checkpoint firewall vraag - Netwerken

donderdag 13 november 2003 14:09

Acties:

Topicstarter

vooraf:

Wij gaan een nieuwe configuratie opzetten met daarbij een nieuwe internet lijn.
Deze gaat door een checkpoint firewall module die het opsplitst in een Localnet en een DMZ net. Op het localnet is het voor het gewone internet verkeer. Het gaat hier om een stuk of 8 pc's die zijn verbonden met 2 hubjes (de ene hub zit in de uplink poort van de andere) aan het dmznet hangen een stuk of 4 servers

Ook is er nog een tweede internet lijn die ook door een andere firewall module heen gaat. Aan deze zit een DMZ met een enkele server.

beide firewall modules worden aangestuurd door de zelfde management module(/gui). (De master dus) Deze staat in het localnet van de eerste internet lijn.

De vraag:

Zijn nu alle pc's/server's nog zichtbaar in de netwerkomgeving. en kan ik bijvoorbeeld ook via een van de pc's in het localnet bestanden openen die op de server van de 2de internet lijn ?

Als er trouwens verder iets niet klopt aan mijn verhaal zou ik het graag willen weten want dat scheelt toch weer een hoop werk

als iemand kan helpen graag

Ik hoop dat iemand hier iets vanaf weet want veel informatie kan ik er niet over vinden....

alvast bedankt.

Jostytosty

donderdag 13 november 2003 14:19

Acties:

Verwijderd

Denk dat al je vragen worden beantwoord als je de configuratie en DMZ in het bijzonder begrijpt :

DMZ
Demilitarized Zone - A part of the network that is neither part of the internal network nor directly part of the Internet. Basically a network sitting between two networks.

met alle respect; maar hier is echt voldoende info over te vinden ...

donderdag 13 november 2003 14:24

Acties:

jostytosty1

Topicstarter

Ik geloof niet dat je mijn vraag helemaal begrijpt.

Stel ik had bij alle 2 de firewall modules een localnet. Zijn deze dan voor elkaar bereikbaar. De enige fysieke verbinding tussen beide is de master die aan alle 2 de fwall modules verbonden is

donderdag 13 november 2003 14:30

Acties:

Verwijderd

Kan het duidelijker

[ Voor 3% gewijzigd door Verwijderd op 13-11-2003 14:30 ]

donderdag 13 november 2003 14:34

Acties:

Verwijderd

jostytosty1 schreef op 13 november 2003 @ 14:24:
Ik geloof niet dat je mijn vraag helemaal begrijpt.

Stel ik had bij alle 2 de firewall modules een localnet. Zijn deze dan voor elkaar bereikbaar. De enige fysieke verbinding tussen beide is de master die aan alle 2 de fwall modules verbonden is

Sorry; ik kan hier geen pindakaas van maken. Wat bedoel jij met master bijvoorbeeld... van de rest van je omschrijving word ik ook niet veel wijzer.

donderdag 13 november 2003 14:44

Acties:

Verwijderd

jostytosty1 schreef op 13 november 2003 @ 14:38:
Master is een term van checkpoint. Hierop staat zowel de firewall module als de gui. Het gaat hier om redelijk specifieke zooi dus als je geen checkpoint ervaring hebt is het niet echt zinnig om antwoord te geven.

Natuurlijk wel bedankt voor de poging

Mwaa... specefiek of niet; het principe van een firewall en DMZ zijn al sinds mensenheugenis hetzelfde hoor .....

Om je te proberen op weg te helpen met een betere omschrijving; alles wat in de local net staat (het locale netwek) kan bij de DMZ; alles vanuit internet kan bij de DMZ. Oftewel; als je je netwerk goed configureerd zal dat zich als zodanig gedragen en zie je die dus ook in je browse list.

Het zou overigens ook helpen als je aangeeft wat je zelf als hebt uitgezocht, en nogmaals, voor zover ik nu kan beoordelen zijn er (nog) gee prcoduct afhankelijke vragen door jou gesteld.

[edit] http://www.firewalls.com/images/document-dmz.jpg

[ Voor 3% gewijzigd door Verwijderd op 13-11-2003 15:38 ]

donderdag 13 november 2003 15:46

Acties:

fetcher

Inderdaad een kwestie van de goede objecten opzetten en goede rules configureren.
Met de gegevens en vooral de uitleg hierboven kan ik niets zinnings bedenken.

En euhm.. master een checkpoint term? Je bedoelt management console ?

Meer uitleg/bevestiging gewenst over het volgende:

• Management console staat dus in het "localnet" ?

• FW-1 inspectiemodule (Je feitelijke firewall) staat in het midden en scheid dus "localnet" en het "DMZ" en bied een uplink naar het internet?

• Je bedoelt de "browse list" van Windows (Netbios)?

• Wil je in "Hide" mode gaan werken of routeerd je firewall?

• Klopt de tekening van "De Digitale Kip" in de post boven mij ?

[ Voor 39% gewijzigd door fetcher op 13-11-2003 15:50 ]

vrijdag 14 november 2003 09:26

Acties:

jostytosty1

Topicstarter

Zo komt het er ongeveer uit te zien hoop ik....

Afbeeldingslocatie: http://members.lycos.nl/mb1e/forum/uploads/post-2-1068796934.gif

Ik heb dus 2 fwall modules voor 2 internet lijnen. die door de zelfde management module worden aangestuurd...

En trouwens... de management module in combinaite met de GUI is toch de master of zit ik er naast?

vrijdag 14 november 2003 10:05

Acties:

fetcher

Je kan ook vanaf een andere pc met de gui client connecten naar je management console (Logging komt hier binnen, hier worden de rulebases op gecompiled etc.)

Onder unix/linux:

cd $FWDIR/conf
vi clients
en voeg het ip adres toe van de machine waar je gui client op staat geinstalleerd

NT: Uhm, je kan het vast wel ergens aanvinken

Maar ik neem dus aan dat je je management console en je GUI client hebt geinstalleerd op 1 machine.

Op de Firewall vul je dan inderdaad je management console in als master

Als je de juiste protocolen permit (Microsoft Windows NetBIOS: 135, 137-139, 445 (TCP & UDP) kan je zowiezo op ip adres een drive mappen vanaf je "localnet" naar je server "New York". Netbios is nodig voor windows file sharing.

[ Voor 16% gewijzigd door fetcher op 14-11-2003 10:06 ]

vrijdag 14 november 2003 10:06

Acties:

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

jostytosty1 schreef op 13 november 2003 @ 14:38:
Master is een term van checkpoint. Hierop staat zowel de firewall module als de gui. Het gaat hier om redelijk specifieke zooi dus als je geen checkpoint ervaring hebt is het niet echt zinnig om antwoord te geven.

Natuurlijk wel bedankt voor de poging

Beetje jammer deze opmerking. Checkpoint werkt in prinipe hetzelfde als bv een cisco pix. Master als term ken ik eerlijk gezegd niet (terwijl ik toch ccse ben). Alles wat je wilt bereiken staat en valt met jouw rulebase configuratie en of de te gebruiken protocollen nat ondersteunen als dit gebruikt wordt.

[ Voor 13% gewijzigd door Bor op 14-11-2003 10:08 ]

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

maandag 17 november 2003 09:56

Acties:

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Ben je er inmiddels al uitgekomen?

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

donderdag 20 november 2003 09:27

Acties:

jostytosty1

Topicstarter

Nee, nog niet helemaal. maar ben weer een beetje verder.

kwas een beetje vergeten te reageren....

iedereen bedankt voor den hulp !! $_/-\o_$ $_/-\o_$

donderdag 20 november 2003 09:36

Acties:

fetcher

Ik vroeg het me ondertussen ook al af

donderdag 20 november 2003 10:16

Acties:

mughato

met de master bedoel je waarschijnlijk de policy server. checkpoint opstellingen bestaan uit drie componenten
1. policy editor (gui)
2. policy server (master)
3. enforcement module (firewall)

in een policy server kun je meerdere firewall's definieren. Voordeel hiervan is dat je een policy hebt voor je hele netwerk en dus een afgestemde security. Je kan met meerdere policy editor's (niet tegelijk R/W) een policy server beheren.

er moet altijd een connectie kunnen zijn tussen de firewall en de policy server, ook al zit deze firewall fysiek achter een andere firewall (via dmz, internet, wan, etc....). dit betekent dat je in de eerste firewall een regel op moet nemen welke verkeer toestaat tussen de policy servern en de tweede firewall welke zich achter de eerste firewall bevindt. kwestie van source-destination+ poortnummers aangeven in de eerste firewall.

succes

donderdag 20 november 2003 14:08

Acties:

jostytosty1

Topicstarter

Nadat ik een (soort van handleiding) heb gemaakt en zo goed als alles had uitgezocht over het installeren van de checkpoint fw-1 software (met veel help van jullie ) is mij verteld dat ik het op een "secure Platform moet installeren. Heeft iemand hier toevallig ervaring met het "secure platform van check point. Zover ik het heb begrepen is het een gestripte linux versie en volgens checkpoint duurt het minder dan 10 minuten om te installeren.

En wat ik me ook af vroeg is of je de gui en dergelijke dan wel op een windows 2000 kan installeren.

alvast bedankt.

donderdag 20 november 2003 15:07

Acties:

mughato

secure platform is te downloaden bij checkpoint. Volgens mij moet je dan online je code aanvragen. De policy server kan echter ook draaien op MS windows en SUN solaris etc.... zorg dan wel dat deze secure zijn (patches, registry, instellingen etc.)

de gui draait op alle ondersteunde ms platformen, dus ook 2000

het is ook mogelijk om de firewall, policy server en gui op een machine te installeren. Dit zal in de praktijk echter niet zo vaak voorkomen.

Wat wel vaak voorkomt is dat een van de firewalls ook de policy server is. Vooral als er maar een firewall in het netwerk voorkomt

[ Voor 32% gewijzigd door mughato op 20-11-2003 15:08 ]

donderdag 20 november 2003 15:07

Acties:

Whizzer

Flappie!

SecurePlatform is geweldig... Inderdaad een gestripte Linux versie, maar je kunt nog wel met rpm packages toevoegen... En natuurlijk kun je je Windows Management client gebruiken op die Checkpoint....

Het installeren is een eitje... CD erin, vraagjes beantwoorden en kort daarna kun je aan de slag...

Ik ben geweldig.. en bescheiden! En dat siert me...

donderdag 20 november 2003 15:12

Acties:

jostytosty1

Topicstarter

En is het ook geschikt voor mensen die de ballen verstand hebben van linux(IK DUS

) Ik heb ooit eens voor de lol redhat geinstalleerd maar daar houdt het wel mee op.

donderdag 20 november 2003 18:49

Acties:

Whizzer

Flappie!

Dan is er zelfs vor jouw nog hoop!

Want ik neem aan dat je nog wel vragen kunt beantwoorden als "wat is het primaire ip adres van deze machine?" enzo...

En daarna moet je een reboot geven en kun je vervolgens met een webbrowser (jaja, echt waar) de machine verder af configureren en vervolgens via de policy editor de firewall in gaan richten.....

Ik ben geweldig.. en bescheiden! En dat siert me...

donderdag 20 november 2003 19:26

Acties:

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Whizzer schreef op 20 november 2003 @ 18:49:
Dan is er zelfs vor jouw nog hoop!

Dan is er inderdaad nog wel hoop maar ik vraag me af of je iemand met dermate weinig kennis (no offence) een firewall moet laten instellen / opzetten / beheren. Waarom haal je er niet iemand bij die er wel verstand van heeft?

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

donderdag 20 november 2003 21:37

Acties:

Predator

Suffers from split brain

mughato schreef op 20 november 2003 @ 15:07:
de gui draait op alle ondersteunde ms platformen, dus ook 2000

het is ook mogelijk om de firewall, policy server en gui op een machine te installeren. Dit zal in de praktijk echter niet zo vaak voorkomen.

Wat wel vaak voorkomt is dat een van de firewalls ook de policy server is. Vooral als er maar een firewall in het netwerk voorkomt

Nou, de GUI zet je op je workstation en niet op de management server.
Je management server zet je zoiezo beter apart van de eigenlijk firewall, en de meeste hardware Checkpoint oplossingen vereisen een aparte management server.

Bor_de_Wollef schreef op 20 november 2003 @ 19:26:
[...]

Dan is er inderdaad nog wel hoop maar ik vraag me af of je iemand met dermate weinig kennis (no offence) een firewall moet laten instellen / opzetten / beheren. Waarom haal je er niet iemand bij die er wel verstand van heeft?

Een firewall configureren en beheren heeft weinig met linux te maken.

Hij moet enkel secureplatform installeren, geen linux beheer gaan doen.
Als je toch geen hardware oplossing kiest, neem dan zeker secureplatform.

[ Voor 4% gewijzigd door Predator op 20-11-2003 21:38 ]

Everybody lies | BFD rocks ! | PC-specs

donderdag 20 november 2003 22:21

Acties:

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Predator schreef op 20 november 2003 @ 21:37:
[...]

Een firewall configureren en beheren heeft weinig met linux te maken.

Hij moet enkel secureplatform installeren, geen linux beheer gaan doen.
Als je toch geen hardware oplossing kiest, neem dan zeker secureplatform.

Daar heb je gelijk in, maar dat bedoelde ik ook niet. TS komt alleen in het geheel nogal onzeker over op dit vlak. Checkpoint kennis heeft ie verder ook niet. Het lijkt me gewoon beter dit soort zaken te laten doen / te laten begeleiden door iemand die er wat meer kaas van heeft gegeten. Veel van de bedrijfjes waar ik puin heb moeten ruimen door verkeerde fw configuraties / netwerk setups werden veroorzaakt doordat men het "probleem" te veel had onderschat en niet genoeg kennis van zaken had, zeker niet door onwil.

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

vrijdag 21 november 2003 09:10

Acties:

jostytosty1

Topicstarter

Stiekem heeft bor wel gelijk hoor. Ik ben een stagair en waar ik stage loop is niemand die mij hier bij begeleid. maar ik kreeg net te horen dat er iemand van de leverancier komt voor de isntallatie. end. en ik ga ondersteunen....

vrijdag 21 november 2003 10:38

Acties:

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Predator schreef op 20 november 2003 @ 21:37:
[...]

Nou, de GUI zet je op je workstation en niet op de management server.
Je management server zet je zoiezo beter apart van de eigenlijk firewall, en de meeste hardware Checkpoint oplossingen vereisen een aparte management server.

Daar heb je gelijk in maar die vereiste komt ook voort uit de beperkte opslagcapaciteit van de hardware apparaten. Die dingen zijn gewoon niet gemaakt voor opslaan van logging etc en doen dat dus liever extern.

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

zaterdag 22 november 2003 09:56

Acties:

Predator

Suffers from split brain

Bor_de_Wollef schreef op 21 november 2003 @ 10:38:
[...]

Daar heb je gelijk in maar die vereiste komt ook voort uit de beperkte opslagcapaciteit van de hardware apparaten. Die dingen zijn gewoon niet gemaakt voor opslaan van logging etc en doen dat dus liever extern.

Een (groot) deel van die hardware dozen draait gewoon op een hardened linux versie en daar zou je prima genoeg opslag ruimte kunnen voorzien.

Maar je wilt toch geen onnodige meuk op je firewall als die ergens anders kan staan...

Everybody lies | BFD rocks ! | PC-specs

zaterdag 22 november 2003 10:55

Acties:

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Predator schreef op 22 november 2003 @ 09:56:
[...]

Een (groot) deel van die hardware dozen draait gewoon op een hardened linux versie en daar zou je prima genoeg opslag ruimte kunnen voorzien.

Maar je wilt toch geen onnodige meuk op je firewall als die ergens anders kan staan...

Klopt, echter de kleinere versies hardware dozen draaien soms uit rom.

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum