Grundkonfiguration

Aus Fortinet Wiki
Zur Navigation springen Zur Suche springen

Checkpoint FAQ

Vorwort


Datenschutz

        *********************************************************************
        *                                                                   *
        *  THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY  *
        *      PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING,      *
        *    DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM     *
        *                   ALSO SCHWEIZ SWITZERLAND.                       *
        *                                                                   *
        *********************************************************************

"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
  schriftliche Zustimmung der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht 
                         bekannt gemacht werden"

Checkpoint FAQ

VPN

Wie kann ich den Port für das SSL-VPN ändern?

Default mässig ist für das SSL VPN der Port TCP 443 von der Checkpoint vor konfiguriert. Wenn man nur eine Public IP Adresse hat und ein eingehendes NAT auf einen HTTPS Dienst konfigurieren will, kommt man natürlich vor ein Problem, da wir den TCP Port 443 bereits für das SSL-VPN benutzen. Wir können dieses Problem folgendermassen lösen. Wir müssen in den SSL- VPN Settings den Listen Port auf einen anderen Wert setzen:

  • Dafür müssen wir im Menu DEVICE --> Advanced --> Advanced Settings navigieren.
  • Nun kann man im Suchfeld mit ssl vpn den richtigen Parameter finden : VPN Remote Access - Remote Access port Dieses Attribut kann mit doppelklick editiert werden:
Checkpoint-0001.png

Checkpoint-0002.png
  1. Den Remote Access Port auf einen nicht benutzen Port ändern (default Wert 443)
  2. Wenn man den TCP443 Port für ein Einkommendes NAT (Destinations NAT) verwenden muss, ist diese Option zwingend einzuschalten.

Jetzt kann in der Übersicht die Konfigurationsänderung angeschaut werden: 

Checkpoint-0003.png

Wir sehen, der Port ist nun für 10443 konfiguriert, und das VPN wird über diesen Port verbinden.

Dafür müssen wir aber noch den VPN Client entsprechend anpassen: 

Checkpoint-0004.png

Wie kann ich auf einer Check Point ein Remote Client VPN einrichten?

Checkpoint-0005.png
  1. Menu VPN anwählen
  2. unter Remote Access Blade Control anwählen
  3. Remote Access muss eingeschalten sein, ansonsten wird der Remote VPN Zugriff nicht funktionieren
  4. im User Menu können die User definiert werden, welche über das Remote VPN Zugreifen dürfen. Dafür einfach auf den blauen user link klicken
  5. Damit wir im Log sehen was passiert, empfehlen wir das Log komplett einzuschalten
  6. im VPN Remote Access users can connct via: kann die VPN Methode ausgewählt werden, wie man auf die Check Point ein Remote VPN aufbauen kann. für das Klassische client VPN den Punkt Check Point VPN clients anwählen.
Checkpoint-0006.png

Checkpoint-0007.png

Checkpoint-0008.png

Checkpoint-0009.png

Checkpoint-0010.png

Wie konfiguriere ich ein VPN zwischen einer Check Point und einer FortiGate Firewall?

Ausgangslage:

Seite FortiGate Seite Checkpoint

Netzplan

Fortinet-2777.jpg
Hardware FortiGate 60F Checkpoint 1550
Software 6.4.2 build1723 R80.20.05 (992001134)
Lokal Netzwerk 10.10.161.0/24 10.10.151/24
Public IP 198.18.0.161 198.18.0.151

Authentication

Pre-shared Key definieren

IKE Version

Version 2

Phase 1 Proposal

Alogrithms: AES256-SHA256 DH-Group 15

Phase 1 Key Lifetime

86400 Sekunden

Phase 2 Proposal

Alogrithms: AES256-SHA512 / PFS-DH-Group 15

Phase 2 Key Lifetime

3600 Sekunden

Konfiguration Checkpoint 1550

Config webgui.png Konfiguration über das WebGUI:

Konfigurieren des VPN-Tunnels:
Um auf der Checkpoint einen VPN-Tunnel zu konfigurieren kann auf folgendes Menü angewählt werden:

VPN -> VPN Sites -> Cp new.jpg 

Fortinet-2646.jpg

Netzwerk-Parameter:

  1. Auf das TAB Remote Site gehen
  2. Site name: Hier wird der Name des VPN-Tunnels definiert
  3. Bei Conection type auf Host Name or IP address setzen
  4. IP address anwählen und im Feld die public IP-Adresse der FortiGate eingeben (198.18.0.153)
  5. Behind static NAT ist die NAT Traversal-Einstellung
Fortinet-2640.jpg


Authentication konfigurieren:

  1. Pre-shared secret anwählen (entspricht der Option Pre-shared KEY auf der Fortigate)
  2. im Feld Password den selben Key eingeben, welcher bereits auf der FortiGate definiert wurde
  3. mittels confirm den Key nochmals eingeben
Fortinet-2641.jpg

Remote Site Encryption Domain konfigurieren
Die Remote Site Encryption Domain entspricht dem lokalen Netz auf der FortiGate bei den Selektoren.
Zuerst muss das Netz oder der Host definiert werden. Dafür auf den Cp new.jpg klicken.
 Es öffnet sich folgendes Fenster: 

Fortinet-2642.jpg
  1. den Type auf Network stellen
  2. Network address Die Netzadresse angeben (ohne Subnetzmaske), was in unserem Fall das Netzwerk auf der FortiGate 10.10.161.0 ist
  3. Subnetmask Die Subnetzmaske des Netzes angeben: 255.255.255.0
  4. Object name Hier wird der Name definiert, wie das Objekt dann angewählt werden kann
  5. mit Cp apply.jpg das Objekt erstellen

Mit Cp select.jpg kann das Adress-Objekt zu der Encryption Domain hinzugefügt werden. 

Fortinet-2643.jpg

Encryption für Phase 1 und Phase 2 konfigurieren:

  1. das TAB Encryption anwählen
  2. Encryption settings auf custom stellen
  3. IKE (Phase 1)
    1. Encryption auf AES-256 konfigurieren, alle anderen Parameter deaktivieren
    2. Authentication auf SHA256 konfigurieren - alle anderen Parameter ebenfalls deaktivieren
    3. Diffie-Hellmann group support setzen wir auf Group 14 (2048 bit)
    4. Renegotiate every: wird auf 1440 Minuten gesetzt (auf der FortiGate ist 86400 Sekunden eingestellt, was 1440 Minuten entspricht)
  4. IPSec (Phase2)
    1. Encryption auf AES-256 konfigurieren, alle anderen Parameter deaktivieren
    2. Authentication auf SHA256 konfigurieren, alle anderen Parameter ebenfalls deaktivieren
    3. Enable Perfect Forward Secrecy (PFS) aktivieren
    4. Diffie-Hellmann group support setzen wir auf Group 14 (2048 bit)
    5. Renegotiate every: wird auf 3600 Sekunden gesetzt (auf der FortiGate haben wir diesen Parameter auf 3600s konfiguriert)
Fortinet-2644.jpg

Advanced Optionen konfigurieren:

  1. TAB Advanced anwählen
  2. Bei den Settings die Option Remote Gateway is a Check Point Security Gateway deaktivieren
  3. unter Encryption method den Parameter auf IKEv2 stellen.
Fortinet-2645.jpg

Konfigurieren eines Netzwerk Objektes:

  1. User & Objects anwählen
  2. Network Objects auswählen
Fortinet-2648.jpg

Im Editor-Fenster folgendes konfigurieren:

  1. Type auf Network einstellen
  2. Network address: Die Netzwerk-Adresse ohne Netzmaske eintragen
  3. Subnet mask: Die Subnetzmaske des Netzes eintragen
  4. Object name: Name des Adress-Objektes eintragen
  5. mit dem Button Cp apply.jpg wird das Objekt erstellt
Fortinet-2647.jpg

Konfigurieren der Policy:
Nun gilt es noch die Firewall Regeln zu konfigurieren:

  1. Menu Access Policy anwählen
  2. Policy auswählen
  3. unter dem Menu Incoming, Internal and VPN traffic mit Cp new.jpg wird eine neue VPN-Regel erstellt
Fortinet-2656.jpg
  1. Source und Destination, wie auch die Services anwählen.
  2. Das Feld Match only for encrypted traffic auswählen, so wird sichergestellt, dass diese Regel für den verschlüsselten Traffic gilt.
  3. mit Cp apply.jpg wird die Regel erstellt und aktiv
Fortinet-2654.jpg
  1. das Selbe in grün noch für die Gegenrichtung falls dies vom Setup erforderlich ist
Fortinet-2653.jpg

Fortinet-2655.jpg

Konfiguration FortiGate 60F:

Config webgui.png Konfiguration über das WebGUI:

Konfigurieren des VPN-Tunnels:

Netzwerkeinstellungen:

  1. Name des VPN-Tunnels definieren (es wird ein Tunnel-Interface mit diesem Namen gebildet)
  2. Bei Remote Gateway den Typ auf Static IP Address stellen
  3. Im Feld IP Address wird die public IP-Adresse der Checkpoint eingetragen (198.18.0.151)
  4. Bei Interface wird das ausgehende Interface (meistens WAN) angegeben. Auf diesem Interface wird das Tunnel-Interface dann als Subinterface gebildet
  5. NAT Traversal ist zu definieren, falls noch ein NAT Device zwischen der FortiGate und der Checkpoint vorhanden ist.
Fortinet-2634.jpg

Authentication konfigurieren:

  1. Method Auf Pr-shared Key einstellen
  2. Im Feld Pre-shared Key einen komplexen, nicht nachvollziehbaren Key konfigurieren (dieser Key wird auf der Checkpoint dann auch benötigt)
  3. In unserem Beispiel werden wir mit IKE Version 2 arbeiten. Dementsprechend den Parameter auf 2 einstellen
Fortinet-2635.jpg

Phase 1 Parameter konfigurieren:

  1. Encryption auf AES256 und Authentication auf SHA256 konfigurieren
  2. Alle anderen Encryption- und Authentications-Parameter entfernen
  3. Die Diffie-Hellmann Group wird auf 14 eingestellt
  4. Der Parameter Key Lifetime (seconds) auf 86400 (1440 Minuten) stellen
Fortinet-2636.jpg

Phase 2 Selektoren konfigurieren:

In diesem Beispiel zeigen wir, wie man den Selektor für 10.10.161.0/24 zu 10.10.151.0/24 konfiguriert:

  1. Name in diesem Feld kann ein Name für den Selektor definiert werden
  2. Local Address Das Netz welches bei der Fortigate erreicht werden soll. Typ auf Subnet stellen und Adresse: 10.10.161.0/24 konfigurieren
  3. Remote Address Das Netz welches wir hinter der Checkpoint erreichen wollen. Typ auf Subnet stellen und Adresse 10.10.151.0/24 konfigurieren
  4. Unter dem Menüpunkt Advanced können die Phase 2 Proposal konfiguriert werden
  5. Encryption auf AES256 und Authentication auf SHA256 stellen. Alle anderen Encryption- und Authentications-Parameter entfernen
  6. Perfect Forward Secrecy (PFS) aktivieren
  7. Die Difie-Hellman Group auf 14 stellen
  8. Key Lifetime auf Second stellen und dann 3600 Sekunden einstellen (dies ist nicht der default Wert auf der FortiGate)
Fortinet-2637.jpg

Konfigurieren der Routen:
Auf der FortiGate muss das Netz der Remote Seite(10.10.151.0/24) in den IPSec-Tunnel geroutet werden. Dabei zeigt die Route auf das Tunnel-Interface (vpn_to_CP_151). Damit bei einem Unterbruch des Tunnels der Traffic nicht über die default Route ins Internet geroutet wird, sollte eine Blackhole Route konfiguriert werden. Mehr Details dazu im Artikel : Was ist eine Blackhole Route?

Die Routen werden wie folgt konfiguriert: Menu: Network -> Static Routes -> Createnew.jpg

Fortinet-2651.jpg

Blackhole Route mit Distanz 254: 

Fortinet-2807.jpg

Konfigurieren der Policies:
Es braucht mindestens eine Policy auf der FortiGate. Damit der Traffic bidirektional durch den Tunnel geht, empfiehlt es sich eine Regel in jede Richtung zu konfigurieren. Dabei ist die Kommunikation zwischen dem VPN-Tunnel Interface (vpn_cp-forti) und dem internen Interface (internal2).

Menu : Policy & Objects -> IPv4 Policy -> Createnew.jpg

Fortinet-2652.jpg

Die ganze Policy noch bei bedarf gegengleich konfigurieren (Source Interface / Netz und Destinations Interface / Netz) Dabei kann die Clone Reverse Funktion benutzt werden. 

Fortinet-2808.jpg

Komplettes Regelsetup: 

Fortinet-2638.jpg
Config cli.png Konfiguration via CLI:

VPN Phase 1 konfigurieren:

config vpn ipsec phase1-interface
edit "vpn_to_CP_151"
        set interface "wan1"
        set ike-version 2
        set peertype any
        set net-device disable
        set proposal aes256-sha256
        set dhgrp 14
        set remote-gw 198.18.0.151
        set psksecret "Hier_einen_komplexen_Key_eingeben"
    next
end

VPN Phase 2 konfigurieren:

config vpn ipsec phase2-interface
    edit "p2-vpn_to_lab-0062-10.10.162.0-24"
        set phase1name "vpn_to_lab-0062"
        set proposal aes256-sha256
        set dhgrp 14
        set auto-negotiate enable
        set src-subnet 10.10.161.0 255.255.255.0
        set dst-subnet 10.10.162.0 255.255.255.0
    next
end

Routen konfigurieren:

config router static
    edit 2
        set dst 10.10.151.0 255.255.255.0
        set device "vpn_to_CP_151"
    next
    edit 3
        set dst 10.10.151.0 255.255.255.0
        set distance 254
        set comment "blackhole Route - CP Remote Netz"
        set blackhole enable
    next
end

Adress Objekte für Policies konfigurieren: 

config firewall address
    edit "net_remoteVPN-10.10.151.0-24"
        set comment "Remote Netz -VPN Checkpoint"
        set color 10
        set subnet 10.10.151.0 255.255.255.0
    next
    edit "net_ul-10.10.161.0-24"
        set color 3
        set subnet 10.10.161.0 255.255.255.0
    next

end

Policy konfigurieren: 

config firewall policy
    edit 5
        set name "I_vpn_CP_151->10.0.161.0-24"
        set srcintf "vpn_to_CP_151"
        set dstintf "internal2"
        set srcaddr "net_remoteVPN-10.10.151.0-24"
        set dstaddr "net_ul-10.10.161.0-24"
        set action accept
        set schedule "always"
        set service "ALL"
        set logtraffic all
    next
    edit 6
        set name "O_vpn_10.10.161.0-24->CP_151"
        set srcintf "internal2"
        set dstintf "vpn_to_CP_151"
        set srcaddr "net_ul-10.10.161.0-24"
        set dstaddr "net_remoteVPN-10.10.151.0-24"
        set action accept
        set schedule "always"
        set service "ALL"
        set logtraffic all
    next
end

Erfolgskontrolle

FortiGate Monitor: 

 Fortinet-2639.jpg

Checkpoint Monitor: 

Fortinet-2658.jpg

Traffic generieren und im Debug auf den beiden Geräten prüfen:
Ping von der FortiGate aus generiert:

  1. mit dem Befehl execute ping-option source 10.10.161.2 können wir der FortiGate angeben, mit welcher Adresse diese den Ping ausführen soll
  2. mit dem Befehl execute ping 10.10.151.2 können wir die IP Adresse auf der Checkpoint vom LAN Interface anpingen
Fortinet-2657.jpg

Im Flow sieht das so aus: 

# diag debug flow filter clear
# diag debug flow filter sadd 10.10.161.2
# diag debug flow filter dadd 10.10.151.2
# diag debug flow trace start 9000
# diag debug enable

# id=20085 trace_id=6 func=print_pkt_detail line=5639 msg="vd-root:0 received a packet(proto=1, 10.10.161.2:3584->10.10.151.2:2048) from local. type=8, code=0, id=3584, seq=0."
id=20085 trace_id=6 func=init_ip_session_common line=5810 msg="allocate a new session-00087e78"
id=20085 trace_id=6 func=ipd_post_route_handler line=439 msg="out vpn_to_CP_151 vwl_zone_id 0, state2 0x0, quality 0.
"
id=20085 trace_id=6 func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-vpn_to_CP_151"
id=20085 trace_id=6 func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-vpn_to_CP_151"
id=20085 trace_id=6 func=esp_output4 line=907 msg="IPsec encrypt/auth"
id=20085 trace_id=6 func=ipsec_output_finish line=622 msg="send to 198.18.0.151 via intf-wan1"
id=20085 trace_id=7 func=print_pkt_detail line=5639 msg="vd-root:0 received a packet(proto=1, 10.10.161.2:3584->10.10.151.2:2048) from local. type=8, code=0, id=3584, seq=1."
id=20085 trace_id=7 func=resolve_ip_tuple_fast line=5720 msg="Find an existing session, id-00087e78, original direction"
id=20085 trace_id=7 func=ipd_post_route_handler line=439 msg="out vpn_to_CP_151 vwl_zone_id 0, state2 0x0, quality 0.

# diag debug reset
# diag debug disable

fw monitor auf der Checkpoint: 

fwalem-lab-0151> expert  in den Expert Modus wechseln
Enter expert password:

You are in expert mode now.
FW Monitor:
[Expert@fwalem-lab-0151]# fw monitor -e 'accept host(10.10.161.2);'
 fw: getting filter (from command line)
 fw: compiling
monitorfilter:
Compiled OK.
 fw: loading
 fw: monitoring (control-C to stop)
[vs_0][fw_2] WAN:id[84]: 10.10.161.2 -> 10.10.151.2 (ICMP) len=84 id=53344
ICMP: type=8 code=0 echo request id=3840 seq=1
[vs_0][fw_2] WAN:ID[84]: 10.10.161.2 -> 10.10.151.2 (ICMP) len=84 id=53344
ICMP: type=8 code=0 echo request id=3840 seq=1
[vs_0][fw_2] WAN:o[84]: 10.10.151.2 -> 10.10.161.2 (ICMP) len=84 id=7498
ICMP: type=0 code=0 echo reply id=3840 seq=1
[vs_0][fw_2] WAN:O[84]: 10.10.151.2 -> 10.10.161.2 (ICMP) len=84 id=7498
ICMP: type=0 code=0 echo reply id=3840 seq=1
[vs_0][fw_2] WAN:O[84]: 10.10.151.2 -> 10.10.161.2 (ICMP) len=84 id=7498
ICMP: type=0 code=0 echo reply id=3840 seq=1
[vs_0][fw_2] WAN:id[84]: 10.10.161.2 -> 10.10.151.2 (ICMP) len=84 id=53345
ICMP: type=8 code=0 echo request id=3840 seq=2
[vs_0][fw_2] WAN:ID[84]: 10.10.161.2 -> 10.10.151.2 (ICMP) len=84 id=53345
ICMP: type=8 code=0 echo request id=3840 seq=2
[vs_0][fw_2] WAN:o[84]: 10.10.151.2 -> 10.10.161.2 (ICMP) len=84 id=7720
ICMP: type=0 code=0 echo reply id=3840 seq=2
[vs_0][fw_2] WAN:O[84]: 10.10.151.2 -> 10.10.161.2 (ICMP) len=84 id=7720
ICMP: type=0 code=0 echo reply id=3840 seq=2
[vs_0][fw_2] WAN:O[84]: 10.10.151.2 -> 10.10.161.2 (ICMP) len=84 id=7720
……
Mit ctrl+c kann der Output abgebrochen werden

Guide als PDF Herunterladen:

Q/A R81 GA

» Hier finden Sie die Präsentation zum Webinar als PDF: https://pages.checkpoint.com/rs/750-DQH-528/images/2020.11.13_Webinar_R81-overview.pdf

» Weiterführende Webinare zum Thema:

Fragen aus dem R81 Webinar inkl. Antworten & weiterführenden Links:

  • F: Was passiert wenn man einige Blades wie z.B. Sandboxing nicht lizenziert hat? Wird das Blade dann trotzdem mit der Inifinite Protection aktiviert?
  • A: Blades, die nicht lizensiert sind, werden hierdurch auch nicht aktiviert.
  • F: SmartEvent: Reicht es für die neuen Features das Management auf R81 zu haben oder müssen auch die Gateways R81 sein?
  • A: Teilsteils, manche Feature werden vom Management alleine bewältigt und andere brauchen ein R81 Gateway
  • F: Benötigt die Erkennung/Klassifizierung dieser IoT Geräte ein R81 Gateway?
  • A: IoT Funktionen sind ab der R80.40 verfügbar. Für die Klassifizierung & Risiko Analyse werden zusätzliche Systeme benötigt. Um die vollen Funktionen der IoT Policy zu Nutzen müssen auch R81 GW vorhanden sein.
  • F: Werden 2012 Appliances von R81 unterstützt.
  • A: Nein, letzte Version für 2012 Appliances ist derzeit R80.40 plus Hotfix
  • F: Wird Smart-1 Cloud in R81 auch MAESTRO unterstützen?
  • A: Ist geplant aber noch kein Datum für den Release
Abgerufen von „http://fortinet.also.ch/wiki/index.php?title=Grundkonfiguration&oldid=26607