Seyit ÖZGÜR

Computer Engineer - IT Security Solutions

CheckPoint SecurePlatform Kurulum Phase 2#

Bir önceki makalemde CheckPoint NGX-R61 I VMware üzerine demo olarak  SmartDashboard a kadar kurulumunu anlatmıştım. Bu makalemde ise kaldığımız yerden yani Dashboard bağlandıktan sonra gereken configurasyonlarımızı anlatacağım. Node,Network oluşturmak, Kural yazmak, kural yazılırken nerelere dikkat edeceğimizi, Dynamic ve Statik NAT in CheckPoint üzerinde nasıl yapıldığını anlatacağım. J On bilgi olarak tekrarliyorum burada kurulum ve configurasyon tamamen CheckPointin calisma mantigi sistemini Demo olarak anlatmak! Lutfen elestirilerinizi yaparken neden external networku tanimladin diye elestiri yada bunun gibi sorular sormaniz  icin degil. Tamamen tanitim amacli makaledir. Sunu unutmaliyim ki Firewall her sistemin yapisina(topolojisine) uygun olarak konumlandirilmalidir. Buradaki Ornek arz etmektedir.

Fig.1.a

1

Fig.1.a: CheckPoint Firewall’in kurulumdan sonra Dashboard ile Firewall ımıza bağlandık. Karşıma gelen ilk ekran altakı. Burada solda gördüğünüz gibi CheckPoint sekmenin altındaki cpmodule nin üstüne 2 kere tıkladım. Ve karşıma gelen ekranda Firewallimizin ismini değiştirebiliriz. IP adresini değiştirebiliriz. CheckPoint products daki kutulardan herhangi birine tıkladığımızda burdaki ürünleri kurabiliriz.

Fig.1.b.

2

Fig.1.b : Nodelerimiz.. Yazacağımız kurallar için gerekenler J. CheckPointte içerden dışarı yada dışardan içeri herhangi bir kural yazmak istediğimiz Node tanımlamamız gerekir. Tanımladığımız Nodelere göre kurallar yazarız. Mesela Localimizde bir Webserverimiz var ve biz webserver için 80 inci portumuzu açmamız gerekiyor. Bu işlem için bir adet Node tanımlamamız gerekir. Solda gördüğünüz gibi Node in üstünde sağ tuşa klikleyerek Host Node tanımlıyabiliriz. İsim olarak Webserver dedik. IP address olarak Local IP adresimizi girdik. Açıklama olarakda herhangi bir ibare yazabiliriz. Renk olarakta renklendirmenizde fayda var. Çünkü kurduğumuz checkpointin arkadasındaki PC sayısı çok ise renklendirmenizi öneneririm. Mesela 3 adet WebServeriniz var bunları mavi renk atıyabiliriz. Diğer serverlerida diğer renkler kullanabiliriz.

Fig.1.c

3

Fig.1c : Nodemizi yaratırken Local IP sini belirledik. Fakat dış IP olarak bir IP ye ihtiyacımız var. Webserverimize ulaşmak istiyenler Real bir IP yazmak zorunda. Bunun için Node da iken General Properties den NAT sekmesine atlıyoruz. Burada eğer Webserverimize ait bir IP miz var ise Translation Method dan Static I seçip onun için atıyacağımız IP yide altında yazmamız gerekir. Yada yok hayır benim webserverim için IPim yok diyorsanız bu durumdada Hide Behind Gateway I seçiyoruz, ve webserverimiz gatewaye ait olan  IP ile dışardan ulaşabiliriz duruma geliyor. Hide Behind Gateway I seçersek sadece Port yönlendirmesi yaparız. Static olarak seçtiğimizde atatığımız IP yi localdeki belirlediğimiz makineye yönlendirir.

Fig.1.d:

4

Fig.1.d : Evet Node imizi gerektiği şekilde belirledikten sonra sıra geldi. Kural yazmamıza. Bunun için bir adet kural oluşturacağız. Dashboard en üst menüsünden Rules in altında Add Rule > Top u seçiyoruz ve bir adet kural oluşturalım.

Fig.1.e.

5

Fig.1.e : Ana menüdede görüldüğü gibi Node I oluşturduk ve kural için yer açtık. Burada yapmamız gereken şudur. No : 1 Source kısmını görüyoruz. Biz dışarıdan içeriye kural yazacağımız için. Source : Any bırakıyoruz. Destination olarak Yaratığımızı Node I ekliyoruz. Mousela Nodeyi tutup destination bölümüne bırakabiliriz. Service olarak Webserver belirlediğimiz için HTTP servisini seçiyoruz. Action kısmını Accept olarak seçiyoruzki bu trafiğin akışına izin verelim.Track de ise Log in açıyoruz. Webserverimize bağlanan IP leri ve durumunu loglamak için. Şimdi yazdığımız kuralı belirteyim. Any’den gelen Webserver a giden sadece HTTP servisine İZİN VER ve Logla. Yazdığımız kuralın açılımı…Buna HTTPS de ekliyebiliriz. Başka port açmak istersek aynen bu şekilde uylamamız gerekir. Mesela FTP, RDP, Telnet v.s.

Fig.2.a:

6

Fig.2.a : Kuralımızı yazdık. Fakat bunu daha install etmediğimiz için kural aktif olmıyacaktır. Install için 2 fig sonra deyineceğim. Şimdi biz kuralımızı yazdık. Fakat firewallimizin topolojisinden haberdar olabilmemiz için CheckPoint bize Smart MAP hazırlamış(Fakat Lisanslıdır). Gelelim bu Smart im kullamınıda ve neler görebildiğimize. Aşağıda okla belirtiğimiz bölüm Smart MAPtir. Burada CPmodule local ve bi Dunya resmi var. Dünya resmi internet olarak belirtilmiştir. Şimdi topolojimizi görmek için Cpmodule local in üstüne basarak Expand diye açıyoruz.

Fig.2.b

7

Fig.2.b : Gördüğümüz gibi Webserver onun bağlı bulunduğu Network Firewallimizin yeri ve internet nerede olduğunu resimli bir şekilde görebiliyoruz. Networkumuz içinde Actualize Network demeliyiz.Burada yarattıgımız bütün networkle ve nodeleri görebiliriz. CheckPoint Dashboard birden fazla firewalli yönetibilmek için tasarlandığından dolayı SmartMap in önemi büyüktür. Diyelim büyük bir kuruluşsunuz 3-4 ayrı şehirde binalarınız var hepsinin önünde interneti ve firewall olarak Checkpointiniz bu tip durumlardan hepsinin kontrolünü CheckPoint üzerinden yapmak mümkün.

Fig.2.c

8

Fig.2.c : Burada 213.243.1.0 li IP real diyelim. Burada onunla internet arasında ok bağlantısı yok. Bunun için üzerine gelip Connect to internet demeliyiz.

Fig.2.d :

9

Fig.2.d : Siz Webserverimizin için kural yarattınız ama bu arada Müdürümüz geldi dediki. Ben internete çıkamıyorum. Beni firewall ilgilendirmez. Ben heryere girerim veya her servisi kullanıcam dedi. Burada yapmamız gereken. Hemen Müdürümüz için bir Node yaratıp onun içinde yukarıdaki gibi kural yazmamız gerekir. Çünkü CheckPoint yukarıdada belirtiğimiz gibi ilk kurulumdan sonra dışarı ve içeri bütün portları kapalı olarak kurulur. Hemen Node imi oluşturduk Açıklamasına Müdür yazdık. Eğer Müdürünüz birden fazla ise diğerleri içinde Node oluşturmalısınız. Ama bu oluşturduğunuz bütün Nodeleri bir gruba atayıp o grub için sadece bir kural yazmamız yeterli olacaktır.

Fig.2.e :

10

Fig.2.e : Gördüğümüz gibi her bir Node oluşturduğumuzda aşadaki SmartMap e resim olarak ekleniyor. Biz tane müdür düşündük ve 2 adet Node ekledik. CheckPoint kurulumundan sonra Tıpkı Node belirler gibi. Networklerimizede belirlememiz gerekir. Node sekmesinin altında Network sekmesini açarak orada network belirliyebiliriz. Yaratğımız 2 Node 2 ayrı kural yazmaktansa 1 grub oluşturup onları bu gruba atayıp tek bir kural yazacağız. Group altında Simple Group u seçtik.

Fig.3.a :

11

Fig.3.a : Bu ekranda gördüğümüz gibi daha önceden tanıttığımız Nodeler gözüküyor. Ben burada Msn group olarak bir grup yaratmak istiyorum. Ahmet ve Mehmet olarak tanıttıgım Node deki kişiler MSN e çıkmaları gerekiyor. Grubun ismini MSN group olarak verdim. Soldaki Menüden sağ tarafa 2 Node mida ekledim. Ok dedim. Böylece bir grup yarattık ve bu grupda 2 adet node imiz var.

Fig.3.b :

12

Fig.3.b : Grubumuzu oluşturduk. Daha sonra en yukardaki menüden policylere gelip yeni bir Policy ekliyoruz yada 1. inci Policy nin üzerinde Mouse un sağ tuşuyla yeni bir policy açabiliriz. Yarattığımız yeni Policy I içerden dışarıya doğru yazmamız gerekiyor. Source olarak bir önceki figuredeki yarattığımız grubu çekip source in üstüne atıyoruz. Destination olarak Any kalıyor. Services kısmını ise MSN_Messenger olarak seçiyoruz. Action : Accept ve track olarakta log bırakalıom. Şimdi yazdığım kuralı söylüyorum. Msn grup kağnağı olan hedefi herhangi bir yer ve servisi MSN olan kurala izin  ver ve logla. Aynı bu şekilde diğer servisler içinde kurallar yazabiliriz. Network grup ve kişi bazından kurallar olabilir aynı şekilde dışardan içeride olabilir. Eğer Networkdeki herkezin MSN e çıkmasını isteseydik. O zaman source MSN grup deil. Daha önceden belirttiğimiz Networku network kısmını tutup Source bölümüne atmamız gerekiyordu. Bizim networkümüz 10.10.10.* yukarıda grupları üstünde.

Fig.3.c

13

Fig.3.c : Yukarıda msn grubu izin veren kural oluşturduk ve bir kural daha yazıyoruz. Source yine MSN grup destination : any, Services : MSN_messenger action drop ve log in yapalım. Source kısmında grup belirttik o grubun üstünde sağ tuşa basıp Negate cell I işaretliyoruz v eve üzerinde çarpı tuşu çıkıcak.

Fig.3.d

14

Fig.3.d : Yukarıda üçüncü kuralımızı anlatalım. MSN grubu hariç herhangi bir yere gidenleri MSN servisinden dropla. MSN_grubun üzeri gördüğünüz gibi kırmızı çarpı oldu. Bu Onun haricinde anlamına gelir. CheckPointte zaten bütün portlar kapalı 3 kişinin çıkmasına izin vermiştik. Neden bir kural daha yazıp diğerleri çıkmasın dedik ? Normalde üçüncü kuralı yazmamıza gerek yoktur. Ama ben örnek olarak verdim. Bu örneğin vermemin sebebi bazı senaryolarda, mesela şirketin bazı kişilerine bütün hakları Verdiniz şu kişiler Any den Any servisler internete çıksın dediniz, Any çıksın ama MSN I kullanmasın diyelim o şartta bu kuralı yazmamız gerekir. Ama şunu unutmayalım kuralların sırası checkpointte çok önemlidir. Checkpoint kurallara bakar bi kurala uygun görürse alttaki kurallara bakmasızın ilk gördüğü kuralı uygular.

Fig.3.e:

15

Fig.3.e: Bu senaryoda bütün networkümüzün nete çıkmasını istiyoruz.  O zaman herkezin tek tek Node oluşturup gruba atamamıza gerek yok. Kural oluşturalım ve direk olarak tanıttığımız Networkü kuralın Source kısmına çekelim. Service olarak http https ve dns verelim. Bu kuralımızla bütün network http https ve dns serviceslerine izin vermiş oluruz. Kısacası bütün network internete çıkabilir.

Fig.4.a

16

Fig.4.a: Bu kadar kural yazdııık. Ama baştan beridir yazdığmız kuralların hiçbiri şu aktif olmadı. Eğer makalenin hepsini okumadan kural yazıp neden olmadı diyen arkadaşlar olursa şimdide kusura bakmasınlar J. Yazdığımız bütün kuralları CheckPointteki her hareketin aktif olmasını istersek. Kural sonra install policy yapmamız gerekir. Yukarıda Okla işaretli olan yere basıyoruz.

Fig4.b

17

Fig.4.b: Install Policy tuşuna bastıktan sonra önümüze bu ekran geldi. OK tuşuna basarsak yazdığımız bütün kuralları sistemimize yükler. Create database versiona basar iken. Daha önceki ayarları backup alır. Yeni kuralları daha sonra basar üstüne. Mesela yeni kural yazdık ve bir şeyler ters gitti. Data base resivion control ile backup aldıktan install etmeden önceki kurallarımıza geri dönmemizi sağlar. Dönem dönem bunu almanızı önenirim bir sonraki makalemde bu konuyada deyineceğim.

Fig.4.c.

18

Fig.4.c: Kuralları yükledik ve herhangi bir hata olmadığını Instalation Completed succesfully dan anlamış olduk. Ileride çok fazla kuralımız olduğu zaman aynı kuralı ikilersek yada servislerde yanlışlık yaparsak bize hata mesajı vericektir. Hata mesajını editleyip sorunun nerde olduğunu çözebiliriz. SmartView Tracker SmartView Monitor. Site to Site VPN, Client to Site VPN. Smart Defense, Web intelligence, Quality of services konularına bu makalemde deyinemedim. İlerki makalelerimde bu konuları anlatacağım.

  1. Murat Said,

    Phase 1 açılmıyor ilgilenir misiniz?
    Teşekkürler

Add A Comment

Note: Commenter is allowed to use '@User+blank' to automatically notify your reply to other commenter. e.g, if ABC is one of commenter of this post, then write '@ABC '(exclude ') will automatically send your comment to ABC. Using '@all ' to notify all previous commenters. Be sure that the value of User should exactly match with commenter's name (case sensitive).