Check Point R77 – Star Community ile IPSec VPN
Merhaba,
Check Point R77 versiyonu üzerinde, Star Community kullanılarak IPSec VPN yapılandırmasından bahsetmek istiyorum. Önceki yazılarımdan birinde Meshed Community’den bahsetmiştim. Bloğumdaki Check Point kategori altından erişilebilir.
Test için Hyper-v, Vmware Workstation, Vmware Fusion , VirtualBox kullanılabilir. Check Point’in desteklediği sanallaştırma ürünleri hatırladığım kadarı ile VMware ürünleridir. Test ortamımdaki lab’ımdaki tüm sunucular sanal olup, Hyper-v üzerinde ( windows 8.1 işletim sistemi üzerinde ) çalışmaktadır. Check Point için Generation 1 sanallar ve Legacy Network Adapter kullandım! Windows sunucular için ( router ve test sunucuları için ), yeni nesil Hyper-v’nin nimetlerinden faydalanmak adına Generation 2 tipinde sanallar kullandım.
Lab’ımda kullandığım topolojimden bahsedeyim
Üç bölgenin yada farklı bir ifade ile üç site’ın,IPSec vpn ile bağlanması uygulamasında, Check Point R77 ‘ler arasında Windows Server 2008 R2 sunucu router olarak hizmet vermektedir. Check Point “Management” ve “Gateway” ’leri aynı sanal sunucu üzerindedir.Her site’ta bir adet de test sunucusu bulunmaktadır.
Check Point R77 Firewall & VPN Gateway bilgileri:
HQ isimli Check Point ,üç adet interface’e sahiptir.
Eth0 : Internet Access , 192.168.1.121 / 24
Eth1 : Internal Lan, 172.20.1.20 / 24
Eth2 : VPN için kullanılan interface, 2.1.1.1 / 30
Bu bölgede kullanılan test sunucusunun ip adresi 172.20.1.50 / 24 ‘dir.
New York isimli Check Point, iki adet interface’e sahiptir.
Eth0 : VPN için kullanılan interface , 4.1.1.1 / 30
Eth1 : Internal Lan , 172.25.1.0 / 24
Bu bölgedeki test sunucusunun ip adresi 172.25.1.50 / 24 ‘dir.
Athens isimli Check Point, iki adet interface’e sahiptir.
Eth0 : VPN için kullanılan interface, 3.1.1.1 / 30
Eth1 : Internal Lan , 172.28.1.0 / 24
Bu bölgedeki test sunucusunun ip adresi 172.28.1.50 / 24 ‘dir.
Star Community tasarımımda;
HQ, Central Gateway olarak hizmet verecek.
Athens , Satellite Gateway olarak hizmet verecek.
New York, Satellite Gateway olarak hizmet verecek.
Satellite bölgelerdeki sunucular , birbirleri ile HQ üzerinden haberleşecek ve izinleri doğrultusunda HQ üzerinden internete erişecek.
Test Nasıl ?
Satellite bölgelerin, Remote Desktop protokülü ile birbirlerine erişebilmesi sağlanacak (VPN Routing). Athens bölgesindeki sunucu HQ isimli VPN gateway üzerinden internete erişecek.
1- HUB(Center) site da , HQ Check Point ’inde yapılandırma:
HQ isimli Check Point’te IPSec VPN blade’ini devreye alalım. Management objesinin özelliklerinden bu işlemi yapabiliriz.
Topolojinize bağlı olarak peer ip adresini aşağıdaki gibi seçebilirsiniz.
HQ Check Point’inde diğer iki peer için(satellite check point’leri temsil edecek olan) gerekli objeler oluşturulmalıdır!
HQ Check Point objesinin özelliklerinde yapıldığı gibi Athens ve NewYork Check Point’lerini temsil eden objelerde de IPSec VPN blade’i açılmalıdır!
Athens için durum aşağıdaki gibidir. ( bu objenin externally managed check point object olduğuna dikkat ediniz! )
New York için durum aşağıdaki gibidir.( bu objenin externally managed check point object olduğuna dikkat ediniz!)
Sıradaki işlem, her üç bölge için network ‘lerin oluşturulması ve bu network’lerin, ilgili check point ‘lerin vpn domain’lerine dahil edilmesi şeklinde olacaktır. Farklı bir ifade ile; “hangi network’ler vpn tünelinden erişilebilir olacak” sorusunu cevaplayacağız.
Yanda taralı olan objeler, site’lar arasında vpn tüneli ile erişilebilir durumda olacak olan network’lerdir. Bir tanesinin özellikleri aşağıdaki gibidir. Değer ikisi de benzerdir.
Sonraki adıma geçmeden önce bu network’leri ilgili check point’lerin vpn domain’lerine katalım. HQ için bu işlemi aşağıda görüldüğü gibi yapabilirsiniz.
Externally managed gateway ’ler için ( Athens ve Newyork ) de durum benzerdir. Bir tanesini aşağıda resmediyorum.
Sıradaki işlem, vpn community’sinin oluşturulmasıdır. Daha önce bahsettiğim gibi Star Community kullanacağım. Bu işlemi SmartDashboard’ın IPSec VPN tab’ından yapabiliriz.(VPN Blade’i)
Oluşturduğum community ‘nin özellikleri genel olarak üstteki gibidir. Seçili community’nin sağ kısmındaki detay’da, gateway hakkında bilgiler ve encryption bilgileri mevcuttur. “Edit” ile devam ederek community objesinin özelliklerini paylaşayım.
General tab’ında herhangi bir değişiklik yapmadım, aşağıdaki gibi varsayılan ayarları ile devam ettim.
Center Gateways kısımına hub check point’i yani HQ isimli Check Point’i ekledim.
Satellite Gateways kısımına diğer iki spoke(satellite) check point’leri ekledim.
Encryption kısmında değişiklik yapmadığımdan resmetmiyorum. Gereksinimlere göre şifreleme algoritmaları seçilebilir. ( suite –b , eliptic curve vb. ) Tabii algoritma seçiminde kullandığınız gateway versiyonları önemlidir. Eski versiyon gateway’lerin suite-b ‘ye desteği yoktur.
Tunnel management ayarlarını aşağıdaki gibi değiştirdim.
Advanced Settings altındaki ayarlar ile devam ediyoruz. İlk ayarımız vpn routing!
Athens bölgesindeki sunucumu, HQ üzerinden internete çıkaracağım için ve satellite’lar arasında HQ üzerinden RDP trafiğine izin vereceğim için “vpn routing” ’ini üstteki gibi yapılandırıyorum.
MEP ve service exclusion kısımlarında bir değişiklik yapmıyorum. Shared Secret kısmını aşağıdaki gibi yapılandırdım.
Her peer gateway için onlar tarafından da bilinecek olan bir shared secret belirlenir! Advanced VPN özelliklerinde NAT ile ilgili bir yapılandırma mevcut! Yapınıza uygun olarak ayarlanmalıdır! Benim yapılandırmam aşağıdaki gibidir.
Bu VPN community’si içinde NAT kullanmayacağım. Bundan dolayı NAT’ı devre dışı bıraktım. Son olarak Wire Mode kalıyor geriye. Wire mode kısmında da bir modifikasyon yapmadım. Wire Mode hakkında detaya inmek isterseniz https://sc1.checkpoint.com/documents/R77/CP_R77_VPN_AdminGuide/14037.htm adresine göz atabilirsiniz.
Sıradaki işlem tamemen ihtiyaçlara bağlıdır. Üst kısımlarda RDP trafiğine izin vereceğimden bahsetmiştim. Buna istinaden aşağıdaki gibi bir firewall access rule yazdım.
Bu kuralı şu şekilde yorumlayabiliriz.Site network’leri arasında seyahat etmek isteyen RDP ( TCP 3389 ) trafiği HQ-Athens-NewYork isimli vpn tünelinden geçecektir!
Yapılanları özetlemek ( diğer check point’lerde de aynı ve/veya benzer ayarlar yapılacağından ) faydalı olacaktır.
– IPSec VPN blade’inin, Check Point ‘te ve Externally managed gateway’lerde devreye alınması.
– İlgili network’ler ( operasyonel işler için [VPN’den bağımsız bir şekilde] her durumda her network’ün bir objesinin olması gerekir! ) için Network objesi oluşturmak.
– Check Point üzerinde ve externally managed gateway’ler üzerinde VPN domain’inin berlirlenmesi.
– VPN community’sinin oluşturulması.
– Firewall Policy’lerin oluşturulması.
Bu işlemleri Athens ve New York için de aynı şekilde yaptım. Bir kaç ekran görüntüsü ile resmediyorum.
2- SPOKE(Satellite) site da , Athens Check Point ’inde yapılandırma:
Star Community yapılandırması aşağıdaki gibi.
Üstteki ekran görüntüsünden anlaşılacağı üzere Athens Check Point’inde, HQ Check Point objesi Externally Managed gateway olarak oluşturulmuştur. ( Benzeri işlemi HQ’da Athens için yapmıştık ) Community yapılandırması aynen HQ Check Point’inde yaptığım gibidir.
VPN domain yapılandırması aşağıdaki gibidir.
External managed gateway için ise durum aşağıdaki gibidir.
Hem Athens Check Point’inde hemde Externally Managed Gateway’de ( Yani HQ objesinde ) IPSec VPN blade’inin devreye alınması gerektiği apaçıktır!
Athens Check Point’inde oluşturduğum network’ler aşağıdaki gibidir.
Athens Check Point’inde oluşturduğum erişim kuralları da aşağıdaki gibidir.
İkinci kural, site network’leri arasında rdp trafiğinin vpn tünelinden geçmesi için yapılandırılmıştır.
Üçüncü kural, Athens site’ından internete erişiminde vpn tünelinin kullanılması için yapılmıştır.
Önemli Not: Athens merkezli internet trafiği encrypt edilerek vpn tüneline girer, HQ’da decrypt edilir ve NAT’lanarak internete yönlendirilir! Bu durumda HQ check point’inde Athens LAN network objesi üzerinde Hide Behind IP Addres (ya da Hide Behind Gateway) şeklinde NAT yapılandırmak gerekir!
3- SPOKE(Satellite) site da , NewYork Check Point ’inde yapılandırma:
Yapılandırma Athens ile bire bir aynı sayılır. Dolayısıyla bu kısmı ayrıca inceleyip yazıyı gereğinden fazla uzatmak istemedim. Sadece VPN community kısmını resmediyorum.
Genel Özet ve Bilgilendirme:
Center gateway’de ve satellite gateway’lerde yapılandırmalarımızı tamamladık. Her üç gateway’in yapılandırılması kısımarında gateway ip adresleri(vpn tüneli için kullandığım interface’lerin ip adresleri) dikkatinizi çekmiştir. Yazımın ilk sayfalarında topolojimi resmetmiştim. Check Point’ler arasında bir router görünmekte! Router, her üç check point arasındaki routing’i sağlamaktadır.( ISP routing servisi gibi düşünülebilir )
Athens ve NewYork Check Point’lerinin default gateway’leri router’dır. Fakat HQ Check Point’inin default gateway’i router değildir! HQ Check Point’i vpn erişimi için router’ı , internet erişimi için 192.168.1.1/24 gateway’ini kullanmaktadır. Bu durumda HQ Check Point’ine, 3.1.1.x/30 ve 4.1.1.x/30 network’lerine nasıl gideceğini öğretmemiz gerekir. Bu işlemi HQ Check Point’inin GAIA web arayüzünden yapıyoruz.
Yapılandırmam üstteki gibidir. Routing yapılandırması mutlaka dahil olacağınız bir konu olmayabilir. Topolojinize göre yapılandırma gerekilir yada gerekmeyebilir. Test lab’ımda kullandığım router sanal sunucusu, HQ Check Point’i için default gateway olmadığından HQ Check Point’inde routing yapılandırması ihtiyacı doğmuş oldu!
Test:
SmartView Tracker’dan görüldüğü üzere Athens site’ındaki sanal test sunucusu, google dns’lerine sorgu atarak name-to-ip resolution yapıyor ve internete erişiyor. VPN Routing ile Athens site’ındaki sanal sunucu, RDP(TCP 3389) protokolünü kullanarak NY-WebServer1 isimli sunucuya erişiyor.
Log, HQ Check Point’i üzerinden alınmıştır!
Internet erişimi için Athens Check Point’ine bakarsak;
Paketlerin Athens check point’inde de encrypt edilerek gönderildiğini görebiliriz.(Athens site’ının yapılandırılması kısmında bu iş için firewall rule oluşturmuştuk). Encrypt edilen pakaetler HQ Check Point’inde decrypte edilerek internete yönlendiriliyor(NAT’lanarak).
Sonuç:
Star Community yapılandırması ile Check Point üzerinde IPSec VPN yapılandırmasını inceledik.Firewall blade’inden sonra en fazla kullanılan blade’in VPN blade’i olduğunu düşünüyorum. Gartner’a ve Güvenlik ürünleri raporlarına ( 2013 yılı) bakarsak sanıyorum üçüncü favori blade de IPS blade olsa gerek.
IPSec ve VPN konuları hakkında teorik detay edinmek isteyenler aşağıdaki adreslerden faydalanabilirler.
http://en.wikipedia.org/wiki/IPsec
http://en.wikipedia.org/wiki/Vpn
Herkese sorunsuz ve neşeli günler dilerim.