VPN yapmak

[Murat]

Checkpoint, vpn client ürünlerini artık geliştirmiyor bunu sebebi VPN yapılarını yeni çıkardığı ürünlere kaydırmak.

VPN nasıl yapılır diye bir yazı hazırlamayı düşünmüyordum fakat yukarıda ki bilgiyi öğrenince "nasıl yapılır konusu biraz genişlettim".

Buradaki yazıda VPN ayarlarını ve kullanıcı yaratmayı detaylıca anlattığımdan bu yazıda değinmeyeceğim.

Yazı R70.1'de hazırlanmıştır.

İstemci yazılımları;
Checkpoint Secure Client R56 HFA1 Supplement1 MacOSX 10.4.x ~24.1MB
R56_HFA1_Supplement1_MacOSX_10.4.x.zip

Checkpoint Secure Client R56 HFA1 Supplement1 MacOSX 10.5.x ~22.4MB
R56_HFA1_Supplement1_MacOSX_10.5.x.zip

Checkpoint Secure Client R56 HFA1 Supplement1 MacOSX 10.6.x ~22.4MB
R56_HFA1_Supplement1_MacOSX_10.6.x_MODDED.zip

Checkpoint Secure Client R60 HFA2 Supplement3 Windows 2000-XP-Vista-2003 6.6MB
R60_HFA2_Supplement3_Windows.rar


Checkpoint tarafında yapılması gerekenler;

Checkpoint nesnesine girilir.


Örnek ayar; Link selection, "source ip address settings".


Örnek ayar.


Office mode, "optional parameters".


DNS Sunucusu ayarı. (VPN istemcilerinin tüm paketleri Checkpoint üzerinden geçecek. Dns tanımlaması yapılmadığında veya istemcinin kendi üzerindeki dns ayarları kullanıldığında sorunlar çıkabilir)


Eğer VPN istemcilerinin lokal ağınıza ulaşmasını istemiyorsanız (Örnekte 10.x ip adres grubu) bu tip bir kural tanımı yapmalısınız. Dns'e sunucusu hariç lokal ağa ulaşıma izin vermedik.

İstemci tarafında yapılması gerekenler;
Aşağıdaki işlemler sadece bir kez yapılır.


İstemci yüklenir (secure client), yükleme bittikten sonra bilgisayar kapatılıp açılır, daha sonra sarı anahtar resmine tıklanır.


Tanımlı bir "site" olmadığı uyarısı çıkınca "yes" seçilerek tanım ekranı açılır.


Checkpoint'in VPN için kullanılacak "dış bacak" ip adresi yazılır.


Güvenlik metodu seçilir. Daha gelişmiş yöntemler kullanılıyorsanız sonraki ekranlar farklı olacaktır.


Kullanıcı bilgileri user/pass girilir.


"Standard" seçiyoruz. next


"Site" onaylaması ekranı. next


Properties seçiyoruz.


"Route all traffic through gateway" seçilir. Açık pencereler "ok"lar seçilerek kapatılır.

Anahtar iconuna tıklanır, açılan pencerede kullanıcı adı ve şifre girilir.
Bu işlemden sonra istemcinin "tüm trafiği" Checkpoint sisteminden geçmeye başlar.

[Murat.Ozcan]

Teşekkürler, çok değerli bilgiler bunlar.

Şimdi benim merak ettiğim şeyler şunlar:

1. Vpn hesabına iç networkdeki bir IP ye RDP yetkisi verilmiş olursa, sadece bu trafiği VPN den nasıl geçiririz. Kullanıcının web trafiği kendi bağlantısından gitsin, vpn i hiç kullanmasın. Yada adamın bilgisayarında virus varsa bu virusun networkume bulaşmamasını başka türlü sağlayabilir miyim.

2. Software OTP kullanabilir miyiz? Bu software OTP yi (kullanabiliyorsak tabiki) fw üzerinde mi çalıştıracağız, yoksa ayrı bir sunucuda çalıştırıp fw'a şuradan bilgi ala şeklinde bir ayar mı yapacağız?

Soruların cevapları uzun olabilir, kusuruma bakmayın

[Murat]

Teşekkürler, çok değerli bilgiler bunlar.

Şimdi benim merak ettiğim şeyler şunlar:

1. Vpn hesabına iç networkdeki bir IP ye RDP yetkisi verilmiş olursa, sadece bu trafiği VPN den nasıl geçiririz. Kullanıcının web trafiği kendi bağlantısından gitsin, vpn i hiç kullanmasın. Yada adamın bilgisayarında virus varsa bu virusun networkume bulaşmamasını başka türlü sağlayabilir miyim.

2. Software OTP kullanabilir miyiz? Bu software OTP yi (kullanabiliyorsak tabiki) fw üzerinde mi çalıştıracağız, yoksa ayrı bir sunucuda çalıştırıp fw'a şuradan bilgi ala şeklinde bir ayar mı yapacağız?

Soruların cevapları uzun olabilir, kusuruma bakmayın

1. Bu durumda ssl vpn kullanmalısın veya "Route all traffic through gateway" ayarını açmamalısın.

2. OTP hakkında detaylı bilgim yok. Belki shadow biliyordur.

[shadow]

1. Bu durumda ssl vpn kullanmalısın veya "Route all traffic through gateway" ayarını açmamalısın.

2. OTP hakkında detaylı bilgim yok. Belki shadow biliyordur.

1 . Temelde Check Point Ağ Güvenlik Geçidine bağlantı yapan istemci modülü VPN yaptığı CP güvenlik duvarından bağlantı sırasında topoloji bilgisi alır. Topoloji bilgisi kabaca VPN tüneli içerisinden erişilebilecek IP ler anlamına gelir.

Bu bilgiyi alan istemci tünel içerisine sokacağı paketleri bu bilgiye dayanarak tünele yönlendirir. Bunun dışında kalan trafik tünele girmez ve direkt dış ağa yönlendirilir.

Sizin örneğinizde RDP protokolü ile erişim güvenlik duvarı üzerinde kural tabanlı yapı ile kontrol edilir.

Kısaca RDP yapacağınız sunucu adresi topoloji bilgisi içerisinde yer alıyorsa, vpn istemci modülü RDP paketlerini tünele gönderir. Fakat erişim kurallarda izin verilmiş ise gerçekleşir... Yani tünel içerisinden hangi protokollerin ilgili sisteme ulaşabileceği kurallarla denetlenir.

Kural tabanlı erişim yetkilendirilen kullanıcı bazında, geniş topoloji tanımı içerisinde kimin nereye hangi protokol ile erişim yapabileceğini ayarlamada esneklik sağlar...

Muratın bahsettiği "Route all traffic through gateway" ise istemcinin topoloji bilgisinden bağımsız tüm trafiğinin tünel içerisine sokulmasını sağlar. Dolayısı ile dediği gibi aktif edilmemelidir.

SSL VPN ise VPN tünelini kurma yöntemlerinden biri olabilir (IPSec e karşı SSL). Avantajı istemci kurulu olmadan (office mode ile iç ağdan IP istiyorsan ve SSL tünelleme tipi gereği light bir agent gerektirebilir) bağlantı sağlar. 443 heryerde genelde açık olduğundan bağlantıda sorun olmaz vs. vs.

IPSec tarafında SecuRemote veya SecureCLient kullanabilirsin, istemci üzerine yüklenmeleri gerekir.. Fakat CP VPN özelliğini Endpoint Security ürününe yerleştirdiğinden artık bu ürünler çalışıyor ama geliştirilmeleri devam etmiyor.


2. Soft OTP konusunda www.opsec.com adresinden belirli bir ürün aklınızda var ise araştırabilirsiniz.. Ben kabaca baktığımda söyle bir ürün buldum, fakat detayına bakmadım... Belki işinize yarayabilir...
http://www.opsec.com/solutions/partners/safe3w.html

Konu ile ilgili olarak TR de de bazı yazılım firmalarının entegrasyon yaptığını duymuş idim...