya çalışıcam

Bu konuda dikkat edilmesi gereken en önemli nokta hangi versiyona geçecekseniz o versiyonun upgrade tool unu kullanmalısınız.

Bu toolu expert oldukdan sonra cd /opt/CPsuite-R80/fw1/bin/upgrade_tools/ altında bulabilirsiniz

EXPORT:

Management cihazda expert moda geçiyoruz

cd /opt/CPsuite-R80/fw1/bin/upgrade_tools/ klasörüne giriyoruz
mkdir /opt/CPsuite-R80/fw1/bin/upgrade_tools/YEDEKLER komutu ile yedek alacağım yer için YEDEKLER adında klasörü yaratıyorum
cd bin /upgrade_tools/ export alacağım tool un olduğu dizin
ls ile dosyalara bakıyoruz
./migrate export /opt/CPsuite-r77/fw1/YEDEKLER/21MART2014 komutu ile yedek

klasöründe 21MART.tgz adında yedeği oluşturuyoruz

Daha sonradan oluşturulan dosyayı ls komutu ile kontrol ediyoruz

Backup ı dışarı çıkartmak için baby ftp programını çalıştırıyorum

Expert mod dan ftp ye bağlanıp komutlarımı veriyorum

ftp 10.0.0.10 ile ftp sunucuma connection sağlıyorum
kullanıcı adı kısmında anonymous şifreyide bir mail adresi yazmanız gerekmektedir
abc@abc.com
bin
put 21MART2014.tgz

IMPORT:

Yeni kurduğum server da YEDEKLER adında bir klasör yaratıyorum

mkdir /opt/CPsuite-R80/fw1/bin/upgrade_tools/YEDEKLER
Expert modda yedeğimizin oldugu alana gidiyoruz
cd /opt/CPsuite-R80/fw1/bin/upgrade_tools/YEDEKLER
daha sonra ftp 10.0.0.10 ile ftp ye bağlanıyorum
kullanıcı adı kısmında anonymous şifreyide bir mail adresi yazmanız gerekmektedir abc@abc.com
bin
get 21MART2014.tgz

komutlarını sırayla vererek dosyayı yeni firewallumuza çekiyorum

./migrate import / opt/CPsuite-r77/fw1/YEDEKLER/21MART2014

Restore işlemi bittikten sonra kuralları kontrol ediyoruz

Checkpoint Gaia Advanced Cluster and Troubleshoot

Checkpoint Gaia Advanced Cluster and Troubleshoot

Merhaba

Cluster yapıdaki chekpoint firewallumuzda sorun yaşandığımızda nasıl bir yol izlememiz gerektiğini bu makalemde anlatıyor olacağım daha çok GAIA işletim sisteminin CLI ının becerilerini kullanarak ilerleyeceğiz faydası olması dileğiyle

Checkpoint cluster da bildiğiniz üzere senkronizasyon yaparken L3 bir hattı kullanıyor bu hat üzerinde CCP (Cluster Control Protocol TCP 81116 ) portu üzerinden haberleşerek aradaki iletişimi gerçekleştiriyor.

Kullanacağımiz komutların başında “cphaprob stat” gelmektedir.Bu komut cluster memberlarının durumlarını bize göstermekte

Read More Read More

Check Point R77 30 GAIA (VRRP) Cluster Kurulumu

Check Point R77 30 GAIA (VRRP) Cluster Kurulumu

Bu makalemizde Checkpoint R77.30 VRRP yapılandırmasını anlataya çalışıcam

Yazılarımda teknik terimlerden çok “nasıl yapılır ,nasıl çözülür “ kısmıyla ilgilendiğim için terimler kısmına çok fazla girmeyeceğim,

Vrrp nedir ?

Virtual Router Redundancy Protocol dür. Bu ne anlama gelir cisco dan da aşina olduğumuz L3 bir yedeklilik sağlar nedir bu yedeklilik bir GW gittiğinde(çöktüğünde) diğer GW den internete çıkmamızı sağlar,VRRP cluster üyesi tüm gwler tek bir cihaz gibi davranır,bunuda sanal bir router gibi davranarak yapar.

Daha önceki yazımda High Availability kısmında Cluster XL yapısını anlatmıştım hatırlarsanız burda active/passive çalışmaktaydı ,VRRP yapımızda active/active çalıştıracağız.

Demoyu kısaca anlatayım ve ardından uygulamaya geçelim

2 adet Gateway rolunde Checkpoint R77.30

1 adet Management rolunde Checkpoint R77.30

Gateway ler için ilk kurulum ekranında products kısmından “Security Gateway” clustering kısmından “VRRP Cluster” cluster Global id olarakta “1” deyip Next diyorum.

vrrp1 

Next dedikten sonra information ekranında cpconfig ve gui den yapacağımız işlemleri söylüyor next diyorum ilerleyen adımlarda bunları açıklayacağım

 vrrp2

Interfacelerde dynamic ipler kullanmayacağım next deyip bir sonraki adıma geçiyorum.

vrrp3

Management server a eklemek için kullanacağım SIC şifresini veriyorum ve kurulumu tamamlıyorum.

 vrrp4

2 adım önceki information da verilen uyarılardan 1.sini bu adımda yapıyoruz.

Her iki gateway lerimize ssh ile bağlanıp expert olduktan sonra 6 i seçip bu gateway bir cluster üyesidir diye belirtiyorum “enable cluster membership for this gateway”

vrrp5

İnterface bilgilerimiz aşağıdaki gibi eth0 external eth1 intetrnal network olarak yapılandırıyorum.

vrrp6

Sağ taraftan “High Availability” hemen altından VRRP diyoruz

Burada her iki ethernet için virtual ip lerimizi belirtiyorum , iki gateway de de dikkat edilmesi gereken yerler virtual id aynı olmalı ,Primary gateway için “priorty” değeri 100 olarak belirliyorum burdaki değer ise öncelik değeridir.

 vrrp7

İkinci gateway de virtual gateway lerimizi aynı şekilde tanımlıyorum.

vrrp8

First configuration daki verilen uyarıları bu şekilde tanımladık cpconfig den cluster member olduğunu belirttik web gui den de virtual router larımızı ve priority lerini tanımladık.

Şimdi gelelim SmartDashboard ile bağlanıp cluster ımızı oluşturmaya

Aşağıdaki adımları izleyip cluster ımızı oluşturuyorum.

vrrp9

Cluster ımıza bir isim ve local network teki virtual ip mi veriyorumardından cluster modu mu seçiyorum

vrrp10

Gateway lerimi ekleyip next diyorum

vrrp11

Get topology dediğimde interface lerimin durumu aşağıda

vrrp12

ClusterXL and VRRP sekmesini kontrol ediyorum

vrrp13

VRRP de yazılması gereken kural aşağıdaki şekilde olmalıdır.

Cluster dan multicast e vvrp ve igmp portlarına accept

vrrp14

Son olarak Policy mizi basıp Smart Monitor den Gateway durumlarına bakıyorum

 vrrp15

Her iki gateway de de active olarak görüyoruz

 vrrp16

Önemli Not: Cluster yapıda NTP önemli etkendir kesinlikle kullanılmalı diğer önemli bir husus VRRP kullanılan yapıda Firewall ların bağlı olduğu portlarda spanning tree kapalı olmalıdır.

Check Point 1100 Appliance

Check Point 1100 Appliance

Uzun bir aradan sonra herkese Merhaba;

Makalemizde Güvenlik alanında kendini ispatlamış üst seviye çözümlerle piyasada kendini kanıtlamış bir firma olan checkpoint in branch ofisler için çözümü olan 1100 serisini ele alacağız

Appliance, branch ofisler için uygun diyoruz ama kesinlikle hafife alınmayacak özelliklerle sunuluyor,aşağıda cihaz üzerinde gelen blade ler ve Throughput değerleri mevcut

  • Firewall
  • IPsec VPN
  • Mobile Access
  • Advanced Networking & Clustering
  • Identity Awareness
  • IPS
  • Application Control
  • URL Filtering
  • Antivirus
  • Anti-Spam

Cihazın girişleri aşagıdaki tabloda, dsl bağlantısı wan portu son olarak  dmz i de bu gruba katıp toplam 3 internet bağlantısı sonlandırabiliriz.

 1100-specs

Cihaz yönetimi tamamen web base olup SmartDashboard a gerek duymadan yönetim sağlıyor

1

Cihaz bir çok özellikle gelidiğini belirtmiştim bu makalede öne çıkan özelliklerinden Active Directory entegrasyonu,Hotspot,Policy Base Routing ve VPN türlerini anlatıp birer örnekle yazımı sonlandıracağım

Active Directory :

Active Directory entegrasyonu sağlanken Cp tamamen Windows Event ları okuyup  authentication sağlamaktadır.Firewall tarafında AD sunucusunu göstermek bu iş için yeterli olacaktır,kural yazılırken kullanıcı gelmediği durumda gene aynı tabda syn’a basılması ile ekrana anında düşmektedir.

Access Policy Tabından “User Awreness” tıklıyoruz karşımıza gelen ekranda Browser Based mi yoksa Active Directory authentication olacığımız seçip next diyoruz.

 2

Boşlukları istenilen ilgileri girip bitiriyorum

3

İşlem başarıyla tamamlandı.

 4

Policy Base Routing:

Birden fazla hattımızı cihazımızda sonlandırdık WIFI ve Local Network ü farklı hatlardan çıkarmak istedik diyelim ozaman yapmamız gereken işlemler,

Dış ip lerim 10.34.11.1 ve 192.168.50.50 olarak ayarlıyorum

 5

Interface Name  kısmındaki yazan DMZ  WAN ikinci WAN bacağı olarak tanımlıyorum

6

Kuralımı aşağıdaki gibi tanımlayıp Routing sekmesinde Policy belirliyorum

7

Routing tablosunu yorumlayacak olursak

192.168.1.0 networku STANDART(http,https,smtp,pop) servisleri kullanarak Internet1 den

10.10.10.0 networku Internet2 den çık anlamında

 8

Hotspot:

Device > Wıreless Network > Add deyip WIFI için bir sanal interface tanımlıyoruz

Security Tabında Unprotected seçiyoruz.

9

İp range subnet bilgilerini giriyoruz.

 10

Hotspot karşılama ekranını düzenlemek için Device > Hotspot > Customize

11

Son olarak Policy yazıp erişimi sağlıyoruz

 12

Vpn:

Vpn sekmesine geldiğimizde bizleeri 3 farklı seçenek karşılamakta bunları biraz açalım

Chekpoint VPN Clients : CP vpn yazılımı kullanarak erişim sağladığımız yöntem

SSL VPN: Yazılım yüklemeden, tarayıcıya ilgili linki yazıp giriş yapılan yöntem

Windows VPN Client : Windows işletim sistemi üzerindeki vpn yazılımı ile giriş yapılan yöntem

Cihazda MobileVPN gelmemekte ama genede kullanılması gerekiyorsa L2TP ile bağlantı sağlanabilir,

 13

AD üzerinde vpngrup olarak tanımladığım obje için kuralım aşağıda

14

15

LT2P için pre-sharekey tanımlıyorum

16 

Vpn ile ilgili bütün tanımlamalarım bitti sırayla test ediyoruz.

SSL VPN için ilgili sayfaya girip Continue deyip bir sonraki adıma geçiyorum

17

Pop-up a izin verip erişime yetkili kullanıcı adı ve şifresini giriyoruz

 18

CP VPN Client ile bağlanmak için ilgili linke tıklayıp yazılımı kurduktan sonra profl belirliyoruz

19

İp ve kullanıcı şifrelerini yazdıktan sonra erişim sağlanmaktadır.

 20 

Son olarak L2TP bağlantısınıda Androit cihazımızdan sağlıcaz

Bağlantılar sekmesinden VPN kur seçeneğine dokunup bilgilerimizi giriyorum

 2122

Enjoy this blog? Please spread the word :)