IT & IoT Security | Cloud | It's all about the life itself

Nothing in life is as important as you think it is, while you are thinking about it.

Check Point R77 – Cluster XL(HA) Kurulumu ve Yapılandırması

Merhaba,

Check Point Cluster(High Availability-Cluster XL&VRRP – Load Sharing-Multicast&Unicast) modelleri , işinizin kesintisiz devam etmesi için yüksek erişilebilirlik ve yük paylaşımı hizmetlerini sunar. Trafiğinizi, çalışan gateway’leriniz arasında paylaştırırarak var olan altyapınızdan daha fazla verim almanızı sağlayabilir.Gateway’lerinizden bir tanesi erişilemez olduğunda, trafik kesintiye uğramadan diğer gateway’e aktarılır. Konu hakkında üreticinin web sayfasını da ziyaret edebilirsiniz.Aşağıda konu hakkında ziyaret etmek isteyebileceğiniz adresleri paylaştım.

http://www.checkpoint.com/products/clusterxl/

https://sc1.checkpoint.com/documents/R76/CP_R76_ClusterXL_AdminGuide/7349.htm

https://sc1.checkpoint.com/documents/R77/CP_R77_ClusterXL_WebAdminGuide/index.html

Yazımda; Cluster XL(High Availability) ‘in kurulumundan , yapılandırmasından bahsedeceğim. Bir kaç test ile konuyu tamamlayacağım.High Availability mode’unun VRRP seçeneği bu yazının konusu değildir.

Hazırladığım lab ortamımdan bahsederek başlayabilirim.

clip_image002

Sanallaştırma platformu olarak Oracle VM VirtualBox ‘ı kullandım. Objelerin yanlarına, genel olarak isimlerini yazdım(VM1 gibi). Açıklayayım.

Network 1

Internal Local Area Network ’üm. IP adresi bloğunu 172.20.1.x/24 olarak belirledim.

Network 2

Security Gateway’lerin sync network’ü olarak belirledim. IP adresi bloğu 172.30.1.x/24 şeklindedir.

Network 3

Security gateway’lerim ile router’ım arasındaki network’tür.IP adresi bloğu 172.16.1.x /24 şeklindedir.

Network 4

Router’ımdan sonraki Inter Network(Internet) ‘tür. IP Adresi bloğu 192.168.1.x/24 şeklindedir. Bu ağdan bilinen internete erişim mevcuttur. Router’ın üzerinde ayrıca NAT hizmeti de çalışmaktadır.

Neden router var diyebilirsiniz? Kurumda, security gateway’ler ile ISP arasında, size ait router’lar olabilir.Bu durumu simule etmek için Cluster XL’in önüne bir adet router yapılandırdım.

VM1

Sanal sunucudur. Windows Server 2012 R2 işletim sistemi kuruludur.Domain Controller olarak çalışmaktadır. Üzerinde Smart Console’lar kuruludur.Test için bu sunucudan internete erişimi gözlemek istiyorum ve bu sunucuya internet’ten rdp(uzak masaüstü) ile erişimi gözleyeceğim. Bir tane NIC(network interface card) taktım. TCP/IP bilgileri aşağıdaki gibidir.

IP Adresi 172.20.1.10 / 24

Gateway 172.20.1.50 ( Cluster XL’in cluster ip adresi olacak)

DNS 172.20.1.10

Domain ismim nwtraders.msft

VM2

Sanal sunucudur. Check Point gateway’lerin yönetiminde kullandığım Check Point Management sunucusudur. Bir adet NIC taktım. TCP/IP bilgileri aşağıdaki gibidir.

IP Adresi 172.20.1.20 / 24

DNS 172.20.1.10

VM3 & VM4

İkisi de sanal sunucudur. Security Gateway kurulumlarını yaptım. Bu sanal sunucuların üzerinde Management yoktur. SIC(secure internal communication) phrase’ini, security gateway’leri kurarken not almayı unutmayınız! Management ile gateway’ler arasunda trust ilişkisi yapılandırırken SIC phrase’ini kullanacaksınız!

Her iki sanal sunucuda da 3’er adet NIC mevcut.

VM3’te : 172.20.1.30,172.30.1.10,172.16.1.10 ip adreslerini kullandım.

VM4’te: 172.20.1.40,172.30.1.20,172.16.1.20 ip adreslerini kullandım.

Internal Cluster ip adresi olarak 172.20.1.50 adresini, External Cluster ip adresi olarak 172.16.1.40 ip adresini kullandım. Aşağıdaki yapılandırmalarda göreceğiz.

VM5

Sanal sunucudur.Windows Server 2012 R2 işletim sistemi yüklüdür. Domain üyesi olmayan bir sunucudur. İki adet NIC taktım.

IP adresleri

172.16.1.30(Bu ip adresi, cluster node’ları için default gateway olacaktır)

192.168.1.121(Bilindik Internete erişim bu ip adresi üzerindendir)

Bu sunucu üzerinde Routing hizmeti ve NAT hizmeti çalışmaktadır.

Fiziksel 1

Windows 8.1 kurulu bilgisayarım.Bu bilgisayar, test lab’ımdaki Local Internal Network’e göre, Internet ortamında bulunmaktadır. DC’ye, RDP(uzak masaüstü) ile erişim denemesini bu fiziksel bilgisayar üzerinden yaptım.

VM2 üzerinde, üstte bahsettiğim gibi Check Point Management Server çalışmaktadır. VM3,4 üzerinde de Check Point Security Gateway’ler çalışmaktadır. Kurulum faslı bu yazımın konusu olmadığı için kurulum adımları konusunda detaya girmiyorum.Zira kurulum oldukça kolay.ISO image’ını ve/ya ilgili media’yı kullanarak bir kaç “next” ile kurulumu yapabilirsiniz.

Cluster XL’in yapılandırmasına başlıyorum.

Domain Controller üzerinden smart dashboard ile management server’a bağlandım.

clip_image004

Üstteki görüldüğü üzere check point objesinin özelliklerinden cluster sihirbazını başlatıyorum.

clip_image005

Wizard Mode ile devam ediyorum.

clip_image007

Cluster ismi olarak NWCluster ismini kullandım. Cluster ip adresi olarak 172.20.1.50 adresini kullanıyorum. İlerleyen aşamalarda, external cluster ip adresini de yapılandıracağız!

clip_image009

Cluster üyelerini ekleme aşamasındayız.Management ile gateway’ler arasında SIC ile trust sağladıysanız, üstteki ekranda Add Existing Gateway ile devam ediniz.Henüz trust sağlamadıysanız, New Cluster Member ile devam ediniz. Bendeki lab’ın durumuna uygun seçenek, New Cluster Member seçeneğidir.

clip_image010

Cluster member sayfasında(üstte), bir security gateway’in internal ip adresini ve ismini yazınız. SIC anahtarını yazınız. Initialize butonuna basınız. Trust state, “established” haline gelecektir.OK ile ekleme işlemini tamamlayınız.Aynı işlemi diğer bir security gateway’iniz içinde yapınız.

clip_image012

Cluster Member ’ların durumu üstteki gibi olacaktır.

clip_image014

Sıradaki aşama(üstte) , cluster’ın topolojisini belirleme aşaması!

clip_image016

Üstteki ip adresi bloğu, external ip adresi bloğumdur. External Cluster IP adresim üstteki gibidir.Daha önce, bu ip adresini external cluster ip adresi olarak kullanacağımdan bahsetmiştim. Cluster’in external interface’inin(router’a bağlı olan interface) ip adresi üstteki gibidir.

clip_image018

Üstteki ip adresi bloğu, cluster node’ları arasındaki sync network’ünün ip adresi bloğudur.

clip_image020

Üstte ip adresi bloğu, cluster’in internal ip adresi bloğudur. Cluster’ın internal ip adresi olarak 172.20.1.50 adresini kullandım. Bu ip adresini kullanacağımdan da daha önce bahsetmiştim.

clip_image022

Sihirbazın adımlarının sonuna gelmiş olduk. Sihirbazı sonlandırınız. Aşağıda, smart dashboard’un görünümü mevcut. Yeni oluşan objeleri gözleyiniz.

clip_image024

Cluster Objesini özelliklerine bakabilirsiniz.

clip_image026

“Edit” ile özelliklere ve topolojiye bakabilirsiniz. Üstteki ekranda cluster’ın ve gateway’lerin ip adresi bilgileri ve topoloji bilgileri mevcut! Bu arada 172.16.1.40, benim lab’ım için external tipinde olmalıdır! Üstte, Internal olarak görünüyor topolojide. O interface’i ,“edit” ile “External” ’a değiştirdim!

clip_image028

Genelde yaptığım gibi, management’a erişimimi sağlayacağım kuralı yazdım 🙂 Bazen birşeyler yaparken unutuyorum. Sonra erişemiyorum 🙂 Bu arada production ‘da, “any” to “management server” yerine, “gui client ip address” to “management server” şeklinde bir kural yazmak doğru olandır!

Cluster XL sihirbazını tamamladık, bir kaç işlem yaptık ve ilk policy install işlemini üstte görüldüğü gibi gerçekleştirdik. Benim beklentim, cluster’ın internal ve external ip adresine ping paketi gönderebilmekti ve cevap alabilmekti. Bunu gerçekleştiremedim. Cluster ip adreslerinin mac adreslerini de DC’nin ve Router’ın ARP tablosunda göremedim. Bu durumda cluster’ın ip adresleri hizmet veremeyecektir.

Aşağıdaki işlemi yaptıktan sonra, cluster ip adreslerine ping paketi gönderebildim ve cevap alabildim.

clip_image030

Birinci gateway’in console’una bağlandım. Cpconfig seçim menüsünden 6 numaralı seçeneği seçtim.

clip_image032

İşlemi tamamladım.

Aynı işlemi, ikinci gateway içinde yaptım. Her iki gateway’i yeniden başlattım. Cluster XL node’ları yeniden başladıktan sonra, cluster ip adreslerine ping paketi gönderebildim ve cevap alabildim. Bu zorunlu bir işlem adımı olabilir! Ama cluster sihirbazını tamamladıktan sonra, bu işlemin de otomatik olarak gerçekleşmesini beklerdim 🙂

Test için neler yapabiliriz kısmına gelelim. Öncelikle, her iki node’un da Gaia arayüzüne bağlanıp, default gateway bilgisini yapılandırınız! 🙂

clip_image034

clip_image036

Hatırlarsanız üst kısımlarda, 172.16.1.30 ip adresinin router’ım ip adresi olduğu bilgisini vermiştim!

Default gateway bilgisi olmadan, malumunuz , Cluster XL node’ları farklı network’lere erişemezler ve gelen paket’lere de cevap veremezler 🙂

İlaveten aşağıda görülen objelere benzer, sizin yönetim anlayışınıza uygun objeler oluşturabilirsiniz. Cluster’ın, external ip adresini gösterir bir obje oluşturdum. Oluşturacağınız veya oluşturmanız gereken objeler, yapınıza ve yönetim anlayışınıza bağlı olarak değişecektir.

clip_image037

Mantıksal olarak dış dünyadan gelen bağlantılar(paketler) cluster xl’in external ip adresine gelecektir ve var olan NAT,Firewall vs. kurallara göre işlenecek. Bu durumda NAT kuralı yazarken, cluster xl’inizin external ip adresini gösterir bir objenin olması faydalı olacaktır.

clip_image039

Üstteki teste bakarak, cluster’ın dış ip adresine(ClusterExternalIP) gelen bağlantı, üçüncü firewall kuralına ve birinci nat kuralına göre işlenmiştir. Dolayısıyla, .221 ip adresinden gelen uzak masaüstü bağlantısı, DC isimli node’a yani domain controller’a aktarılmıştır.Üstteki resimdeki Origin kolonuna dikkat!

Bir satırın detayını aşağıda paylaşıyorum.

clip_image041

Aşağıda ise bir başka log’u paylaşıyorum.

clip_image043

Domain Controller’ın internete erişiminin log’ları görülmekte(üstte). İki log görüntüsüne bakarsak, secgw1 ve secgw2 arasında geçişler görünüyor. O anlarda, gateway’lerden birini yada diğerini kapatmıştım 🙂 Anlatımımın sonuna gelmiş oldum.

**Bilgilendirme**

Kendi kurguladığım lab ortamımı kullandım. Kurgumda, gerçeği yansıtmayan yapılandırmalar olabilir!Gerçek ortama kurulum yapmak isterseniz, Check Point firmasından ve/ya Yetkili Partner’inden destek almanız faydanıza olacaktır!

**Bilgilendirme**

Herkese sorunsuz ve neşeli günler dilerim.