Check Point Firewall’da IP, Domain ve URL Listelerinin Engellenmesi (CheckPoint R80.30)

CheckPoint Firewall Üzerinde IP, Domain ve URL Listelerinin Bloklanması (CheckPoint R80.30)

Bu konuyu iki yönde inceleyebiliriz:

1) Internet ortamından içeri doğru trafikte kaynak IP adres listesi bloklanması

2) İçeriden Internet ortamına doğru trafikte hedef IP, hedef domain veya hedef URL liste bloklanması

3) Internet ortamından içeri doğru trafikte kaynak IP adres listesi bloklanması

Bu konuda sk103154’daki yöntemi kullanabiliriz:

Aşağıdaki adresteki dosya indirilip management sunucuya kopyalanır:

https://supportcenter.checkpoint.com/supportcenter/portal/role/supportcenterUser/page/default.psml/media-type/html?action=portlets.DCFileAction&eventSubmit_doGetdcdetails=&fileid=56231

Management ssh ile bağlanıp komut satırında expert modda aşağıdaki komutlar dosyanın bulunduğu dizinde çalıştırılır:

tar -xvf ip_block_sk103154.tar

chmod -v u+x ip_block*

Alttaki şekilde IP bloklama aktif edilir:

./ip_block_activate.sh -a <on|off|stat|allow> [-g <gw_list_file>] [-b <bypass_file>] [-f <feed_file>] [-s /full_path_to/ip_block.sh]

gw_list_file: Listenin bloklanmasını istediğimiz gateway’lerin IP adreslerini alt alta yazıyoruz

feed_file: Listeleri alt alta URL olarak yazıyoruz.

Örneğin; labımda aşağıdaki şekilde dosyaları oluşturdum:

[Expert@CP_MNG:0]# more gw_list.txt

10.10.10.1

[Expert@CP_MNG:0]# more feeds_list.txt

http://myliste/liste.html
https://secureupdates.checkpoint.com/IP-list/TOR.txt

Aşağıdaki komutu management üzerinde çalıştırdım ve listemdeki gateway’ler üzerinde kaynak ip bloklamayı aktif hale getirdim:

./ip_block_activate.sh -a on -g gw_list.txt -f feeds_list.txt -s /home/admin/ip_block.sh

Bloklamayı durdurmak isterseniz aşağıdaki komutu kullanabilirsiniz:

./ip_block_activate.sh -a off -g gw_list.txt

Listelerde değişiklik olduğunda 20 dakikada bir otomatik olarak yenilenir. Burada önemli nokta listelerdeki IP adreslerinda sorun olmamalıdır. Listeler temiz olmalıdır. Aksi takdirde listeyi çekemez.

Listenin içeriğine gateway üzerinde aşağıdaki komut ile bakabilirsiniz. Dilediğini değeri komut sonunda “| grep” koyarak aratabilirsiniz:

fw samp get

Bu bloklama sadece “external” interface giren trafikte kaynak IP adreslerini bloklamak için çalışır. Yani listenizde iç IP adreslerinizden birini ekleseniz de bloklanmaz. “external” interface konfigürasyonunu gateway üzerinden “internal” olarak değiştirdiğinizde bloklanma olmaz.

İçeriden Internet Ortamına Doğru Trafikte Hedef IP, Hedef Domain veya Hedef URL Liste Bloklanması

Bu konuda sk132193’daki yöntemi kullanabiliriz.

Bu yöntemin çalışması için Antivirüs Blade gateway’de açık ve Threat Prevention politikalarında ayarlanmış olmasına ihtiyaç vardır. Ayrıca Threat Prevention profilinde “Malware DNS Trap” ayarlarının yapılmış olması gerekir.

Örneğin; USOM listesini bloklamak istediğimizde aşağıdaki satırı gateway üzerinde kullanabiliriz:

ioc_feeds add –feed_name usome_domain_list –transport https –resource “https://www.usom.gov.tr/url-list.txt” –format [type:url,value:1] –feed_action Prevent

Burada dikkat edilmesi gereken iki nokta bulunuyor:

1)  USOM listesi içerisinde virgül bulunuyor ve bu soruna neden oluyor. Bu sebeple bu listeyi eklemek için öncelikle listeyi farklı bir betik ile indirip temizleyip sonra dosyadan beslemek gerekiyor

2) USOM listesi aynı IP adresinden olan çoklu erişimlerde bir süre bloklama yapıyor. Bu sebeple liste boş gelebiliyor ve gateway üzerinde liste silinebiliyor. Bu nedenle yine listenin boş olmadığını kontrol etmek yararlı olabiliyor.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir