Seguridad

Creando un laboratorio de VSX de CheckPoint

Creando un laboratorio de  VSX de CheckPoint Creando un laboratorio de  VSX de CheckPoint

El alcance de este laboratorio es realizar un despliegue desde 0 de VSX y realizar pruebas de funcionamiento.

Se han necesitado las siguientes herramientas:

  • VirtualBox  (Virtualizar el SMS y los dos SGW)
  • GNS3 (Virtualizar los demás elementos de red y realizar interconexión entre ellos)

El despliegue se ha realizado en la versión R81.10, la más recomendada para VSX. Antes de empezar a montar el laboratorio, mostramos la topología a nivel de VSX que se va a desplegar, así como la topología a nivel “físico” que se monta en GNS3.

Creando un laboratorio de  VSX de CheckPoint
Creando un laboratorio de  VSX de CheckPoint

A lo largo de este laboratorio , nos vamos a centrar en 4 partes principalmente:

  1. Creación del clúster VSX
  2. Creación de VSW
  3. Creación de VS y asignación de políticas
  4. Pruebas de conectividad

Creación del clúster VSX

La configuración final, será la siguiente:

Creando un laboratorio de  VSX de CheckPoint

Para empezar, se muestra la analogía VSX con los elementos de red tradicionales:

Creando un laboratorio de  VSX de CheckPoint

Antes de la creación del clúster, tenemos que asegurarnos que los 2 SGW tienen visibilidad con la gestora SMS. Para crear el clúster VSX tenemos que usar el objeto específico que nos ofrece la SMS:

Creando un laboratorio de  VSX de CheckPoint

Tendremos que configurar la dirección principal del clúster. Por defecto, a partir de la versión R81.10 el único método de despliegue disponible es “Load Sharing“:

Creando un laboratorio de  VSX de CheckPoint

Hay que asegurarse que VSX está habilitado a nivel de SGW (en ambos nodos). Esto puede habilitarse/deshabilitarse usando “cpconfig” (opción 7 y luego 11 para guardar)

Tras cambiarlo es necesario reiniciar para que se apliquen los cambios.

Creando un laboratorio de  VSX de CheckPoint
Creando un laboratorio de  VSX de CheckPoint

El siguiente paso no difiere en la creación de un clúster de SGW normal. Hay que añadir cada nodo y establecer la SIC:

Creando un laboratorio de  VSX de CheckPoint

Añadimos el primer nodo y establecemos la SIC:

Creando un laboratorio de  VSX de CheckPoint
Creando un laboratorio de  VSX de CheckPoint

En este laboratorio el uso que haremos de los puertos es el siguiente:

  • Eth0 – Gestión
  • Bond1 (Eth1) – Redes LAN ( Crearemos un trunk donde se pasaran todas las VLANs )
  • Eth2 – Externa
  • Eth3 – Sincronización clúster

En el siguiente apartado, tenemos que indicar si vamos a configurar alguna interfaz como Trunk.

NOTA: primero hay que crear el bond antes de lanzar el wizard para que lo detecte, si no luego tendremos que editarlo en el objeto clúster:

Creando un laboratorio de  VSX de CheckPoint

Creación de las interfaces de sincronización, elegiremos un rango privado:

Creando un laboratorio de  VSX de CheckPoint

Para finalizar, el wizard nos pide crear una serie de reglas para la gestión del propio clúster VSX (No para los VS que creemos). Marcamos las políticas y aceptamos para que las cree:

Creando un laboratorio de  VSX de CheckPoint

Después de finalizar, podremos comprobar que ha aparecido un nuevo objeto clúster en nuestra gestora

Creando un laboratorio de  VSX de CheckPoint

Creación de VSW

Una vez que se ha creado el clúster, vamos a crear los dos virtual switches que definen nuestra topología (Revisar mapa lógico).

  • Vsx01_vsw ( En azul en la imagen inicial ): Se encargará de interconectar el VS_BLUE con el VS_GREEN, de forma que este último tenga que salir hacia INET a través del VS_BLUE
  • Vsx02_vsw ( En rojo ): Proporciona salida a INET a los VS interconectando con un router externo. Posiciona a los VS en la misma VLAN Externa.
Creando un laboratorio de  VSX de CheckPoint
Creando un laboratorio de  VSX de CheckPoint

Tenemos que definir el ID de VLAN Interna que vamos a usar para interconectar el VS_BLUE y VS_GREEN. En este caso hemos usado cualquier ID que no esté en uso , ID:200.

Creando un laboratorio de  VSX de CheckPoint

Ahora crearemos el VSwitch que proporciona la salida a INET, el vsw02_vsw, que tendremos que asociarlo al eth02.

Creando un laboratorio de  VSX de CheckPoint
Creando un laboratorio de  VSX de CheckPoint

Creación de Virtual System (VS) y asignación de políticas

En este apartado se verá la creación de los VS (Firewalls virtuales)

Solo veremos la creación de uno de ellos, pero tendremos 3 (Revisar mapa lógico)

  • VS_BLUE: Tiene 2 redes internas y tiene conexión directa con el router externo ( A través del vsx02_vsw )
  • VS_GREEN: Tiene una sola red interna, y para salir hacia INET no hace por VS_BLUE ( interconectado por vsx01_vws )
  • VS_YELLOW: Tiene 1 red internas y tiene conexión directa con el router externo ( A través del vsx02_vsw )
Creando un laboratorio de  VSX de CheckPoint
Creando un laboratorio de  VSX de CheckPoint

En esta pantalla definiremos las interfaces de red que tendrá:

  • Interfaz hacia el vsw02_vsw, del tipo “lead to virtual switch”:
Creando un laboratorio de  VSX de CheckPoint
Creando un laboratorio de  VSX de CheckPoint

Posteriormente la configuramos como interfaz externa ( Para usar la zona en políticas ):

Creando un laboratorio de  VSX de CheckPoint

Interfaz hacia el vsw01_vsw:

Creando un laboratorio de  VSX de CheckPoint

Creación de las Redes Internas del VS_BLUE

Creando un laboratorio de  VSX de CheckPoint
Creando un laboratorio de  VSX de CheckPoint

Para finalizar con las interfaces habría que añadir GW y las rutas estáticas para formas la topología que se quiere montar, quedando de la siguiente forma.

Creando un laboratorio de  VSX de CheckPoint

Una vez creado el VS, tendremos que asignarle una política de seguridad, en este caso solo permitiremos el ICMP para hacer pruebas.

Creando un laboratorio de  VSX de CheckPoint
Creando un laboratorio de  VSX de CheckPoint
Creando un laboratorio de  VSX de CheckPoint

Para montar el VS_YELL y VS_GREEN seguiremos los mismos pasos, añadiendo sus interfaces, rutas, conexiones y políticas de seguridad ( Tener en cuenta que cada VS es un firewall independiente )

Pruebas de conectividad

Salida a Internet desde las siguientes VLANS:

  • VLAN 40 ( Pasando por VS_GREEN -> VS_BLUE -> EXT ):
Creando un laboratorio de  VSX de CheckPoint

NOTA: Desde el VS 0 podemos ver el tráfico de cualquier VS, en este caso, si filtramos por las trazas icmp que se están lanzando veremos lo siguiente:

Creando un laboratorio de  VSX de CheckPoint

vsenv 0
fw monitor -e "ip_p=1,accept;"

Creando un laboratorio de  VSX de CheckPoint
  • VLAN_30 (Pasando por VS_BLUE -> EXT):
Creando un laboratorio de  VSX de CheckPoint

Y con estas últimas comprobaciones, terminamos el laboratorio. Espero que os sea de ayuda y nos vemos en el siguiente.

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.