Check Point R77.30 SSL VPN Yapılandırmaları

VPN sayesinde kullanıcılar farklı yerlerden uzak bağlantı (remote) aracılığıyla şirket network’üne bağlantı kurabilmektedir. Bununla birlikte site-to-site VPN bağlantıları da şirketler arası networkler için kullanılabilecek bir bağlantı seçeneğidir.

VPN Nedir?

VPN, Internet üzerinden sağlanan güvenli bir uzaktan bağlantı şeklidir. Doğrudan dial-up bağlantı yerine, VPN client’ları Internet üzerinden şirket network’üne erişimde güvenli (şifreli) bağlantı oluştururlar. Bu, çok sayıda uzak client’ın şirket network’üne bağlanmasına olanak tanıdığı gibi, Internet üzerinde olduğu için bağlantının da ucuz olmasını sağlar.

VPN (Virtual Private Network) sanal bir tünel (tunnel) yaratarak verilerin Internet üzerinden güvenli bir şekilde aktarılmasını sağlar.

VPN Türleri:

  • Remote Access VPN
  • Site to Site VPN

VPN Protokolleri

VPN, Internet üzerinden şifreli ve güvenli bağlantı sağlayan bir teknolojidir. Bu anlamda, VPN protokolleri PPP veri paketlerini kapsüllerler.

VPN bağlantısının oluşturulmasında PPTP (Point-to-Point Tunneling Protocol) ya da Layer Two Tunneling Protocol (L2TP) kullanılabilir.

VPN kullanımının yararları şunlardır:

Maliyetlerin azaltılması

Internet bağlantılarının kullanılması uzun mesafeli iletişimde maliyetleri düşürür. site-to-site VPN senaryosunda Internet’in bir WAN olarak kullanılması ayrıca kiralık WAN hatlarına göre daha az maliyetlidir.

Security Authentication

Güvenliğin (kimlik denetimi) sağlanması yetkisiz kullanıcıların VPN server’lara bağlanmasını angeller. Güçlü şifreleme (encryption) metotlarında korunan VPN bağlantılarına karşı saldırı yapmak oldukça zorlaşır.

Flexibility (Esneklik)

VPN kullanımı sayesinde şirketler Internet bağlantılarını ya da dial-up server’ları yönetmekle uğraşmazlar. Kullanıcılar yalnızca herhangi bir teknolojiyle Internet’e bağlanmaları yeterlidir.

Transparency (Şeffaflık)

VPN kullanımının diğer bir yararı da transparent bağlantıların sağlanmasıdır. Transparent bağlantılar, sağlanan bağlantının bir sürücü gibi kolayca kullanılması anlamına gelir. Uzak yerlerdeki VPN kullanıcıları şirketteki bütün protokollere ve server’lara erişebilirler. Remote-access VPN kullanıcıları bu servislere bağlanmak için özel bir servise de gereksinim duymazlar.

VPN Senaryoları

Tipik olarak iki VPN senaryosu vardır:

Uzak kullanıcıların network erişimi (Remote Access)

Bu seneryoda uzak bir kullanıcı (remote user) Internet’e bağlanır. Ardından bir tünel protokolü aracılığıyla (PPTP) VPN remote-access server’a bağlanır. Uzak kullanıcı Internet’e bağlanmak için istediği teknolojiyi kullanabilir. Bu teknolojiler ISP’ye olan bir dial-up bağlantı ya da ADSL gibi bir doğrudan bağlantı türü olabilir.

Internet’e bağlanan kullanıcı (VPN client) yine Internet üzerinde VPN remote-access server’a bir VPN bağlantısı gerçekleştirir. Remote-access server, kullanıcının ve uzak bilgisayarın kimlik denetimini yapar. Böylece kullanıcı ile şirket network’ü arasında güvenli bir iletişim sağlar.

Site-to-site VPN

Bu senaryoda VPN bağlantısı Internet üzerinden iki ya da daha fazla network’ü birbirine bağlar. Her site bir VPN gateway ve bir Internet bağlantısına gereksinim duyar. Gateway’ler aralarında VPN bağlantısını gerçekleştirdiklerinde site-to-site VPN link sağlanmış olur. Ardından her iki networkteki (site) kullanıcıları aralarında iletişim kurabilirler. VPN gateway’ler bir VPN router olarak çalışır ve paketleri iki network arasında taşır. Genellikle bu tasarım ana ofis ile şube arasındaki bağlantı için yapılır.

VPN Altyapısının Planlanması

VPN bağlantısının altyapısının özenle hazırlanması gerekir. Çünkü VPN bağlantısı ile internal network Internet’e açılmaktadır. VPN client’ların bütün iç network’e eriştikleri düşünülürse; VPN bağlantısının olabildiğince güvenli olması gerekir. ISA Server’ın VPN Server olarak konfigürasyonunda göz önünde bulundurulacak planlama unsurları şunlardır:

  • Üst düzey güvenlik için VPN çözümünün L2TP/IPSec, MS-CHAP v2 ya da EAP/TLS ile kullanıcı kimlik (authentication) ve sertifika tabanlı (certificate-based) kimlik denetimi kullanması gerekir. Ayrıca bütün uzak client’lar içinde bu sertifikanın dağıtılması gerekir. Böylece yalnızca sertifikaya sahip olan bilgisayarlar VPN server’a bağlanabileceklerdir.
  • Sertifika tabanlı kimlik denetimi (certificate-based authentication) ile PPTP dağıtılmalıdır. Böylece kimlik denetiminde ikinci bir önlem daha alınmış olur.
  • Bütün VPN client’lar sertifika dağıtma şansı ya da smart kart kullanımı münkün değilse PPTP ile sağlanan password authentication ile güvenlik sağlanır. PPTP sayesinde veriler şifrelenir. Ancak authentication mekanizması güvenli sayılmaz.
  • NOT: Password-tabanlı authentication kullanıldığında     strong password kullanınımın zorunlu olması önerilir.     Aksi takdirde password’lerin öğrenilmesi kolaylaşır.
  • Kimlik denetimi için RADIUS kullanımı da VPN bağlantılarının güvenliğini artırmaz.
  • SecurID kullanımı VPN bağlantılarının güvenliğini artırır. Çünkü SecurID password kullanımında token kullanımını gerektirir. Ancak SecurID kullanımı önemli ölçüde VPN server dağıtımını zorlaştırır.

Check Point Smart Dashboard konsoluna bağlandıktan sonra Users and Administrators sekmesine geçiş yapılır ve Users bölümünden SSL VPN bağlantısında kullanılmak üzere bir kullanıcı hesabı oluşturulur.


Kullanıcı adı gereksinimler doğrultusunda (ceyhuncamli) belirlenir.


Authentication bölümünden Authentication Schema olarak Check Point Password’ü seçilir ve oluşturulan kullanıcının VPN bağlantısı oluştururken kullanacağı parolı belirlenir.Burada belirlenecek olan parola 8 karakterden oluşmalıdır. Özel karakterlerin kullanımına (*,@,! gibi) izin verilmemektedir.

Şimdi de bir Group oluşturulması gerekiyor.bir önceki adımda oluşturulan vpn kullanıcısı bu gruba üye yapılmalıdır. Grubun adı ssl_vpn_uygulamasi olarak belirlenir.

Available Members kısmında daha önce oluşturulan kullanıcılar yer almaktadır. Bu uygulama için önceden oluşturulmuş yalnızca bir kullanıcı olduğu için Add seçeneği ile Selected Members kısmına bu kullanıcıyı eklenir.


Kullanıcı ve grup oluşturma adımlarını tamamlandıktan sonra Network objeleri tanımlamalıdır.

Smart Dashboard üzerinde Network Objects sekmesi üzerinde Networks bölümünün üzerinde sağ tık New Network seçeneği ile internal network için bir tanımlama gerçekleştirilir.

Network Address, Net Mask bilgilerini girdikten sonra NAT sekmesinde Add Automatic Address Translation Rules seçeneğini aktifleştirilmelidir.


Sıradaki yapılandırma ise VPN kullancılarının bağlantılarında alacakları ip adresi için bir network tanımlaması gerçekleştirmek olacaktır. Yeni bir network objesi oluşturmak yerine Check Point kurulumu ile gelen CP_default_Office_Mode_addresses_pool networkü kullanılabilir.


Her iki network objesini de ayarlandıktan sonra Security Gateway üzerinde sağ tıklanıp Edit seçeneğiyle General Properties ekranına ulaşılır ve IPSec VPN seçeneğini aktifleştirilir.


IPSec VPN bölümü üzerinde Add seçeneği ile This Security Gateway participates in the following VPN Communities bölümüne gateway’i eklenmelidir.


Remote Access seçeneği üzerinde Support visitor Mode seçeneğini aktifleştirilir.

Topology kısmında VPN Domain altında Manually Defined seçeneğini kullanarak internal network bu bölüme eklenir.


Office Mode altında yer alan Offer Office Mode to group kısmından daha önce oluşturulan vpn grubu seçilir.

Allocate IP addresses from Network kısmında ise VPN kullanıcıları için tanımlamasını yapılan network seçilir.


VPN Clients bölümünde yer alan SSL Network Extender seçeneğini aktifleştirilir.


Ve VPN kullanıcılarını belirtmek için VPN Communities sekmesinde yer alan Remote Access bölümü altındaki Remote Access seçeneği üzerinde sağ tıklanır ve Edit butonu ile Participation Users Group ekranına ulaşılır.

Remote Access User Groups altında yer alan All Users’ı silinir ve vpn bağlantılarında kullanılmak zere oluşturulan grup buraya eklenir.

Sıra geldi VPN için erişim kuralı oluşturulmasına. Yeni bir kural eklenir ve kuralın Source kısmında Add Legacy Users seçeneğini kullanarak ssl_vpn_uygulamasi grubu seçilir.

Destination kısmında ise internal network seçilir.VPN kısmında ise sağ tık Edit Cell seçeneğini kullanılarak “Only connections encrypted in specific vpn communities” seçeneği ve Add butonu kullanılarak Remote Access bu bölüme eklenir.


Oluşturulan kural aşağıdaki gibi olmalıdır.

Source : ssl_vpn_uygulamasi

Destination : Lefkosa

VPN : RemoteAccess

Service : https

Action : Accept

Track : Log


Kuralı Instal edilerek VPN yapılandırması tamamlanır.


Sıra geldi internet üzerindeki bir bilgisayardan Check Point Security Gateway’in Public IP’si üzerinden erişim sağlayarak VPN bağlantısını test etmeye.

Gelen sertifika uyarısını geçtikten sonra gelen popup blocker’a izin verilir.

SSL Network Extender Login sayfasında VPN için tanımlanan kullanıcı adı ve parola ile giriş yapılır.

Giriş yaptıktan sonra Check Point SSL Extender ActiveX denetimleri aracılığıyla yüklenecektir.

Ve VPN bağlantısı sağlandıktan sonra SSL Network Extender sayfasında Bağlantı Durumu, Gateway ID, Office Mode IP’si, Bağlantı süresi gibi bilgiler yer alacaktır.

VPN bağlantısı gerçekleştirilen bilgisayardan 192.168.1.0’lı network’e erişim sağlandığı görülmektedir.

Site-to-Site VPN Konfigürasyonu

Site-to-site VPN, bir yerdeki (örneğin İstanbul) VPN gateway server ile diğer bir yerdeki (İzmir) VPN gateway arasında yaratılan güvenli bir point-to-point tüneldir. Birçok durumda VPN tüneli Internet gibi public network üzerinde yaratılır. VPN tüneli üzerinde taşınan bütün veriler şifrelenir.

Bir networkteki bilgisayarlar diğer network üzerindeki bilgisayara veri gönderdiğinde; trafik VPN gateway server aracılığıyla yönlendirilir. Uzak gateway server, şifreli gönderilen trafiği alır, şifresini çözer ve uygun network hostuna yönlendirir.

You may also like...

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir