Check Point, dünyanın en önemli firewall üreticileri arasında yer alan bir network güvenlik firmasıdır. OSI tüm katmanlarında güvenlik sağlayabilen Secure Virtual Network teknolojisini kullanmaktadır. Check Point Software Blade R75.X platformu ile firewall ürünlerini network katmanından, uygulama katmanına taşıdı. Gaia için IPSO ile Secure Platform özelliklerini birleştirerek daha sağlam güvenlik özellikleri sunan bir işletim sistemi denilebilir.

Check Point R77.10 kurulumuna başlamadan önce R75 ve sonrasında gelen yeniliklere kısaca değinilecektir.

R75.X Platformu ile Gelen Yenilikler

  • Identity Awareness
  • Mobile Access – Uzaktan Bağlantı (VPN) ve Mobile cihaz desteği
  • Mobile Access (iPhone,iPad desteği var)
  • 3D Security – Policies, People, Enforce
  • Data Loss Prevention (Exchange ile entegrasyonu yapılabiliyor ve intranette tarama yapabiliyor.)
  • SSL decryption
  • URL Filtering/Application Control (Birlikte çalışıyorlar)

Geliştirilen Özellikler;

  • SmartConsole (Performans)
  • SmartEvent ve SmartView Tracker (Query)

Gaia ile Gelen Yenilikler

  • Geliştirilmiş Web Arayüzü
  • 64 bit desteği
  • Entegre ipv6 desteği
  • Role-Based Admin
  • Dynamic Routing Protokolleri
  • VRRP ve SecureXL
  • Gateway Virtualization
  • Software Updates

R76 ile Gelen Yenilikler

IPv6 Desteği

R76 sürümünde IPv6 desteği daha da genişletilmiştir.

Gaia İşletim Sistemi

  • Interface yapılandırması
  • SNMP
  • RADIUS
  • İlk Yapılandırma Sihirbazı (First Time Configuration Wizard)
  • OSPFv3
  • BGP
  • VRRP

Erişim Politikası (Access Policy )

  • Dinamik ve zaman nesneleriyle birlikte Firewall desteği
  • Ipv6 bağlantıları için Full Statefull Inspection desteği
  • NATv6

Merkezi Yönetim (Central Management)

  • Security Management Server, Saceurity Gateway ve SmartDashboard arasındaki iletişimde Ipv6 desteği
  • Tüm network nesneleri için Dual-Stack tanımlama desteği
  • Tüm IP nesneleri için IPv6 desteği
  • Nesneler için çoklu IPv6 desteği
  • Get Topology özelliğinde Ipv4 ve Ipv6 desteği

Management Software Blade IPv6 Support:

  • Network Policy Management
  • SmartView Monitor
  • SmartEvent
  • SmartLog

Security Gateway Software Blade IPv6 Desteği:

  • Security Gateway
  • Identity Awareness
  • IPS Application ve URL Filtering, Acceleration & Clustering HA
  • Anti-Bot, Anti-Virus ve Anti-Malware
  • Virtual System (VSX) IPv6 desteği
  • Security Gateway ve Security Management Server için sadece IPv6 kullanabilme desteği
  • Site-to-Site IPSec VPN
  • Authentication – RADIUS ve LDAP
  • UserCheck (Ipv6 desteklenen tüm Software Blade’ler için)

Check Point Mobile for iOS

  • E-porta, takvim, rehber, dokümanları ve web uygulamalarının güvenli kullanımı için Mobile uygulama
  • İşle ilgili verileri kullanan iş uygulamalarında kullanıcı tanımlama
  • BYOD Kullanımı- Organizasyonun tüm cihazı değil, işle ilgili verilere erişimi ve kullanımını yönetilmesi
  • Online Desteği – only mod (En yüksek koruma için) & Offline mod (İçerik cihaz üzerinde şifreli biçinde tutulur.)
  • iOS (iPhone & iPad) Desteği. Android desteği de yakın zamanda duyurulacaktır.
  • Secure container for mail, calendar, contacts, documents, and web applications
  • Protects business data while providing an easy end-user experience on managed and unmanaged devices (BYOD)
  • Seamless access to Document Security protected documents in the secure container
  • Passcode for the secure container protects access to your organizational resources without requiring a device passcode
  • More supported authentication methods: User/Password, personal certificate, RSA, RADIUS, DynamicID SMS
  • Online only option – Prevents storing any business data on the device
  • Offline mode option – Encrypts business data stored on the device

Mobile Access Geliştirmeleri

  • Internal Sertifika yönetimi için yeni bir SmartDashboard
    • Daha kolay arama
    • Group ve OU’lar için Batch key yaratma
  • Sertifika Yönetimi
  • UserCheck Email şablonları kullanılarak istemci uygulamalarının dağıtımı
  • Birleştirilmiş, kolay okunabilen ve ayrıntılı uzak erişim giriş kayıtları
  • Exchange Server’a kolayca bağlantı sağlamak için Mobile Access sihirbazı

DLP Geliştirmeleri

  • Fingerprinting: Network depolama sunucularındaki dosyaların korunması ve bu sunuculardaki dosyaların gateway tarafından taranarak dışarı çıkarılmaya çalışılan dosyaların korunmasını sağlar.
  • Whitelist Policy: DLP Engine tarafından tespit edilmemesi istenen dosyalar kolaylıkla tanımlanabilir.
    • Security Management Server’a istenilen dosya yüklenebilir ya da bir network depolama birimi tanımlanabilir.
  • DLP tüm protokollerde kullanıcıları tanıyabilir.
    • DLP kurallarında erişim kuralları kullanılabilir.
    • Tüm Protokollerde bir ihlal oluşması durumunda son kullanıcıya e-mail ile bildirimde bulunabilme
  • UserCheck client single sign on
  • UserCheck bildirim yapılandırması ve çoklu-dil desteği
  • DLP Proof of Concept çalışmaları için SMTP Mirror mode

Yeni Appliance ve Donanım Hardware Desteği

  • Yeni 21600 ve 21700 cihazları
  • DDos Protector cihazları desteği
  • Security Acceleration Modülü
  • 4000 vr 12000 cihazlarında Bypass Card (FONIC) desteği

Endpoint Security Blade

The Endpoint Policy Management Blade lets you manage and enforce Endpoint Security policies on Windows and Mac computers. Endpoint Security Software Blades include:

  • Media Encryption
  • Full Disk Encryption
  • Firewall
  • Compliance
  • WebCheck
  • Application Control

When the Endpoint Policy Management blade is enabled, the Security Management Server also becomes an E80.40 Endpoint Security Management Server that manages E80.40 and earlier Endpoint Security clients, with R76 SmartEndpoint.

Application and URL Filtering Geliştirmeleri

  • HTTPS olmadan SSL inceleme için geliştirilmiş filtreleme
  • Arama motorları için geliştirilmiş seçenekler
    • Arama motorlarını güvenli-arama için zorlama
    • Arama motorları aracılığıyşa çevrilmiş sayfaları ce cache sonuçlarını filtreleme
  • Geliştirilmiş Raporlama
    • Kullanıcı aktivitelerinin detaylı raporlanması
    • Raporları kullanıcı gruplarına göre filtreleme
    • Loglarda, evetlarda ve raporlarda webdeki gezinme zamanlarını görüntüleyebilme
    • SmartEvent Raporlarının oluşturulabilmesi için özel yetkilendirilmeler gerçekleştirebilme

SmartLog and SmartEvent

  • New Timeline view in SmartLog for better understanding and orientation of search results.
  • Reporting enhancements for Application and URL Filtering
  • SmartEvent tripled scale.

Anti-Bot and Anti-Virus

  • Bot ve Virüslerin tanımlanması ve taranmasında geliştirmeler
  • UserCheck desteği
  • Rulebase hariç tutma işlemi URL tabanlı da gerçekleştirilebilir

VPN

  • Yüksek Kapasiteli cihazlarda (12400, 12600, and 21000 series)AES performans geliştirmesi
  • HTTPS Inspection için black-list güncelleştirmelerinin otomatik olarak gerçekleşmesi
  • Identity Awareness Captive Portal üzerinde arttırılmış oturum açma limiti

DDoS/DoS Performance Enhancements

DoS ya da DDoS saldırısı esnasında, saldırıyı hafifletmek için aşağıdaki SecureXL özellikleri devreye alınabilir.

During a DoS or DDoS attack, these SecureXL features can be activated to mitigate the attack:

  • Penalty Box : DDoS saldırılarına sebep olabilecek ve şüpheli kaynaklardan gelebilecek paketlerin erken aşamalarda düşürülmesi
  • Yüksek yük altında optimize engelleme yeteneği : SecureXL tarafından engellenmek istenen trafik Security Gateway performansı etkilenmeden hızlı bir şekilde düşürülebilir.
  • DoS Engellemede Rate Limitleme : Belirli bir kaynak ya da servis ile gelen trafik belirlenen politika aracılığıyla orantılı olarak engellenebilir.

Software Blade Geliştirmeleri

  • Identity Awareness:  Yeni, zengin giriş kayıtları
  • IPS:
    • Automatic updates through an authenticated proxy
    • Major improvements of Snort conversion tool
  • Monitoring: Trafik bilgisindeki verilerin okunabilmesi için Netflow servis desteği

Gaia Geliştirmeleri

  • Multi-Queue ve CoreXL için WebUI ve CLI Yapılandırması
  • IPv6 için WebUI ve CLI desteği
  • IPv6 için RADIUS, SNMP, NTP ve Proxy desteği
  • IPv6 için Dynamic Routing protokol desteği: OSPFv3 ve BGPv4
  • IPv6 için VRRPv3 desteği
  • Veritabanında yapılan iyileştirmelerle yönetimsel komutların performasında %80’e varan artış
  • Multi-Domain Security Management çalıştıran serverlar için 128 GB’a kadar RAM desteği
  • Proxy ARP değerlerinin yönetilmesi
  • Core Dump’ların yönetilmesi

R77 ile Gelen Yenilikler

Threat Emulation Software Blade

Önceki versiyonlarda IPS,Anti-Virüs,Anti-Bot Blade’lerini içeren Threat Prevention yapısına Thread Emulation Software dahil oldu ve security gateway’den geçen dosyalar sandbox sistemine gönderiliyor ve analiz edildikten sonra işleme alınıyor. Böylece tanınmayan zararlı yazılımların analizi mümkün hale geliyor. Bu işlem lokalde ya da Threat Cloud üzerinde gerçekleştirilebiliyor.

Check Point Compliance Blade

Check Point Compliance Blade’i ortamınızdaki Check Point güvenlik altyapısının dinamik bir şekilde izlenmesini sağlamaya yönelik bir çözümdür. Bu ürün security gateway üzerindeki blade’leri, policy’leri ve yapılandırmaya ilişkin ayarları gerçek zamanlı inceleme olanağı sunmaktadır. Ayrıca ISO 27001,ISO 27002,HIPAA Security,PCI DSS 2.0,CobiT 4.1 sektörde kullanılan birçok regülasyonla uyumluluğun kontrol edilebilmesini sağlıyor. Buna ek olarak bu regülasyonlarla uyumluluğu sağlamak için recommended ayarları ve best practices’leri de içeriyor.

HyperSPECT Technology

  • IPS, Application Control ve URL Filtering Blade’lerinin performansında %50′lere varan artış sağlayabilecek bir teknoloji olarak CoreXL ve SecureXL yapılarına ilave olarak sunuldu.
  • Hyper-Threading desteği ve DPI engine optimizasyonu da R77 ile gelen yenilikler arasında yer alıyor.

VSX Geliştirmeleri

  • Her bir Virtual sitem 128 interface destekler hale geldi.
  • Geliştirilmiş SAM Card Desteği
  • Jumbo frames desteği
  • Bonding desteği
  • Back-plane interface’ler için Multi-queue desteği

Mobile Access

  • Mobile Acces Portal Outlook Web App 2013 Path Translation (PT) desteği
  • Son kullanıcı makinesinde Cookies ayarları yapılandırıldığında Hostname Translation desteği
  • URL Translation ise desteklenmiyor

Diğer Yenilikler

  • Backup,restore,script çalıştırma gibi işlemlerin merkezi bir konsoldan gerçekleştirilebilmesi
  • Temiz kurulum ve upgrade paketlerinin Check Point Cloud yapısından çekilerek gerçekleştirilebilmesi
  • Security Gateway Upgrade sırasında downtime süresinin %90 oranında azaltılması
  • Gaia Software Update paketleri için export ve import desteği
  • LDAP grup üyelikleerindeki değişikliklerin otomatik olarak güncellenmesi
  • Agent dağıtımı için yeni bir MSI yapılandırma aracı
  • Topology sekmesi kullanılarak interface yaratma,silme gibi işlemler yapılabilmesi
  • SmartDashboard ile security gateway’in NTP,DNS ayarlarınında değişiklik yapılabilmesi

Check Point Gaia Deployment Metodları

Standalone Deployment

Security Management Server ve Security Gateway’in aynı bilgisayar ya da bir appliance üzerine yüklendiği kurulum türüdür.

Standalone Computer
Security Gateway Bileşenleri
Security Management Server

Distributed Deployment

Security Management Server ve Security Gateway’in farklı bilgisayar ya da bir appliance üzerine yüklendiği kurulum türüdür.

Security Gateway
Network Connection
Security Management Server
Security Gateway Bileşenleri
Security Management Server Bileşenleri

 Standalone Full HA

Security Management Server ve Security Gateway’in bir appliance üzerinde kurulu olduğu ve iki appliance’ın High Availibility mode’da çalıştırıldığı kurulum türüdür.

Primary Appliance
Direct appliance to apliance connection
Backup appliance
Security Gateway Bileşenleri
Security Management Server Bileşenleri

Distributed Deployment metoduna uygun olarak gerçekleştirilecek kuruluma ait yapılandırma aşağıdaki gibidir:

Check Point Security Management

İşletim Sistemi    : Gaia

Internal IP    : 10.10.10.11

Check Point Security Gateway

İşletim Sistemi    : Gaia

Internal IP    : 10.10.10.13/24

Sync IP        : 192.168.1.2/24

External IP    : 172.21.101.2 /8

Smart Console

İşetim Sistemi     : Windows Server 2012 R2

IP        : 10.10.10.201

Kurulumu başlatmak için Check Point support center üzerinden indirilen Check Point R77.10 DVD’sine sahip olunması gerekmektedir. Kurulumun gerçekleştirileceği sunucunun R77.10 DVD’si ile boot edilmesi gerekmektedir.

Boot işleminin ardından “Welcome to Check Point Gaia” ekranında “Install Gaia on this system” seçeneğiyle kurulum başlatılır.


Check Point Gaia işletim sistemi ve uygulamalarının kurulumunun onaylanması, kurulumun devam edebilmesi açısından gereklidir.


“Keyboard Selection” ekranında Check Point üzerinde kullanılacak klavye türünün belirtilmesi gerekir.


Partitions Configuration ekranında system-swap, system root ,log ve backup dosyaları için kullanılacak disk alanlarının boyutu belirlenir.


Check Point Gaia işletim sistemi ile birlikte gelen yeniliklerden bir tanesi olan kurulum sırasında şifre oluşturma işleminin gerçekleştirileceği “Account Configuration” ekranında admin kullanıcısı için bir şifre belirlenir.


“Management Port” ekranında Security Management sunucusunun yönetimi için kullanılacak olan network adaptörü seçilir.


“Management Interface” ekranında ise Security Management sunucusuna hem web arayüzünden hem de Smart Dashboard üzerinden erişim sağlanacak olan IP adresi tanımlanır.


“Confirmation” ekranında ise sunucu üzerindeki tüm harddisklerin biçimlendirilmesi onaylanır.


Gaia işletim sisteminin kurulumu tamamlanmasının ardından sistemin yeniden başlatılması gerekir.


Sistemin yeniden başlatılmasının ardından yapılandırmaların gerçekleştirilmesi için Web Management arayüzü kullanılır. Burada gerçekleştirilecek olan yapılandırma işlemi Gaia öncesi (SecurePlatform) işletim sisteminde sysconfig komutu ile console ekranından gerçekleştiriliyordu.

Not : Kitabın sonunda yer alan ekler bölümünde Secure Platform işletim sistemi için de Distrubuted Deployment metoduna göre kurulum gerçekleştirilecektir.

Gaia işletim sistemi sırasından tanımlanan 10.10.10.11 ip adresi ile Web Browser üzerinden Gaia Portal’a erişim sağlanır.

Kullanıcı adı    : admin

Şifre        : Kurulum sırasında admin kullanıcına verilen şifre


Oturum açıldığında Gaia İlk Yapılandırma Sihirbazına ait ekran açılacak ve arayüz üzerinden yapılandırma gerçekleştirilecektir.


Bu bölümde yer alan seçenekler R77.10 ile gelen yeni kurulum seçenekleridir. Uygulamada “Continue with Gaia R77.10 Configuration” seçeneği ile devam edilecektir.


Yönetim için kullanılacak olan interface seçilir ve ip adresi bilgisi girilir. (Eğer kurulum adımları sıraısnda tanımlanan IP adresi kullanılacaksa burada herhangi bir düzenleme yapılmasına gerek yoktur.)


Check Point User Center bağlantısı için internet erişimi olan bir interface ve ip adresi tanımlanabilecek olan bu ekranda R77.10 ile gelen yeniliklerden bir tanesidir. İlerleyen bölümlerde User Center bağlantısının nasıl gerçekleştirileceği anlatılacağı için bu aşamada daha fazla detay verilmeyecektir.


Security Management için host name, domain name ve dns bilgileri girilir. Eğer kullanılıyorsa Proxy bilgisi de “Use a Proxy Server” kısmı kullanılarak girilir.


Tarih ve saat bilgilerinin düzenlenir isteğe bağlı olarak bir NTP sunucusu üzerinden de tarih ve saat ayarlarının otomatik olarak ayarlanması sağlanabilir.


“Multi-Domain Server” ya da “Security Management or Security Gateway” seçeneklerinden gerçekleştirilmek istenen kurulum türü seçilerek devam edilir. Bu uygulamada “Security Management or Security Gateway” seçeneği ile devam edilecektir.


Product kısmında isterseniz Security Gateway ve Security Management seçilerek Stand Alone bir kurulum gerçekleştirilebilir. Buradaki örnek kurulumda distributed deployment gerçekleştirilecektir. Distributed Deployment için ilk olarak Security Management kurulumu gerçekleştirilecektir.


Administrator yetkilerine sahip bir kullanıcı tanımlaması yapılır.


Security Management sunucusunun web arayüzüne erişim sağlayacak ip adres, network ya da ip adres aralığı tanımlanır. Güvenlik açısından Security Management’a erişim sağlayacak ip adreslerini tek tek eklenmesi önerilir.


Finish butonu ile bu aşamaya kadar gerçekleştirilen yapılandırmalar onaylanır ve bu yapılandırmaların gerçekleştirilmesi için Finish butonuna tıklanır.



Yapılandırmanın doğrulanması, Security Management kurulumu ve uyumluluk paketlerinin kurulumunun ardından yapılandırma başarı ile tamamlanır.


Security Management’a web arayüzünden bağlanılarak oturum açıldığında Overview (tanıtım) ekranı açılır ve sistem ile ilgili bilgiler özet halinde bu ekranda yer alır.

Web arayüzünde yer alan menülerin işlevlerine ilişkin açıklamalar aşağıdaki gibidir.

Network Management

Bu bölümü kullanılarak network interface ayarları gerçekleştirebilir, static arp kayıtları oluşturabilir, DHCP Server yapılandırmasını gerçekleştirebilir, ipv4, ipv6 statik routing işlemlerini gerçekleştirebilir. Ayrıca Host name, domain name ve dns bilgilerini de bu bölümü kullanılarak düzenlenebilir.

System Management

Tarih, saat ve bölgesel ayarları, SNMP agent ayarlarını, schedule job ile zamanlanmış işlemleri yaptırabilir, mail ile bildirimler gönderilmesi sağlanabilir, Proxy Server ayarları yapılabilir, Banner mesajı düzenlenebilir, session timeout süresini belirlenebilir, ipv6 desteğini açma ve kapatma işlemlerini gerçekleştirilebilir, system logları ile ilgili düzenlemeler yapılabilir,telnet aktifleştirilebilir , web arayüzüne bağlanacak kullanıcılara izin verebilir ve kurulum sırasında oluşturulan sertifika bilgisi görüntülenebilir.

Advanced Routing

DHCP Relay ayarlarını yapabilir, BGP yapılandırmasını gerçekleştirebilir, IGMP ayarlarını yapabilir,PIM (Protocol Independent Multicast) ayarını yapılandırabilir, OSPF düzenlemelerini gerçekleştirebilir, BGP ve diğer protokoller için filtreler oluşturabilir, Router Discovery ile ICMP Router Discovery protokolü kullanılarak dinamik olarak clientların tespit edilmesini sağlayabilir, gerçekleştirdiğimiz routing düzenlemelerini monitor edebilir ve policy tabanlı route’lar oluşturabiliriz.

User Management

Bu bölümü kullanarak parola değiştirme, kullanıcı ve role tanımlama işlemlerini gerçekleştirebilir, password policy’ler oluşturabilir, authentication server tanımlaması yapılabilir.

High Availibility

VRRP ayarlarını, dinamik failover yapılandırmalarını bu bölümden gerçekleştirilir.

Maintenance

Lisans yükleme , upgrade paketlerini yükleyip sistemi upgrade etme, softare update policy belirleme, sistem updatelerini gerçekleştirme, sistem backup alma gibi işlemler bu bölümden gerçekleştirilir.

Manage Software Blade using SmartConsole bölümünden “Download Now diyerek SmartConsole ” uygulamasını indirilir.


Smart Console kurulumunu gerçekleştirilir.


Kurulum gerçekleştikten sonra “Smart Dashboard” uygulamasını çalıştırılır. Check Point Security Management Server’ın ip adresini ve kurulum sırasında tanımlanan kullanıcı adı ve parola ile SmartDashboard bağlantısını gerçekleştirilir.


Fingerprintin doğruluğunu onaylamamız isteniyor.


Security Management bağlantısı başarılı bir şekilde geçrekleştirilir.


Firewall sekmesinde yer alan “Network Object” kısmından Security Management hostname kontrolü yapılır.


Bu aşamaya kadar gerçekleştirilen işlemler ile Security Management kurulumu gerçekleştirildi. Bu aşamadan sonra kurulum işlemlerine geri dönülür ve planlanan Distributed Deployment yapılandırması için gerekli olan Security Gateway kurulum işlemleri başlatılır.

Security Management kurulumu sırasında “Products” ekranına kadar olan kısımları gerçekleştirildikten sonra “Products” ekranında Security Gateway seçilir.


Security Gateway için dinamik ip adresi ataması yapmak istiyor musunuz soruna “No” seçeneği ile yanıt verilerek kuruluma devam edilir.


Security Gateway kurulumunun en önemli aşamalarından bir tanesi “Secure Internal Communication (SIC)” için bir key tanımlanmasıdır. Çünkü “Secure Internal Communication” için tanımlanan key ile Security Gateway ve Security Management’ın birbirleri ile iletişime geçmesi sağlanacaktır.


Finish butonu ile yapılandırma tamamlanır. Yapılandırmanın tamamlanmasının ardından değişikliklerin geçerli olabilmesi için bir yeniden başlatma gereklidir.





Bu aşamaya kadar olan kısımda Security Management kurulumu, SmartConsole kurulumu, SmartDashboard ile Security Management bağlantısının gerçekleştirilmesi ve Security Gateway kurulumları gerçekleştirildi.

Uygulamanın bundan sonraki adımlarında “Secure Internal Communication (SIC)” yapılandırması gerçekleştirilecek, firewall üzerinde kuralların oluşturulmasına ilişkin bilinmesi gerekenlerden bahsedilecek ve ardından örnek olarak bir kaç kural oluşturularak temel kurulum ve yapılandırma kısmı tamamlanacaktır.

SmartDashboard ile Securit Management bağlantısı gerçekleştirilir.


Firewall sekmesinde yer alan Check Point seçeneği altındaki cyp-mgmt1 objesi üzerinde sağ tıklanır ve ” Security Gateway/Management ” seçeneği seçilir.


“Check Point Security Gateway Creation” ekranında Wizard Mode ve Classic Mode olmak üzere iki seçenek yer almaktadır. Classic Mode seçilerek devam edilir.


“Check Point Gateway – General Properties” ekranında

Name :  Bu bölümde Security Gateway için bir ad belirtilir.

IP Address : Bu bölümde ise Security Gateway ürününe kurulum sırasında verilen internal ip adres bilgisi girilir.

Comment : Bu bölüme açıklama yazılması tamamen isteğe bağlı olmakla birlikte bir çok Security Gateway’in bulunduğu ortamlarda yararlı olacağı düşünülerek açıklama yazılması önerilir.

“Secure Internal Communication” kısmının altında bulunan “Communication” butonu tıklanır ve Seucrity Gateway ve Security Management arasındaki güven (trust) ilişkisinin kurulması için gerekli key bilgisi (kurulum sırasında Activation Key olarak tanımlanmıştı) ilgilini alana girilerek “Initialize” butonu tıklanır ve “Certificate State” kısmında işlem sonucu olarak “Trust established” yazısı görüntülenir.

Not : Eğer bu aşamada işlem başarısız olursa Security Gateway ve Security Management arasında bir iletişim problemi var demektir ve yapılandırmalar tekrar gözden geçirilmelidir. Yapılandırmaların tekrar gözden geçirilmesinin ardından hiçbir bağlantı problemi olmadığına kanaat getirildiğinde “SIC” için tanımlanan Activation Key resetlenmeli ve bu adım tekrardan gerçekkleştirilmelidir. “SIC” resetleme işlemi Security Gateway üzerinde cpconfig komutu ile ulaşılan ekrandan gerçekleştiriilebilir.


Security Gateway ve Security Management arasındaki iletişimin sağlanmasının ardından “Topology” sekmesine geçiş yapılır.


Bu aşamadaki yapılandırma da oldukça önemlidir çünkü Security Gateway üzerinde yer alan ethernet adaptörlerinin (internal,external, dmz ) hangi network için tanımlanacağı bu aşamada belirlenir.

“Topology” ekranında “Get” butonuna ve ardından “Interfaces with topology” seçeğine tıklanarak Topoloji elde edilir. Bu bölümde otomatik olarak ayarlanan seçenekler gereksinimlerinizi yansıtmıyorsa her bir ethernet adaptörü seçilir ve Edit butonu ile istenilen düzenlemeler gerçekleştirilir.




Örneğin; eth1 çıkarılan topolojide “This network” olarak tanımlanmış görünüyor ve bu adaptör ileriki aşamalarda gerçekleştirilecek olan Cluster kurulumu sırasında senkronizasyon için kullanılacak olan network’e ait. O zaman eth1 için isim ve topoloji düzenlemesi aşağıdaki gibi geçekleştirilir.

Eth1 adaptörü seçiliyken Edit seçeneğine tıklanır ve “General” sekmesinde eth1 yazan kısma Sync yazılır ardından “Topology” sekmesinde Internal seçeneğinin altında yer alan Specific kısmından da bu ethernet adaptörün hitap ettiği network seçilir.


Bu işlemlerinde ardından SmartDashboard üzerinde artık Security Gateway’in de yer aldığı görülecektir.


Kurulum işlemlerinin başarılı bir şekilde gerçekleştirlmesinin ardından yine oldukça önemli bir aşamaya geçiş yapacağız. Kural oluşturma işlemleri oldukça önemli olduğu için bu kısımda biraz teorik bilgiler üzerine yoğunlaşmanın doğru oluğunu düşüyorum çünkü firewall üzerinde kural oluşturma mantığı kavrandığı takdirde hemen hemen tüm firewallar üzerinde kısmen de olsa bir hakimiyet sağlanabilir.

Check Point veya başka bir firewall konfigürasyonunda öncelikle erişim kuralı (Access Rule) kavramının bilinmesi gerekir. Erişim kuralı (Access Rule) firewall konfigürasyonu sırasında belirtilen kurallardan her birine verilen addır. Bütün IP trafiğine uygulamak üzere ya da belli bir protokol kümesine uygulamak üzere erişim kuralları oluşturulabilir.

Erişim kuralı objeleri, belirli erişim kuralları yaratabilmek için kullanılır. Örneğin yalnızca HTTP trafiğine izin verilen ya da yalnızca FTP erişimi engellenen bir kural oluşturulması gibi.

Birçok organizasyon kullanıcılarının ya da müşterilerinin network trafiğini kontrol etmek zorundadır çünkü günümüzde siber tehditler ve sayısı günden güne artan zararlı yazılımlar network trafiğinin kontrol altında olmasını gerektirmektedir.

Erişim kuralları yalnızca bir subnet için , bir kullanıcı için tüm iç trafik için ya da tüm dış trafik için uygulanabilir. Burada oluşturulucak erişim kuralları tamamen organizasyonun gereksinimleri doğrultusunda belirlenir.

Bir firewall’un öncelikli görevi iç network’e olan erişimi engellemektir. Diğer bir değişle yalnızca kontrollü trafiğe izin vermektir. Firewall’ın bu işlevinin bir kısmı paket filtreleme sayesinde yerine getirilir. Paket filtreleri görevini, erişimi network katmanında IP paketlerini inceleyerek yaparlar. Trafiğe izin verirler ya da erişimi engellerler.

Hedef adres (Destination address): Hedef adres, ISA Server tarafından route edilerek birbirine bağlanmış iki network arasında hedeflenen bilgisayarın mevcut IP adresi olabilir. Hedef aynı zamanda NAT ile bağlanmış iki network ise ISA Server’ın dış network’e bağlı olan arayüzü (interface) de olabilir.

Kaynak adres (Source address): Bu bilgi paketi oluşturup transfer eden kaynak bilgisayarın IP adresidir.

IP protokolü ve protokol numarası: Paket filtresini, TCP (Transmission Control Protocol), UDP (User Datagram Protocol), ICMP (Internet Control Message Protocol) ve herhangi bir başka protokol için konfigüre edebilirsiniz. Her protokol, bir protokol numarasına sahiptir. Örneğin TCP protokol 6’dır ve PPTP (Point-To-Point Tunneling Protocol) için Generic Routing Encapsulation (GRE) protokolü protokol 47’dir.

Yön (Direction): Bu bilgi firewall üzerinden geçen paketin yönüdür. Genellikle yön inbound (içeriye doğru), outbound (dışarıya doğru) ya da her ikisi birdendir. FTP (File Transfer Protocol) ya da UDP gibi bazı protokoller için yön seçimi Receive Only (sadece alan), Send Only (sadece gönderen) ya da her ikisi birden şeklindedir.

Port numaraları: Bir TCP ya da UDP filtresi yerel (local) ve uzak (remote) port numarasını tanımlayabilir. Lokal ya da remote portlar sabit bir numara ya da dinamik (değişken) numaralandırma ile tanımlanmış olabilir.

Erişim kuralı oluşturabilmek daha doğrusu doğru bir erişim kuralı oluşturabilmek için bilinmesi gereken bileşenler aşağıdaki gibidir.

  • Name (adı)
  • Source (Kaynak)
  • Destination (Hedef)
  • Services (Protokoller)
  • Action (Accept-Drop-Reject)
  • Track (İzleme)
  • Time (Zaman)

 

Name : Her Access Rule’ın bir adı vardır. Yapılan değişikliğe ilişkin bir isim olması o kural hakkında bilgi sahibi olunması açısından yararlı olur.

Source ve Destination : Kaynak ve hedef network. Access Rule’un hangi network’ler arasında geçerli olacağı belirtilir.

Services : Uygulanacak Access Rule’un hangi Protokoller için geçerli olacağının tanımlandığı bölümdür.

Action : Kuralın izin vereceği accept) ya da bloklayacağı (drop) şeyler bu bölümde belirlenir.

Firewall üzerinde erişim kurallarının değerlendirilmesine en üst sıradaki kuraldan başlanır. Accept ve Drop olarak başlayan kural tanımları firewall üzerinden geçişi tanımlar. Herhangi bir kurala bağlı olarak geçiş yapamayan network trafiği, en altta (varsayım) duran Drop kuralı ile engellenir.

Drop ve Reject seçeneklerinin farkı konusunda şu temel bilgiyi de vereyim:

DROP paket engellenir ve paketi gönderen kişinin gönderdiği paketin engellendiğinden haberi olmaz, REJECT ise paketi engeller fakat paketi gönderen kişiye paketin gönderilmediğini bildirir.

Firewall’lar Üzerinde Kural Oluştururken Dikkat Edilmesi Gereken Genel sıralama:

  • Deny kuralları
  • Spesifik kurallar
  • Genel kurallar

Bu durumda erişim kurallarını oluşturmak için şu şekilde bir sıralama izlenebilir:

1. Belli bilgisayarların ve kullanıcıların Internet erişimini engelleyen ya da kısıtlayan kurallar düzenlenir.

2. Sınırlı Internet erişimi için kural hazırlanır.

3. Bütün kullanıcıların Internet erişimi için kural hazırlanır.


Cleanup Rule : Any-any-drop =>Loglama aktiftir. Check Point implicied rule’dan farkı loglama yapmasıdır. (En altta yer alması önerilir.)

Stealth Rule : any-security gateway-any service-drop => Gateway güvenliği için oluşturulan bu kuralın Check Point üzerindeki özel adı stealth rule’dur.

Admin Rule : admin-security gateway-https ve ssh-accept =>Check Point’i yönetecek bilgisayar için https ve ssh ile check point üzerine erişim izni tanımlamamızı sağlar.

First Rule : Logların şişmemesi için kuralların en üstünde nbt,rip ve bootp için drop-track-none şeklinde kural oluşturulmalıdır.

Ayrıca kuralların Install edilmesi için Check Point, TCP 18191 portunu kullanır ve bu port implied rule üzerinde izinli olarak gelir.

Kuralların isimleri önemli olduğu için bu bilgileri paylaşma gereği duydum yoksa siz bu isimleri vermeden de kendinize göre kurallar oluşturabilirsiniz. Ancak Check Point Security Administrator sınavlarında bu isimler oldukça önem taşıdığı için ayrıntılı olarak açıkladım.

Rule Based Sıralama

Check Point üzerine bir istek geldiğinde öncelikle kurallara bakılmadan spoofing olup olmadığına bakılır ve ardından aşağıdaki sırayla kurallara bakılarak, gelen isteğe uygulanacak aksiyon belirlenir.

  1. Implied first rules
  2. Explicit rules (Except last rules)
  3. Implied before last rule
  4. Explicit last rule
  5. Implied last rule
  6. Implicit drop rule

Rule tanımlamadan bu kadar bahsettikten sonra “Rule” menüsünden ” Add Rule ” u seçerek ilk kuralımızı tanımlayalım.

Bir kural oluşturduktan sonra “Policy” menüsünden ” Install” seçeneğini kullanmazsak kuralımız devreye girmeyecektir,bu yüzden bir kural oluşturduktan sonra mutkala kuralı Install etmeliyiz.

Policy, başarılı bir şekilde kuruldu.


Check Point ClusterXL Kurulumu










Eth0 : 10.10.10.14/24 => Internal

Eht1 : 192.168.1.3/24 => Sync

Eth2 : 172.21.101.3/8 => External

Bu bölüm Check Point üzerinde cluster yapılandırmasının nasıl gerçekleştirileceği ve yapılandırma öncesinde oluşturulması gereken topolojiyi içermektedir.


İlk olarak Smart Dashboard’a bağlanıyoruz ve Check Point objesi üzerinde sağ tıklayıp Security Cluster => Check Point Applicance/Open Server’ı seçiyoruz.


Cluster yapısını oluşturmak için tercih edeceğimiz yöntemi sçeiyoruz. Bu makalede wizard mode kullanılarak bir yapılandırma gerçekleştirilecektir.


Cluster’a bir isim veriyoruz. Ben cp-clusterxl şeklinde bir isim verip ip adresini de 192.168.1.226 olarak belirledim.
















Choose the Clusters’s Solution kısmında High Availibility seçeneğinin seçili olduğunu kontrol ediyoruz.


Cluster yapısına dahil etmek istediğimiz Security Gateway’leri bu aşamada seçiyoruz. Yapılandırılmış bir security gateway’im olmadığı için New Cluster Member seçeneği ile cluster’a dahil olacak gateway’ler için secure internal communication konfigürasyonunu gerçekleştiriyoruz.



Cluster’a dahil etmek istediğimiz Security Gateway’leri Cluster Member olarak ekledikten sonra devam ediyoruz.


Şimdi de Cluster Topolojisini yapılandıracağız.


Bu aşamada ilk olarak Cluster senkronizasyonun gerçekleştirileceği network yapılandırmasını gerçekleştiriyoruz. Cluster Synchronization bölümünden Primary seçeneğini işaretliyoruz.


Şimdi de internal network yapılandırmamızı gerçekleştirelim. Cluster yapılandırmasına başladıüımızda bir cluster adı ve ip adresi belirlemiştik. Orada belirtmiş olduğum Cluster ip adresini yani 192.168.1.226’yı Representing a cluster interface kısmına yazıyoruz.


Cluster kurulumumuz tamamlandı. Cluster özelliklerini incelemek ya da yapılandırmada değişiklikler gerçekleştirmek isterseniz Edit Cluster’s Properties’i seçebilirsiniz.



Topology kısmında Edit Topology’i seçiyoruz. Karşımıza Cluster ip adresi , cluster üyelerinin ip adresleri ve senkronizasyon ip adresi geliyor.



External Network Adaptorümüz üzerinde ip adresi tanımlaması yaptıktan sonra All Member’s Interface with Topology seçeneğini kullanarak Topology’imizin otomatik olarak belirlenmesini sağlıyoruz.


Ve External IP adresimizin de yeni topolojimizde yer aldığını görüyoruz.


Böylece Toplojiyi de belirleyerek Cluster yapılandırmamızı tamamlamış olduk. Bundan sonra örnek birkaç kural yazıp install diyerek kurallarımızın başarılı bir şekilde kurulduğunu görerek yapılandırmamızın başarılı bir şekilde gerçekleşip gerçekleşmedğini kontrol ediyoruz.


Kurallarımız başarılı bir şekilde yazıldığına göre makalemizi tamamlayabiliriz.


Check Point ISP Redundancy

Internet Servis Sağlayıcılar üzerinde oluşabilecek sorunlar zaman zaman ciddi sıkıntılar yaşanmasını sağlayabilir. Internet Servis Sağlayıcısı kaynaklı kesintilerden etkilenmemek için genellikle farklı sağlayıcılardan hizmet alınarak yedeklilik sağlanır. Yedeklilik sağlamak amacıyla alınan hatlar, birinci tercih olan internet sağlayısında bir problem oluşması durumunda devreye girerek olası kesintilerin önüne geçilir.

Bu makalede ISP Redundancy işleminin Check Point R75.40 üzerinde nasıl gerçekleştirileceği anlatılacaktır. ISP Redundancy Check Point Security Gateway kurulumu ile gelen bir özelliktir ve ek bir kurulum gerektirmez. ISP Redundancy Monitor ile internet servis sağlayıcıların bağlantıları izlenebilir.

Check Point ISP Redundancy özelliği Smart Dashboard aracılığıyla yapılandırılır. Ayrıca Security Gateway üzerinde Dynamic IP

Smart Dashboard’a bağlandıktan sonra Secuirty Gateway üzerinde sağ tıklanır ve Edit seçilir.


Topology bölümünün altında yer alan ISP Redundancy kısmından ISP Support Redundancy seçeneği aktifleştirilir.


Load Sharing :  İnternet erişimi için kullandığımız iki hattın da aynı anda kullanılmasını ve trafiğin bu iki hat üzerinde geçmesini sağlar.Herhangi bir bağlantının başarısız olması durumunda bağlantıları aktif hatta yönlendirir.

Primary/Backup : Kullanmakta olduğumuz asıl hat kesilirse bağlantının otomatik olartak diğer hat üzerinden çalışmaya devam etmesini sağlar.




Sistem yöneticisi olarak; şirketlerde Internet erişimi ile ilgili atılması gereken adımların başında Internet üzerindeki kaynaklara kontrollü erişim sağlayacak bir “Internet kullanım (erişim) politikası” (Internet usage policy) düzenlemektir. Internet kullanım politikası, kullanıcıların Internet’e bağlıyken hangi işlemleri yapabileceğini ya da kullanıcılara hangi izinlerin verileceğini (allow) düzenlemelidir.

Internet kullanım politikası aşağıdakileri konuları içermelidir:

Internet kullanım politikasına duyulan ihtiyaç tanımlanmalıdır.

Oluşturulan politikaların kullanıcılara kısıtlama getirdiği için; kullanıcılara açıklanması gerekir. Böylece kullanıcıların oluşturulan kurallara ilişkin direnci azalır.

Politikanın tam olarak neleri kapsadığının açıklanması gereklidir.

Politika Internet kullanımı sırasında nelerin kabul edilebilir ve nelerin kabul edilemez olduğunun açıklamalarını net bir şekilde anlatıyor olmalıdır. Örneğin Internet üzerindeki kaynaklara erişirken hangi uygulamaların kullanılabileceğini ya da hangi Internet kaynaklarına erişilebileceğinin belirtilmesi gerekir.

Kuralları ihlal edilmesi durumundaki yaptırımların ne olacağı tanımlanmalıdır.

Politikalar, kullanıcıların kuralları ihlal ettiklerinde ne gibi cezai durumlar ortaya çıkacağını belirtmelidir.

Oluşturulan “Internet kullanım politikası”, Check Point üzerinde oluşturulan Access Rule’lar aracılığıyla hayata geçilir.

Kullanıcı ve Grup tabanlı kısıtlamalar

Internete olan erişimi kullanıcı ya da grup tabanlı olarak sınırlandırabilir. Bu kullanıcı ya da gruplar Active Directory üzerinde tanımlı olabilecekleri gibi, yerel kullanıcı ya da gruplar üzerinde de tanımlı olabilir.

Bu kullanıcı ve gruplar Active Directory üzerinde, RADIUS server üzerinde ya da bir RSA SecurID server’lar üzerinde olabilir.

Bilgisayar tabanlı kısıtlamalar

Network üzerindeki tek bir bilgisayarı, belirli bir bilgisayar grubunu ya da tüm bilgisayarları Internet erişiminde sınırlandırabilir. Örneğin bu yöntemle bazı server’larınızı ya da genel kullanıma açık bilgisayarlarınızı kısıtlayabilirsiniz.

Protokol tabanlı kısıtlamalar

Internet erişiminde kullanılan protokollere bağlı olarak Internet erişimini kısıtlayabilir. Örneğin Internet erişiminde yalnızca HTTP ve HTTPS protokollerine izin verip kalan tüm protokoller yasaklanabilir. Ya da tüm protokollere izin verip belirli bazı protokolleri belirterek kısıtlayabilirsiniz.

Internet’i hedef alan kısıtlamalar

Internet üzerinde ulaşılmak istenen adreslere göre erişimi kısıtlayabilir. Hedeflere olan erişimi domain adına ya da URL adresine göre kısıtlayabilirsiniz.

Check Point Firewall Ports

PORT TYPE SERVICE DESCRIPTION
21 TCP ftp File transfer Protocol (control)
21 UDP ftp File transfer Protocol (control)
22 Both ssh SSH remote login
25 both SMTP Simple Mail transfer Protocol
50 Encryption IP protocols esp – IPSEC Encapsulation Security Payload
51 Encryption IP protocols ah – IPSEC Authentication Header Protocol
53 Both Domain Name Server
69 Both TFTP Trivial File Transfer Protocol
94 TCP Encryption IP protocols fwz_encapsulation (FW1_Eencapsulation)
137 Both Netbios-ns NETBIOS Name Service
138 Both netbios-dgm NETBIOS Datagram
139 Both netbios-ssn NETBIOS Session
256 TCP FW1 (fwd) policy install port FWD_SVC_PORT
257 TCP FW1_log FW1_log FWD_LOG_PORT
258 TCP FW1_mgmt FWM_SSVVC_PORT
259 TCP FW1_clientauth_telnet
259 UDP RDP Reliable Datagram Protocol
260 TCP sync
260 UDP FW1_snmp FWD_SNMP_PORT
261 TCP FW1_snauth Session Authentication Daemon
262 TCP MDQ – mail dequer
263 TCP dbs
264 TCP FW1_topop Check Point SecureClient Topology Requests
265 TCP FW1_key Check Point VPN-1 Public key transfer protocol
389 Both LDAP Secure Client connecting to LDAP without SSL
443 SNX VPN can use 443 too
444 TCP SNX VPN SNX VPN tunnel in connectra only
500 UDP IPSEC IKE Protocol (formerly ISAKMP/Oakley)
500 TCP IKE over TCP
500 UDP ISAKMPD_SPORT & ISAKMPD_DPORT
514 UDP Syslog Syslog
636 LDAP Secure Client connecting to LDAP with SSL
900 TCP FW1_clntauth_http Client Authentication Daemon
981 Management https on the edge
1247
1494 TCP Winframe Citrix
1645 TCP Radius
1719 UDP VOIP
1720 TCP VOIP
2040 TCP MIP meta Ip admin server
2746 UDP UDP encapsualtion for SR VPN1_IPSEC_encapsulation VPN1_IPSEC encapsulation
2746 TCP CPUDPENCap
4000 Policy Server Port (Redmond)
4433 TCP Connectra Admin HTTPS Connectra admin port
4500 UDP NAT-T NAT Traversal
4532 TCP SNDAEMON_PORT sn_auth_trap: sn_auth daemon Sec.Serv comm,
5001 TCP Meta IP Web Connection, MIP
5002 TCP Meta IP DHCP Failover
5004 TCP Meta IP UAM
5005 TCP Meta IP SMC
6969 UDP KP_PORT KeyProt
8116 UDP Check Point HA SyncMode= CPHAP (new sync mode)
8116 UDP Connection table synchronization between firewalls
8989 TCP CPIS Messaging MSG_DEFAULT_PORT
8998 TCP MDS_SERVER_PORT
9000 Command Line Port for Secure Client
10001 TCP Default CPRSM listener port for coms with RealSecure Console
18181 TCP FW1_cvp Check Point OPSEC Content Vectoring Protocol
18182 TCP FW1_ufp Check Point OPSEC URL Filtering Protocol
18183 TCP FW1_sam Check Point OPSEC Suspicious Activity monitoring Proto (SAM API)
18184 TCP FW1_lea Check Point OPSEC Log Export API
18185 TCP FW1_omi Check Point OPSEC Objects Management Interface
18186 TCP FW1_omi-sic Check Point OPSEC Objects management Interface with Secure Internal Communication
18187 TCP FW1_ela Check Point OPSEC Event Loging API
18190 TCP CPMI Check Point Management Interface
18191 TCP CPD Check Point Daemon Proto NG
18192 TCP CPD_amon Check Point Internal Application Monitoring NG
18193 TCP FW1_amon Check Point OPSEC Appication Monitoring NG
18201 TCP FGD_SVC_PORT
18202 TCP CP_rtm Check Point Real time Monitoring
18203 TCP FGD_RTMP_PORT
18204 TCP CE communication
18205 TCP CP_reporting Check Point Reporting Client Protocol
18207 TCP FW1_pslogon Check Point Policy Server logon Protocol
18208 TCP FW1_CPRID (SmartUpdate) Check Point remote Installation Protocol
18209 TCP FWM CA for establishing SIC communication
18210 TCP FW1_ica_pull Check Point Internal CA Pull Certificate Service
18211 TCP FW1_ica_pull Check Point Internal CA Push Certificate Service
18212 UDP Connect Control – Load Agent port
18213 TCP cpinp: inp (admin server)
18214 TCP cpsmc: SMC
18214 UDP cpsmc: SMC Connectionless
18221 TCP CP_redundant Check Point Redundant Management Protocol NG
18231 TCP FW1_pslogon_NG Check Point NG Policy Server Logon Protocol
18231 TCP NG listens on this port by default dtps.exe
18232 TCP FW1_sds_logon Check Point SecuRemote Distribution Server Protocol
18233 UDP Check Point SecureClient Verification Keepalive Protocol FW1_scv_keep_alive
18241 UDP e2ecp
18262 TCP CP_Exnet_PK Check Point Public Key Resolution
18263 TCP CP_Exnet_resolve Check Point Extranet remote objects resolution
18264 TCP FW1_ica_services Check Point Internal CA Fetch CRL and User Registration Services
19190 TCP FW1_netso Check Point OPSEC User Authority Simple Protocol
19191 TCP FW1_uaa Check point OPSEC User Authority API
65524 FW1_sds_logon_NG Secure Client Distribution Server Protocol (VC and Higher)

Check Point General Common Ports

PORT TYPE SERVICE DESCRIPTION
257 tcp FireWall-1 log transfer
18208 tcp CPRID (SmartUpdate)
18190 tcp SmartDashboard to SCS
18191 tcp SCS to FW-1 gateway for policy install
18192 tcp SCS monitoring of firewalls (SmartView Status)

Check Point SIC Ports

PORT TYPE SERVICE DESCRIPTION
18209 tcp NGX Gateways <> ICAs (status, issue, or revoke).
18210 tcp Pulls Certificates from an ICA.
18211 tcp Used by the cpd daemon (on the gateway) to receive Certificates.

Check Point Authentication Ports

PORT TYPE SERVICE DESCRIPTION
259 tcp Client Authentication (Telnet)
900 tcp Client Authentication (HTTP)