ÇözümPark'a hoş geldiniz. Oturum Aç | Üye Ol
 
Ana Sayfa Makale Video Forum Resimler Dosyalar Etkinlik Hizmetlerimiz Biz Kimiz

Güvenlik

Check Point R75.40 Gaia Kurulum ve Konfigürasyonu

Check Point, dünyanın en önemli firewall üreticileri arasında yer alan bir network güvenlik firmasıdır. OSI tüm katmanlarında güvenlik sağlayabilen Secure Virtual Network teknolojisini kullanmaktadır. Check Point Software Blade R75.X platformu ile firewall ürünlerini network katmanından, uygulama katmanına taşıdı. Gaia için IPSO ile Secure Platform özelliklerini birleştirerek daha sağlam güvenlik özellikleri sunan bir işletim sistemi diyebiliriz.

 

R75.X Platformu ile gelen yenilikler;

 

·         Identity Awareness

·         Mobile Access – Uzaktan Bağlantı (VPN) ve Mobile cihaz desteği

·         Mobile Access (iPhone,iPad desteği var)

·         3D Security – Policies, People, Enforce

·         Data Loss Prevention (Exchange ile entegrasyonu yapılabiliyor ve intranette tarama yapabiliyor.)

·         SSL decryption

·         URL Filtering/Application Control (Birlikte çalışıyorlar)

 

Geliştirilen Özellikler;

·         SmartConsole (Performans)

·         SmartEvent ve SmartView Tracker (Query)

 

Gaia ile Gelen Yenilikler

 

·         Geliştirilmiş Web Arayüzü

·         64 bit desteği

·         Entegre ipv6 desteği

·         Role-Based Admin

·         Dynamic Routing Protokolleri

·         VRRP ve SecureXL

·         Gateway Virtualization

·         Software Updates

 

Check Point Gaia Deployment Metodları

 

Standalone Deployment

 

Security Management Server ve Security Gateway’in aynı bilgisayar ya da bir appliance üzerine yüklendiği kurulum türüdür.

 

 

image001

Standalone Computer

Security Gateway Bileşenleri

Security Management Server

 

 

 

Distributed Deployment

 

Security Management Server ve Security Gateway’in farklı bilgisayar ya da bir appliance üzerine yüklendiği kurulum türüdür.

 

 

image002

Security Gateway

Network Connection

Security Management Server

Security Gateway Bileşenleri

Security Management Server Bileşenleri

 

 

Standalone Full HA

 

Security Management Server ve Security Gateway’in bir appliance üzerinde kurulu olduğu ve iki appliance’ın High Availibility mode’da çalıştırıldığı kurulum türüdür.

 

 

image003

Primary Appliance

Direct appliance to apliance connection

Backup appliance

Security Gateway Bileşenleri

Security Management Server Bileşenleri

 

 

 

Biz bu makale serisinde Distributed Deployment olarak Check Point kurulum işlemlerini gerçekleştireceğiz. İlk olarak Check Point Management kurulumunu, ardından da Security Gateway ürününün kurulumlarını yapacağız.

 

Başlamadan önce gerçekleştireceğimiz yapılandırmanın için kullanacağımız makinelerin ip yapılandırmaları aşağıdaki gibidir.

 

 

Check Point Security Management

Check Point Security Gateway

SmartConsole

OS : Gaia

Internal IP : 192.168.1.1

OS : Gaia

Internal IP : 192.168.1.2

DMZ : 10.0.0.1

External : 78.135.67.20

OS : Windows 7

IP : 192.168.1.35

 

 

 

Bu makalede Check Point Gaia R75.40 versiyonunu (en güncel versiyon) üzerinden işlemlerimizi gerçekleştireceğiz. İsteğe bağlı olarak RedHat ve Windows işletim sistemleri üzerine de Check Point R75.40 kurulumunu gerçekleştirebiliriz, ancak işletim sistemleri üzerindeki güvenlik açıkları sebebiyle bu tarz kurulumları tercih etmiyorum.

 

Sistemi Check Point R75.40 Gaia DVD’si ile boot ediyoruz. Welcome to Check Point Gaia R75.40 ekranında Install Gaia on this system’i seçip kurulumu başlatıyoruz.

 

 

image004

 


Kurulumu gerçekleştirmek istiyor musunuz sorusuna tabii ki istiyorum diyerek devam ediyoruz.

 



image005

 


Klavye dilini seçiyoruz. Ben bu tür kurulumlarda sorun yaşamamak adına US (ingilizce) klavye seçeneği ile devam ediyorum. )Sql kullanan uygulamalarda yaşanan sorunlardan kaynaklı alışkanlık diyebiliriz. J )

 

 

image006

 

 

Partitions Configuration bölümünde system-swap, system root,log ve backup dosyaları için ne kadarlık bir alan ayırmak istediğimiz belirledikten sonra devam ediyoruz. Bu adımı default ayarları kabul ederek geçebilirsiniz.

 

 

image007

 


Gaia ile gelen yeniliklerden birisi de burada karşımıza çıkıyor. Önceden kurulum sırasında şifre oluşturmuyorduk ve default parola : admin olarak geliyordu.

 

Gaia’da ise kurulum sırasında admin şifresini belirliyoruz.

 

 

 

image008

 

 

Management için kullanacağımız ip adresini atayacağımız network adaptörü seçiyoruz. Ben eth0’ı seçiyorum.

 

 

image009

 

 

Kurulum sonrasında web management arayüzüne erişim için kullanacağımız ip adresini yazıyoruz.

 

 

image010

 


Diskimizin formatlanacağını ve bunu onaylayıp onaylamadığımızı soruyor. Formatla gitsin diyerek devam ediyoruz.

 

 

image011

 

 

Check Point Gaia işletim sisteminin kurulumu tamamlandıktan sonra sistemi yeniden başlatmamızı söyleyen bu ekrana tamam isteklerin bizim için emirdir diyoruz.

 

Ayrıca sistem yeniden başladıktan sonra web management arayüzüne erişebileceğimiz ip adresi bilgisi de bu ekranda belirtiliyor.

 

 

image012

 

 

Sırada Security Management kurulumu ve konfigürasyon işlemleri var.

 

Sistem yeniden başlatma işlemi tamamlandıktan sonra default kullanıcı adı olan admin ve kurulum sırasında belirlediğimiz parola ile giriş yapıyoruz.

 

 

image013

 

 

Web arayüzünde de değişikliklerin yaşandığını hissettiren bir wizard bizi karşılıyor.

 

 

image014

 

 

Tarih ve saat bilgilerinin düzenleyip devam ediyoruz.

 

 

image015

 

 

Check Point Gaia için host name, domain name, dns bilgilerini giriyoruz.

 

 

image016

 

 

Interfaces için ip adresi bilgisini giriyoruz. İstenirse burada dhcp’den ip alınması da sağlanabilir.

 

 

image017

 

 

Security Management or Security Gateway seçeneğini işaretleyip yolumuza devam ediyoruz.

 

 

image018

 

 

Product kısmında isterseniz Security Gateway ve Security Management’ı seçip bir kurulum gerçekleştirebilirsiniz. Ben bu makalede Security Management’ı ayrı servera, Security Gateway’i ayrı servera kuracağım için Security Management’ı seçiyorum.

 

 

image019

 

 

Administrator adını ve şifresini belirleyip ilerliyoruz.

 

 

image020

 

 

Security Management web arayüzünde login olabileceğimiz seçenek olarak this machine’i seçiyorum.

 

İsterseniz herhangi bir ip adresinden, isterseniz belirleyeceğiniz bir network’ten, isterseniz belirleyeceğiniz bir ip aralığından web arayüzü için erişim izni verebilirsiniz.

 

 

image021

 

 

Finish butonuna tıkladığımızda yapılandırma işlemi başlayacak devam etmek istiyor musunuz diye soruyor. Devam etmeyeceksek bu işlemleri niye yaptık arkadaş diyoruz. J

 

 

image022

 

 

Ve yapılandırma işlemlerini başarıyla tamamladık.

 

 

image023

 

 

İlk olarak Overview ekranı karşımıza geliyor,sistem ile ilgili özet bilgileri bu ekranda görüyoruz.

 

Network Management

 

Bu bölümü kullanarak network interface ayarlarımızı gerçekleştirebilir, static arp kayıtları oluşturabilir, DHCP Server yapılandırmasını gerçekleştirebilir, ipv4ipv6 statik routing işlemlerini gerçekleştirebiliriz. Ayrıca Host name, domain name ve dns bilgilerini de bu bölümü kullanarak düzenleyebiliriz.

 

System Management

 

Tarih,saat ve bölgesel ayarları, SNMP agent ayarlarını, schedule job ile zamanlanmış işlemleri yaptırabilir, mail ile bildirimler gönderilmesini sağlayabilir,Proxy Server ayarlarını yapabilir, Banner mesajını düzenleyebilir, session timeout süresini belirleyebilir, ipv6 desteğini açma ve kapatma işlemlerini gerçekleştirebilir, system logları ile ilgili düzenlemeler yapabilir,telnet’i aktifleştirebilir , web arayüzüne bağlanacak kullanıcılara izin verebilir ve kurulum sırasında oluşturulan sertifika bilgisini görüntüleyebiliriz.

 

Advanced Routing

 

DHCP Relay ayarlarını yapabilir, BGP yapılandırmasını gerçekleştirebilir, IGMP ayarlarını yapabilir,PIM (Protocol Independent Multicast) ayarını yapılandırabilir, OSPF düzenlemelerini gerçekleştirebilir, BGP ve diğer protokoller için filtreler oluşturabilir, Router Discovery ile ICMP Router Discovery protokolü kullanılarak dinamik olarak clientların tespit edilmesini sağlayabilir, gerçekleştirdiğimiz routing düzenlemelerini monitor edebilir ve policy tabanlı route’lar oluşturabiliriz.

 

User Management

 

Bu bölümü kullanarak parola değiştirme, kullanıcı ve role tanımlama işlemlerini gerçekleştirebilir, password policy’ler oluşturabilir, authentication server tanımlaması yapabiliriz.

 

High Availibility

 

VRRP ayarlarını, dinamik failover yapılandırmalarını bu bölümden gerçekleştiriyoruz.

 

Maintenance

 

Lisans yükleme , upgrade paketlerini yükleyip sistemi upgrade etme, softare update policy belirleme, sistem updatelerini gerçekleştirme, sistemin backup’ını alma gibi işlemleri bu bölümden gerçekleştiriyoruz.

 

Manage Software Blade using SmartConsole bölümünden Download Now diyerek SmartConsole uygulamasını indiriyoruz.

 

 

image024

 

 

Smart Console kurulumunu gerçekleştiriyoruz.

 

 

image025

 

 

Kurulum gerçekleştikten sonra Smart Dashboard uygulamasını çalıştırıyoruz. Check Point Security Management Server’ın ip adresini ve kurulum sırasında tanımladığımız kullanıcı adı ve parolayı girerek SmartDashboard bağlantısını gerçekleştiriyoruz.

 

 

image026

 

 

Bu fingerprint’in doğruluğunu onaylamamız isteniyor.

 

 

image027

 

 

Ve işte Check Point Gaia R75.40 , yeniliklerin tanıtıldığı bir Hoşgeldiniz ekranıyla bizi karşılıyor.

 

 

image028

 

 

Hemen Firewall sekmesine geçerek Network Objects altında Check Point bölümünden HostName kontrolü yapıyoruz.

 

 

image029

 

 

Evet yolu yarıladığımızı söyleyebiliriz. Sırada Security Gateway kurulumu var. Secure Platform kurulumunu ve sonraki yapılandırmalarının ekran görüntülerini tekrardan eklemeyeceğim. Kurulum sırasında Security Management’ı seçtiğimiz Product Installation ekranına kadar olan bölümü Security Gateway kurulumu için de aynen gerçekleştiriyoruz.

 

Product Installation ekranına geldiğimizde Security Gateway’ı seçiyoruz.

 

 

image030

 

 

Gateway için Dynamic IP ataması yapmak istiyor musunuz sorusuna hayır diyoruz.

 

 

image031

 

 

Burası önemli bir nokta, çünkü bu adımda oluşturacağımız key’i, makalenin ilerleyen bölümlerinde Security Management ve Security Gateway arasında Secure Internal Communication oluşturmak için kullanacağız.

 

 

image032

 

 

Finish butonu ile işlemimizi tamamlıyoruz.

 

 

image033

 

 

Check Point Gaia R75.40 ile gelen yeniliklerden, dağıtım yöntemlerinden bahsettikten sonra, Security Management ve Security Gateway kurulumlarını gerçekleştirip, Smart Console kurulumunu tamamladık.

 

Makalemizin bundan sonraki kısmında, Security Management üzerine Smart Console ile bağlanarak Security Gateway ve Security Management arasındaki Secure Internal Communication düzenlemesini yaparak bu iki ürünün birbirinden haberdar olmalarını sağlayıp, aralarında bir güven ilişkisi (trust) oluşturacağız.Ardından genel olarak firewall üzerinde kural oluşturma mantığından bahsedip, birkaç kural oluşturduktan sonra makalemizi tamamlayacağız.

 

İlk olarak SmartConsole uygulaması aracılığıyla Check Point Security Management üzerine bağlanıyoruz.

 

 

image034

 

 

Firewall sekmesini açıp Check Point objesi üzerinde sağ tıklayıp Security Gateway/Management’ı seçiyoruz.

 

 

image035

 

 

Check Point Security Gateway Creation ekranında Classic mode’u seçerek yapılandırmamıza devam ediyoruz.

 

 

image036

 

 

Name kısmında Check Point Security Gateway için bir ad belirtiyoruz.

 

IP Address kısmında ise Gateway ürününe kurulum sırasında verdiğimiz ip adres bilgisini giriyoruz.

 

Comment kısmına bir açıklama yazmak ise tamamen isteğe bağlıdır.

 

Secure Internal Communication kısmının altında bulunan Communication butonuna tıklayıp Gateway ve Management arasındaki trust ilişkisinin kurulması için gerekli key bilgisini girip Initialize butonunu tıklayıp Certificate State kısmında Trust established olarak gördüğümüzde bu işlem başarıyla gerçekleşmiş oluyor.

 

 

image037

 

 

Ve Network Security kısmında Firewall’u seçtikten sonra Topology bölümüne tıklıyoruz.

 

Not: Aktifleştirmek istediğiniz modülleri Network Security bölümünden seçebilirsiniz. İlgili modülün yönetim kısmı üzerinden de aktifleştirme işlemi gerçekleştirilebilir.

 

 

image038

 

 

İlk yapılandırma için oldukça önemli bir adımla devam edelim. Check Point Security Gateway üzerinde bulunan network adaptörlerimizden hangisinin internal, hangisinin external, hangisinin dmz olduğunu DOĞRU bir şekilde tanımlamamız oldukça önemli.

 

 

Topology kısmından Get butonuna ve ardından Interfaces with topology seçeğine tıklayıp , topolojinin otomatik olarak çıkarılmasını sağlıyoruz.

 

 

image039

 

 

image040

 

 

image041

 

 

Bu bölümde topoloji doğru olarak gelmezse network adaptörünün üzerinde edit’i tıklayarak Interface Properties ekranından Topology sekmesine geçiş yaparak network adaptörünün internal mı,external mı yoksa dmz için mi yapılandırılmış olduğunu belirleyebiliriz.

 

 

image042

 

 

NAT bölümüne geçip, kullanıcılarımızın internete çıkarken Gateway!in arkasından Hide olarak bağlanmasını istediğimizi belirtiyoruz.

 

 

image043

 

 

Check Point Security Gateway’in de ,SmartDashboard üzerinde yer aldığını görüyoruz. Bu aşamadan sonra Access Rule (erişim kuralı) oluşturmaya başlayabiliriz, ancak öncelikle kural oluşturma ile ilgili bazı bilgiler vermek istiyorum.

 

 

image044

 

 

Check Point Firewall konfigürasyonunda öncelikle erişim kuralı (Access Rule) kavramının bilinmesi gerekir. Access Rule, Check Point Firewall konfigürasyonu sırasında belirtilen kurallardan her birine verilen addır. Bütün IP trafiğine uygulamak üzere ya da belli bir protokol kümesine uygulamak üzere Access Rule oluşturulabilir.

 

Access rule elemanları, belirli access rule’ları yaratabilmek için kullanabileceğimiz yapılandırma nesneleridir. Örneğin yalnızca HTTP trafiğine izin verecek bir access rule yaratılabiliriz.

 

Bazı şirketler, belli kullanıcı ve grupların internet erişimini kısıtlamak isterler. Bunu aktifleştirmek için kural içinde bir network ya da host yaratıp,ardından bu elemanı bir access rule’da, yalnızca belirli subnetteki bilgisayarlar ya da kullanıcılar için internet erişimini kısıtlamak amacıyla kullanılabiliriz.

 

Bir Access Rule yaratmak için Access rule bileşenlerinin bilinmesi gerekmektedir.

 

Bir Access Rule şunlardan oluşur.

 

·         Name (adı)

·         Source (Kaynak)

·         Destination (Hedef)

·         Services (Protokoller)

·         Action (Accept-Drop-Reject)

·         Track

·         Time

 

 

 

 

image045

 

 

 

Name : Her Access Rule’ın bir adı vardır. Yapılan değişikliğe ilişkin bir isim olması o kural hakkında bilgi sahibi olunması açısından yararlı olur.

 

Source ve Destination : Kaynak ve hedef network. Access Rule’un hangi network’ler arasında geçerli olacağı belirtilir.

 

Services : Uygulanacak Access Rule’un hangi Protokoller için geçerli olacağının tanımlandığı bölümdür.

 

Action : Kuralın izin vereceği accept) ya da bloklayacağı (drop) şeyler bu bölümde belirlenir.

 

Firewall üzerinde erişim kurallarının değerlendirilmesine en üst sıradaki kuraldan başlanır. Accept ve Drop olarak başlayan kural tanımları firewall üzerinden geçişi tanımlar. Herhangi bir kurala bağlı olarak geçiş yapamayan network trafiği, en altta (varsayım) duran Drop kuralı ile engellenir.

 

Drop ve Reject seçeneklerinin farkı konusunda şu temel bilgiyi de vereyim:

 

DROP paket engellenir ve paketi gönderen kişinin gönderdiği paketin engellendiğinden haberi olmaz, REJECT ise paketi engeller fakat paketi gönderen kişiye paketin gönderilmediğini bildirir.

 

Firewall’lar Üzerinde Kural Oluştururken Dikkat Edilmesi Gereken Genel sıralama:

 

·         Deny kuralları

·         Spesifik kurallar

·         Genel kurallar

 

 

Bu durumda erişim kurallarını oluşturmak için şu şekilde bir sıralama izlenebilir:

 

1. Belli bilgisayarların ve kullanıcıların Internet erişimini engelleyen ya da kısıtlayan kurallar düzenlenir.

2. Sınırlı Internet erişimi için kural hazırlanır.

3. Bütün kullanıcıların Internet erişimi için kural hazırlanır.

 

Rule tanımlamadan bu kadar bahsettikten sonra Rule menüsünden Add Rule’u seçerek ilk kuralımızı tanımlayalım.

 

 

image046

 

 

Bir kural oluşturduktan sonra Policy menüsünden Install seçeneğini kullanmazsak kuralımız devreye girmeyecektir,bu yüzden bir kural oluşturduktan sonra mutkala kuralı Install etmeliyiz.

 

 

image047

 

 

image048

 

 

Policy başarılı bir şekilde kuruldu.

 

 

image049

 

 

Kuralların oluşturulması, host, network tanımlamaları, port ve protokol tanımlamaları gibi işlemlerle ilgili çok fazla doküman olduğu için makalede bu konulardan bahsetmedim.

 

Umarım yararlı olmuştur.

Tarih : 29 Temmuz 2012 Pazar 14:54 Yayınlayan: Ceyhun CAMLI

Yorumlar

 

Hakan UZUNER

Çok güzel bir makale olmuş, eline sağlık.

Temmuz 29, 2012 15:15
 

Ugur DEMIR

Eline sağlık.

Temmuz 29, 2012 18:05
 

Rıza ŞAHAN

Elinize sağlık.

Temmuz 29, 2012 21:33
 

Bilgehan POYRAZ

Bu konuyu kim makale yapacak diye çok merak ediyordum. Tam lazım iken üzerine gelmeside ayrıca iyi oldu. Teşekkürler Ceyhun hoca.

Temmuz 30, 2012 00:12
 

guneri gunes

Elinize sağlık Ceyhun Bey

Temmuz 30, 2012 08:08
 

Niyazi AYGUN

Elinize sağlık Ceyhun Bey:)

Temmuz 30, 2012 08:11
 

ertanyildizdal

elinize saglık hocam

Temmuz 31, 2012 10:24
 

Murat İNCİLER

Çok güzel bir yazı olmuş, ellerinize sağlık

Ağustos 3, 2012 10:44
 

Can Bolat

Elinize sağlık.

Ağustos 9, 2012 09:10
 

Fatih SERT

Çok güzel bir makale olmuş, eline sağlık.

Ağustos 14, 2013 11:42
 

ULKU_ERDEM_KAYA

Elinize sağlık.

Kasım 11, 2015 21:28
 

Gökhan Ceyhan

Elinize sağlık.

Mart 20, 2018 14:08
Kimliksiz yorumlar seçilemez kılınmış durumdadır.

Yazar: Ceyhun CAMLI

http://www.ceyhuncamli.com

Bu Kategori

Hızlı aktarma

Etiketler