Tag: checkpoint

Checkpoint Two-Factor Authentication with Cisco DUO

Checkpoint Two-Factor Authentication with Cisco DUO

        İki adımlı doğrulama (two-factor authentication); Günlük hayatta bankacılık işlemlerinde sık kullandığımız Giriş Şifresi + sms kodu yada uygulamadan üretilen doğrulama kodu olarak bildiğiniz bir güvenlik mekanizmasıdır.Sizlere makalemde Checkpoint Firewall ile Cisco DUO entegrasyonunu sağlayıp ,vpn ile kuruma erişim sağlayan kullanıcılardan şifrelerinin yanında ,telefonlarındaki DUO uygulamasından da ikinci bir onay almalarını isteyeceğim.
Örnek topolojim aşağıdaki gibi olacak.


    İlk olarak DUO admin sayfasına giriş yapıyorum ,ardından two-factor authentication özelliğini kullanacağım uygulamayı belirlemek için Application sekmesinden Check Point VPN i buluyorum.


Authentication Proxy sunucu ile DUO erişiminde kullanacağım Integration key ,Secret key ve API hostname bilgilerini bir kenara not alıyorum.


Tüm kullanıcıların telefonlarına otomatik bir şekilde DUO programının linkini göndermek , register işleminin kullanıcının kendi kendine yapmasını sağlamak için kullanacağım ekran Bulk Enroll Users


Tek kullanıcı test edeceğim için bu işlemi manuel olarak tanımladım.


Bir yöntem de DUO nun uygulumasını Store üzerinden yükleyip karekod ile de hesabınızla eşleştirebilirsiniz.

User enroll işleminin farklı yolları olduğundan DUO nun sitesini incelemekte fayda var.


İkinci adımda networkumuzde Authentication Proxy işini yapacak bir sunucuya ihtiyacımız var ,bu sunucu Windows veya Linux olabilir, görevi DUO ile Chekpoint arasındaki authentication işlemini yönetecek ,vpn ile şirket kaynaklarına erişmek isteyen kişi, kullanıcı şifresini girdikten sonra ikinci doğrulama için telefonundaki uygulamaya bu isteği iletecek.

Authentication Proxy rolü için aşağıdaki linkten programı kuruyorum

https://dl.duosecurity.com/duoauthproxy-latest.exe

Ardından C:\Program Files (x86)\Duo Security Authentication Proxy\conf dizinindeki authproxy.cfg dosyasını notepad ile açıyorum ve aşağıda paylaştığım satırları yapıştırıyorum.

[ad_client]

host=10.10.10.10

service_account_username=duoservice

service_account_password=password1

search_dn=DC=coskunsanli,DC=local

[radius_client]

host=10.10.10.33

secret=radiussecret1

[radius_server_auto]

ikey=DI0XU4XA1J8SM9DYFTO1

skey=Cnf4V9Jg5ZWv5sVmoldiFc3FbIHNWX21Dr8WKrsv

api_host=api-a9f29fb9.duosecurity.com

radius_ip_1=10.10.10.33

radius_secret_1=radiussecret1

client=ad_client

port=1812

failmode=safe


Kaydedip kapattıktan sonra Authentication Proxy servisini aşağıdaki komutlar ile tekrar başlatıyorum.

net stop DuoAuthProxy

net start DuoAuthProxy

Üçüncü son adımda Checkpoint üzerindeki gereksinimleri yerine getireceğim.

New Host deyip Authentication Proxy rolu olan sunucumun ip adresini yazıyorum.


Radius Server tanımı için;

New > Server > More > RADIUS


Radius sunucuma bir isim veriyorum , service kısmına NEW-RADIUS versiyon olarakta RADIUS Ver. 2.0 belirliyorum.


Vpn ile erişim sağlayacaklar active directory kullanıcıları olacağı için Identity Awareness blade i açık olmalı

 

Yukarda tanımladığım RADIUS sucusunu authentication işlemine dahil etmek için

Gateway > Mobile Access > Settings > Authentication Method


Mobile Access tabından coskun.sanli kullanıcısına vpn izni veriyorum.


Sıra test etmeye geldi

Firewall umun dış ip adresini yazıp active directory şifremle giriş yapmak istiyorum.


Ardından telefonumdaki DUO uygulamasından bu işlem için bir onay isteği geliyor.

Approve diyorum.

Not: Bu uygulama açık olduğunda ekran görüntüsü alınamamaktadır.


Vpn erişimim sağlandı sıra logları incelemeye geldi.


Firewall üzerinde gördüğüm log aşağıdaki gibidir.


DUO admin panel üzerinden Users tabında da erişim loglarına ulaşabilirsiniz.


Görüşmek üzere.

Kaynak https://duo.com/docs/checkpoint

Virtual System Create on Checkpoint VSX

Virtual System Create on Checkpoint VSX

Makalemin ilk bölümünde Checkpoint VSX ‘in tanımını yapmıştım ardından topolojimdeki ip adreslerini verip VSX Cluster kurulumunu gerçekleştirmiştim ,bu bölümde ise virtual system create edilmesi ip yapılandırılması ve HA testlerinin gerçekleştirilmesini anlatmaya çalışacağım

Örneğimiz:

Aşağıdaki topolojide de göreceğiniz üzere datacenterımda firmalarıma ait sunucular(web,application vs) mevcut , bu serverların dış dünyaya erişimini VSX  üzerinden eriştireceğim.

Multi-Domain Management Server ıma bağlanıyorum, New Domain deyip management için bir ip adresi veriyorum.

Trusted Client , yöntem için firewall a hangi ipler bağlanacaksa izin vereceğim kısım

Ip bilgilerini girdikten sonra OK diyerek Virtual Domain in oluşmasını bekliyorum.

Domain oluşturuldu , “Connect to Domain Server “diyerek devam ediyorum.

Management operasyonunu sağladığım Domaini yarattım şimdi Gateway operasyonunu yapacağım

VSX > Virtual System

CORP-A-VSX ismini veriyorum ve hangi cluster da kurulacaksa onu seçiyorum

Cluster kurulumunda External interface için “share mode” seçmiştim , hatırlarsanız bu işlemden sonra da external için bir Vswitch oluşturmuştu ve eth3 bu bacağa bağlamıştı

Eth3 External bacağım ve  real ip adreslerimden bir aralık veriyorum

Internal için ise 10.10.30.180/24 tanımlıyorum.

Virtual System create ediliyor ve arka tarafta neler yaptığı ile ilgili rapor veriyor

Corp-A-Server adında bir management server ve Corp-A-VSX adında birde gateway e sahibim artık

Yarattığım VSX i incelemeye başlıyorum

Topolology sekmesinde eth2 local network , wrp128 adında external bacaklara sahibim.

External bacağım yukarda bahsettiğim VSwitch e bağlı dikkat ederseniz

Diğer bir farklı ekran ,standart kurulumlarda ssh ile bağlandığımızda cpconfig komutu ile Core XL instance belirliyorduk ,VSX yapıda aşağıdaki ekrandan gerekli düzenlemeyi yapabiliriz.

CORP-A firması için standart kurallarımı yazıyorum ve policy basıyorum

Serverlarımdan control ettiğimde internet erişimi geldiğini görmekteyim

CORP-A için yarattığım sistemler VSXGateway1 üzerinden çalıştığını loglardan kontrol ediyorum.

Cluster testim için VSXGateway1 down ediyorum.

Sistemin VSXGateway2 üzerinde artık

Main Domain altında çalışan tüm VSX sunucuları , management sunucuları görebilirsiniz.

Chekpoint VSX Virtual System eXtension

Chekpoint VSX Virtual System eXtension

Günümüzde sistem ve networkun her alanında sanalaştırma ismini duymaktayız , vmware esx, cisco nexus vdc , fortigate vdom gibi çoğu firmanın sanallaştırma tarafında bir çok ürünü bulunmakta bende bu makalemde sizlere checkpoint VSX yapısını örneklerle açıklamaya çalışacağım.

Virtual System eXtension; Bir saşe üzerinde yarattığım sanal firewallar olarak düşünebiliriz,bu firewalları Cloud firewall hizmetleri adı altında ISP firmaların müşterilerine sağladıkları hizmetlerlerdir aslında

Örneğimde; Checkpoint VSX cluster kurulumu yapacağım , interface tanımları ,virtual switch, virtual router tanımlarından bahsedeceğim.

Read More Read More

Checkpoint R80.10 (Upgrade from R77.30)

Checkpoint R80.10 (Upgrade from R77.30)

Merhaba arkadaşlar sitemde bu hafta sizlere Checkpoint’in uzun zamandan beri beklenen versiyonu R80.10 anlatmaya ve R77.30 dan upgrade işlemi nasıl yapılır , karşılaşabileceğiniz sorunlar nelerdir,bunları anlatmaya çalışacağım.

Bildiğiniz üzere Checkpoint de Management versiyonu herzaman Gateway lerden üst versiyon olmak zorundadır. R80 versiyonu sadece Management olarak çıktığı için yapımızı tam olarak R80/R80.10 versiyonuna çıkaramıyordur.Tüm sürümler yayınlandığı için artık bu işlemi yapabiliyoruz.Aşağıdaki linkten görebileceğiniz üzere Gateway ve Management serverınızı için R80.10 versiyonu yayınlanmış durumda

Read More Read More

Checkpoint Backup and Restore

Checkpoint Backup and Restore

 Merhaba Arkadaşlar Checkpoint makalelerinde bugun sizlere sanaldan fiziksele, appliance dan open server a hertürlü geçişi  yapabileceğiniz backup restore işlemini anlatmaya çalışıcam

Bu konuda dikkat edilmesi gereken en önemli nokta hangi versiyona geçecekseniz o versiyonun upgrade tool unu kullanmalısınız.

Bu toolu expert oldukdan sonra cd /opt/CPsuite-R80/fw1/bin/upgrade_tools/ altında bulabilirsiniz

EXPORT:

Management cihazda expert moda geçiyoruz

cd /opt/CPsuite-R80/fw1/bin/upgrade_tools/ klasörüne giriyoruz
mkdir /opt/CPsuite-R80/fw1/bin/upgrade_tools/YEDEKLER komutu ile yedek alacağım yer için YEDEKLER adında klasörü yaratıyorum
cd bin /upgrade_tools/ export alacağım tool un olduğu dizin
ls ile dosyalara bakıyoruz
./migrate export /opt/CPsuite-r77/fw1/YEDEKLER/21MART2014 komutu ile yedek

klasöründe 21MART.tgz adında yedeği oluşturuyoruz

Daha sonradan oluşturulan dosyayı ls komutu ile kontrol ediyoruz

Backup ı dışarı çıkartmak için baby ftp programını çalıştırıyorum

Expert mod dan ftp ye bağlanıp komutlarımı veriyorum

ftp 10.0.0.10 ile ftp sunucuma connection sağlıyorum
kullanıcı adı kısmında anonymous şifreyide bir mail adresi yazmanız gerekmektedir
abc@abc.com
bin
put 21MART2014.tgz

IMPORT:

Yeni kurduğum server da YEDEKLER adında bir klasör yaratıyorum

mkdir /opt/CPsuite-R80/fw1/bin/upgrade_tools/YEDEKLER
Expert modda yedeğimizin oldugu alana gidiyoruz
cd /opt/CPsuite-R80/fw1/bin/upgrade_tools/YEDEKLER
daha sonra ftp 10.0.0.10 ile ftp ye bağlanıyorum
kullanıcı adı kısmında anonymous şifreyide bir mail adresi yazmanız gerekmektedir abc@abc.com
bin
get 21MART2014.tgz

komutlarını sırayla vererek dosyayı yeni firewallumuza çekiyorum

./migrate import / opt/CPsuite-r77/fw1/YEDEKLER/21MART2014

Restore işlemi bittikten sonra kuralları kontrol ediyoruz

Checkpoint Gaia Advanced Cluster and Troubleshoot

Checkpoint Gaia Advanced Cluster and Troubleshoot

Merhaba

Cluster yapıdaki chekpoint firewallumuzda sorun yaşandığımızda nasıl bir yol izlememiz gerektiğini bu makalemde anlatıyor olacağım daha çok GAIA işletim sisteminin CLI ının becerilerini kullanarak ilerleyeceğiz faydası olması dileğiyle

Checkpoint cluster da bildiğiniz üzere senkronizasyon yaparken L3 bir hattı kullanıyor bu hat üzerinde CCP (Cluster Control Protocol TCP 81116 ) portu üzerinden haberleşerek aradaki iletişimi gerçekleştiriyor.

Kullanacağımiz komutların başında “cphaprob stat” gelmektedir.Bu komut cluster memberlarının durumlarını bize göstermekte

Read More Read More

Check Point 1100 Appliance

Check Point 1100 Appliance

Uzun bir aradan sonra herkese Merhaba;

Makalemizde Güvenlik alanında kendini ispatlamış üst seviye çözümlerle piyasada kendini kanıtlamış bir firma olan checkpoint in branch ofisler için çözümü olan 1100 serisini ele alacağız

Appliance, branch ofisler için uygun diyoruz ama kesinlikle hafife alınmayacak özelliklerle sunuluyor,aşağıda cihaz üzerinde gelen blade ler ve Throughput değerleri mevcut

  • Firewall
  • IPsec VPN
  • Mobile Access
  • Advanced Networking & Clustering
  • Identity Awareness
  • IPS
  • Application Control
  • URL Filtering
  • Antivirus
  • Anti-Spam

Cihazın girişleri aşagıdaki tabloda, dsl bağlantısı wan portu son olarak  dmz i de bu gruba katıp toplam 3 internet bağlantısı sonlandırabiliriz.

 1100-specs

Cihaz yönetimi tamamen web base olup SmartDashboard a gerek duymadan yönetim sağlıyor

1

Cihaz bir çok özellikle gelidiğini belirtmiştim bu makalede öne çıkan özelliklerinden Active Directory entegrasyonu,Hotspot,Policy Base Routing ve VPN türlerini anlatıp birer örnekle yazımı sonlandıracağım

Active Directory :

Active Directory entegrasyonu sağlanken Cp tamamen Windows Event ları okuyup  authentication sağlamaktadır.Firewall tarafında AD sunucusunu göstermek bu iş için yeterli olacaktır,kural yazılırken kullanıcı gelmediği durumda gene aynı tabda syn’a basılması ile ekrana anında düşmektedir.

Access Policy Tabından “User Awreness” tıklıyoruz karşımıza gelen ekranda Browser Based mi yoksa Active Directory authentication olacığımız seçip next diyoruz.

 2

Boşlukları istenilen ilgileri girip bitiriyorum

3

İşlem başarıyla tamamlandı.

 4

Policy Base Routing:

Birden fazla hattımızı cihazımızda sonlandırdık WIFI ve Local Network ü farklı hatlardan çıkarmak istedik diyelim ozaman yapmamız gereken işlemler,

Dış ip lerim 10.34.11.1 ve 192.168.50.50 olarak ayarlıyorum

 5

Interface Name  kısmındaki yazan DMZ  WAN ikinci WAN bacağı olarak tanımlıyorum

6

Kuralımı aşağıdaki gibi tanımlayıp Routing sekmesinde Policy belirliyorum

7

Routing tablosunu yorumlayacak olursak

192.168.1.0 networku STANDART(http,https,smtp,pop) servisleri kullanarak Internet1 den

10.10.10.0 networku Internet2 den çık anlamında

 8

Hotspot:

Device > Wıreless Network > Add deyip WIFI için bir sanal interface tanımlıyoruz

Security Tabında Unprotected seçiyoruz.

9

İp range subnet bilgilerini giriyoruz.

 10

Hotspot karşılama ekranını düzenlemek için Device > Hotspot > Customize

11

Son olarak Policy yazıp erişimi sağlıyoruz

 12

Vpn:

Vpn sekmesine geldiğimizde bizleeri 3 farklı seçenek karşılamakta bunları biraz açalım

Chekpoint VPN Clients : CP vpn yazılımı kullanarak erişim sağladığımız yöntem

SSL VPN: Yazılım yüklemeden, tarayıcıya ilgili linki yazıp giriş yapılan yöntem

Windows VPN Client : Windows işletim sistemi üzerindeki vpn yazılımı ile giriş yapılan yöntem

Cihazda MobileVPN gelmemekte ama genede kullanılması gerekiyorsa L2TP ile bağlantı sağlanabilir,

 13

AD üzerinde vpngrup olarak tanımladığım obje için kuralım aşağıda

14

15

LT2P için pre-sharekey tanımlıyorum

16 

Vpn ile ilgili bütün tanımlamalarım bitti sırayla test ediyoruz.

SSL VPN için ilgili sayfaya girip Continue deyip bir sonraki adıma geçiyorum

17

Pop-up a izin verip erişime yetkili kullanıcı adı ve şifresini giriyoruz

 18

CP VPN Client ile bağlanmak için ilgili linke tıklayıp yazılımı kurduktan sonra profl belirliyoruz

19

İp ve kullanıcı şifrelerini yazdıktan sonra erişim sağlanmaktadır.

 20 

Son olarak L2TP bağlantısınıda Androit cihazımızdan sağlıcaz

Bağlantılar sekmesinden VPN kur seçeneğine dokunup bilgilerimizi giriyorum

 2122

Check Point R77 30 GAIA (ClusterXL) Cluster Kurulumu

Check Point R77 30 GAIA (ClusterXL) Cluster Kurulumu

Makalemizin ilk serisinde kurulum ile ilgili bilgiler paylaştım ,bu yazımda da cluster kurulumunda yapılması gereken adımlardan bahsediyor olucam yapımızı topoloji üzerinden giderek biraz bahsedelim önce

Head office imizde çift gateway bir management serverdan oluşan bir yapımız olacak gw firewall umuzda 3 adet interface (DMZ,LOCAL NETWORK,HEARTBEAT) management serverda ise sadece local networke bakan cluster ip si olacak yani clientlar gw olarak bu cluster ipsini kullanacak

Read More Read More

Check Point R77 30 GAIA Kurulumu

Check Point R77 30 GAIA Kurulumu

Herkese Merhaba;

Checkpoint Makaleler serimizde ilk önce kurulum ardından cluster ve son olarak da site to site vpn konularını işleyeceğim makalelerin tamamını sitemin Firewall başlığı altında bulabilirsiniz.

         Bu ve daha sonraki yazıların tamamında CP son yayınlanan X64 işletim sistemli Firewall u olan  GAIA 77 versiyonu olacaktır.

Kurulum :

Checkpoint CD mizle makinemize startı veriyoruz

Welcome ekranı “Install Gaia on this system” işaretleyoruz.

 1

Cihaz üzerindeki network kartı usb işlemci gibi donanımları check ediyor ve karşımıza donanımlarımızı sunuyor bu ekran “Ok” deyip geçiyoruz

2

Klavye seçenekleri

 3

Diskin boyutuna göre partitionlara otomatik ayırmakta bu alanda Log için ayrılan alanı dilersek biraz daha genişletebiliriz.

4

Ok deyip bir sonraki alanda cihazıma erişim için bir password veriyorum

5 

Girmemi istediği son olarak ip bilgisi erişim sistemimde şimdilik bir tane ethernet kartı olduğu için direk onu getirdi birden fazla olsaydı burda listelenecekti.

Ip adresimi verip kuruluma başlıyorum.

6

Önce diskimi belittiğim şekilde formatlayacak ardından işletim sistemini kuracak son olarak reboot ettikten sonra explorer ile bağlanıp ilk kurulum ve ayarları yapılandıracağız.

 7

Firewall umuz açıldı kurulum için internet explorerı tercih ediyorum 

8

Eth0 a verdiğimiz ip adresi Next deyip geçiyorum

9 

İsim ve domain alanlarını dolduruyorum domain kısımları daha sonradan da doldurabilir dilersenizde boş geçebilirsiniz.

 10

Saat ve tarih ayarları Log larımızı takip ederken en ihtiyacımız olan nokta

 11

Kuracağımız model Gateway ayrı Management ayrı serverlarda olacak şekilde

ortak

Sadece Security Gateway seçiyorum daha sonradan Cluster makalemde bunu Management Server’a dahil edeceğim Clustering sekmesindeki”Unit is a part of a cluster,type” kutucuğunu da işaretlemiyorum daha sonradan bunu consol yardımıyla nasıl cluster üyesine dahil edeceğimi göstereceğim.

 13

Gw in dynamically bir yapıda olmadığı için no deyip Next diyorum

14

Biraz önce bahsettiğim Management Server a dahil ederken  bana soracağı Secure Internal Communication key için bir şifre veriyorum.

15 

Son olarak belirtiğim şekilde kurulumu sonlandırması için Finish diyorum cihaz konfigürasyonu tamamladıktan sonra tekrardan açılacaktır.

16

Firewall umuz açıldı sol menulerden konfigürasyon ayarlarını yapabilir sağ menuden FW üzerindeki açık olan blade leri görebilirsiniz ekranda resmi yok ama sayfanın aşağısınadoğru FW daki trafik yükünü CPU RAM kullanım oranlarınada erişebilirsiniz.

 17

Enjoy this blog? Please spread the word :)