Punto Net Tech

Punto Net Tech
Servicios Corporativos de Ciberseguridad - IT - DBA

jueves, 25 de julio de 2013

Checkpoint R71x en HA y publicación con SSL / OWA / WEB

Introducción
Las VPN están mutando de escenarios IPSEC a SSL por una cuestión de comodidad, no requiere un cliente dedicado y es más simple la administración. Aquí vamos a ver como resolvemos una situación particular en la plataforma Checkpoint R7x.x.

Problemática
Si usa un escenario con R71 o superior  en HA (Alta Disponibilidad), puede llegar a ocurrir que no pueda utilizar VPN por SSL si posee una publicación de sitios Web que utilice el puerto 443. A su vez, si realiza la actualización a R75.20 o superior, se va a encontrar con el problema que los servicios web publicados utilizando SSL dejan de estar disponibles y si intenta acceder, le aparece un error de certificado no válido provocado por la CA del Checkpoint.

Primeros Pasos
Analizar las reglas de NAT que publican el servicio WEB con SSL sobre el puerto 443, ya que requerirán cambios. Si a su vez Usted en los servidores Web posee un certificado comercial, es posible que tenga que cambiar la configuración del clúster.
El problema antes mencionado, Checkpoint lo resuelve en escenarios sin alta disponibilidad, agregando una dirección IP pública, lo que le permite definir que dirección IP escucha las páginas Web con SSL y cual es la dirección IP que se utiliza para recibir conexiones VPN vía SSL. Ahora si el escenario es un clúster (dos cajas de Checkpoint con HA), no puede aplicarse esta solución, ya que el HA solo soporta una dirección de IP pública.

Solución
Para resolver esto, debe realizar los siguientes pasos:
 1) Identifique las reglas de NAT en el cual publica la página web con SSL utilizando el puerto TCP/443.
 2) Verifique y anote la MAC address de su equipo.
 3) En el SmartDashboard, debe ir a Global Properties. Allí a la opción de NAT y saque el tilde que posee la opción Automatic ARP Configuration. Luego aplique la política.
 4) Cierre el SmartDashboard.
 5) Ingrese vía SSH al sistema operativo (puede hacerlo vía PUTty) e ingrese con la cuenta admin o cuenta con privilegio.
 6) Entre al modo experto. Si no recuerda, tipee expert en la consola. (le pedirá usuario y contraseña).
 7) Diríjase a $FWDIR/conf, tipeando cd $FWDIR/conf
 8) Verifique si existe el archivo local.arp, tipeando ls  local.arp
 9) Edite con el vi el archivo. Si no existe se creará uno al tipear vi local.arp.
 10) Presione la letra a para agregar la entrada que tipeará a continuación.  Deberá escribir la dirección IP secundaria que le agregará a la caja (dirección IP pública) y la MAC address.  Suponiendo que la dirección IP es la 200.1.1.1, el ejemplo sería  200.1.1.1  AA:BB:CC:DD:EE:FF
 11) Luego presiones la tecla ESC y tipee :x (sale y graba)
 12) Reinicie los servicios de Checkpoint,  utilizando los comandos cpstop y luego cpstart. Este atento si aparece algún error.
 13) Luego ingrese al SmartDashboard .
 14) Genere un objeto de red (network) con la dirección IP secundaria.
 15) Modifique las reglas de publicación y de NAT,  reemplace la dirección IP pública principal por la secundaria.
 16) Aplique las política y listo, ya puede probarlo.

Publicación con Certificado Digital
Si tiene asociado un certificado digital, los pasos mencionados arriba son los mismos, solo que en el punto 4) debería cambiar el IP Público del clúster por la nueva dirección IP pública y el resto de la configuración, la debe realizar con la IP Pública que tenía asociada antes al clúster. Luego siga los pasos como se menciona en el instructivo.

Además ya puede habilitar el SSL Visitor Mode.

Hasta la próxima....