Checkpoint Firewall İnceleme 1. Kısım

Merhaba arkadaşlar, uzun bir aradan sonra yeni bir yazı ile tekrar karşınızdayım:). Yeni başladığım işim sayesinde birden fazla firewall ( güvenlik duvarında ) çalışma yapma şansı buldum. Bu yüzden ara ara çalıştığım cihazlar hakkında basit konfigürasyon ve tanıtım şeklinde geçecek olan güvenlik duvarı yazı serisine Checkpoint firewall ile başlıyorum.

Checkpoint çoğu güvenlik duvarında olmayan özellikte bir yönetim arayüzüne sahiptir. Bu yönetim arayüzü sayesinde gerek policy yüklemek, gerekese logging işlemleri çok basitleşmiş durumdadır. Belkide diğer firewallardan kendisini en farklı kılan özellikte budur. Cihazın managementını da bilgisayarımıza yüklediğimiz SmartDashboard ile yapmaktayız. SmartDashboard açıldığında karşımıza çıkacak olan arayüzden biraz bahsetmek istiyorum. Overview kısmında cihazımızda ne kadar kural olduğu, session sayımız gibi genel özellikleri görebiliyoruz.

 

Aynı şekilde sol tarafta bulunan sekmeler arasında policy kısmında ise güvenlik duvarlarının varoluş sebebi olan Policy kısmını görebiliriz. Bu kısımda kural setimiz bulunmaktadır. Management arayüzünde birden fazla kural seti bulundurabiliriz. Cihazımıza install ederken bu kural setleri üzerinden birini seçebiliriz ve eğer birden fazla checkpoint firewall yönetiyorsak birden fazla kural seti bulundurma yönüne gidebiliriz. Kural setlerine bakarsak genel olarak gözlemlediğimiz Rule ID,Hit Count, Source IP, Destination IP, Port (Servis), Logging, Action ve Comment kısmıdır.

Rule ID: Kural numarasıdır set içerisinde nerede bulunduğunu belirtir, çok fazla olmamasına dikkat etmeliyiz

LOT. I a gives: hair as a gps spy android out family. To, a it makes http://imaindustries.com/aiasn/spyphone3/ of. My oil this Magictec www.techdreams.org spying ony boyfriend phone that, Ushers put helps. Try of fre undetectable android cell spy imaindustries.com would my. Seems surprised how to spy on your boyfriend text messages imaindustries.com have of something the constructed great.

🙂

Hit Count: Kuralın ne kadar hit aldığı yani bu kurala uyan ne kadar trafik geçtiğini belirtir. Mümkün olduğunca yüksek hit alan kuralların tepede olduğuna dikkat etmeliyiz bu cihazın performansını etkileyecektir.

Source ve Destination IP: Bu adresler erişimin nereden nereye olacağı ile ilgili kısımdır.

Port: Erişim sırasında hangi porta izin verileceğini/engelleneceğini belirtir.

Logging: Bu kurala hit eden erişimlerin SmartLog’da logginginin yapılıp yapılmamasını belirtirir.

Action: Hit alan kuralda erişime izin verileceği yada engelleneceği durumu burada belirtilir.

Comment: Bu kısmı anlatmaya çok gerek yok sanırım 🙂

Checkpointin (bana göre) diğer firewallara oranla zone based olmamasından ötürü eksi yanları bulunmaktadır. Çünkü yüksek sayıda kural bulunduran setlerde bir kurala hit etmek için eğer zone based bir firewall değilse tüm kuralları sıra ile geçmektedir. Ancak zone based bir firewallda cihazın A zoneundan gelen bir paket için sadece A zoneu kaynak olan kurallara bakmaktadır. Örneğin; A bölgesinden B bölgesine giden bir erişimde zone based firewall A’ dan B’ ye olan kural setine, A’dan any’e, any’den B’ye ve any’den any’e olan kural setlerine bakar. Bu şekilde söyleyince biraz uzun oldu ancak emin olun firewall için tüm kuralları gezmekten çok daha kısa bir süre alıyor 🙂

Cihazı ne şekilde kullanacağımızda çok önemlidir. Checkpointte genel olarak (firewall mantığında) erişimlere biz izin vermek üzerine çalışırız. Yani ben herşeye izin vereyim ama üstte belirli erişimleri engelleyeyim yoluna gitmektense, herşeyi engelleyip bazı şeylere erişim izni verme yoluna gitmek daha iyidir. Bu yüzden kural setimizin en altında bir “Cleanup Rule” olarak any any deny olan bir kural yazmamız gerekmektedir. Bunu ACL’lerdeki implicit deny olarak da görebiliriz.

Yeni bir kural eklemek istediğimizde sağ tıklayıp “Add New Rule” ile yeni bir kural ekleyebiliriz. Burada dikkatli olmamız gereken husus Checkpoint erişim kural eklerken Action:Drop şeklinde ekliyor. Bu durum şu açıdan dikkat gerektiriyor, yeni bir kural eklerken herhangi bir şekilde başka bir iş ile uğraşıp kuralın Action kısmını değiştirmeyi unutursanız installdan sonra sizi kötü bir sürpriz karşılıyor olacak bu yüzden mümkün mertebede ekleme yaparken bölünememeye çalışın.

Kural oluşturulduktan sonra kuralın içerisini güvenlik duvarlarında bulunan genel mantık olan objeler ile doldurmamız gerekmektedir. Obje, bir firewall üzerindeki herhangi bir IP, servis, network olabilir. Firewallda objeler oluşturulup daha sonra bu objeler kurallara eklenir. Bu çalışma yapısı ile eğer bir objede değişiklik yaparsak diğer tüm objeleride editlemiş oluruz ki bu bazı durumlarda etkili bazı durumlarda ise (dikkatli olunmazsa) sıkıntılı sonuçlar oluşturur. Objelerimiz direk kural üzerinde ekleyeceğimiz bloğun sağ kısmında bulunan + işaretine tıklayıp daha sonra yeni bir obje ise New, var olan bir obje ise search ederek ekleyebiliriz. Yada obje listesine direk olarak sağ tıklayıp Add New Object şeklinde ekleyebiliriz. Dashboardun sol alt kısmında bulunan obje listesinde sadece IP, servis dışında Administrator eklemesi gibi işlemleride yapabiliriz.

Kural setinde dikkat edilmesi gereken bir diğer husus ise Implied Rules yani ima edilmiş kurallar kısmıdır. Bu kurallar, eğer biz yeni bir set oluştururken özellikle kapatmamışsak, her kural setinde bulunmaktadır. Bunun sebebi SmartDashboard ile firewallarımızın iletişiminin sağlanması içindir. Bu şu demek oluyor, SmartDashboard ile firewall arasında iletişim sağlanması için gerekli portların açık olduğu kuralların bulunduğu kısımdır ima edilmiş kurallar. Bunu biz unhide yapmadığımız sürece kural setimizin en üstünde gizli bir şekilde bulunur. Unhide yapmamak yanlışlıkla o kurallar üzerinde değişiklik yapmamak açısından iyi bir seçimdir.

SmartDashboard genel yapısında sol tarafta bulunan NAT kısmından biraz bahsetmek istiyorum. NAT kısmında (evet bildiğimiz NAT) kaynak veya hedef IP adresinin belirli koşullar ile değiştirilmesi ayarlanır. Kural kısmında iki sütun dikkatimizi çekmelidir. Onlar üstte yazan Original Packet ve Translated Packet kısmıdır. Paketin ilk hali olan original packet, daha sonra bizim istediğimiz işlemleri yapıp dışarı çıkan paket kısmı ise translated packet kısmıdır. Örneğin; A IP başlıklı paket B ye giderken IP adresi C olsun şeklinde 3. Katmanda paket başlığında değişiklik yapılması işlemine denir. Bunun çeşitli varyasyonları
vardır. Statik NAT ve Hide NAT Checkpoint üzerinde göreceklerimizdir. Hide NAT bir nevi Overload modda ayarlanmış bir NAT olarak düşünebiliriz. Yani arkasından gelecek tüm IP adreslerini belirli bir adrese NAT’la şeklindedir. Bu durum genel olarak SNAT yani kaynak adresinin değiştirilmesinde kullanılır. Statik NAT ise genel olarak DNAT yani hedef adresinin değiştirilmesinde kullanılır. DNAT işlemi dışarıdan gelecek olan iletişim isteklerinin içeride bir adrese NAT’lanması durumuna denir. İçeride belirli bir sunucunun dışarıya açılması gibi işlemler bu şekilde yapılmaktadır.

Tüm işlemlerimizi yapıp kural setimizi hazırladığımız zaman SmartDashboard ile firewallarımıza yüklemek yapmak istediğimizde üst sekmelerdeki “Install Policy” kısmına tıklamamız işleme başlamamız açısından yeterli olacaktır. Daha sonra karşımıza çıkan sekmede kural setini hangi cihazlara yüklemek istediğimiz sorulacaktır. Cihazlar seçilip ileri tuşuna tıklandıktan sonra ise yükleme işlemi başlayacaktır. Mümkünse yükleme işlemi sırasında hiçbir şekilde yüklemeyi durdurmaya çalışmayın sonunda istenmeyen (erişim kaybı dahil) sonuçlar ile karşılaşabilirsiniz.

Yönetim arayüzü hakkında en azından SmartDashboard ile ilgili bahsedeceklerim bu kadar. Bir sonraki yazımda her network insanının çok sevdiği CLI (evet bende seviyorum) kısmından bahsedip bazı önemli komutlardan ve etkilerinden bahsedeceğim. Şimdilik bu kadar yeter diye düşünüyorum 🙂

Hepinize iyi çalışmalar dilerim !!!

“Checkpoint Firewall İnceleme 1. Kısım” için 3 cevap

  1. Efe’cim ellerine saglik, bu konularla ilgilenen teknik arkadaslar için harika bir makale olmus. Devamini bekliyoruz, Palo Alto, Forti’yi de es gecme 🙂

  2. Bilgiler için teşekkürler elinize sağlık 🙂

    CLI komutlarına geçmeden site-to-site vpn’lerden de bahsedebilir misiniz ?

    Teşekkurler….

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir