|
|
Check Point Client-to-Firewall VPN konfigürasyonu
|
|
|
Ana sayfa
Kütüphane
Ürün dokümanları
Gerekenler:
1- Check Point Firewall modüle VPN lisansıyla birlikte.
2- SecuRemote yada SecureClient programı kullanıcı tarafında olmalı.
3- Check Point firewall un Internet üzerinden doğrudan erişilebilir bir IP ye sahip olması.
4- Kullanıcı makinelerinin internet bağlantısına sahip olması.
Firewall üzerindeki konfigürasyon:
|
|
konfigürasyon
|
1- Firewall objesi üzerinde, internetten VPN ile bağlantı kuracak olan kullanıcıların ulaşması gereken sunucuların bir VPN Domain olarak tanımlanması. Bu işlem için ilk olarak yerel sunucuların bulunduğu ağ/ağlar yada makine/makineler yaratılan bir grup içersine atılır.
|
|
Group Properties
|
|
|
Workstation Properties - Local Gateway
|
New -> Group diyerek oluşturulan gruba bir isim vererek sağdaki pencereden sol tarafa VPN Domain içersinde olması gereken makine ve ağlar aktarılır. Firewall objesi üzerinde VPN Domain bölümünde Manuel Defined seçilerek burada yaratılmış olan grup seçilir. Bu şekilde firewall, gelen paketlerde hangi hedef için ve giden paketlerde hangi kaynak için şifreleme yapacağını belirtiyoruz. Bu ekrandaki alt bolümde “Exportable for SecuRemote/SecureClient“ seçeneği aktif edilerek kullanıcı makinelerindeki VPN yazılımının da tanımladığımız VPN Domain bilgisini edinmesine ve güncellemesine izin veriyoruz.
Bu konfigürasyon genel bir konfigürasyon olarak tanımlanmasına karşın VPN Domain bölümünde diğer seçenek “All IP Addresses behind Gateway based on Topology information” biraz daha yukarıda gösterilen topology bölümünde her bir ağ arabirimi için arakasındaki tüm IP adreslerinin tanımlandığı “IP Addresses behind the Interface” bölümündeki tanımlar kullanılmaktadır. Bu konfigürasyonda firewall koruduğu tüm IP adresleri için şifreleme gerçekleştirebilmektedir.
2- Genel topology özelliklerinin belirlenmesinden sonra Firewall un hangi şifreleme metotlarını kullanacağına dair konfigürasyonun yapılması gerekmektedir. Bu işlem için Firewall objesinin VPN tabında gerekli ayarlamalar yapılmalı.
|
|
Workstation Properties - gateway1
|
Bu bolümde şifreleme Metotları içersinde IKE ve FWZ bulunmaktadır. FWZ Check Point firmasının oluşturduğu ve ilk basta 40 bit şifreleme yapabilen bir şema olmasına rağmen 4.1 ve üzeri versiyonlarda bu standart DES olarak konfigure edilebilmektedir. FWZ in yaratılmasında amaç 2000 yılı öncesinden Amerika dışında kullanılması yasak olan şifreleme algoritmaların kullanımı yasak olduğu için Avrupa ve diğer ülkelerde Check Point firewall ile birlikte kullanılmak üzere çıkartılmış bir şifreleme şemasıdır. IKE ise tüm VPN sistemlerde kullanılan tamamen IPSEC tabanlı ve 3DES dahil olmak üzere AES 128-256 bit şifreleme sağlayan bir şifreleme şemasıdır. Farklı VPN sistemlerinin Check Point ile entegre çalışması ve daha yüksek şifreleme ve paket hızlarına ulaşılması için önerilen şifreleme metodudur.
Alt bolümde görünen “Certificate List” ise otomatik olarak Firewall-1 NG kurulumundan sonra firewall objesine ilk girildikten sonra yaratılan ve temel de NG versiyonunda firewall modüllerin birbirleriyle haberleşmesinde kullanılan bir sertifika otoritesi yaratılmaktadır. Bu işlem “Set default IKE properties” butonuna basılarak gerçekleşebilmektedir. Aynı zamanda bu sertifika otoritesi IKE turu VPN bağlantılarda yerel otorite olarak kullanılabilmektedir. Özellikle SecuRemote/SecureClient IKE VPN bağlantılarda firewall makinesi dışında başka bir doğrulama sistemi kullanılıyor ise bu tur bir sertifika otoritesi kullanılması gerekmektedir. (Örnek olarak SecurID Tokenlar sistemi, yada Radius server verilebilir)
IKE işaretlendikten sonra edit butonu yardımıyla IKE özellikleri ayarlanmalı.
|
|
IKE Properties
|
IKE özellikleri ekranında 3DES, DES, CAST veya AES-256 işaretlenerek firewall un VPN yaparken hangi şifreleme standartlarını destekleyeceği belirlenmektedir. Burada secili olan desteklenir ve secili olmayan desteklenmez. Veri içeriğinin değişmemesindeki kontrol de kullanılacak sistem de hangi standartların firewall tarafından destekleneceği ise “Support data integrity with” bölümündeki MD5, SHA1 lar işaretlenerek belirlenmektedir.
“Support authentication methods” bölümünde “Pre-Shared Secret” iki VPN makinesi arasında şifreleme yapılacak ve doğrulama metodu olarak ta önceden belirlenmiş bir kelime tanımlanmaktadır. “Public Key Signatures” ekranının aktif edilmesiyle de doğrulama dijital sertifikalar ile gerçekleştirilebilmektedir. Bu iki bolum SecuRemote/SecureClient ile gerçekleştirilecek olan VPN uygulamalarında işaretlemek gerekmemektedir. SecuRemote/SecureClient bağlantılarda kullanıcıları doğrulama yapılması sırasında firewall dışında bir doğrulama sistemi kullanılacak ise “ VPN-1&Firewall-1 authentication for SecuRemote/SecureClient (Hybrid Mode)” seçilmelidir.
|
|
Advanced IKE Properties
|
Advance bölümünde ise IKE için anahtar değişim özellikleri sistem konfigürasyon değerleri tanımlanmaktadır. Bu değerler aksi belirtilmedikçe aynı şekilde bırakılır. Ancak kullanıcılar SecureClient ile sisteme bağlantı gerçekleştiriyorlar ise VPN performansının daha arttırılması için “Support IP compression for SecureClient” işaretlenebilir.
|
|
VPN kullanıcı tanımı - General
|
3- Uzaktan VPN ile bağlantı kuracak olan kullanıcıların VPN özelliklerinin tanımlanmasının yapılması. Bunun için ilk olarak Firewall ağaç yapısı üzerinden kullanıcı bolumu Seçilerek VPN uygulamamıza uygun bir template yaratılması gerekmektedir.
|
|
VPN kullanıcı tanımı - Personal
|
Ağaç yapısındaki template üzerinde sağ tıklanarak “New Template” seçilir. General tabında template bir isim verilir. Personal tabında ise template kullanılarak yaratılacak olan kullanıcıların tanımlarının hangi tarihe kadar geçerli olacağı tanımlanmaktadır.
|
|
VPN kullanıcı tanımı - Groups
|
Group tabında ise yaratılacak kullanıcıların otomatik olarak dahil edilmesi istenen grup belirtilebilmektedir.
|
|
VPN kullanıcı tanımı - Authentication
|
Authentication tabında ise kullanıcıların kendilerini tanıtacakları ve sisteme girişlerine izin verilmesinde kullanılacak olan doğrulama metodu belirtilmektedir. Biz basit anlamda firewall üzerinden tanımlanacak olan authentication sistemi ve IKE şifreleme metodu kullanacağımız için bu ekranı undefined olarak bırakabiliriz. Firewall kendisi dışında kullanıcı adi ve şifrelerin depolandığı ve sorgulandığı bir sistem kullanılıyor ise buradaki authentication bolumu isteğe göre seçilmeli ve Hybrid IKE göre VPN konfigürasyonu yapılmalıdır.
|
|
VPN kullanıcı tanımı - Location
|
Location tabında ise kullanıcıların hangi kaynak ve hedef paketleri için geçerli olacağı belirtilmektedir. Burada genel olarak bos bırakılabilir (any tanımı olmaktadır) yada daha önceden tanımlı bir IP yada IP grubu verilebilmektedir. Burada yapılan tanım kurallarda yapılan tanımlar ile karıştırılmamalıdır. yapılan location tanımı en genel anlamda kullanıcı tanımlarının aktif olacağı kaynak hedef adresleri olarak belirlenmektedir. Locationda dahil edilmeyen IP yada IP grupları için kullanıcılar hiç tanımlanmamış anlamına gelmektedir.
|
|
VPN kullanıcı tanımı - Time
|
Benzer olarak Time tabında ise template üzerinden yaratılacak olan kullanıcıların bir hafta içinde hangi gün ve zaman aralıklarında aktif olacağı bilgisi girilmektedir.
|
|
VPN kullanıcı tanımı - Encryption
|
Encryption tabında ise template aracılığıyla kullanıcıların nasıl bir şifreleme seması üzerinden tanımlanacakları belirtilmektedir. Burada IKE seçilmektedir.
|
|
IKE Properties - Authentication
|
IKE seçildikten sonra edit edilerek şifreleme metodu tanımlarının alt yapısı ayarlanabilmektedir. Statik kullanıcı adi ve passwordu sistemi kullanılacağı için authentication da password seçeneği seçilmelidir. Eğer PKI alt yapısı üzerinden kişisel keyler kullanılacak ise burada “Public Key” seçilmelidir.
|
|
IKE Properties - Encryption
|
Encryption bölümünde ise veri şifrelemesi yada verinin içeriğinin aynen iletilip iletilemediğine dair konfigürasyon ile veri içerik değişim kontrolünde kullanılacak metot ve şifreleme metotları seçilebilmektedir. Yapacağımız tanım “Encryption+Data Integrity”, Data Integrity metodu olarak ta SHA1 ve şifreleme algoritması olarak ta AES-128 .
4- Hazırlamış olduğumuz template yardımıyla bağlantıyı gerçekleştirecek olan kullanıcıların teker teker tanımlamalarını gerçekleştirmemiz gerekmektedir. İlk olarak ağaç yapısı içersinden users bolumu üzerinde sağ tıklanarak new ve hazırladığımız template seçerek template özelliklerine uygun olarak kullanıcı tanımlayabiliriz.
|
|
User Properties - General
|
Users->New->Users->VPN-kullanıcı-Tanımı
İlk karsımıza çıkan ekranda yaratacağımız kullanıcının sisteme giriş (login) ismini vermekteyiz. Bu tab dışındaki personal, groups, authentication, location, time ve encrytpion tabları template belirttiğimiz ayarlara uygun olarak gelecektir. İstediğimiz kullanıcı için template tanımları dışına çıkarak bu tab lardaki konfigurasyonlarimizi değiştirebilmekteyiz. Certificates tabı ise Check Point NG FP1 ile birlikte gelen firewall un CA özelliğinin VPN bağlantılarda kullanıcılara doğrulama ve şifrelemede kullanacakları sertifika sağlayan bir sertifika dağıtıcı olma özelliğidir. Bu bolümde ilgili kullanıcı için bir sertifika yaratılabilmektedir. kullanıcı giriş tanımını gerçekleştirdik ancak şifresi halen vermedik.
|
|
IKE Properties - Authentication
|
kullanıcı şifresinin atanması işlemi de encryption tabında IKE semasının içerisine girilerek oradaki authentication bölümünde password kısmında şifre yazılarak ve onaylanarak yaratılabilmektedir.
|
|
User Access
|
5- Firewall üzerinde VPN ile ilgili konfigürasyonlar ve bağlantı gerçekleştirecek olan kullanıcı tanımları girildikten sonra kural tablosunda bağlantı yapacak olan kullanıcılar için kural yaratılması gerekmektedir. Bu işlem firewall üzerinde kuralın yerleştirileceği kural numaraları belirlenmelidir. Firewall üzerinde
|
|
Policy Editor
|
yeni bir kural eklenmeden önce dikkat edilmesi gereken husus
Check Point firewall üzerindeki kuralları sırasıyla isler ve yaratacağınız yeni kuralın daha alttaki başka kuralları kapsamıyor olması gerekmektedir. Ayrıca firewall üzerindeki performansın en iyi şekilde çalışabilmesi için en çok kullanılan servislerin en üst kurallar arasına yerleştirilmesi gerekmektedir. Firewall üzerine eklenecek olan kural formatinta (Source) kaynak tarafında sağ tıklanarak “Add Users Access” seçilerek kullanıcı gruplarından üst basamaklarda yarattığımız bir kullanıcı grubu seçilir. Location bölümü “No-Restriction” seçilirse kullanıcılar her hangi bir IP den gelebileceği tanımlaması yapılabilmektedir. “Restrict to” seçilir ise listeden daha önce tanımlanmış bir IP yada IP grubu kullanıcıların hangi IP yada IP lerden gelinebileceği tanımlamasının yapılamasına olanak sağlar. “Destination” hedef bölümüne ise kullanıcıların erişeceği “VPN Domain” içerisindeki makineler eklenir. Service bölümünde ise hangi protokol ve servis ile kullanıcıların bu makinelere ulaşacağı tanımlanabilmektedir. Track bölümünde ise ilgili kuralın meydana gelmesi durumunda firewallun kayıt tutup tutmayacağı konusunda konfigürasyon yapılabilmektedir.
IKE VPN erişim tanımlamaları yapılırken unutulmaması gereken nokta “Global Properties” ekranında “Desktop Security” bölümündeki ilk “Respond to unauthenticated topology request (IKE and FWZ)” seçeneği işaretli olmamalıdır.
|
|
Global Properties
|
Unutulmaması gereken noktalardan bir tanesi ise internetten gelecek ve VPN yapacak olan kullanıcıları içeren, erişime izin veren bir kural, bizim şifreleme kuralımızdan önce yaratılmamalıdır.
5- Kullanıcıların makinelerine yükleyecekleri VPN kullanıcı programı kurulumunda genel olarak dikkat edilmesi gereken tek nokta SecuRemote yada SecureClient seçeneklerinden hangisinin seçileceğidir. Eğer ücretli olarak SecureClient lisansı alınmamışsa tüm kullanıcılar SecuRemote seçmelidir. SecuRemote urunu kurulumunda tüm adaptörlere kendini bind etmesi söylenmelidir. Kurulum reboot işlemiyle birlikte tamamlanır. Sistem yeniden açıldıktan sonra sağ alt tarafa zarf seklinde bir icon gelir. Bu icon üzerine çift tıklanarak ana pencere açılır ve bu pencerede “Add new site” diyerek firewall makinemizin IP sini yazmamız gerekmekte. Ok tuşuna bastıktan sonra karsımıza firewallun gerçekten bizim bağlanmak istediğimiz firewall mu yoksa başka bir makinemi olduğunu anlamamızı sağlayan finger print değerleri karsımıza çıkar. Bunları kontrol edip onayladıktan sonra kullanıcı programı firewall üzerinde VPN ile ilgili konfigürasyon bilgilerini download eder. Artık kullanıcılar istenilen local makinelere ulaşılırken VPN yapabilmektedirler. VPN konfigürasyonunda yapılacak değişikliklerin kullanıcı tarafında da aktif olabilmesi için kullanıcıların yarattıkları site tanımını update etmeleri gerekmektedir. Update ve VPN bağlantılarda ilk olarak kullanıcı ismi ve şifresini otomatik olarak soran sorgu ekranı karsınıza çıkacaktır. Buraya doğru bir şekilde kullanıcı ismi ve şifreyi yazdıktan sonra doğrulama işlemi basarıyla yapıldı yada yanlış yazıldıysa doğrulama basarisiz olmuştur gibi mesajlar karsınıza çıkacaktır. Basarili mesajını aldıktan sonra kullanıcılar VPN ile hedef sisteme ulaşabilirler. şifreleme sırasında sağ alt bolümdeki icon hareketlenmeye ve bir anahtar zarfın içerisine girip çıkmaya başlayacaktır.
tüm bu ayarlardan sonra VPN sistemiyle ilgili genel yapılacak değişiklikler kullanıcı tanımlarının değiştirilmesi, yeni kullanıcıların eklenmesi ve VPN ile ulaşılacak makinelerin değiştirilmesi veya yenilerinin eklenmesi gibidir. Yukarıda basamaklar takip edilerek bu değişim ve eklemeler gerçekleştirilebilir.
Gökhan Dursun
gokhan at infonet.com.tr
|
|
|
|
