OzzTech - Check Point güvenlik ağ geçidi ve Cloud VPN arasında VPN nasıl kurulur?

Check Point güvenlik ağ geçidi ve Cloud VPN arasında VPN nasıl kurulur?

Check Point

Ortama Genel Bakış

Check Point kılavuzun oluşturulmasında kullanılan ekipman aşağıdaki gibidir:

  • Satıcı: Kontrol Noktası
  • Model: Kontrol Noktası vSec
  • Yazılım Sürümü: R80.10

Check Point Topoloji

Bu kılavuz tarafından özetlenen topoloji, başvurulan cihazı kullanan temel bir siteden siteye IPsec VPN tüneli yapılandırmasıdır:

Check Point

Başlamadan Önce Ön koşullar

Cloud VPN ile bir Check Point güvenlik ağ geçidi kullanmak için aşağıdaki ön koşulların karşılandığından emin olun:

  • Check Point Security Gateway çevrimiçi ve herhangi bir arıza tespit edilmeden çalışıyor.
  • Check Point güvenlik ağ geçidine kök erişimi var.
  • En az bir yapılandırılmış ve doğrulanmış işlevsel dahili arayüz vardır.
  • Bir yapılandırılmış ve doğrulanmış işlevsel harici arayüz vardır.

IPsec parametreleri

Bu kılavuzun amacı doğrultusunda Ağ Geçidinin IPSec yapılandırmasında aşağıdaki parametreler ve değerler kullanılmıştır. Cloud VPN , güvenlik ilkelerinize göre kullanılabilecek kapsamlı bir şifre listesini destekler.

Check Point

Bunlar, bu kılavuzda kullanılan IKE aşama 1 ve aşama 2 için Şifre yapılandırma ayarlarıdır.

Check Point

İlke tabanlı IPsec VPN'i yapılandırma

Aşağıda, politika tabanlı VPN kurulumunda size yol gösterecek örnek bir ortam verilmiştir. Örnek ortamdaki IP adreslerini kendi IP adreslerinizle değiştirdiğinizden emin olun.

Bulut VPN'i

Check Point

Kontrol Noktası

Check Point

Yapılandırma - Google Bulut

Cloud VPN'i Yapılandırma

Cloud VPN'i yapılandırmak için: 1. Bulut Konsolunda, Ağ Oluşturma > VPN bağlantısı oluştur öğesini seçin .

  1. VPN BAĞLANTISI OLUŞTUR'u tıklayın .
  2. Ağ geçidi ve tünel için alanları aşağıdaki tabloda gösterildiği gibi doldurun ve Oluştur'a tıklayın :
Check Point
Check Point

Statik bir rota yapılandırma

  1. Cloud Console'da Rotalar > Rota Oluştur'a gidin .
  2. Aşağıdaki tabloda gösterildiği gibi parametreleri girin ve Oluştur'a tıklayın .
Check Point

Güvenlik politikanıza göre gelen ağ trafiğine izin vermek için giriş güvenlik duvarı kuralları ekleyin.

Yapılandırma - Kontrol Noktası güvenlik ağ geçidi

Check Point SmartConsole'da Cloud VPN için Birlikte Çalışabilir bir Cihaz oluşturmak için:

Adım 1 . SmartConsole > Yeni > Daha Fazla > Ağ Nesnesi > Daha Fazla > Birlikte Çalışabilir Cihaz'ı açın .

Adım 2 . Cloud VPN eşiyle (harici IP) ilişkili IP adresini yapılandırın.

Adım 3 . Git Genel Özellikleri > Topoloji ve elle Google bulut IP adreslerini ekleyin.

Adım 4 . Bir yıldız topluluğu oluşturun.

  1. SmartConsole > Güvenlik Politikaları > Erişim Araçları > VPN Toplulukları'nı açın .
  2. Yıldız Topluluğu'nu tıklayın . Yeni Yıldız Topluluğu penceresi açılır.
  3. VPN Topluluğu için bir Nesne Adı girin .
  4. In Merkezi Geçitleri alanı, tıklayın artı topluluğun merkezi için bir kontrol noktası Güvenlik Ağ Geçidi nesnesi eklemek için imzalar.
  5. In Uydu Geçitleri alanı, tıklayın artı Google Bulut geçidi nesnesi eklemek için imzalar.

Adım 5 . Bu şifreleri IKEv1 için yapılandırın.

Şifreleme'ye gidin ve Aşama 1 ve Aşama 2 özelliklerini, sayfa 3'teki Şifre yapılandırma ayarlarında belirtilenlere göre değiştirin.

Perfect Forward Secrecy (Aşama 2)'yi seçtiğinizden emin olun. Bu örnek, IKEv1'e atıfta bulunur. Bu senaryoda IKEv2'yi de kullanabilirsiniz.

Adım 6 . Git Gelişmiş sekmesi ve Yeniden ciro saati değiştirin.

  • 1. Aşama için IKE : 610 dakika
  • 2. Aşama için IKE : 10.800 saniye

Adım 7 . Erişim Denetimi Kural Tabanını ve Yükleme ilkesini yapılandırın.

Check Point Rota tabanlı bir IPsec VPN Tünelinin yapılandırılması

Daha fazla bilgi için, R80.10 Siteden Siteye VPN Yönetim Kılavuzu'na bakın .

Aşağıda, rota tabanlı VPN kurulumunda size yol gösterecek örnek bir ortam verilmiştir. Örnek ortamdaki IP adreslerini kendi IP adreslerinizle değiştirdiğinizden emin olun.

Google Bulut

Kontrol Noktası

Check Point Yapılandırma - Google Bulut

Rota tabanlı VPN ile hem statik hem de dinamik yönlendirme kullanılabilir. Bu örnek dinamik yönlendirmeyi kullanacaktır. Cloud Router , 2 eş arasında BGP oturumları oluşturmak için kullanılır.

Bulut yönlendiricisini yapılandırma

Adım 1 : Bulut Konsolunda, Ağ Oluşturma > Bulut Yönlendiricileri > Yönlendirici Oluştur öğesini seçin .

Adım 2 : Aşağıdaki tabloda gösterildiği gibi parametreleri girin ve Oluştur'a tıklayın .

Cloud VPN'i Yapılandırma

Adım 1 : Cloud Console'da Ağ İletişimi > Ara Bağlantı > VPN > VPN BAĞLANTISI OLUŞTUR'u seçin .

Adım 2 : Google Compute Engine VPN ağ geçidi için aşağıdaki tabloda gösterildiği gibi parametreleri girin:

Adım 3 : Tünel için aşağıdaki tabloda gösterildiği gibi parametreleri girin:

Adım 4 : BGP eşlemesi için aşağıdaki tabloda gösterildiği gibi parametreleri girin:

Check Point

Tamamlamak için Kaydet ve Devam Et'e tıklayın .

Güvenlik politikanıza göre gelen ağ trafiğine izin vermek için giriş güvenlik duvarı kuralları ekleyin.

Yapılandırma - Check Point Security Gateway

Check Point SmartConsole'da Cloud VPN için birlikte çalışabilir bir cihaz oluşturun.

Adım 1 . SmartConsole > Yeni > Daha Fazla > Ağ Nesnesi > Daha Fazla > Birlikte Çalışabilir Cihaz'ı açın .

Adım 2 . Cloud VPN eşiyle (harici IP) ilişkili IP adresini yapılandırın.

Check Point

Adım 3 . Rota tabanlı VPN'yi öncelik almaya zorlamak için boş (boş) bir grup oluşturun ve bunu VPN etki alanına atayın.

  1. VPN Etki Alanı bölümünde Topoloji'ye gidin . Elle tanımlı'yı seçin.
  2. İstenen nesneyi seçmek için sağa tıklayın.
  3. Yeni > Grup > Basit Grup öğesine tıklayın .
  4. Bir Enter nesne adı , tıklayın Tamam . Bu gruba herhangi bir nesne ATANMAYIN.
Check Point

Adım 4 . içinde clish, bir VPN Tünel Arayüzü (VTI) oluşturun.

Uzak eş adını tam olarak SmartConsole'daki ağ geçidi nesnesinde yazıldığı gibi yazın.

Adım 5 . Topolojiyi düzenleyin.

  1. Açık SmartConsole > Ağ Geçitleri ve Sunucular .
  2. Check Point Security Gateway'i seçin ve çift tıklayın.
  3. Gönderen Genel Özellikleri > Ağ Yönetimi > Al Arayüzler .
  4. VTI'lar topolojide gösterilir. Not : Topolojiyi Düzenle penceresi, bu kriterler eşleşirse aynı satırda bir VTI üyelerini listeler:
    • Uzak eş adı
    • Uzak IP adresi
    • Arayüz adı
  5. VTI VIP'yi Topology sekmesinde yapılandırın. Tıklayın Tamam .
  6. Gönderen VPN Domain seçin Manuel Tanımlı > Empty_Group .

Adım 6 . Bir yıldız topluluğu oluşturun.

  1. Açık SmartConsole > Güvenlik Politikaları > Erişim Araçları > VPN Topluluklar .
  2. Yıldız Topluluğu'nu tıklayın .
  3. VPN Topluluğu için bir Nesne Adı girin .
  4. In Merkezi Geçitleri alanı, tıklayın artı topluluğun merkezi için bir kontrol noktası Güvenlik Ağ Geçidi nesnesi eklemek için imzalar.
  5. In Uydu Geçitleri alanı, tıklayın artı Google Bulut geçidi nesnesi eklemek için imzalar.

Adım 7 . Bu şifreleri IKEv2 için yapılandırın.

Şifreleme'ye gidin ve Aşama 1 ve Aşama 2 özelliklerini, sayfa 3'teki Şifre yapılandırma ayarlarında belirtilenlere göre değiştirin. Perfect Forward Secrecy (Aşama 2) seçmelisiniz.

Bu örnek, özellikle IKEv2'ye atıfta bulunur. Bu senaryoda IKEv1'i de kullanabilirsiniz.

Adım 8 . Git Gelişmiş sekmesine . Orada Aşama 1 Aşama 2 için daha gelişmiş ayarları değiştirebilirsiniz.

Adım 9 . BGP Dağıtımı için Kurulum.

Sanal tünel arayüzü ve ilk BGP Kurulumu

Güvenlik Ağ Geçidinize SSH ile bağlanın. Hiçbiri varsayılan kabuğu kullanıyorsanız, clish olarak değiştirin. Çalıştır: clish { } ile çevrelenen değişkenleri kendi değerlerinizle değiştirerek aşağıdaki komutları çalıştırın:

Adım 10 . Rota Tabanlı Senaryo için Yön Kurallarını Yapılandırın.

  1. SmartConsole > Global Properties > VPN > Advanced öğesini açın .
  2. VPN Sütununda VPN Yönlü Eşleşmeyi Etkinleştir'i seçin .

Bu, Politikaya Dayalı bir senaryo için geçerli değildir.

  1. VPN trafiğiyle ilgili her güvenlik duvarı kuralı için bu yönlü eşleşme kurallarını VPN sütununa ekleyin:

Adım 11 . İlke yükleyin.


İlginizi Çekebilecek Makaleler
FortiGate ACME Sertifika Desteği
Siber Güvenlik

FortiGate ACME Sertifika Desteği

Ocak 24, 2022 1:22

Otomatik Sertifika Yönetim Ortamı (ACME), RFC 8555’te tanımlandığı üzere, ücretsiz SSL sunucu sertifikaları sağlamak için genel Let’s...

Android Reverse Mühendisliği Araçları Örnek Vakalar
Siber Güvenlik

Android Reverse Mühendisliği Araçları Örnek Vakalar

Ocak 24, 2022 12:39

Bir önceki yazıda yeni çıkan android reverse mühendisliği araçları hakkında bilgi vermiştim. Bu yazımda...

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor
Siber Güvenlik

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor

Ocak 24, 2022 9:44

Emotet kötü amaçlı yazılım botnetinin dağıtımını içeren sosyal mühendislik kampanyaları, güvenlik çözümlerinin tespitinden kaçınmak...

FortiWeb Kurulumu 5-Operation Modu
Siber Güvenlik

FortiWeb Kurulumu 5-Operation Modu

Ocak 24, 2022 7:49

FortiWeb kurulumunu anlattığımız beşinci yazımızda operation modu ve FortiWeb cihazı açıldıktan sonra, FortiWeb cihazını...

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme
Siber Güvenlik

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme

Ocak 23, 2022 10:21

FortiWeb kurulumunu anlattığımız serinin dördüncü yazısında Admin şifresi nasıl değiştirceğinizi, saat ve günü nasıl...

Metasploittable 2
Siber Güvenlik

Metasploittable 2

Ocak 22, 2022 11:57

Metasploittable 2 Nedir? Neden Kullanılır? Nasıl Kurulur? Metasploittable 2 Metasploit firması tarafından bizlerin güvenli...

FortiWeb Kurulumu 3- Firmware Güncellenmesi
Siber Güvenlik

FortiWeb Kurulumu 3- Firmware Güncellenmesi

Ocak 22, 2022 11:56

FortiWeb kurulumunu anlattığımız serinin üçüncü yazısında Firmware güncellemesini anlatacağız. FortiWeb cihazınız gönderildiğinde en son...

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama
Siber Güvenlik

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama

Ocak 21, 2022 7:50

FortiWeb kurulumu yazımızın ikinci serisinde Web UI veya CLI bağlamanın nasıl yapılacağını anlatacağız. Eğer...

Yapay Zeka Nedir?
Yazılım Geliştirme

Yapay Zeka Nedir?

Ocak 20, 2022 10:57

Sürekli olarak değişen, gelişen ve oldukça hızlı bir şekilde boyut atlayan, günümüze kadar gelen...

İletişim
OZZTECH Bilgi Teknolojileri olarak siber güvenlik danışmanlığı ve bilgi güvenliği eğitimleri alanlarında 10 yılı aşkın bir süredir ülkemizin önde gelen kurumlarına hizmet vermeye devam etmektedir. Detaylı bilgi ve danışmanlık hizmetlerimiz için aşağıdaki formu kullanarak veya [email protected] adresimiz üzerinden bizlerle iletişime geçebilirsiniz.