Checkpoint Active Directory Entegrasyonu ile Identity Awareless ve Application Control'un Birlikte Yapılandırılması

Amaç: Aşağıdaki AD kullanıcılarının ait olduğu gruba farklı internet erişim politikalarının uygulanması

AD Users :                                       CP Acess Role                    Blocked Applications

Ramazan Kocaoglu                         Yonetim                             Facebook

Omer Onler                                     Muhasebe                         Facebook, Twitter

Ahmet Kocaoglu                             Muhasebe                          Facebook, Twitter

Huseyin Karakullukcu                    Otomotiv                             Facebook, Twitter, Linkedin

Amaçlanan şekilde bir yapı oluşturabilmek için öncelikle Checkpoint'in mevcut olan Active Directory ile entegrasyonu yapılmalıdır. Daha sonra Identity Awareless yapılandırması ve Application Control ile internet erişim politikasının uygulanması gerekmektedir. Bunun için;

1-) Checkpoint Active Directory Entegrasyonu

1-) Smart Dashboard’un menüsünden Policy -> Global Properties’den SmartDirectory(LDAP) seçilir.

2-) Use SmartDirectory (LDAP) for Securirty Gateways seçeneği işaretlenir.

3-) Network Obje  ağacından Nodes->Node->Host Seçilir.

4-) Aşağıdaki gibi name, IP Adress girilip OK denilir.

5-) Smart Dashboard’un menüsünden Manage-> Server and OPSEC Applications... seçilir.

6-) Gelen pencereden New -> LDAP Account Unit  tıklanır.

7-) General tab’ı aşağıdaki gibi doldurulur. (Benim domain’im adı atlantiscorp.cp)

8-) Server tab’ına geçilir ve Add tıklanır. aşağıdaki gibi doldurulur ve OK denilir.

9-) Object Management tabına geçilir. Fetch branches tıklanır. Eğer Server tabında girdiğiniz bilgilerde bir eksiklik ve ya yanlışlık yok ise aşağıdaki gibi ekran görüntüsü alınmalıdır.



10-) Authentication tabı aşağıdaki gibi düzenlenmelidir. OK denilir ve daha sonra Close denilir.

11-) SmartDashboard’daki network obje kısmı yeine User tabına geçilir. Oluşturduğumuz Domain_Controller objesi çıft tıklanır. Atlantiscorp ve Users kısımlarına gelinerek çift tıklanır. Dashboard’un alt kısındaki Object List kısmında Domainimizeki userlar ayrıntıları ile gözükmektedir. 

 

12-) User tabındaki LDAP Groups kısmında sağ tıklanır ve New LDAP Group seçilir. Account Unit daha önce oluşturduğumuz Domain_Controller nesnesi seçilir ve isim verildikten sonra OK denilir.



2-) Identity Awareless Konfigürasyonu ve Agent ile Haberleştirilmesi

1-) Network Obje ağacından security gateway’imiz çift tıklanır. (Benim topolojimde SG5 ile isimlendirilmiştir). En alttaki Identity Awareless işaretlenince aşağıdaki gini Identity Awarless Configuration menüsü açılır.

2-) AD Query tiki kaldırılır ve Captive Portal tiki işaretlenir.

3-) Domain seçilir ve Admin yetkilerine sahip bir user’ın username ve password bilgileri girilerek Connect butonuna basılır. DC’ye erişme ve User ile ilgili bir problem yok ise bağlantı sağlanır.

4-) Internal interface seçilerek next denir ve daha sonra gelen ekranda Finish denilir.

5-)SG5’in içerisinde iken Identity Awareless tıklanır ve Identity Agents işaretlenerek OK denir.

6-) Users obje ağacından Access Roles sağ tıkanarak New Access Role... seçilir.

7-) Ramazan Kocaoglu user’ımız Yönetim Access Role objesinin içine atılacak. Böylece Application Control ile İnternet Erişimlerini farklı Erişim grupları sayesinde daha etkin kullanılabilecektir. Network tabında ikn Specific networks seçilir. + tıklanrak Lacal_Net(İnternal network için benim daha önce oluşturduğum bir objedir) seçilir.

8-) Users tabında iken Specific users/groups seçilir. + tıklanarak istenilen Domain User’ı seçilebilir. OK denir.

9-) Aynı İşlemler Muhasebe ve Otomotiv Access Rule’ları oluşturmak işin tekrarlanır. Muhasebe Access Rule içerisinde Ahmet Kocaoğlu ve Ömer Önler, Otomotiv Access Rule içerisinde Hüseyin Karakullukcu domain userları olacaktır.

10-) R75 CD’si içerisnde gelen Check_Point_NAC_Client kurulmalıdır.

11-) Client kurulumu için aşağıdaki adımlar takip edilmelidir.

Next denilerek kurulum başlatılır.

Finish denilir.

3-) Application Control ile Domain Userlarını Farklı Yetkiler ile İnternet Erişiminin Sağlanması

Security gateway (SG5) in özelliklerinden Application Control blade’i şaretlenir ve OK denir.

Application Control Tabı yukarıdaki bladelerin blunduğu tab’dan seçilir ve Policy kısmına gelinir.

Dokümanda kullanıdğımız senaryoyu uygulayan policyler aşağıdadır. Source kısmında daha önce oluşturulan access rules’ları seçilir. Applicaion kısmında yasaklamak istedğimiz applicationlar seçilir. Policy Install edilir.

Identity Client Agent’ı ile Yönetim kısmından Ramazan Kocaoglu’nun hesabı ile login olalım.

Aşağıdanda görüldüğü gibi facebook’a erişim yoktur. Twitter’a ve Linkedin’e erişim vadır.

 

 

Şimdi  de Ahmet Kocaoglu veya Ömer Önler user’ı ile login olalım.

 

Şimdide Hüseyin Karakullukcu User’ı ile login olalım.

Ramazan Kocaoğlu

Devamını oku ...

Centos 6.3 üzerine Vmware Tools kurulumu

Günümüzde sanallaştırmanın yaygınlaşması ile kurulan sunucuların büyük bir çoğunluğu sanal ortamlarda çalıştırılmaktadır. Vmware üzerinde işletim sistemi kurulduğunda guest sistemlerin düzgün çalışabilmesi ve vmware platformunun guest sistemlerle haberleşebilmesi için Guest Additionals eklentisinin kurulması gerekir. Bu makalede vmware üzerine Centos kuruduğunuzda Guest additionals eklentilerinin nasıl kurulacağını anlatacağım.

Kurulum için guest makinanızın internete bağlı olması veya dvd de bulunan kurulum dosyalarının ulaşılabilir durumda olması gerekir. Dvd bulunan dosyalardan nasıl lokal depo oluşturulacağını bilmiyorsanız bu makalemizden faydalanabilirsiniz. Centos işletim sisteminin kurulu olduğunu ve tüm güncellemelerin yapıldığını düşünerek makaleyi hazırladım. Centos Linux komut satırında;

yum install perl gcc kernel-devel komutu ile gerekli paketleri yükleyelim.

ardından vmware VM menüsünden Install/Upgrade Vmware Tools seçeneğine tıklayalım.

Sanal cd sürücünün mount edilmesi gerekir eğer sistem bunu otomatik olarak yapmaz ise (bazı durumlarda bu sorun yaşanabiliyor) elle yapmanız gerekir;

mkdir /media/cdrom komutu ile cdrom sürücüyü bağlayacağımız dizini oluşturalım.

mount  /dev/cdrom /media/cdrom komutu ile cd sürücüyü /media/cdrom dizinine bağlayalim

cp /media/cdrom/VMwareTools.*.tar.gz /tmp/   Vmware Tools dosyasını tmp dizinine kopyalıyoruz.

tar -xvf VMwareTools*.tar.gz dosyasını açıyoruz  

cd vmware-tools-distrib dizinine geçiyoruz.

./vmware-install.pl komutu ile VMware  Tools kurulumuna başlıyoruz.

Sorulan tüm soruları fazladan bir ayar yapmayacaksanız enter ile geçebilirsiniz. Kurulum tamamlandıktan sonra işletim sistemini restart etmeniz gerekir.

Devamını oku ...

Checkpoint R75 Cluster XL Yapılandırması

Checkpoint ClusterXL Konfigürasyonu

SM : 172.16.1.200
GUI: 172.16.1.100

SG1 : 172.16.1.2 (iç bacak)
10.6.10.101 (dış bacak)
192.168.1.2 (HA)

SG2 : 172.16.1.3 (iç bacak)
10.6.10.102 (dış bacak)
192.168.1.3 (HA)

SG :172.16.1.1 ( İÇ BACAK)
10.6.10.200 (DIŞ BACAK)
192.168.1.1 (HA)

Yukarıdaki topolojiye göre Checkpoint firewall’lar ile active/pasive cluster ve active/active load blancing konfigürasyonları anlatılmıştır. Security Manager(SM) ve GUI client’ının kurulumlarının yapıldığı varsayılmıştır.

1-) Security Gateway 1 (SG1)’in genel konfigürasyonularının yapıldığı varsayılmış olup sadece cluster için SG1 üzerinde yapılması gerekenler aşağıdadır. Sysconfig ile SG1’i cluster üyesi yapacağız.

İlgili adımlar takip edilerek cluster üyeliği enable yapılır. Şuan görünen ekran görüntüsünde mevcutta cluster olduğu için disable cluster membership for this gateway gözükmetedir.
Aynı işlem istenirse komut satırında iken cpconfig yazılıp Enter’a basılır ve 6 nolu seçenek seçilir.  

Her iki Security Gateway’de de aynı işlemler yapılır. Bunun dışındaki tüm işlemler GUI’deki Smart Console ile yapılmaktadir.

NOT : Securtiy Gateway’lere management serverın erişebilmesi için SM’de static route yazılmalıdır.

2-) SmartDashboard’dan Check Point üzerinde sağ tıkalyarak, aşğıdaki şekilde UTM-1/Power-1/Open Server Cluster/IP series... seçilir.

 

General Properties kısmı aşağıdaki ekran görüntüsünde olduğu gibi doldurulur. IP adress kısmı SG ye verilecek olan dış IP adress bloğundan bir ip adresi verilmelidir.

Cluster Members kısmında add butonuna tıklandıktan sonra Add Gateway to Cluster penceresinde mevcutta bulunan SG1 ve SG2 firwalları bulunacaktır. Bunlar seçilerek eklenir. İlk sırada olan Security Gateway Active/Pasive cluster için Master olacak olan SG’dir.

ClusterXL tabında ise Mode olarak New seçilir. Bu durumda active/pasive cluster seçilmiş olur. Eğer load blancing istiyorsak, Cluster Mode load sharing olarak değiştirilir.

Topoloji tabında ise, bizim topolojimizdeki ip bloklarına göre aşağıdaki gibi düzenlemeler yapılmalıdır.

Ok deyip pencereden çıkılır. Policy install edilir. Cluster konfigürasyonu için yapılması gerekenler bitmiş durumadır.

3-) Test için SG1’e bağlanılır. Komut satırında iken, cphaprob state yazılır. 192.168.1.2 ip adresli firewallun active olduğu diğer firewallun ise standby’da beklediği görülmektedir.

SG1 kapatıldığında aşağıdaki gibi 172.16.1.3 ip adresine sahip olan SG2’nin active duruma geçtiği ve 172.16.1.2 ip adresli SG1’in ise down olduğu bilgisi gözükmetedir.

Active/Passive geçişi sırasında sadece 1 ping kaybı ile geçişin yapıldığı gözükmetedir.

4-) Load Balancing yapmak için, ClusterXL tabında Cluster Mode Load Sharing -> Unicast Mode seçilir. Multicast mode seçilirse SG’lerin iç bacaklarına bağlı olan switch üzerinde multicast konfigürasyonu yapılmalıdır. Unicast için bir şey yapmaya gerek yoktur. Multicast daha etkin load blancing yapar.

Ok deyip Policy Install edilir.

SG’lere bağlnılarak cphaprob state ile yük durumlarına bakıldığında aşıdaki gibi ekran görüntüsü alınmalıdır. %70 e % 30 bir yük dağılımı yapılmaktadır. Pivot ise load sharinging ayarlanması için Sflerden bitanesi seçilir ve seçilen bu SG ile yük dengelemisi yapılır.

Ramazan KOCAOĞLU

Devamını oku ...