Checkpoint Firewall R75 Secure Platform Kurulumu
CheckPoint, security gateway ürünü software blade firewall’in son sürümü R75’i yakın zamanda dağıtıma başladı. Bu makale dizisinde CheckPoint Firewall’ın SecurePlatform üzerine yüklenmesi, başlangıç ayarlarını, gateway ayarlarını, host, network,grup tanımları, statik nat tanımları, firewall rule tanımları, ips etkinleştirme ve ips ayarları, ipsec vpn tanımları, application control rule tanımlarına adım adım bakacağız ve bu yazı dizisinin sonunda artık herkes rahatça CheckPoint Firewall kurup, yönetebiliyor olacaktır. Kurulum adımlarındaki next-to-next sayfalarını da detaylı vermek ihtiyacı hissettim, umarım bunu ilerleyen bölümlere telafi etmiş olacağım.
Checkpoint R75’e genel olarak baktığımızda, eski versiyonlara ek olarak ilk göze çarpan yenilikler arasında aşağıdakileri sayabiliriz.
· Identity Awareness – Kimlik Farkındalığı
· Application Control – Uygulama Kontrolü
· DLP
· Mobile Access
1- Yükleme ve Kurulum
Checkpoint firewall software blade yapısı üzerine tasarlanmıştır, işletmenizin ihtiyacına göre dağıtık bir kurulum yapabilirsiniz. Öncelikle R75’in download etmek için www.checkpoint.com a hesap bilgilerimiz ile giriş yapıyoruz, eğer bir hesabınız yoksa online register formunu kullanarak hesap sahibi olabilirsiniz. login sonrası Products– Try Our Products pencesi içerisinde “Download an Evaluation Now” içerisindeki download butonuna basarak ulaştığınız ürün sayfasında üst bölümdeki “Firewall/VPN Blades” in yanındaki “Try Now” ı tuşladığınızda açılacak olan pencerede firewall’i hangi işletim sisteminde kullanmak istediğinizi size soracaktır, bu sayfada “SecurePlatform & SecurePlatform Pro” yu seçerek continue butonuna basarak devam edebilirsiniz, yeni açılacak pencede iso dosyasına artık ulaşmış bulunuyorsunuz, buradan download edebiliriniz.
Bu bölümde dikkatinizi çekmek istediğim nokta seçtiğimiz işletim sistemi SecurePlatform & SecurePlatform Pro dur, burada Windows dahil birkaç farklı işletim sistemi var istediğiniz işletim sistemi üzerinde çalıştırabilirsiniz. Ancak unutmamanız gereken bir konu var, işletim sisteminin güvenlik açıkları firewall için en büyük risktir, örnek vermek gerekirse Windows platformunu seçtiniz ve windows üzerinde bir Checkpoint Firewall kullanıdığınızı farz edin, checkpoint yapılandırmanız ne kadar iyi olursa olsun, windows işletim sisteminde tespit edilen bir güvenlik açığından dolayı sisteminizi her an risk altında olabilir. Bu yüzden ben danışmanlık verdiğim hiçbir firmada tercih etmiyorum, size de asla tavsiye etmem.
Çektiğiniz iso dosyasını bir dvd ye yazdıktan sonra, bu dvd ile makinenizi boot edebilirsiniz, yaklaşık 20dk sürecek olan setup ekranı aşağıdaki ekran ile başlamış olacaktır. Bu ekranda Enter’a basarak kurulumu başlatabilirsiniz.
Kurulum, hoş geldiniz ekranı ile başlamaktadır, OK seçeneğini seçerek yeni bir kurulumu başlatabilirsiniz.
Sonraki adımda kurulum için klavye dil seçeneğini seçiyoruz, standart olarak US seçebilirsiniz.
Sonraki adımda kurulumun sunucuya bağlı ağ kartlarını tanıdığını göreceksiniz ve bunlardan hangisini yerel ağ bağlantısı için kullanacağımızı seçerek OK ile ilerleyebilirsiniz.
Bir sonraki ekranda bu seçilen ağ kartı için IP adresi ve alt ağ maskesini girmeniz gerekmektedir, yapınıza uygun olarak firewall local IP adresini girdikten sonra OK ile ilerleyebilirsiniz, burada Default gateway otomatik gelebilir, silerek boş geçmenizi öneririm.
Bir sonraki adımda Checkpoint firewall’ınızın web tabanlı yönetim arayüzü için port seçmeniz istenecektir, burada default olarak gelen 443 ü değiştirerek 4433 vb. istediğiniz bir port numarası olarak değiştirmenizi öneririm. Bunun sebebini ilerideki bölümlerde de işleyeceğimiz VPN hizmetinde SSL Extender hizmetinin de 443 üzerinden çalışacağı için web yönetimi ile çakışmasını önlemek içindir.
Bir sonraki ekranda artık diske format atılacağı ve tüm bilgilerin silineceği uyarısı son olarak bize veriliyor, bu adımda confirmation’ı OK ile onayladığımızda yaklaşık 5-10dk sürecek olan dosyaların kopyalaması başlayacaktır.
Tüm dosyaların kopyalaması tamamlandığında karşınıza yükleme işleminin bittiğini, DVD medyasını çıkartarak yeniden başlatmayı onaylamanız istenecektir, bu adımı da onayladıktan sonra sunucu yeniden başlayacaktır.
2 – Başlangıç Ayarları
Kurulum tamamlandıktan, sunucu yeniden başladıktan sonra konsol ekranı aşağıdaki gibi görünecektir. Bundan sonrası bu adrese browser ile girerek ortalama 20 adımdan oluşan “First Time Configuration Wizard” ı çalıştırmak olacaktır. Internet tarayıcınızı açarak adres satırına Checkpoint’in web yönetim adresini https://192.168.1.1:4433 olarak yazdığımızda bize önce ssl sertifikasını kabul etmemizi isteyecektir, daha sonra popup engelleyiciye izin vermek gerekecektir. İlk giriş için login bilgileri username: admin password: admin dir.
Bu ilk ayarlar oldukça önemlidir, burada yapacağınız doğru bir yapılandırma firewall’ınız kusursuz çalışmasını sağlayacaktır. Bu yüzden dikkatli olmanız ve kurumunuzun ihtiyaç ve ip değerlerini doğru girmeniz çok önemlidir. Bu adım adım yapılandırmanın sonunda firewall’ınız tekrar başlayacaktır.
Login sonrası ilk iş olarak Checkpoint sizden admin password’unu aşağıdaki ekrandaki gibi değiştirmenizi isteyecektir.
Yeni şifreyi oluşturduktan sonra kaydederek devam ettiğimizde karşımıza First Time Configration Wizard gelecektir, ortalama 15-20 adımda tamamlanacak bu wizard’a next diyerek başlatabiliriz. İlk adım olarak network interface’lerine IP tanımlarını yapmamız için Network Connections gelecektir, LAN ve WAN ayarlarını bu bölümden yapabiliriz. Aşağıdaki ekrandan da görebileceğiniz gibi ip adresi atanmayan eth1 down gözüküyor, burada eth1’e tıkladığınızda bu interface’in ip adreslerini girebileceğiniz ekran açılacaktır.
Şirket yapınıza göre WAN interface bilgileri doğru girmeye özen göstermeniz gerekmektedir, burada netmask’ınızı yanlış girerseniz nat tanımların çalışmayabilir, internet erişiminizde sorunlar yaşanabilir. Devam ettiğimizde Routing Table ekranı aşağıdaki gibi gelecektir ve burada göreceğiniz gibi bir default route tanımı gözükmüyor. Bu sebeple internet erişimi yoktur, internete erişimini sağlamak için bir default route tanımı yapmamız gerekmektedir.
New – Default Route adımlarını kullanarak default route tanımı yapmak istediğiniz gateway ip’sini girebilirsiniz. Bu default route ip adresi adsl modem ip’si, metro Ethernet switch ip’si kiralık hattınızın bağlı olduğu router olabilir. Biz 0.0.0.0 default route için 91.93.119.110 girerek statik bir route tanımlayarak next ile devam ediyoruz. Bir sonraki ekranda dns sunucu tanımı girmemiz istenecektir, standart olarak TTNET ve Google dns sunucularını girebilirsiniz. Next butonu ile sonraki adıma geçtiğimizde fiewall için bir isim girmemiz istenecektir ve bu firewall’i hangi interface ile yönetmek istediğimizi seçerek ilerleyebiliriz.
Sonraki adımda tarih ve saat ayarları gelecektir, tarih ve saat ayarlarının önemi bizim için firewall log’larının tarih ve saatlerinin doğru tutulmasıdır. Burada isterseniz internet üzerindeki bir time server’i da tanımlayabilirsiniz.
Sonraki adımda Web yönetimi ve ssh bağlantısını nereden yapacağımızı kısıtlayabiliyoruz, burada aşağıdaki gibi any olması durumunda herkes bu arabirimlere bağlanabilir, buda oldukça tehlikeli bir durum. Güvenli bağlantı için erişim sağlayacak IP adreslerini kısıtlamanızda fayda var, any olan host tanımını da remove edebilirsiniz.
Bir sonraki adımda da hangi paketleri yüklemek istediğinize onay vereceğiniz aşağıdaki ekran gelecektir. Eğer ortamınızda birden fazla checkpoint firewall varsa ve bunları merkezi olarak tek bir noktedan yönetiyorsanız/yönetecekseniz management ürünlerini seçmenize gerek yoktur.
Wizard’a devam ettiğimizde sonraki adımlarda management server seçeneğini işaretlediyseniz bunun primary mi secondary’mi seçmemiz ve endpoint seçeneğini de seçilmişse aktif endpoint sunucusumu standbye endpoint security server mi bunun seçilerek son bölüme geçilebilir. Son adımda da security dashboard gui ‘ye hangi ip adresinden erişileceğine aşağıdaki gibi belirterek konfigrasyonu tamamlayabiliriz. Burada da kısıtlama yaparak sadece checkpoint yönetimi yapacak makinelere yetki verilmesi güvenlik anlamında iyi bir kısıtlama olacaktır. Ayarların ektinleştirilmesi yaklaşık 5dk sürecek ve firewall yeniden başlayacaktır.
Firewall yeniden başladıktan sonra web yönetimi ile ilgili değinmek istediğim birkaç önemli konu kalıyor, bunlara da hızla göz atmak için tekrar web yönetim arabirimine https://192.168.1.1:4433 ten kullanıcı adımız ve şifremiz ile giriş yapalım. Aşağıdaki ekrandan da görebileceğiniz gibi status bölümünde firewall ile ilgili genel bilgileri görebiliriz, sol taraftaki menülerde first time configration ile yaptığımız ayarları görebilirsiniz.
Bu web ara yüzünde işimize yarayacak birkaç önemli nokta Device altındaki Control ve Backup bölümleri ile Product Configuration altındaki Licenses bölümüdür.
Device – Control bölümünden firewall servislerinizi stop/start edebilir, firewall’inizi kapatıp açabilir ve çalışan uygulamaları windows’un taskmanager’ına benzer processes altında ne kadar kaynak tükettiklerini görebilirsiniz. Backup bölümünde de tüm yapılandırmanızın backup’ını alabilirsiniz. Backup bölümünde backup now butonunu seçtiğinizde birkaç farklı yedekleleme yönteminden birini seçmenizi isteyecektir, benim genelde en tercih ettiğim yöntem ftp yöntemi, local network’teki bir ftp sunucusuna hesap bilgilerini girerek çok hızlı backup alabilirsiniz. Product Configuration altındaki lisans bölümünde de firewall’ınızın lisans durumunu görebilirsiniz, try yüklemeler 15 gün süre ile çalışmaktadır, buna ek olarak yükleme sırasında checkpoint.com üzerinden download ettiğimiz ürün için ürün anahtarı oluşturabiliriz, try ürünler için 30 günlük try key oluşmaktadır.
Son olarak web ara yüzünden yukarıdaki ekranda da görebileceğiniz Download SmartConsole adımını kullanarak gui client’i download ederek yükleyebiliriz. Artık yazı dizimizin ikinci bölümü olan yönetime geçebiliriz. Kurulum ile ilgili aklınıza takılan her türlü soruyu forum üzerinden sorabilirsiniz.
İyi çalışmalar.