Güvenlik

Check Point R75.40 Gaia Kurulum ve Konfigürasyonu


Check Point, dünyanın en önemli firewall üreticileri arasında yer alan bir network güvenlik firmasıdır. OSI tüm katmanlarında güvenlik sağlayabilen Secure Virtual Network teknolojisini kullanmaktadır. Check Point Software Blade R75.X platformu ile firewall ürünlerini network katmanından, uygulama katmanına taşıdı. Gaia için IPSO ile Secure Platform özelliklerini birleştirerek daha sağlam güvenlik özellikleri sunan bir işletim sistemi diyebiliriz.


 


R75.X Platformu ile gelen yenilikler;


 


·         Identity Awareness


·         Mobile Access – Uzaktan Bağlantı (VPN) ve Mobile cihaz desteği


·         Mobile Access (iPhone,iPad desteği var)


·         3D Security – Policies, People, Enforce


·         Data Loss Prevention (Exchange ile entegrasyonu yapılabiliyor ve intranette tarama yapabiliyor.)


·         SSL decryption


·         URL Filtering/Application Control (Birlikte çalışıyorlar)


 


Geliştirilen Özellikler;


·         SmartConsole (Performans)


·         SmartEvent ve SmartView Tracker (Query)


 


Gaia ile Gelen Yenilikler


 


·         Geliştirilmiş Web Arayüzü


·         64 bit desteği


·         Entegre ipv6 desteği


·         Role-Based Admin


·         Dynamic Routing Protokolleri


·         VRRP ve SecureXL


·         Gateway Virtualization


·         Software Updates


 


Check Point Gaia Deployment Metodları


 


Standalone Deployment


 


Security Management Server ve Security Gateway’in aynı bilgisayar ya da bir appliance üzerine yüklendiği kurulum türüdür.


 


 











image001


Standalone Computer


Security Gateway Bileşenleri


Security Management Server


 


 


 


Distributed Deployment


 


Security Management Server ve Security Gateway’in farklı bilgisayar ya da bir appliance üzerine yüklendiği kurulum türüdür.


 


 















image002


Security Gateway


Network Connection


Security Management Server


Security Gateway Bileşenleri


Security Management Server Bileşenleri


 


 


Standalone Full HA


 


Security Management Server ve Security Gateway’in bir appliance üzerinde kurulu olduğu ve iki appliance’ın High Availibility mode’da çalıştırıldığı kurulum türüdür.


 


 















image003


Primary Appliance


Direct appliance to apliance connection


Backup appliance


Security Gateway Bileşenleri


Security Management Server Bileşenleri


 


 


 


Biz bu makale serisinde Distributed Deployment olarak Check Point kurulum işlemlerini gerçekleştireceğiz. İlk olarak Check Point Management kurulumunu, ardından da Security Gateway ürününün kurulumlarını yapacağız.


 


Başlamadan önce gerçekleştireceğimiz yapılandırmanın için kullanacağımız makinelerin ip yapılandırmaları aşağıdaki gibidir.


 


 












Check Point Security Management


Check Point Security Gateway


SmartConsole


OS : Gaia


Internal IP : 192.168.1.1


OS : Gaia


Internal IP : 192.168.1.2


DMZ : 10.0.0.1


External : 78.135.67.20


OS : Windows 7


IP : 192.168.1.35


 


 


 


Bu makalede Check Point Gaia R75.40 versiyonunu (en güncel versiyon) üzerinden işlemlerimizi gerçekleştireceğiz. İsteğe bağlı olarak RedHat ve Windows işletim sistemleri üzerine de Check Point R75.40 kurulumunu gerçekleştirebiliriz, ancak işletim sistemleri üzerindeki güvenlik açıkları sebebiyle bu tarz kurulumları tercih etmiyorum.


 


Sistemi Check Point R75.40 Gaia DVD’si ile boot ediyoruz. Welcome to Check Point Gaia R75.40 ekranında Install Gaia on this system’i seçip kurulumu başlatıyoruz.


 


 


image004


 



Kurulumu gerçekleştirmek istiyor musunuz sorusuna tabii ki istiyorum diyerek devam ediyoruz.


 




image005


 



Klavye dilini seçiyoruz. Ben bu tür kurulumlarda sorun yaşamamak adına US (ingilizce) klavye seçeneği ile devam ediyorum. )Sql kullanan uygulamalarda yaşanan sorunlardan kaynaklı alışkanlık diyebiliriz. J )


 


 


image006


 


 


Partitions Configuration bölümünde system-swap, system root,log ve backup dosyaları için ne kadarlık bir alan ayırmak istediğimiz belirledikten sonra devam ediyoruz. Bu adımı default ayarları kabul ederek geçebilirsiniz.


 


 


image007


 



Gaia ile gelen yeniliklerden birisi de burada karşımıza çıkıyor. Önceden kurulum sırasında şifre oluşturmuyorduk ve default parola : admin olarak geliyordu.


 


Gaia’da ise kurulum sırasında admin şifresini belirliyoruz.


 


 


 


image008


 


 


Management için kullanacağımız ip adresini atayacağımız network adaptörü seçiyoruz. Ben eth0’ı seçiyorum.


 


 


image009


 


 


Kurulum sonrasında web management arayüzüne erişim için kullanacağımız ip adresini yazıyoruz.


 


 


image010


 



Diskimizin formatlanacağını ve bunu onaylayıp onaylamadığımızı soruyor. Formatla gitsin diyerek devam ediyoruz.


 


 


image011


 


 


Check Point Gaia işletim sisteminin kurulumu tamamlandıktan sonra sistemi yeniden başlatmamızı söyleyen bu ekrana tamam isteklerin bizim için emirdir diyoruz.


 


Ayrıca sistem yeniden başladıktan sonra web management arayüzüne erişebileceğimiz ip adresi bilgisi de bu ekranda belirtiliyor.


 


 


image012


 


 


Sırada Security Management kurulumu ve konfigürasyon işlemleri var.


 


Sistem yeniden başlatma işlemi tamamlandıktan sonra default kullanıcı adı olan admin ve kurulum sırasında belirlediğimiz parola ile giriş yapıyoruz.


 


 


image013


 


 


Web arayüzünde de değişikliklerin yaşandığını hissettiren bir wizard bizi karşılıyor.


 


 


image014


 


 


Tarih ve saat bilgilerinin düzenleyip devam ediyoruz.


 


 


image015


 


 


Check Point Gaia için host name, domain name, dns bilgilerini giriyoruz.


 


 


image016


 


 


Interfaces için ip adresi bilgisini giriyoruz. İstenirse burada dhcp’den ip alınması da sağlanabilir.


 


 


image017


 


 


Security Management or Security Gateway seçeneğini işaretleyip yolumuza devam ediyoruz.


 


 


image018


 


 


Product kısmında isterseniz Security Gateway ve Security Management’ı seçip bir kurulum gerçekleştirebilirsiniz. Ben bu makalede Security Management’ı ayrı servera, Security Gateway’i ayrı servera kuracağım için Security Management’ı seçiyorum.


 


 


image019


 


 


Administrator adını ve şifresini belirleyip ilerliyoruz.


 


 


image020


 


 


Security Management web arayüzünde login olabileceğimiz seçenek olarak this machine’i seçiyorum.


 


İsterseniz herhangi bir ip adresinden, isterseniz belirleyeceğiniz bir network’ten, isterseniz belirleyeceğiniz bir ip aralığından web arayüzü için erişim izni verebilirsiniz.


 


 


image021


 


 


Finish butonuna tıkladığımızda yapılandırma işlemi başlayacak devam etmek istiyor musunuz diye soruyor. Devam etmeyeceksek bu işlemleri niye yaptık arkadaş diyoruz. J


 


 


image022


 


 


Ve yapılandırma işlemlerini başarıyla tamamladık.


 


 


image023


 


 


İlk olarak Overview ekranı karşımıza geliyor,sistem ile ilgili özet bilgileri bu ekranda görüyoruz.


 


Network Management


 


Bu bölümü kullanarak network interface ayarlarımızı gerçekleştirebilir, static arp kayıtları oluşturabilir, DHCP Server yapılandırmasını gerçekleştirebilir, ipv4ipv6 statik routing işlemlerini gerçekleştirebiliriz. Ayrıca Host name, domain name ve dns bilgilerini de bu bölümü kullanarak düzenleyebiliriz.


 


System Management


 


Tarih,saat ve bölgesel ayarları, SNMP agent ayarlarını, schedule job ile zamanlanmış işlemleri yaptırabilir, mail ile bildirimler gönderilmesini sağlayabilir,Proxy Server ayarlarını yapabilir, Banner mesajını düzenleyebilir, session timeout süresini belirleyebilir, ipv6 desteğini açma ve kapatma işlemlerini gerçekleştirebilir, system logları ile ilgili düzenlemeler yapabilir,telnet’i aktifleştirebilir , web arayüzüne bağlanacak kullanıcılara izin verebilir ve kurulum sırasında oluşturulan sertifika bilgisini görüntüleyebiliriz.


 


Advanced Routing


 


DHCP Relay ayarlarını yapabilir, BGP yapılandırmasını gerçekleştirebilir, IGMP ayarlarını yapabilir,PIM (Protocol Independent Multicast) ayarını yapılandırabilir, OSPF düzenlemelerini gerçekleştirebilir, BGP ve diğer protokoller için filtreler oluşturabilir, Router Discovery ile ICMP Router Discovery protokolü kullanılarak dinamik olarak clientların tespit edilmesini sağlayabilir, gerçekleştirdiğimiz routing düzenlemelerini monitor edebilir ve policy tabanlı route’lar oluşturabiliriz.


 


User Management


 


Bu bölümü kullanarak parola değiştirme, kullanıcı ve role tanımlama işlemlerini gerçekleştirebilir, password policy’ler oluşturabilir, authentication server tanımlaması yapabiliriz.


 


High Availibility


 


VRRP ayarlarını, dinamik failover yapılandırmalarını bu bölümden gerçekleştiriyoruz.


 


Maintenance


 


Lisans yükleme , upgrade paketlerini yükleyip sistemi upgrade etme, softare update policy belirleme, sistem updatelerini gerçekleştirme, sistemin backup’ını alma gibi işlemleri bu bölümden gerçekleştiriyoruz.


 


Manage Software Blade using SmartConsole bölümünden Download Now diyerek SmartConsole uygulamasını indiriyoruz.


 


 


image024


 


 


Smart Console kurulumunu gerçekleştiriyoruz.


 


 


image025


 


 


Kurulum gerçekleştikten sonra Smart Dashboard uygulamasını çalıştırıyoruz. Check Point Security Management Server’ın ip adresini ve kurulum sırasında tanımladığımız kullanıcı adı ve parolayı girerek SmartDashboard bağlantısını gerçekleştiriyoruz.


 


 


image026


 


 


Bu fingerprint’in doğruluğunu onaylamamız isteniyor.


 


 


image027


 


 


Ve işte Check Point Gaia R75.40 , yeniliklerin tanıtıldığı bir Hoşgeldiniz ekranıyla bizi karşılıyor.


 


 


image028


 


 


Hemen Firewall sekmesine geçerek Network Objects altında Check Point bölümünden HostName kontrolü yapıyoruz.


 


 


image029


 


 


Evet yolu yarıladığımızı söyleyebiliriz. Sırada Security Gateway kurulumu var. Secure Platform kurulumunu ve sonraki yapılandırmalarının ekran görüntülerini tekrardan eklemeyeceğim. Kurulum sırasında Security Management’ı seçtiğimiz Product Installation ekranına kadar olan bölümü Security Gateway kurulumu için de aynen gerçekleştiriyoruz.


 


Product Installation ekranına geldiğimizde Security Gateway’ı seçiyoruz.


 


 


image030


 


 


Gateway için Dynamic IP ataması yapmak istiyor musunuz sorusuna hayır diyoruz.


 


 


image031


 


 


Burası önemli bir nokta, çünkü bu adımda oluşturacağımız key’i, makalenin ilerleyen bölümlerinde Security Management ve Security Gateway arasında Secure Internal Communication oluşturmak için kullanacağız.


 


 


image032


 


 


Finish butonu ile işlemimizi tamamlıyoruz.


 


 


image033


 


 


Check Point Gaia R75.40 ile gelen yeniliklerden, dağıtım yöntemlerinden bahsettikten sonra, Security Management ve Security Gateway kurulumlarını gerçekleştirip, Smart Console kurulumunu tamamladık.


 


Makalemizin bundan sonraki kısmında, Security Management üzerine Smart Console ile bağlanarak Security Gateway ve Security Management arasındaki Secure Internal Communication düzenlemesini yaparak bu iki ürünün birbirinden haberdar olmalarını sağlayıp, aralarında bir güven ilişkisi (trust) oluşturacağız.Ardından genel olarak firewall üzerinde kural oluşturma mantığından bahsedip, birkaç kural oluşturduktan sonra makalemizi tamamlayacağız.


 


İlk olarak SmartConsole uygulaması aracılığıyla Check Point Security Management üzerine bağlanıyoruz.


 


 


image034


 


 


Firewall sekmesini açıp Check Point objesi üzerinde sağ tıklayıp Security Gateway/Management’ı seçiyoruz.


 


 


image035


 


 


Check Point Security Gateway Creation ekranında Classic mode’u seçerek yapılandırmamıza devam ediyoruz.


 


 


image036


 


 


Name kısmında Check Point Security Gateway için bir ad belirtiyoruz.


 


IP Address kısmında ise Gateway ürününe kurulum sırasında verdiğimiz ip adres bilgisini giriyoruz.


 


Comment kısmına bir açıklama yazmak ise tamamen isteğe bağlıdır.


 


Secure Internal Communication kısmının altında bulunan Communication butonuna tıklayıp Gateway ve Management arasındaki trust ilişkisinin kurulması için gerekli key bilgisini girip Initialize butonunu tıklayıp Certificate State kısmında Trust established olarak gördüğümüzde bu işlem başarıyla gerçekleşmiş oluyor.


 


 


image037


 


 


Ve Network Security kısmında Firewall’u seçtikten sonra Topology bölümüne tıklıyoruz.


 


Not: Aktifleştirmek istediğiniz modülleri Network Security bölümünden seçebilirsiniz. İlgili modülün yönetim kısmı üzerinden de aktifleştirme işlemi gerçekleştirilebilir.


 


 


image038


 


 


İlk yapılandırma için oldukça önemli bir adımla devam edelim. Check Point Security Gateway üzerinde bulunan network adaptörlerimizden hangisinin internal, hangisinin external, hangisinin dmz olduğunu DOĞRU bir şekilde tanımlamamız oldukça önemli.


 


 


Topology kısmından Get butonuna ve ardından Interfaces with topology seçeğine tıklayıp , topolojinin otomatik olarak çıkarılmasını sağlıyoruz.


 


 


image039


 


 


image040


 


 


image041


 


 


Bu bölümde topoloji doğru olarak gelmezse network adaptörünün üzerinde edit’i tıklayarak Interface Properties ekranından Topology sekmesine geçiş yaparak network adaptörünün internal mı,external mı yoksa dmz için mi yapılandırılmış olduğunu belirleyebiliriz.


 


 


image042


 


 


NAT bölümüne geçip, kullanıcılarımızın internete çıkarken Gateway!in arkasından Hide olarak bağlanmasını istediğimizi belirtiyoruz.


 


 


image043


 


 


Check Point Security Gateway’in de ,SmartDashboard üzerinde yer aldığını görüyoruz. Bu aşamadan sonra Access Rule (erişim kuralı) oluşturmaya başlayabiliriz, ancak öncelikle kural oluşturma ile ilgili bazı bilgiler vermek istiyorum.


 


 


image044


 


 


Check Point Firewall konfigürasyonunda öncelikle erişim kuralı (Access Rule) kavramının bilinmesi gerekir. Access Rule, Check Point Firewall konfigürasyonu sırasında belirtilen kurallardan her birine verilen addır. Bütün IP trafiğine uygulamak üzere ya da belli bir protokol kümesine uygulamak üzere Access Rule oluşturulabilir.


 


Access rule elemanları, belirli access rule’ları yaratabilmek için kullanabileceğimiz yapılandırma nesneleridir. Örneğin yalnızca HTTP trafiğine izin verecek bir access rule yaratılabiliriz.


 


Bazı şirketler, belli kullanıcı ve grupların internet erişimini kısıtlamak isterler. Bunu aktifleştirmek için kural içinde bir network ya da host yaratıp,ardından bu elemanı bir access rule’da, yalnızca belirli subnetteki bilgisayarlar ya da kullanıcılar için internet erişimini kısıtlamak amacıyla kullanılabiliriz.


 


Bir Access Rule yaratmak için Access rule bileşenlerinin bilinmesi gerekmektedir.


 


Bir Access Rule şunlardan oluşur.


 


·         Name (adı)


·         Source (Kaynak)


·         Destination (Hedef)


·         Services (Protokoller)


·         Action (Accept-Drop-Reject)


·         Track


·         Time


 


 


 


 


image045


 


 


 


Name : Her Access Rule’ın bir adı vardır. Yapılan değişikliğe ilişkin bir isim olması o kural hakkında bilgi sahibi olunması açısından yararlı olur.


 


Source ve Destination : Kaynak ve hedef network. Access Rule’un hangi network’ler arasında geçerli olacağı belirtilir.


 


Services : Uygulanacak Access Rule’un hangi Protokoller için geçerli olacağının tanımlandığı bölümdür.


 


Action : Kuralın izin vereceği accept) ya da bloklayacağı (drop) şeyler bu bölümde belirlenir.


 


Firewall üzerinde erişim kurallarının değerlendirilmesine en üst sıradaki kuraldan başlanır. Accept ve Drop olarak başlayan kural tanımları firewall üzerinden geçişi tanımlar. Herhangi bir kurala bağlı olarak geçiş yapamayan network trafiği, en altta (varsayım) duran Drop kuralı ile engellenir.


 


Drop ve Reject seçeneklerinin farkı konusunda şu temel bilgiyi de vereyim:


 


DROP paket engellenir ve paketi gönderen kişinin gönderdiği paketin engellendiğinden haberi olmaz, REJECT ise paketi engeller fakat paketi gönderen kişiye paketin gönderilmediğini bildirir.


 


Firewall’lar Üzerinde Kural Oluştururken Dikkat Edilmesi Gereken Genel sıralama:


 


·         Deny kuralları


·         Spesifik kurallar


·         Genel kurallar


 


 


Bu durumda erişim kurallarını oluşturmak için şu şekilde bir sıralama izlenebilir:


 


1. Belli bilgisayarların ve kullanıcıların Internet erişimini engelleyen ya da kısıtlayan kurallar düzenlenir.


2. Sınırlı Internet erişimi için kural hazırlanır.


3. Bütün kullanıcıların Internet erişimi için kural hazırlanır.


 


Rule tanımlamadan bu kadar bahsettikten sonra Rule menüsünden Add Rule’u seçerek ilk kuralımızı tanımlayalım.


 


 


image046


 


 


Bir kural oluşturduktan sonra Policy menüsünden Install seçeneğini kullanmazsak kuralımız devreye girmeyecektir,bu yüzden bir kural oluşturduktan sonra mutkala kuralı Install etmeliyiz.


 


 


image047


 


 


image048


 


 


Policy başarılı bir şekilde kuruldu.


 


 


image049


 


 


Kuralların oluşturulması, host, network tanımlamaları, port ve protokol tanımlamaları gibi işlemlerle ilgili çok fazla doküman olduğu için makalede bu konulardan bahsetmedim.


 


Umarım yararlı olmuştur.

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu