Checkpoint DHCP-Relay

Bu karalamamda checkpoint firewall  üzerinde farklı interface’ler arasında dhcp-relay paketlerinin geçmesine nasıl izin verilir ondan bahsedeceğim. Çok karmaşık bir ayarı yok fakat gerçekten bilmediğiniz zaman can sıkıcı bir hale geliyor. Öncelik ile neden böyle birşeye ihtiyaç duyarız biraz ondan bahsedelim.  Bazı firmalar ortamda L3 cihaz olmayınca VLAN routing işlemini firewall’da yapabilir, ortamda güvenlik altında tutmaya çalıştığı bir network varsa onu firewall arkasında konumlandırabilir veya guest (misafir) networkü varsa bunların local networke bulaşmasını engellemek için firewall arkasında farklı bir interface’de konumlanıdıryor olabilir. Böyle senaryoların yapılmasının bir amacı var ki, günümüz stateful firewall’ların özelliklerinden yararlanıp bu alanlardan gelecek saldırıları veya bu alanlara gidebilecek saldırıları engellemektir. Hal böyle olunca her interface alanında DHCP kurmak veya firewall üzerindeki DHCP’yi açmak yerine, merkezi kontrolü sağlayacak bir DHCP üzerinden tüm interface’lere DHCP paketlerinizi yollamak isteyebilirsiniz. Böyle bir seneryanuz varsa firewall üzerinde yapmanız gereken ( firewall marka bağamsız )

  • Firewall üzerinde DHCP relay tanımlamak
  • Firewall üzerinde DHCP replay ve request paketlerine izin vermeniz olacak

Ben bu işlem için checkpoint’in özelliklerinden faydalanacağım.

Öncelik ile checkpoint firewall  üzerinde yüklü olan GAIA’ya bağlanıp relay tanımlamasını yapalım.

Advanced Routing -> DHCP Relay alanine gelelim.

dhcp-relay1

 

 

Add tabına basalım ve karşımıza gelen pencerece interface alanında, hangi interface için relay tanımlayacaksak onu seçelim

Burada dikkat etmeniz gereken eğer bir interface altında VLAN’lar oluşturduysak, burada interface yerine onun altında oluşturduğunuz vlan interface’i seçmeniz gerekiyor.

 

İnterface : Relay tanımlamasını yapacağınız bacağı seçiyoruz

Primary Address: İlgili interface’in gateway adresini yazıyoruz

Add Relay: Relay server’ın IP adresi


dhcp-relay2

 

Buradaki işlemimiz bittikten sonra Management yazılmmızda rule yazalım

 

Firewall -> Policy  alanında “udp dhcp-replocalmodule, dhcp-rep-localmodule”   paketlerine izin veriyoruz.

dhcp-replay3

 

 

Kurala source ve destination alanlarını seçerek daha da güvenli hale getirebiliriz fakat ben test için any-any olarak seçtim.

Bu aşamadan sonra tracker üzerinden paketlerin geçtiğini görebilirsiniz.

 

Hadi kolay gelsin 🙂

Leave a Reply

Your email address will not be published. Required fields are marked *

*