Checkpoint VPN Ülke Sınırlama
Zaman zaman, şirket içerisindeki güvenliği sağlayabilsek VPN tarafından gelebilecek saldırıları çok yakalayamayabiliyoruz.
Eğer şirket standartlarına uymayan bir PC’yi şirket networkumuze sokabiliyorsak bu konu aslında daha bir büyük bomba olarak kucağımıza düşüyor. Çünkü bağlantı kuran PC’de ne var, yamaları tam mı, herhangi bir malware bulaşmış mı diye kontrol etmeden bizim şirket sanal ağımıza alıyoruz. Kullanıcının yetkisi bazında oradanda gideceği yerlere bir kötü amaçlı yazılımın ulaşmaması için neden yok.
Bu gibi durumların yanında, şirket kullanıcıları şifrelerini çaldırabiliyor, internette satışa çıkabiliyor ya da hedeflenmiş saldırılar ile ele geçirilmiş olabiliyor. Bunları ele geçirenler genelde yakalanmamak için sürekli proxy kullanarak tarama yapıyorlar ve sistemlere erişmeye çalışıyorlar. Eğer bir MFA da yok ise, sisteminize girmemeleri için hiç bir sebep yok.
Checkpoint’in VPN yapma methodları arasında SSL VPN ve IPSEC bulunuyor. Remote Access ve Mobile Access olarak adlandırılıyor.Yerine göre sadece web projeleri ise, Web SSL, direk şirket networkune girecek ise, client ile erişim sağlayabiliyorsunuz.
IPSEC VPN ise ilk bağlantı isteğini IKE yaptığından FW yazdığınız herhangi bir kural ile kesemiyorsunuz. Direk implied kurallar içerisinden geçiyor. Checkpoint tarafına sorulduğunda ise onların meşhur lafı olarak ‘by design’ şeklinde geri dönüş geliyor ve eliniz kolunuz bağlı oluyor.
Bizim uygulayacağımız yöntem, normal support edilen bir yöntem değil ve kuralların etrafından dolanmak oluyor fakat VPN clientlarınızı sadece istediğiniz lokasyonlara açmak için en ideal yöntem gibi.
Yapılmak istenen; Checkpoint VPN ‘e sadece Türkiye den erişim olsun
Yapılan: Dynamic Objects özelliğini kullanarak nat kuralı yazmak, kurala uymayanları boşa düşürmek.
Yöntem: Boş bir tane kural yazarak Turkey dynamic objesini checkpoint dbsine işlemek. CP_GEO_TR dynamic objesine görede nat kuralı yasmak.
İşlemler;
Türkiye Ip adreslerinden oluşan bir db yaratabilmek için, cp’ye bir tane boş kural yapalım.
Bu kural aslında bir anlamı olmayan bir kural, sadece DB de kayıt oluşturabilmek için, ama yöntemi nasıl yaptığınızı ve hangi hedef ip ve hangi portları tutabilmeniz için ileride gösterici olabilir.
Source kısmına Updatable object kısmından Turkey’I seçip geo location olarak Turkey seçeneğini seçelim.
Destination kısmına ise External IP adresiniz kısmında şirketinizin VPN yapılan IP adresi ya da herhangi bir dış IPniz olabilir.
Ardından VPN için kullanılan portları bir grup altına toplayıp bunu services bölümüne ekleyelim.
Grup açıldıktan sonra, aşağıdaki portları ekleyebiliriz.
Ardından Services kısmına ekleyebiliriz.
Kuralı Install ettikten sonra, dilerseniz CLI dan bağlanıp kontrol edebilirsiniz. GW makinasında CP_GEO_TR adı altında bir tane dynamic object oluşturacaktır.
GW ye bağlandıktan sonra
Dynamic_objects -uo_show yazarak tüm çıktıyı görebilirsiniz. Ama ben bir txt ye kaydedip sonrasında üzerinde arama ve ne olduğuna bakmak istiyorum. Bu yüzden /var/tmp ye bir çıktısını alıyorum.
Less komutu ile db ye yazdığını görüyorum.
Ardından Nat tablomuza gelip ilgili nat kurallarımızı yazıyoruz.
İlk kuralımız eğer Türkiye lokasyonundan gelenler nat’I olduğu gibi bırakmak üzerine
2. kural ise geri kalan herkesin destination’da boş bir Ip ye düşürmek üzerine.Burada istediğiniz bir hostu yazabilirsiniz. Ben 127.0.0.8 olarak düşürmek istedim.
Bu kuralıda install ettikten sonra loglardan gidip kontrol edebiliriz.
Drop olan kurala baktığımızda ise Missing Os Route ibaresini görebiliriz.
Aslında bir kural değil, tamamen olmayan bir networke düşürüyoruz.
Uyarı 1: Eğer yurt dışı ile Site2Site vpniniz var ise, bunu boşa düşüreceğiniz kuralın üzerine yazmayı unutmayın!
Uyarı2: Eğer Türkiye dışında olan kullanıcılarınız var ise, bu işlemi yaptıktan sonra VPN yapamayacaklarını unutmayın.
Sadece Türkiye içerisinde vpn yapılıyor ve bir nebze en azından yurt dışından gelecek attackları kesmek isterseniz yapılabilecek bir kuraldır.
Merhaba,
R80.10 kullanıyoruz ama updatable object konsolda görünüyor. Szin çözümünüzdeki versiyon nedir acaba?
Merhaba,
R80.20 üzerine gelmiş.
https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk131852
Bu arada, eğer dilerseniz ben de update edilen objeleri size gönderebilirim, ama update objectsin mantığı gereği yarın bir gün yeni bir IP eklenirse bunu kaçırırsınız.
Teşekkür ederim. çok fazla ip ekleniyor mu bilmem ama şu durumda yapmamam daha doğru gibi görünüyor.
R80.10 dan bende direkt olarak R80.30 a geçiş yaptım, 80.20 i pas geçtim.
Bu updateble object baya işimi gördü açıkcası.
Merhaba,
Geçiş yaptım bende R80.30 a. Kuralıda yazdım tabi hemen. Aynı zamanda ssl vpnle gelenleride Clean Up Rule da kesiyor.
Evet, Teorik olarak çünkü nat’a yönlendiriyoruz.
Eğer siz ssl vpn istiyorsanız Nat kuralını biraz değiştirerek original bırakabilirsiniz.
Eline sağlık.
Eline sağlık