Check Point, dünyanın en önemli firewall üreticileri arasında yer alan bir network güvenlik firmasıdır. OSI tüm katmanlarında güvenlik sağlayabilen Secure Virtual Network teknolojisini kullanmaktadır. Check Point Software Blade R75.X platformu ile firewall ürünlerini network katmanından, uygulama katmanına taşıdı. Gaia için IPSO ile Secure Platform özelliklerini birleştirerek daha sağlam güvenlik özellikleri sunan bir işletim sistemi diyebiliriz.
R75.X Platformu ile gelen yenilikler;
· Identity Awareness
· Mobile Access – Uzaktan Bağlantı (VPN) ve Mobile cihaz desteği
· Mobile Access (iPhone,iPad desteği var)
· 3D Security – Policies, People, Enforce
· Data Loss Prevention (Exchange ile entegrasyonu yapılabiliyor ve intranette tarama yapabiliyor.)
· SSL decryption
· URL Filtering/Application Control (Birlikte çalışıyorlar)
Geliştirilen Özellikler;
· SmartConsole (Performans)
· SmartEvent ve SmartView Tracker (Query)
Gaia ile Gelen Yenilikler
· Geliştirilmiş Web Arayüzü
· 64 bit desteği
· Entegre ipv6 desteği
· Role-Based Admin
· Dynamic Routing Protokolleri
· VRRP ve SecureXL
· Gateway Virtualization
· Software Updates
Check Point Gaia Deployment Metodları
Standalone Deployment
Security Management Server ve Security Gateway’in aynı bilgisayar ya da bir appliance üzerine yüklendiği kurulum türüdür.
Standalone Computer | |
Security Gateway Bileşenleri | |
Security Management Server |
Distributed Deployment
Security Management Server ve Security Gateway’in farklı bilgisayar ya da bir appliance üzerine yüklendiği kurulum türüdür.
Security Gateway | |
Network Connection | |
Security Management Server | |
Security Gateway Bileşenleri | |
Security Management Server Bileşenleri |
Standalone Full HA
Security Management Server ve Security Gateway’in bir appliance üzerinde kurulu olduğu ve iki appliance’ın High Availibility mode’da çalıştırıldığı kurulum türüdür.
Primary Appliance | |
Direct appliance to apliance connection | |
Backup appliance | |
Security Gateway Bileşenleri | |
Security Management Server Bileşenleri |
Biz bu makale serisinde Distributed Deployment olarak Check Point kurulum işlemlerini gerçekleştireceğiz. İlk olarak Check Point Management kurulumunu, ardından da Security Gateway ürününün kurulumlarını yapacağız.
Başlamadan önce gerçekleştireceğimiz yapılandırmanın için kullanacağımız makinelerin ip yapılandırmaları aşağıdaki gibidir.
Check Point Security Management | Check Point Security Gateway | SmartConsole |
OS : Gaia Internal IP : 192.168.1.1 | OS : Gaia Internal IP : 192.168.1.2 DMZ : 10.0.0.1 External : 78.135.67.20 | OS : Windows 7 IP : 192.168.1.35 |
Bu makalede Check Point Gaia R75.40 versiyonunu (en güncel versiyon) üzerinden işlemlerimizi gerçekleştireceğiz. İsteğe bağlı olarak RedHat ve Windows işletim sistemleri üzerine de Check Point R75.40 kurulumunu gerçekleştirebiliriz, ancak işletim sistemleri üzerindeki güvenlik açıkları sebebiyle bu tarz kurulumları tercih etmiyorum.
Sistemi Check Point R75.40 Gaia DVD’si ile boot ediyoruz. Welcome to Check Point Gaia R75.40 ekranında Install Gaia on this system’i seçip kurulumu başlatıyoruz.
Kurulumu gerçekleştirmek istiyor musunuz sorusuna tabii ki istiyorum diyerek devam ediyoruz.
Klavye dilini seçiyoruz. Ben bu tür kurulumlarda sorun yaşamamak adına US (ingilizce) klavye seçeneği ile devam ediyorum. )Sql kullanan uygulamalarda yaşanan sorunlardan kaynaklı alışkanlık diyebiliriz. J )
Partitions Configuration bölümünde system-swap, system root,log ve backup dosyaları için ne kadarlık bir alan ayırmak istediğimiz belirledikten sonra devam ediyoruz. Bu adımı default ayarları kabul ederek geçebilirsiniz.
Gaia ile gelen yeniliklerden birisi de burada karşımıza çıkıyor. Önceden kurulum sırasında şifre oluşturmuyorduk ve default parola : admin olarak geliyordu.
Gaia’da ise kurulum sırasında admin şifresini belirliyoruz.
Management için kullanacağımız ip adresini atayacağımız network adaptörü seçiyoruz. Ben eth0’ı seçiyorum.
Kurulum sonrasında web management arayüzüne erişim için kullanacağımız ip adresini yazıyoruz.
Diskimizin formatlanacağını ve bunu onaylayıp onaylamadığımızı soruyor. Formatla gitsin diyerek devam ediyoruz.
Check Point Gaia işletim sisteminin kurulumu tamamlandıktan sonra sistemi yeniden başlatmamızı söyleyen bu ekrana tamam isteklerin bizim için emirdir diyoruz.
Ayrıca sistem yeniden başladıktan sonra web management arayüzüne erişebileceğimiz ip adresi bilgisi de bu ekranda belirtiliyor.
Sırada Security Management kurulumu ve konfigürasyon işlemleri var.
Sistem yeniden başlatma işlemi tamamlandıktan sonra default kullanıcı adı olan admin ve kurulum sırasında belirlediğimiz parola ile giriş yapıyoruz.
Web arayüzünde de değişikliklerin yaşandığını hissettiren bir wizard bizi karşılıyor.
Tarih ve saat bilgilerinin düzenleyip devam ediyoruz.
Check Point Gaia için host name, domain name, dns bilgilerini giriyoruz.
Interfaces için ip adresi bilgisini giriyoruz. İstenirse burada dhcp’den ip alınması da sağlanabilir.
Security Management or Security Gateway seçeneğini işaretleyip yolumuza devam ediyoruz.
Product kısmında isterseniz Security Gateway ve Security Management’ı seçip bir kurulum gerçekleştirebilirsiniz. Ben bu makalede Security Management’ı ayrı servera, Security Gateway’i ayrı servera kuracağım için Security Management’ı seçiyorum.
Administrator adını ve şifresini belirleyip ilerliyoruz.
Security Management web arayüzünde login olabileceğimiz seçenek olarak this machine’i seçiyorum.
İsterseniz herhangi bir ip adresinden, isterseniz belirleyeceğiniz bir network’ten, isterseniz belirleyeceğiniz bir ip aralığından web arayüzü için erişim izni verebilirsiniz.
Finish butonuna tıkladığımızda yapılandırma işlemi başlayacak devam etmek istiyor musunuz diye soruyor. Devam etmeyeceksek bu işlemleri niye yaptık arkadaş diyoruz. J
Ve yapılandırma işlemlerini başarıyla tamamladık.
İlk olarak Overview ekranı karşımıza geliyor,sistem ile ilgili özet bilgileri bu ekranda görüyoruz.
Network Management
Bu bölümü kullanarak network interface ayarlarımızı gerçekleştirebilir, static arp kayıtları oluşturabilir, DHCP Server yapılandırmasını gerçekleştirebilir, ipv4ipv6 statik routing işlemlerini gerçekleştirebiliriz. Ayrıca Host name, domain name ve dns bilgilerini de bu bölümü kullanarak düzenleyebiliriz.
System Management
Tarih,saat ve bölgesel ayarları, SNMP agent ayarlarını, schedule job ile zamanlanmış işlemleri yaptırabilir, mail ile bildirimler gönderilmesini sağlayabilir,Proxy Server ayarlarını yapabilir, Banner mesajını düzenleyebilir, session timeout süresini belirleyebilir, ipv6 desteğini açma ve kapatma işlemlerini gerçekleştirebilir, system logları ile ilgili düzenlemeler yapabilir,telnet’i aktifleştirebilir , web arayüzüne bağlanacak kullanıcılara izin verebilir ve kurulum sırasında oluşturulan sertifika bilgisini görüntüleyebiliriz.
Advanced Routing
DHCP Relay ayarlarını yapabilir, BGP yapılandırmasını gerçekleştirebilir, IGMP ayarlarını yapabilir,PIM (Protocol Independent Multicast) ayarını yapılandırabilir, OSPF düzenlemelerini gerçekleştirebilir, BGP ve diğer protokoller için filtreler oluşturabilir, Router Discovery ile ICMP Router Discovery protokolü kullanılarak dinamik olarak clientların tespit edilmesini sağlayabilir, gerçekleştirdiğimiz routing düzenlemelerini monitor edebilir ve policy tabanlı route’lar oluşturabiliriz.
User Management
Bu bölümü kullanarak parola değiştirme, kullanıcı ve role tanımlama işlemlerini gerçekleştirebilir, password policy’ler oluşturabilir, authentication server tanımlaması yapabiliriz.
High Availibility
VRRP ayarlarını, dinamik failover yapılandırmalarını bu bölümden gerçekleştiriyoruz.
Maintenance
Lisans yükleme , upgrade paketlerini yükleyip sistemi upgrade etme, softare update policy belirleme, sistem updatelerini gerçekleştirme, sistemin backup’ını alma gibi işlemleri bu bölümden gerçekleştiriyoruz.
Manage Software Blade using SmartConsole bölümünden Download Now diyerek SmartConsole uygulamasını indiriyoruz.
Smart Console kurulumunu gerçekleştiriyoruz.
Kurulum gerçekleştikten sonra Smart Dashboard uygulamasını çalıştırıyoruz. Check Point Security Management Server’ın ip adresini ve kurulum sırasında tanımladığımız kullanıcı adı ve parolayı girerek SmartDashboard bağlantısını gerçekleştiriyoruz.
Bu fingerprint’in doğruluğunu onaylamamız isteniyor.
Ve işte Check Point Gaia R75.40 , yeniliklerin tanıtıldığı bir Hoşgeldiniz ekranıyla bizi karşılıyor.
Hemen Firewall sekmesine geçerek Network Objects altında Check Point bölümünden HostName kontrolü yapıyoruz.
Evet yolu yarıladığımızı söyleyebiliriz. Sırada Security Gateway kurulumu var. Secure Platform kurulumunu ve sonraki yapılandırmalarının ekran görüntülerini tekrardan eklemeyeceğim. Kurulum sırasında Security Management’ı seçtiğimiz Product Installation ekranına kadar olan bölümü Security Gateway kurulumu için de aynen gerçekleştiriyoruz.
Product Installation ekranına geldiğimizde Security Gateway’ı seçiyoruz.
Gateway için Dynamic IP ataması yapmak istiyor musunuz sorusuna hayır diyoruz.
Burası önemli bir nokta, çünkü bu adımda oluşturacağımız key’i, makalenin ilerleyen bölümlerinde Security Management ve Security Gateway arasında Secure Internal Communication oluşturmak için kullanacağız.
Finish butonu ile işlemimizi tamamlıyoruz.
Check Point Gaia R75.40 ile gelen yeniliklerden, dağıtım yöntemlerinden bahsettikten sonra, Security Management ve Security Gateway kurulumlarını gerçekleştirip, Smart Console kurulumunu tamamladık.
Makalemizin bundan sonraki kısmında, Security Management üzerine Smart Console ile bağlanarak Security Gateway ve Security Management arasındaki Secure Internal Communication düzenlemesini yaparak bu iki ürünün birbirinden haberdar olmalarını sağlayıp, aralarında bir güven ilişkisi (trust) oluşturacağız.Ardından genel olarak firewall üzerinde kural oluşturma mantığından bahsedip, birkaç kural oluşturduktan sonra makalemizi tamamlayacağız.
İlk olarak SmartConsole uygulaması aracılığıyla Check Point Security Management üzerine bağlanıyoruz.
Firewall sekmesini açıp Check Point objesi üzerinde sağ tıklayıp Security Gateway/Management’ı seçiyoruz.
Check Point Security Gateway Creation ekranında Classic mode’u seçerek yapılandırmamıza devam ediyoruz.
Name kısmında Check Point Security Gateway için bir ad belirtiyoruz.
IP Address kısmında ise Gateway ürününe kurulum sırasında verdiğimiz ip adres bilgisini giriyoruz.
Comment kısmına bir açıklama yazmak ise tamamen isteğe bağlıdır.
Secure Internal Communication kısmının altında bulunan Communication butonuna tıklayıp Gateway ve Management arasındaki trust ilişkisinin kurulması için gerekli key bilgisini girip Initialize butonunu tıklayıp Certificate State kısmında Trust established olarak gördüğümüzde bu işlem başarıyla gerçekleşmiş oluyor.
Ve Network Security kısmında Firewall’u seçtikten sonra Topology bölümüne tıklıyoruz.
Not: Aktifleştirmek istediğiniz modülleri Network Security bölümünden seçebilirsiniz. İlgili modülün yönetim kısmı üzerinden de aktifleştirme işlemi gerçekleştirilebilir.
İlk yapılandırma için oldukça önemli bir adımla devam edelim. Check Point Security Gateway üzerinde bulunan network adaptörlerimizden hangisinin internal, hangisinin external, hangisinin dmz olduğunu DOĞRU bir şekilde tanımlamamız oldukça önemli.
Topology kısmından Get butonuna ve ardından Interfaces with topology seçeğine tıklayıp , topolojinin otomatik olarak çıkarılmasını sağlıyoruz.
Bu bölümde topoloji doğru olarak gelmezse network adaptörünün üzerinde edit’i tıklayarak Interface Properties ekranından Topology sekmesine geçiş yaparak network adaptörünün internal mı,external mı yoksa dmz için mi yapılandırılmış olduğunu belirleyebiliriz.
NAT bölümüne geçip, kullanıcılarımızın internete çıkarken Gateway!in arkasından Hide olarak bağlanmasını istediğimizi belirtiyoruz.
Check Point Security Gateway’in de ,SmartDashboard üzerinde yer aldığını görüyoruz. Bu aşamadan sonra Access Rule (erişim kuralı) oluşturmaya başlayabiliriz, ancak öncelikle kural oluşturma ile ilgili bazı bilgiler vermek istiyorum.
Check Point Firewall konfigürasyonunda öncelikle erişim kuralı (Access Rule) kavramının bilinmesi gerekir. Access Rule, Check Point Firewall konfigürasyonu sırasında belirtilen kurallardan her birine verilen addır. Bütün IP trafiğine uygulamak üzere ya da belli bir protokol kümesine uygulamak üzere Access Rule oluşturulabilir.
Access rule elemanları, belirli access rule’ları yaratabilmek için kullanabileceğimiz yapılandırma nesneleridir. Örneğin yalnızca HTTP trafiğine izin verecek bir access rule yaratılabiliriz.
Bazı şirketler, belli kullanıcı ve grupların internet erişimini kısıtlamak isterler. Bunu aktifleştirmek için kural içinde bir network ya da host yaratıp,ardından bu elemanı bir access rule’da, yalnızca belirli subnetteki bilgisayarlar ya da kullanıcılar için internet erişimini kısıtlamak amacıyla kullanılabiliriz.
Bir Access Rule yaratmak için Access rule bileşenlerinin bilinmesi gerekmektedir.
Bir Access Rule şunlardan oluşur.
· Name (adı)
· Source (Kaynak)
· Destination (Hedef)
· Services (Protokoller)
· Action (Accept-Drop-Reject)
· Track
· Time
Name : Her Access Rule’ın bir adı vardır. Yapılan değişikliğe ilişkin bir isim olması o kural hakkında bilgi sahibi olunması açısından yararlı olur.
Source ve Destination : Kaynak ve hedef network. Access Rule’un hangi network’ler arasında geçerli olacağı belirtilir.
Services : Uygulanacak Access Rule’un hangi Protokoller için geçerli olacağının tanımlandığı bölümdür.
Action : Kuralın izin vereceği accept) ya da bloklayacağı (drop) şeyler bu bölümde belirlenir.
Firewall üzerinde erişim kurallarının değerlendirilmesine en üst sıradaki kuraldan başlanır. Accept ve Drop olarak başlayan kural tanımları firewall üzerinden geçişi tanımlar. Herhangi bir kurala bağlı olarak geçiş yapamayan network trafiği, en altta (varsayım) duran Drop kuralı ile engellenir.
Drop ve Reject seçeneklerinin farkı konusunda şu temel bilgiyi de vereyim:
DROP paket engellenir ve paketi gönderen kişinin gönderdiği paketin engellendiğinden haberi olmaz, REJECT ise paketi engeller fakat paketi gönderen kişiye paketin gönderilmediğini bildirir.
Firewall’lar Üzerinde Kural Oluştururken Dikkat Edilmesi Gereken Genel sıralama:
· Deny kuralları
· Spesifik kurallar
· Genel kurallar
Bu durumda erişim kurallarını oluşturmak için şu şekilde bir sıralama izlenebilir:
1. Belli bilgisayarların ve kullanıcıların Internet erişimini engelleyen ya da kısıtlayan kurallar düzenlenir.
2. Sınırlı Internet erişimi için kural hazırlanır.
3. Bütün kullanıcıların Internet erişimi için kural hazırlanır.
Rule tanımlamadan bu kadar bahsettikten sonra Rule menüsünden Add Rule’u seçerek ilk kuralımızı tanımlayalım.
Bir kural oluşturduktan sonra Policy menüsünden Install seçeneğini kullanmazsak kuralımız devreye girmeyecektir,bu yüzden bir kural oluşturduktan sonra mutkala kuralı Install etmeliyiz.
Policy başarılı bir şekilde kuruldu.
Kuralların oluşturulması, host, network tanımlamaları, port ve protokol tanımlamaları gibi işlemlerle ilgili çok fazla doküman olduğu için makalede bu konulardan bahsetmedim.
Umarım yararlı olmuştur.