Check Point, security software (Güvenlik Yazılımı) ‘dır. İç ve dış trafiğimizin kontrolünü sağlayabildiğimiz, bu trafik ile ilgili aksiyon alabildiğimiz firewall (Güvenlik Duvarı) ‘dır. Hem input yönündeki trafiğimizi hem de output yönündeki trafiğimizi kontrol edebildiğimiz, yönlendirebildiğimiz veya çeşitli kural setleri ile sınırlandırabildiğimiz yazılımdır. Bu sayede iç networkümüzün güvenliğini, denetimini, raporlamasını kolayca yapabilmekteyiz.
Check Point Kurulum Çeşitleri
Checkpoint, güvenlik yazılımı olduğundan bu yazılımı kurabileceğimiz checkpointin bir sunucu veya bir cihaz gerekmektedir. Sonrasında ise tercih edilen yapıya göre aşağıdaki kurulum çeşitlerinden bir tanesi gereksinime göre seçilmektedir.
- Standalone Deployment : Security Management Server ve Security Gateway ‘in aynı sunucu üzerine kurulum şekline “Standalone” denmektedir.
- Distributed Deployment : Security Management Server ve Security Gateway ‘in ayrı sunucu üzerine kurulum şekline “Distributed” denmektedir.
- Management High Availability : Security Management Server ve Security Gateway ‘in bir cihaz üzerinde kurulu olduğu ve iki cihaz ile HA olarak çalıştığı durumdur. Bu durum switch veya router cihazlarımızın virtual chassis olarak çalıştırma durumuyla aynıdır. Yedeklilik sağlar.
Check Point Firewall Kurulum
Checkpoint kurulumunu Standalone şeklinde yapacağız. Aynı sunucu üzerine hem Security Management Server’ı hemde Security Gateway kuracağız. Öncelikle kuruluma başlamadan önce aşağıdaki dosyayı indirmeniz gerekmektedir. Bu dosya kurulum yapacağımız Checkpoint dosyasıdır.
Link : https://support.checkpoint.com/results/download/109064
İşletim Sistemi : Gaia
Dosya İsmi : Check_Point_R81_T392.iso
Versiyon : R81 (EOS)
Dosya indirme işlemi bittikten sonra bu dosyayı kurabileceğimiz sanal ortam veya cihazı seçip işlemlere başlayabiliriz.
ISO dosyasını boot ettiğimizde aşağıdaki gibi ekran karşımıza çıkacaktır.
Görselde de göreceğimiz üzere Check Point tarafındaki işletim sistemi “Gaia” dır. Burda “Install Gaia on this system” diyerek kuruluma başlıyoruz.
Kurulum işlemine başlanıyor.
Burada, bizden işletim sisteminin kurulumu için onay istemektedir. “Ok” diyerek onay verip devam ediyoruz.
Yukarıda klavye seçimi yapmamızı istemektedir. Burada kullanacağımız klavye türünü seçip devam ediyoruz.
System-swap, system-root, logs, backup and upgrade seçeneklerinin her biri için disk alanı boyutu belirlememiz istenmektedir. İhtiyaç veya mevcut kapasitenize göre bunları belirleyip devam edebilirsiniz.
Burada Gaia işletim sisteminde kullanacağımız “admin” kullancısının şifresini belirlemekteyiz. Şifremizi oluşturduktan sonra devam ediyoruz.
Management interface için belirlediğimiz porta IP adresini giriyoruz. Bu IP adresi bizim cihaza erişeceğimiz adres olacaktır.
Confirmation sekmesine geldiğimizde bizden kurulum yapılacak olan diskin biçimlendirileceği ile ilgili uyarı veriyor. Onay verip devam ediyoruz.
Yükleme işlemi tamamlandı. Burada arayüze erişeceğimiz URL bilgisini de göstermektedir. Geri kalan detaylı yapılandırmalar web arayüzünden yapılır. Bunun için reboot işlemi sonrasın web arayüz kısmına geçeceğiz.
Arayüz CLI kısmı geldikten sonra cihazın açıldığını anlayabiliriz. Hedef IP adresine ping atabilir erişimi öncesinde kontrol edebiliriz. Sonrasında ise önceki ekranlarda belirttiği URL adresinden cihaza erişim sağlayabiliriz.
Web arayüzüne eriştiğimizde karşımıza bu ekran çıkacaktır. Kurulum esnasında oluşturduğum “admin” kullanıcısını ve şifresini giriyoruz.
İlk yapılandırma sihirbazı karşımıza çıkmaktadır. Bu sihirbaz ile kalan kurulum işlemlerini adım adım tamamlayacağız.
“Continue with R81 configuration” seçeneğini seçip yapılandırmaya devam ediyoruz.
Öncesinde kurulum esnasında erişim için belirlediğimiz ayarlar karşımıza çıkacaktır. IP adresi veya port ile ilgili bir değişiklik yapmayacaksın direkt “next” diyerek devam edebiliriz.
Security Management için hostname, domain name ve dns bilgilerini girmemiz gerekmektedir.
Tarih ve saat bilgisi girilir. NTP sunucunuz var ise otomatik olarak bilgiyi oradan çekmesi için ilgili ayarları yapabilirsiniz.
Kurulum tipini bize sormaktadır. “Security Gateway and/or Security Management” diyerek devam ediyoruz.
Bu kısımda ise öncelikle “Security Management” kısmını kurduğumuzdan ilgili seçeneği seçip kuruluma devam ediyoruz.
Admin yetkilerine sahip bir kullanıcı oluşturuyoruz.
Web arayüze erişim sağlayacak IP adres veya IP aralığı belirtiyoruz.
Son olarak “Finish” butonuna tıklayarak kurulum bitirilir.
Onay verdikten sonra işlem tamamlanır.
Karşımıza sonun görmüş olduğumuz dashboard ekranı gelecektir. Web arayüzde bulunan detaylı ayarlar ile ilgili konfigürasyonlara yapılabilmektedir.
Sıradaki işlem ise “Security Gateway” makinasını kurmaktır. Öncesinde “Smartconsole” uygulamasını bilgisayarımıza kurmamız gerekmektedir.
Nedir bu SmartConsole?
SmartConsole Gaia işletim sistemine sahip “Check Point” cihazlara bilgisayar üzerinden direkt bağlanmaya olanak sağlayan üretici firma tarafından oluşturulmuş uygulamadır. Bunu mikrotik tarafındaki “Winbox” a benzetebilirsiniz.
Bu program için aşağıdaki linkten indirme linklerine ulabilirsiniz.
İndirme Linki : https://sc1.checkpoint.com/documents/Jumbo_HFA/R81.10_SC/R81.10/R81.10_Downloads.htm
SmartConsole ile Bağlanma
İlk adım olarak smartconsole kuruyoruz.
SmartConsole uygulamasını açtıktan sonra kullanıcı adı, şifremizi girdikten sonra cihazımızın IP erişim için oluşturduğumuz IP adresini yazıyoruz.
Burada kullanıcı adı şifre olarak kurulum sihirbazı üzerinde oluşturmuş olduğumuz kullanıcı şifreyi giriyoruz. (Örn:networkcat)
Security Management ile bağlatıyı kuruyoruz.
Bağlantı sağlandıktan sonra karşımıza bu şekilde bir ekran gelecektir.
Bu aşamaya kadar Security Management kısmını kurmuş ve bitirmiş olduk. Distributed Deployment tip kurulum yaptığımızdan şimdi Security Gateway kurulumunu gerçekleştireceğiz. Ayrı bir sanal makina oluşturup gateway kurulumuna başlıyoruz.
“Security Gateway” kurulumu management kurulumu ile aynı adımları kapsıyor, bu yüzden sadece gateway ve management seçimi yaptığımız adımdan sonrasını aşama aşama işliyor olacağız.
Öncesinden “Security Management” seçeneğini seçtiğimiz ekran bu sefer “Security Gateway” seçeneğini seçip devam ediyoruz.
Bu aşamada bizden dynamic olarak bir IP atamasını yapmak isteyip istemediğimizi sormaktadır. “No” seçeneği ile devam ediyoruz.
Security Gateway kurulumun önemli aşamalarından bir tanesi activation key kısmıdır. Bu kısımın önemli olmasının sebebi ise oluşturacağımız şifrenin, security management ile security gateway arasında oluşturulacak bağlantıda güvenlik için kullanılacak olmasıdır.
“Finish” butonu ile yapılandırmamızı tamamlıyoruz. Değişikliklerin kayıt edilmesi için cihazımızın yeniden başlatma işlemini gerçekleştiriyoruz.
Karşımıza web arayüz olarak ilgili ekran gelecektir. Şuana kadar yapılan tüm işlemler sonucu management ve gateway makinalarını kurmuş olduk. Bundan sonraki yapılacak işlemler ise management ile gateway makinalarını birbirine bağlamak olacaktır. Bu işleme ise Secure Internal Communication (SIC) denmektedir.
İlk olarak “SmartConsole” ile Security Management ‘a erişim sağlıyoruz.
Gateways & Servers sekmesine giriş yaptıktan sonra sarı ile işaretlemiş olduğumuz butona tıklayıp “Gateway” seçeneğini seçiyoruz.
Karşımıza bu pencere gelecektir. Burada “Classic Mode” kurulumu seçip devam ediyoruz.
“Classic Mode” seçeneği sonrası gelen ekran, bizim gateway ile kurulumu tamamlamamıza yardımcı olacaktır. Burada sırasıyla gitmek gerekirse;
- Name : Management tarafına bağlayacağımız gateway için bir isim belirliyoruz.
- IPv4 Address : Gateway’e ulaşacağımız/bağlantı sağlayabileceğimiz IP adresini yazıyoruz.
- Comment : Yorum veya cihaz ile ilgili yüzelsey bilgileri yazacağız kısımdır.
Bizim için en önemli olan kısımlardan biri ise “Secure Internal Communication” kısmıdır. Burada daha önce gateway kurulumu yaparken SIC için oluşturduğumuz şifreyi giriyoruz. Bu şifre daha önce söylediğimiz gibi aradaki bağlantıyı sağlamak için güvenlik amaçlı oluşturulmaktadır.
“Secure Internal Communication” kısmındaki “Communtication” Gateway tarafında girip karşımıza çıkan ekranda oluşturduğumuz SIC şifresini giriyoruz.
Şifreyi girdikten sonra “Initialize” butonuna tıklayarak bağlantıyı test ediyoruz. Pencerenin alt kısmında bulunan “Certificate State” kısmında “Trust established” gördüğümüzde aradaki güvenli bağlantının kurulabileceğimiz bağlantıda sorun olmadığını gösterir. Burada eğer bu seçeneği görmezsek aradaki bağlantıda veya SIC şifresinde bir problem olabileceği anlamına gelmektedir.
Aradaki bağlantı işlemini de tamamladıktan sonra, “Network Management” sekmesinden “Get Interfaces” butonuna tıklayarak “Get Interfaces with topology” seçilir. Eklenecek veya çıkarılacak portlar belirlenir.
Seçilen portlarla ilgili bilgi olarak açıklama kısımları düzenlenebilir.
Portların açıklama kısmını düzenlemek için ise düzenlenecek olan portun üstüne sağ tık yapıp “edit” seçeneğini seçmemiz yeterli olacaktır. Açılır ekranda yukarıda görmüş olduğumuz soldaki ekran gelecektir. Buradaki “Modify” butonuna tıklayarak sağdaki ekrana geçiş yapmamız gerekmektedir. Sonrasında ise “Override” seçeneği altından “Specific” sekmesine tıklayarak burada portumuzun kullanım amacına göre seçeneğimizi seçip devam ediyoruz.
İşlemleri bitirdiğimizde yukarıdaki ekranda görüleceği üzere “Gateway” cihazımız up durumda gözüküyor olacaktır. Şuanda hem Security Management hem de Security Gateway kurulumlarını tamamlamış olduk. Tamamlanmış kurulumları da birbirine bağlayarak işlemimizi bitirdik.
Örnek olarak kural yazmamız gerekirse de yukarıda görüleceği üzere “Security Policies” sekmesi altına gidip burada istediğimiz şekilde kural yazabiliriz.
Kural yazıldıktan sonra ise kuralı aktif hale gelebilmesi için policy “Install” etmemiz yani kayıt etmemiz gerekmektedir. Sarı ile işaretlenen butona tıklayarak sonrasında gelen pencereye de onay veriyoruz.
Son olarak yaptığımız değişiklikleri “Install” etmemiz konusunda yapılan değişiklik sayısını da gösterip bizden onay istemektedir.
“Install” seçeneğine tıklayarak yaptığımız değişiklikleri kayıt etmiş oluyoruz.
Bu makalemizde “Check Point Firewall” kısmında “Distributed Deployment” tipinde “Security Management” ve “Security Gateway” kurulumlarını gerçekleştirmiş olduk.
