Configuration Firewall Checkpoint

Edition : Rfrence : DRS/DTS/DCRT/CID/04-079
IMS INTERNET
Paramtrage de loffre
Gateway Nokia/ Checkpoint
IMS INTERNET /Paramtrage de l offre / Gateway Nokia/Checkpoint
Rfrence Edition Date de Diffusion Page
DRS/DTS/DCRT/CID/04-079 05/04/04 Page 2
Dernire impression le 10/05/04 14:23
SOMMAIRE
1. Introduction
1.1 OBJECTIFS DU DOCUMENT
1.2 VERSIONS INSTALLES
2. Connectique physique
3. Installation
3.1 NOKIA
3.2 CHECKPOINT FIREWALL-1/VPN-1
3.3 SECURECLIENT & SECUREREMOTE
1. Introduction
1.1 Objectifs du document
Ce document fait suite linstallation de larchitecture de scurit correspondant au projet VPN.
Ce rapport dinstallation constitue une rfrence quand linstallation et la configuration initiale de larchitecture qui a t mise en
place et peut tre utilis dans lintention de rinstaller une des composantes de la solution.
Ce document se compose de deux parties majeures:
La procdure dinstallation des composants de la solution permettant de suivre pas pas les
diffrentes tapes de celle-ci.
La configuration de ces diffrents lments.
1.2 Versions instal l es
Voici les diffrentes versions des produits qui ont t utilis pour la maquette :
Nokia
o Model : NOKIA IP 350
o IPSO : 3.5.1 FCS 3
o Software version : releng 963 09.13.2002-202000
Checkpoint VPN-1 / Firewal l -1
o Check Point SVN Foundation NG Feature Pack 3 (Thu Sep 19 16:22:26 IDT 2002 Build 53267)
o Check Point VPN-1/FireWall-1 NG Feature Pack 3 (Thu Sep 19 15:58:48 IDT 2002 Build 53225)
o Check Point Policy Server NG Feature Pack 3 (Thu Sep 5 18:55:31 IDT 2002 Build 53031)
SecureCl ient & SecureRemote
o SecureClient NG FP3 pour Windows 2000 build 53515_1
o SecureRemote NG FP3 pour Windows 2000 build 53515_1
2. Connectique physique
NOKIA IP 350 :
PIII 866 Mhz / 512 Mo de RAM / 10 Go de disque dur
Eth1 Eth2 Eth3 Eth4 Port
Console
Slots pour cartes
dextension
3. Installation
3.1 Nokia
3.1.1 IPSO : installation et configuration
Ce paragraphe dcrit les principales tapes de la configuration du systme dexploitation IPSO 3.5.1. Les botiers NOKIA IP 350 sont
fournis pr-installs. Ils disposent du systme dexploitation IPSO 3.5.1 et de diffrents packages. Il a t ncessaire de rajouter le
package de Checkpoint NG FP3 pour avoir la dernire version du produit.
1.1.1.1 Configuration minimale par le port console
Afin de configurer les botiers, il faut connecter le port console en faade du NOKIA, sur le port srie dun quipement informatique
disposant dune mulation type VT100, paramtr comme suit:
8 bits de donne, pas de parit, un bit de stop, dbit 9600 bauds
Attention: utiliser le cble fourni avec le botier par NOKIA, avec les 2 connecteurs DB9. Dautres types de cbles ne fonctionnent
pas (test infructueux effectus avec des cbles pour des routeurs CISCO). Le cble est de type Null-Modem. Le cblage est fourni ci-
dessous:
1
2
3
4
5
6
7
8
9
1
2
3
4
5
6
7
8
9
Allumer alors le botier NOKIA. Le botier effectue les tests de dmarrage classiques (dcouverte et test de la mmoire RAM, du
disque dur, ). Le message suivant saffiche:
Verifying DMI Pool Data ........
1... Bootmgr
2... IPSO
Default: ?
Par dfaut, le systme boote sur le systme dexploitation. Ce prompt reste actif 3 secondes, avant que le botier ne bascule sur le boot
par dfaut (IPSO). Le Nokia amorce le chargement du systme dexploitation partir du disque dur, et affiche le message:
Hostname?
Saisir le nom qui a t choisi pour le botier (par exemple : Nokia). Ce nom sera utilis par l e systme pour identifier le botier, mais
aussi par la console pour trouver ladresse IP. Il faudra donc associer ce nom, une adresse IP, dans la table des HOST du NOKIA.
Il faut ensuite saisir un mot de passe pour lutilisateur admin du NOKIA. Cet utilisateur sert sauthentifier lors de laccs au
botier en HTTP, HTTPS, SSH et TELNET. Il a les droits en lecture/criture sur le systme. Le mot de passe est case sensitive.
Le systme demande ensuite quel utilitaire doit tre utilis pour terminer la configuration du botier: soit le Voyager (interface HTML
graphique de configuration, par un accs distant IP), ou lynx (interface HTML texte de configuration, accessible depuis nimporte
quelle console locale ou dporte).
System Startup Example Screen
You can configure your system in two ways.
1) Configure an interface and use our Web-based Voyager via remote browser
2) VT100-based Lynx browser
Please enter a choice [1-2, q]: 1
Dans loption 1, on peut configurer le botier distance, depuis le rseau Ethernet connect une des interfaces du botier (il faudra
pour cela paramtrer cette interface dans les questions qui vont suivre).
Loption 2 permet de paramtrer le botier directement en mode texte, en retrouvant les mmes menus et fonctions que dans
linterface graphique. Les flches droite et gauche permettent de se dplacer dans les diffrentes options (suivante, prcdente), la
touche entre valide ou invalide les optons sur lesquelles se trouve le curseur.
Toutes les informations de configuration qui seront saisies par linterface LYNX en port console ou telnet ou
bien par linterface html VOYAGER, sont stockes dans un seul et unique fichier : /config/active. Lorsque les
paramtres sont modifis et sauvs, ils sont mis jour dans ce fichier. Lorsque le systme redmarre, il utilise
ce fichier pour re-paramtrer le botier. Toute modification effectue en ligne de commande ne sera donc pas
conserve. Pour revenir une configuration dusine du botier, il faudra supprimer ce fichier et rebooter.
Il faut ensuite slectionner linterface Ethernet qui servira la configuration :
Select an interface from the following for configuration:
1)eth1c0
2)eth2c0
3)eth3c0
4)eth4c0
5)quit this menu
Enter choice [1-5]: 1
Une fois que le port Ethernet est choisi (ex : eth2c0), il faut lui affecter les paramtres IP :
adresse sur 4 octets spare par des points (ex : 192.168.1.176)
un masque rseau exprim en nombre de bits (ex : 24 pour 255.255.255.0)
saisir la route par dfaut qui sera utilise par le botier (important dans le cas ou la console de
paramtrage nest pas dans le mme sous-rseau IP que le botier).
saisir les paramtres Ethernet choisis pour le port (dbit 10 ou 100 Mbits, mode de
transmission en half-duplex ou full-duplex).
Il faut ensuite valider les modifications de la configuration par "Y". On peut alors accder au menu voyager du NOKIA, en tapant
comme URL, ladresse IP du botier NOKIA.
Hostname?
Please choose the host name for this system. This name will be used
in messages and usually corresponds with one of the network hostnames
for the system. Note that only letters, numbers, dashes, and dots (.)
are permitted in a hostname.
Hostname? Nokia
Hostname set to "Nokia", OK? [y]
Please enter password for user admin:
Please re-enter password for confirmation:
You can configure your system in two ways:
1) configure an interface and use our Web-based Voyager via a remote
browser
2) VT100-based Lynx browser
Please enter a choice [ 1-2, q ]: 1
Select an interface from the following for configuration:
1) eth1
2) eth2
3) eth3
4) eth4
5) quit this menu
Enter choice [1-5]: 1
Enter the IP address to be used for eth1: 192.168.1.176
Enter the masklength: 24
Do you wish to set the default route [ y ] ? y
Enter the default router to use with eth1: 195.115.96.177
This interface is configured as 10 mbs by default.
Do you wish to configure this interface for 100 mbs [ n ] ? y
This interface is configured as half duplex by default.
Do you wish to configure this interface as full duplex [ n ] ? y
You have entered the following parameters for the eth1 interface:
IP address: 192.168.1.176
masklength: 24
Default route: 195.115.96.177
Speed: 100M
Duplex: full
Is this information correct [ y ] ? y
Do you want to configure Vlan for this interface[ n ] ? n
You may now configure your interfaces with the Web-based Voyager by
typing in the IP address "192.168.1.176" at a remote browser.
Generating config files for Nokia: ipsrd hosts password group resolver snmp inetd ttys tz ntp ssmtp skey arp ndp
aggrclass acl ddr e
f syslog autosupport httpd lynx modem cron archive ipsec fmd AAA ssh done.
ifmnetlog:eth4 .. enabling 10baseT/UTP port in half duplex mode
netlog:eth2 .. enabling 10baseT/UTP port in half duplex mode
netlog:eth3 .. enabling 10baseT/UTP port in half duplex mode
netlog:eth1 .. enabling 100baseTX/UTP port in full duplex mode
done.
Apr 10 08:15:44 [LOG_INFO] kernel: netlog:eth4 .. enabling 10baseT/UTP port in half duplex mode
Apr 10 08:15:45 [LOG_INFO] kernel: netlog:eth1 .. enabling 100baseTX/UTP port in full duplex mode
Thu Apr 10 08:15:45 GMT 2003
1.1.1.2 Configuration par linterface Voyager
Au moyen dun navigateur HTML, il suffit de se connecter sur ladresse IP configure sur le botier. Lutilisateur est admin et le mot
de passe celui qui a t saisi prcdemment. Sur la page daccueil, on trouve le nom du botier, la version du systme dexploitation
install, le nombre de minutes et heures depuis lesquelles il fonctionne, ainsi que les boutons Config (pour visualiser ou modifier les
paramtres de la configuration) et Monitor (pour visualiser et exploiter la configuration). Un bouton Doc saffichera lorsque le
package "documentation" aura t install.
Important : Toute modification applique par le bouton Appl y doit tre sauve laide du bouton Save sous peine de perdre la
modification aprs redmarrage du systme.
En se connectant sur http://192.168.1.176, on arrive une fentre dauthentification (le login/mot de passe est admin / abc123):
Ensuite il faut configurer la seconde interface et lui donner une adresse IP :
Config
Config / Interfaces
Config / Interfaces / eth2c0
Eth2 correspond maintenant linterface publique du firewall : 195.115.96.176. Il faut galement configurer lheure
du NOKIA pour avoir une cohrence dans les logs :
Config / Time
Il faut maintenant activer les packages Checkpoint NG FP3 pour installer lapplication ; il y a trois packages
activer :
Check Point SVN Foundation NG Feature Pack 3 (Thu Sep 19 16:22:26 IDT 2002 Build 53267)
Check Point VPN-1/FireWall-1 NG Feature Pack 3 (Thu Sep 19 15:58:48 IDT 2002 Build 53225)
Check Point Policy Server NG Feature Pack 3 (Thu Sep 5 18:55:31 IDT 2002 Build 53031)
Config / Manage Installed Packages
3.1.2 Packages Checkpoint
1.1.1.3 Installation de Checkpoint NG FP3
Linstallation de la console de management et du module firewall / VPN se fait en ligne de
commande sur le NOKIA. Il faut doncse reconnecter en telnet ou en port console pour faire
linstallation. La commande a utilis est cpconfig. Linstallation qui a t faite, est une installation
stand alone , c'est--dire que la console de management et le firewall module ont t install sur la
mme machine.
Dfinition du type dinstallation :
IMS INTERNET /Paramtrage de l offre / Gateway
Nokia/Checkpoint
DRS/DTS/DCRT/CID/04-079 05/04/04 Page 15 sur 31
Nokia[admin]# cpconfig
Welcome to Check Point Configuration Program
=================================================
Please read the following license agreement.
Hit 'ENTER' to continue...
Select installation type:
(1) Enforcement Module.
(2) Enterprise Management.
(3) Enterprise Management and Enforcement Module.
(4) Enterprise Log Server.
(5) Enforcement Module and Enterprise Log Server.
Enter your selection (1-5/a-abort) [1]: 3
Cest une plateforme de test, doncnous navons pas besoin de mettre une licence, nous allons
utiliser la licence dvaluation checkpoint.
Dfinition de la licence :
Configuring Licenses...
=======================
Host Expiration Signature Features
Note: The recommended way of managing licenses is using SmartUpdate.
cpconfig can be used to manage local licenses only on this machine.
Do you want to add licenses (y/n) [y] ? n
Il faut galement dfinir les administrateurs qui pourront se connecter sur la console et les adresses
IP des machines pouvant se connecter la console.
Nokia/Checkpoint
Dfinitions des administrateurs et des GUI clients :
Configuring Administrators...
=============================
No Check Point Administrators are currently
defined for this Management Station.
Do you want to add administrators (y/n) [y] ? y
Administrator name: admin
Password:
Verify Password:
Permissions for all Management Clients (Read/[W]rite All, [R]ead Only All, [C]ustomized) W
Permission to Manage Administrators ([Y]es, [N]o) Y
Administrator admin was added successfully and has
Read/Write Permission for all Management Clients
Add another one (y/n) [n] ? n
Configuring Management Clients...
=================================
Management clients are trusted hosts from which
Administrators are allowed to log on to this Management Station
using Windows/X-Motif GUI.
No Management clients defined
Do you want to add a Management client (y/n) [y] ? y
Please enter the list hosts that will be Management clients.
Enter hostname or IP address, one per line, terminating with CTRL-D or your EOF
character.
192.168.1.10
192.168.1.11
Is this correct (y/n) [y] ? y
Il est galement ncessaire de crer une autorit de certification sur le checkpoint pour pouvoir faire
du VPN.
Cration du CA
Configuring Certificate Authority...
====================================
The system uses an Internal Certificate Authority
to provide Secured Internal Communication (SIC) certificates
for the components in your system.
Note that your components will not be able to communicate
with each other until the Certificate Authority is initialized
and they have their SIC certificate.
Press 'Enter' to initialize the Certificate Authority...
Internal Certificate Authority created successfully
Certificate was created successfully
Certificate Authority initialization ended successfully
Check Point product Trial Priod will expire in 15 days.
During this period you are able to use the complete Check Point Product Suite.
Nokia/Checkpoint
Please obtain a permanent license from Check Point User Center at:
http://www.checkpoint.com/usercenter
The FQDN (Fully Qualified Domain Name) of this Management Server
is required for proper operation of the Internal Certificate Authority.
Would you like to define it now (y/n) [y] ?
The FQDN of this Management Server is Nokia
Do you want to change it (y/n) [n] ? n
Warning: The FQDN might be incorrect!
Make sure it contains the host name and the domain name.
NOTE: If the FQDN is incorrect, the Internal CA cannot function properly,
and CRL retrieval will be impossible.
Are you sure Nokia is the FQDN of this machine (y/n) [n] ? y
Press 'Enter' to send it to the Certificate Authority...
Trying to contact CA. It can take up to 4 seconds...
FQDN initialized successfully
The FQDN was successfully sent to the CA
Cette opration ncessite un redmarrage du NOKIA. Ensuite pour dmarrer le firewall, il faire un
cpstart et cpstop pour larrter. La configuration du Checkpoint se fait ensuite par lintermdiaire
dune GUI quil faut installer sur un poste.
Nokia/Checkpoint
3.2 Checkpoint Firewal l -1/VPN-1
3.2.1 Configuration
Toute la configuration du firewall Checkpoint se fait par lintermdiaire dune GUI (Graphical User
Interface). Il y a plusieurs choses configurer :
Proprits du firewall module
Proprits du VPN module
Dfinitions des objets rseaux, groupes dutilisateurs, machines
Cration de la politique de scurit
1.1.1.4 Configuration du firewall module
Lobjet firewall est automatiquement cr ; il faut juste le configurer :
Cocher VPN-1 Pro
SecureClient Policy Server
Dans longlet Topology il faut configurer les interfaces pour dfinir laquelle se trouve en interne et
laquelle se trouve en externe. Eth1 se trouve dans le LAN et eth2 est considr comme externe. Il
faut choisir linterface et cliquer sur Edit.
Nokia/Checkpoint
Il faut choisir Internal et prciser le rseau LAN
Pour eth2, il faut choisir External :
Nokia/Checkpoint
Ensuite, il faut cliquer dans longlet VPN et ajouter la communaut VPN : RemoteAccess.
Il faut galement spcifier les utilisateurs qui vont pouvoir se connecter au Policy Server. Le policy
server est utilis dans le cas des Secure Clients. Cest lui qui permet de distribuer les rgles de
scurit. Dans notre cas, le groupe dutilisateurs qui a t dfini est le groupe Nomades.
Nokia/Checkpoint
Longlet RemoteAcces permet de configurer loffice mode qui permet daffecter une adresse IP
dun pool un utilisateur. Il faut pour cela cliquer sur Offer Office Mode to group et choisir
notre groupe dutilisateurs Nomades . Il faut galement choisir le pool dadresses IP en cliquant
sur Manual et en choissant le pool dadresses cr : IP_Office .
1.1.1.5 Cration des objets
Cration de lobjet rseau local LAN :
Nokia/Checkpoint
Cration du Pool dadresses IP IP_Office :
Cration des hosts Laptop1 et Laptop2 :
Nokia/Checkpoint
Voici la vue obtenue dans le Checkpoint SmartMap :
Cration des utilisateurs user01 et user02 :
La cration des utilisateurs comprend galement les proprits dauthentification et de chiffrement
de lutilisateur. Il faut doncaller dans longlet Encryption , cocher IKE, Edit et dfinir le pre-
shared secret (user01 pour user01 et user02 pour user02).
Nokia/Checkpoint
Cration du groupe dutilisateurs Nomades :
Il faut ensuite inclure ces utilisateurs dans le groupe Nomades :
Nokia/Checkpoint
Nokia/Checkpoint
1.1.1.6 Configuration de la communaut VPN
La configuration des proprits de la communaut VPN se fait dans longlet VPN Manager en
cliquant sur RemoteAccess . Cest ici que lon va dfinir la gateway et les groupes dutilisateurs
qui vont intervenir dans la communaut VPN. Il suffit de choisir le firewall Nokia dans
Participating Gateways et Nomades dans Participating Users Groups .
On obtient ainsi une vue de ce type :
Nokia/Checkpoint
Nokia/Checkpoint
1.1.1.7 Cration de la politique de scurit
Cration de la politique du firewall Checkpoint
1. Cette rgle autorise le portable de Charles et de Fred se connecter sur le Nokia pour
ladministrer.
2. Cette rgle autorise les serveurs DNS du LAN forwarder les requtes DNS vers des serveurs
DNS externe.
3. Cette rgle autorise le LAN accder lextrieur
4. Cette rgle autorise les SecureCl ient de la communaut RemoteAcces se connecter sur le LAN
en VPN.
Cration de l a pol itique des cl ients VPN
1. Cette rgle interdit les flux Inbound sur les SecureClient
2. Cette rgle autorise les flux vers le LAN mais demande ceux quils soient chiffrs (Encrypt)
3. Cette rgle autorise les flux Outband sur les SecureClient
Nokia/Checkpoint
3.3 SecureCl ient & SecureRemote
3.3.1 Configuration
La configuration du SecureClient ncessite dfinir ladresse IP du firewall checkpoint afin de
rcuprer la topologie du rseau et le domaine de chiffrement. Il faut galement, dans le cas dun
SecureClient, se connecter au Policy Server pour rcuprer les rgles de scurit dfinie par la
console de management Checkpoint.
Il faut cliquer sur Sites / Create New et mettre ladresse IP du firewall Checkpoint :
Ensuite, le firewall demande lutilisateur de sauthentifier. Le login utilis dans la maquette est user01 et le
password est user01.
Nokia/Checkpoint
Une fois authentifi, il faut se connecter au Policy Server pour rcuprer la politique de scurit :
La petite icne avec le cadenas indique que le SecureClient est activ et que la politique de scurit est active :
Dans les logs du Checkpoint Firewall-1, on peut vrifier que la connexion sest correctement effectue et que le
trafic vers la machine Charles est correctement dchiffr :
Nokia/Checkpoint

Configuration Firewall Checkpoint

Transféré par

Droits d'auteur :

Formats disponibles

Configuration Firewall Checkpoint

Transféré par

Informations du document

Description originale:

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Configuration Firewall Checkpoint

Transféré par

Droits d'auteur :

Formats disponibles

Edition : Rfrence : DRS/DTS/DCRT/CID/04-079

Vous aimerez peut-être aussi