Check Point R81 Deploment Metodları, Kurulum ve Konfigürasyonu

Check Point R81 Deployment Metodları

Standalone Deployment

Security Management Server ve Security Gateway’in aynı bilgisayar ya da bir appliance üzerine yüklendiği kurulum türüdür.

Standalone Deployment

Security Gateway Bileşenleri
Security Management Server

Distributed Deployment

Security Management Server ve Security Gateway’in farklı bilgisayar ya da bir appliance üzerine yüklendiği kurulum türüdür.

Security Gateway

Network Connection
Security Management Server
Security Gateway Bileşenleri
Security Management Server Bileşenleri

Management High Availability

Security Management Server ve Security Gateway’in bir appliance üzerinde kurulu olduğu ve iki appliance’ın High Availibility mode’da çalıştırıldığı kurulum türüdür.

Management HA Deployment

Direct appliance to apliance connection
Backup appliance
Security Gateway Bileşenleri
Security Management Server Bileşenleri

Distributed Deployment metoduna uygun olarak gerçekleştirilecek kuruluma ait yapılandırma aşağıdaki gibidir:

Check Point Security Management

İşletim Sistemi    : Gaia

Internal IP    : 10.10.10.10

Check Point Security Gateway

İşletim Sistemi    : Gaia

Internal IP    : 10.10.10.12/24

Sync IP        : 1.1.1.12/24

External IP    : 192.168.43.12 /24

Smart Console

İşetim Sistemi     : Windows 10

IP        : 10.10.10.5

Kurulumu başlatmak için Check Point support center üzerinden indirilen Check Point R81 kurulum dosyasına sahip olunması gerekmektedir. ISO dosyası aşağıdaki link aracılığı ile indirilebilir.

https://supportcenter.checkpoint.com/supportcenter/portal?action=portlets.DCFileAction&eventSubmit_doGetdcdetails=&fileid=109064


Boot işleminin ardından “Welcome to Check Point Gaia” ekranında “Install Gaia on this system” seçeneğiyle kurulum başlatılır.


Check Point Gaia işletim sistemi ve uygulamalarının kurulumunun onaylanması, kurulumun devam edebilmesi açısından gereklidir.


“Keyboard Selection” ekranında Check Point üzerinde kullanılacak klavye türünün belirtilmesi gerekir.


Partitions Configuration ekranında system-swap, system root ,log ve backup dosyaları için kullanılacak disk alanlarının boyutu belirlenir.


Check Point Gaia işletim sistemi ile birlikte gelen yeniliklerden bir tanesi olan kurulum sırasında şifre oluşturma işleminin gerçekleştirileceği “Account Configuration” ekranında admin kullanıcısı için bir şifre belirlenir.


“Management Port” ekranında Security Management sunucusunun yönetimi için kullanılacak olan ethernet adaptörü seçilir.


“Management Interface” ekranında ise Security Management sunucusuna hem web arayüzünden hem de Smart Dashboard üzerinden erişim sağlanacak olan IP adresi tanımlanır.


“Confirmation” ekranında ise sunucu üzerindeki tüm harddisklerin biçimlendirilmesi onaylanır.



Checkpoint Gaia R81 işletim sisteminin kurulumu tamamlanmasının ardından sistemin yeniden başlatılması gerekir.


Sistemin yeniden başlatılmasının ardından yapılandırmaların gerçekleştirilmesi için Web Management arayüzü kullanılır.

R81 Gaia işletim sistemi kurulumu sırasında tanımlanan 10.10.10.10 ip adresi ile Web Browser üzerinden Gaia Portal’a erişim sağlanır.

Kullanıcı adı    : admin

Şifre        : Kurulum sırasında admin kullanıcına verilen şifre


Oturum açıldığında Gaia İlk Yapılandırma Sihirbazına ait ekran açılacak ve arayüz üzerinden yapılandırma gerçekleştirilecektir.


Bu bölümde “Continue with Gaia R81 Configuration” seçeneği ile devam edilir.


Yönetim için kullanılacak olan interface seçilir ve ip adresi bilgisi girilir. (Eğer kurulum adımları sıraısnda tanımlanan IP adresi kullanılacaksa burada herhangi bir düzenleme yapılmasına gerek yoktur.)


Security Management için host name, domain name ve dns bilgileri girilir. Eğer kullanılıyorsa Proxy bilgisi de “Use a Proxy Server” kısmı kullanılarak girilir.


Tarih ve saat bilgilerinin düzenlenir isteğe bağlı olarak bir NTP sunucusu üzerinden de tarih ve saat ayarlarının otomatik olarak ayarlanması sağlanabilir.


“Multi-Domain Server” ya da “Security Management or Security Gateway” seçeneklerinden gerçekleştirilmek istenen kurulum türü seçilerek devam edilir. Bu uygulamada “Security Management or Security Gateway” seçeneği ile devam edilecektir.


Product kısmında isterseniz Security Gateway ve Security Management seçilerek Stand Alone bir kurulum gerçekleştirilebilir. Buradaki örnek kurulumda distributed deployment gerçekleştirilecektir. Distributed Deployment için ilk olarak Security Management kurulumu gerçekleştirilecektir.


Administrator yetkilerine sahip bir kullanıcı tanımlaması yapılır.


Security Management sunucusunun web arayüzüne erişim sağlayacak ip adres, network ya da ip adres aralığı tanımlanır. Güvenlik açısından Security Management’a erişim sağlayacak ip adreslerini tek tek eklenmesi önerilir.


Finish butonu ile bu aşamaya kadar gerçekleştirilen yapılandırmalar onaylanır ve bu yapılandırmaların gerçekleştirilmesi için Finish butonuna tıklanır.



Yapılandırmanın doğrulanması, Security Management kurulumu ve uyumluluk paketlerinin kurulumunun ardından yapılandırma başarı ile tamamlanır.


Security Management’a web arayüzünden bağlanılarak oturum açıldığında Overview (tanıtım) ekranı açılır ve sistem ile ilgili bilgiler özet halinde bu ekranda yer alır.

Web arayüzünde yer alan menülerin işlevlerine ilişkin açıklamalar aşağıdaki gibidir.

Network Management

Bu bölümü kullanılarak network interface ayarları gerçekleştirebilir, static arp kayıtları oluşturabilir, DHCP Server yapılandırmasını gerçekleştirebilir, ipv4, ipv6 statik routing işlemlerini gerçekleştirebilir. Ayrıca Host name, domain name ve dns bilgilerini de bu bölümü kullanılarak düzenlenebilir.

System Management

Tarih, saat ve bölgesel ayarları, SNMP agent ayarlarını, schedule job ile zamanlanmış işlemleri yaptırabilir, mail ile bildirimler gönderilmesi sağlanabilir, Proxy Server ayarları yapılabilir, Banner mesajı düzenlenebilir, session timeout süresini belirlenebilir, ipv6 desteğini açma ve kapatma işlemlerini gerçekleştirilebilir, system logları ile ilgili düzenlemeler yapılabilir,telnet aktifleştirilebilir , web arayüzüne bağlanacak kullanıcılara izin verebilir ve kurulum sırasında oluşturulan sertifika bilgisi görüntülenebilir.

Advanced Routing

DHCP Relay ayarlarını yapabilir, BGP yapılandırmasını gerçekleştirebilir, IGMP ayarlarını yapabilir,PIM (Protocol Independent Multicast) ayarını yapılandırabilir, OSPF düzenlemelerini gerçekleştirebilir, BGP ve diğer protokoller için filtreler oluşturabilir, Router Discovery ile ICMP Router Discovery protokolü kullanılarak dinamik olarak clientların tespit edilmesini sağlayabilir, gerçekleştirdiğimiz routing düzenlemelerini monitor edebilir ve policy tabanlı route’lar oluşturabiliriz.

User Management

Bu bölümü kullanarak parola değiştirme, kullanıcı ve role tanımlama işlemlerini gerçekleştirebilir, password policy’ler oluşturabilir, authentication server tanımlaması yapılabilir.

High Availibility

VRRP ayarlarını, dinamik failover yapılandırmalarını bu bölümden gerçekleştirilir.

Maintenance

Lisans yükleme , upgrade paketlerini yükleyip sistemi upgrade etme, softare update policy belirleme, sistem updatelerini gerçekleştirme, sistem backup alma gibi işlemler bu bölümden gerçekleştirilir.

Manage Software Blade using SmartConsole bölümünden “Download Now diyerek SmartConsole ” uygulamasını indirilir.


Smart Console kurulumunu gerçekleştirilir.

Kurulum gerçekleştikten sonra “Smart Console” uygulamasını çalıştırılır. Check Point Security Management Server’ın ip adresini ve kurulum sırasında tanımlanan kullanıcı adı ve parola ile Security Management bağlantısını gerçekleştirilir.



Bu aşamaya kadar gerçekleştirilen işlemler ile Security Management kurulumu gerçekleştirildi. Bu aşamadan sonra kurulum işlemlerine geri dönülür ve planlanan Distributed Deployment yapılandırması için gerekli olan Security Gateway kurulum işlemleri başlatılır.


Security Management kurulumu sırasında “Products” ekranına kadar olan kısımları gerçekleştirildikten sonra “Products” ekranında Security Gateway seçilir.


Security Gateway için dinamik ip adresi ataması yapmak istiyor musunuz soruna “No” seçeneği ile yanıt verilerek kuruluma devam edilir.


Security Gateway kurulumunun en önemli aşamalarından bir tanesi “Secure Internal Communication (SIC)” için bir key tanımlanmasıdır. Çünkü “Secure Internal Communication” için tanımlanan key ile Security Gateway ve Security Management’ın birbirleri ile iletişime geçmesi sağlanacaktır.


Finish butonu ile yapılandırma tamamlanır. Yapılandırmanın tamamlanmasının ardından değişikliklerin geçerli olabilmesi için bir yeniden başlatma gereklidir.




Bu aşamaya kadar olan kısımda Security Management kurulumu, Smart Console kurulumu, SmartDashboard ile Security Management bağlantısının gerçekleştirilmesi ve Security Gateway kurulumları gerçekleştirildi.

Uygulamanın bundan sonraki adımlarında “Secure Internal Communication (SIC)” yapılandırması gerçekleştirilecek, firewall üzerinde kuralların oluşturulmasına ilişkin bilinmesi gerekenlerden bahsedilecek ve ardından örnek olarak bir kaç kural oluşturularak temel kurulum ve yapılandırma kısmı tamamlanacaktır.

Smart Console ile Securit Management bağlantısı gerçekleştirilir.

Firewall sekmesinde yer alan Check Point seçeneği altındaki cyp-mgmt1 objesi üzerinde sağ tıklanır ve ” Security Gateway/Management ” seçeneği seçilir.


“Check Point Security Gateway Creation” ekranında Wizard Mode ve Classic Mode olmak üzere iki seçenek yer almaktadır. Classic Mode seçilerek devam edilir.


“Check Point Gateway – General Properties” ekranında

Name :  Bu bölümde Security Gateway için bir ad belirtilir.

IP Address : Bu bölümde ise Security Gateway ürününe kurulum sırasında verilen internal ip adres bilgisi girilir.

Comment : Bu bölüme açıklama yazılması tamamen isteğe bağlı olmakla birlikte bir çok Security Gateway’in bulunduğu ortamlarda yararlı olacağı düşünülerek açıklama yazılması önerilir.


“Secure Internal Communication” kısmının altında bulunan “Communication” butonu tıklanır ve Seucrity Gateway ve Security Management arasındaki güven (trust) ilişkisinin kurulması için gerekli key bilgisi (kurulum sırasında Activation Key olarak tanımlanmıştı) ilgilini alana girilerek “Initialize” butonu tıklanır ve “Certificate State” kısmında işlem sonucu olarak “Trust established” yazısı görüntülenir.

Not :
Eğer bu aşamada işlem başarısız olursa Security Gateway ve Security Management arasında bir iletişim problemi var demektir ve yapılandırmalar tekrar gözden geçirilmelidir. Yapılandırmaların tekrar gözden geçirilmesinin ardından hiçbir bağlantı problemi olmadığına kanaat getirildiğinde “SIC” için tanımlanan Activation Key resetlenmeli ve bu adım tekrardan gerçekleştirilmelidir. “SIC” resetleme işlemi Security Gateway üzerinde cpconfig komutu ile ulaşılan ekrandan gerçekleştiriilebilir.



Security Gateway ve Security Management arasındaki iletişimin sağlanmasının ardından “Topology” sekmesine geçiş yapılır.


Bu aşamadaki yapılandırma da oldukça önemlidir çünkü Security Gateway üzerinde yer alan ethernet adaptörlerinin (internal,external, dmz ) hangi network için tanımlanacağı bu aşamada belirlenir.

“Topology” ekranında “Get” butonuna ve ardından “Interfaces with topology” seçeğine tıklanarak Topoloji elde edilir. Bu bölümde otomatik olarak ayarlanan seçenekler gereksinimlerinizi yansıtmıyorsa her bir ethernet adaptörü seçilir ve Edit butonu ile istenilen düzenlemeler gerçekleştirilir.




Örneğin; eth2 çıkarılan topolojide “This network” olarak tanımlanmış görünüyor ve bu adaptör ileriki aşamalarda gerçekleştirilecek olan Cluster kurulumu sırasında senkronizasyon için kullanılacak olan network’e ait. O zaman eth2 için isim ve topoloji düzenlemesi aşağıdaki gibi geçekleştirilir.

Eth2 interface seçiliyken Edit seçeneğine tıklanır ve “General” sekmesinde eth2 yazan kısma Sync yazılır ardından “Topology” sekmesinde Internal seçeneğinin altında yer alan Specific kısmından da bu network interface’in hitap ettiği network seçilir.



Bu işlemlerinde ardından SmartDashboard üzerinde artık Security Gateway’in de yer aldığı görülecektir.


Bir sonraki yazımızda Kurulum Sonrası Yapılandırmalara değineceğim.