IMS INTERNET. Paramétrage de l offre Gateway Nokia/Checkpoint. Référence : DRS/DTS/DCRT/CID/04-079

IMS INTERNET Paramétrage de l offre Gateway Nokia/Checkpoint Edition : Référence : DRS/DTS/DCRT/CID/04-079

Nokia/Checkpoint 1. Introduction 1.1 OBJECTIFS DU DOCUMENT 1.2 VERSIONS INSTALLÉES 2. Connectique physique 3. Installation 3.1 NOKIA 3.2 CHECKPOINT FIREWALL-1/VPN-1 3.3 SECURECLIENT & S ECUREREMOTE SOMMAIRE DRS/DTS/DCRT/CID/04-079 05/04/04 Page 2

1. Introduction Nokia/Checkpoint 1.1 Objectifs du document Ce document fait suite à l installation de l architecture de sécurité correspondant au projet VPN. Ce rapport d installation constitue une référence quand à l installation et la configuration initiale de l architecture qui a été mise en place et peut être utilisé dans l intention de réinstaller une des composantes de la solution. Ce document se compose de deux parties majeures: La procédure d installation des composants de la solution permettant de suivre pas à pas les différentes étapes de celle-ci. La configuration de ces différents éléments. 1.2 Versions installées Voici les différentes versions des produits qui ont été utilisé pour la maquette : Nokia o Model : NOKIA IP 350 o IPSO : 3.5.1 FCS 3 o Software version : releng 963 09.13.2002-202000 Checkpoint VPN-1 / Firewall-1 o Check Point SVN Foundation NG Feature Pack 3 (Thu Sep 19 16:22:26 IDT 2002 Build 53267) o Check Point VPN-1/FireWall-1 NG Feature Pack 3 (Thu Sep 19 15:58:48 IDT 2002 Build 53225) o Check Point Policy Server NG Feature Pack 3 (Thu Sep 5 18:55:31 IDT 2002 Build 53031) SecureClient & SecureRemote o SecureClient NG FP3 pour Windows 2000 build 53515_1 o SecureRemote NG FP3 pour Windows 2000 build 53515_1 DRS/DTS/DCRT/CID/04-079 05/04/04 Page 3

2. Connectique physique Nokia/Checkpoint Slots pour cartes NOKIA IP 350 : d extension PIII 866 Mhz / 512 Mo de RAM / 10 Go de disque dur Eth1 Eth2 Eth3 Eth4 Port Console DRS/DTS/DCRT/CID/04-079 05/04/04 Page 4

3. Installation Nokia/Checkpoint 3.1 Nokia 3.1.1 IPSO : installation et configuration Ce paragraphe décrit les principales étapes de la configuration du système d exploitation IPSO 3.5.1. Les boîtiers NOKIA IP 350 sont fournis pré-installés. Ils disposent du système d exploitation IPSO 3.5.1 et de différents packages. Il a été nécessaire de rajouter le package de Checkpoint NG FP3 pour avoir la dernière version du produit. 1.1.1.1 Configuration minimale par le port console Afin de configurer les boîtiers, il faut connecter le port console en façade du NOKIA, sur le port série d un équipement informatique disposant d une émulation type VT100, paramétré comme suit: 8 bits de donnée, pas de parité, un bit de stop, débit à 9600 bauds Attention: utiliser le câble fourni avec le boîtier par NOKIA, avec les 2 connecteurs DB9. D autres types de câbles ne fonctionnent pas (test infructueux effectués avec des câbles pour des routeurs CISCO). Le câble est de type Null-Modem. Le câblage est fourni cidessous: 1 2 3 4 5 6 7 8 9 1 2 3 4 5 6 7 8 9 Allumer alors le boîtier NOKIA. Le boîtier effectue les tests de démarrage classiques (découverte et test de la mémoire RAM, du disque dur, ). Le message suivant s affiche: Verifying DMI Pool Data... 1... Bootmgr 2... IPSO Default:? Par défaut, le système boote sur le système d exploitation. Ce prompt reste actif 3 secondes, avant que le boîtier ne bascule sur le boot par défaut (IPSO). Le Nokia amorce le chargement du système d exploitation à partir du disque dur, et affiche le message: Hostname? DRS/DTS/DCRT/CID/04-079 05/04/04 Page 5

Nokia/Checkpoint Saisir le nom qui a été choisi pour le boîtier (par exemple : Nokia). Ce nom sera utilisé par le système pour identifier le boîtier, mais aussi par la console pour trouver l adresse IP. Il faudra donc associer à ce nom, une adresse IP, dans la table des HOST du NOKIA. Il faut ensuite saisir un mot de passe pour l utilisateur admin du NOKIA. Cet utilisateur sert à s authentifier lors de l accès au boîtier en HTTP, HTTPS, SSH et TELNET. Il a les droits en lecture/écriture sur le système. Le mot de passe est case sensitive. Le système demande ensuite quel utilitaire doit être utilisé pour terminer la configuration du boîtier: soit le Voyager (interface HTML graphique de configuration, par un accès distant IP), ou lynx (interface HTML texte de configuration, accessible depuis n importe quelle console locale ou déportée). System Startup Example Screen You can configure your system in two ways. 1) Configure an interface and use our Web-based Voyager via remote browser 2) VT100-based Lynx browser Please enter a choice [1-2, q]: 1 Dans l option 1, on peut configurer le boîtier à distance, depuis le réseau Ethernet connecté à une des interfaces du boîtier (il faudra pour cela paramétrer cette interface dans les questions qui vont suivre). L option 2 permet de paramétrer le boîtier directement en mode texte, en retrouvant les mêmes menus et fonctions que dans l interface graphique. Les flèches droite et gauche permettent de se déplacer dans les différentes options (suivante, précédente), la touche entrée valide ou invalide les optons sur lesquelles se trouve le curseur. Toutes les informations de configuration qui seront saisies par l interface LYNX en port console ou telnet ou bien par l interface html VOYAGER, sont stockées dans un seul et unique fichier : /config/active. Lorsque les paramètres sont modifiés et sauvés, ils sont mis à jour dans ce fichier. Lorsque le système redémarre, il utilise ce fichier pour re-paramétrer le boîtier. Toute modification effectuée en ligne de commande ne sera donc pas conservée. Pour revenir à une configuration d usine du boîtier, il faudra supprimer ce fichier et rebooter. Il faut ensuite sélectionner l interface Ethernet qui servira à la configuration : Select an interface from the following for configuration: 1)eth1c0 2)eth2c0 3)eth3c0 4)eth4c0 5)quit this menu Enter choice [1-5]: 1 Une fois que le port Ethernet est choisi (ex : eth2c0), il faut lui affecter les paramètres IP : adresse sur 4 octets séparée par des points (ex : 192.168.1.176) un masque réseau exprimé en nombre de bits (ex : 24 pour 255.255.255.0) saisir la route par défaut qui sera utilisée par le boîtier (important dans le cas ou la console de paramétrage n est pas dans le même sous-réseau IP que le boîtier). DRS/DTS/DCRT/CID/04-079 05/04/04 Page 6

Nokia/Checkpoint saisir les paramètres Ethernet choisis pour le port (débit 10 ou 100 Mbits, mode de transmission en half-duplex ou full-duplex). Il faut ensuite valider les modifications de la configuration par "Y". On peut alors accéder au menu voyager du NOKIA, en tapant comme URL, l adresse IP du boîtier NOKIA. Hostname? Please choose the host name for this system. This name will be used in messages and usually corresponds with one of the network hostnames for the system. Note that only letters, numbers, dashes, and dots (.) are permitted in a hostname. Hostname? Nokia Hostname set to "Nokia", OK? [y] Please enter password for user admin: Please re-enter password for confirmation: You can configure your system in two ways: 1) configure an interface and use our Web-based Voyager via a remote browser 2) VT100-based Lynx browser Please enter a choice [ 1-2, q ]: 1 Select an interface from the following for configuration: 1) eth1 2) eth2 3) eth3 4) eth4 5) quit this menu Enter choice [1-5]: 1 Enter the IP address to be used for eth1: 192.168.1.176 Enter the masklength: 24 Do you wish to set the default route [ y ]? y Enter the default router to use with eth1: 195.115.96.177 This interface is configured as 10 mbs by default. Do you wish to configure this interface for 100 mbs [ n ]? y This interface is configured as half duplex by default. Do you wish to configure this interface as full duplex [ n ]? y DRS/DTS/DCRT/CID/04-079 05/04/04 Page 7

Nokia/Checkpoint You have entered the following parameters for the eth1 interface: IP address: 192.168.1.176 masklength: 24 Default route: 195.115.96.177 Speed: 100M Duplex: full Is this information correct [ y ]? y Do you want to configure Vlan for this interface[ n ]? n You may now configure your interfaces with the Web-based Voyager by typing in the IP address "192.168.1.176" at a remote browser. Generating config files for Nokia: ipsrd hosts password group resolver snmp inetd ttys tz ntp ssmtp skey arp ndp aggrclass acl ddr e f syslog autosupport httpd lynx modem cron archive ipsec fmd AAA ssh done. ifmnetlog:eth4.. enabling 10baseT/UTP port in half duplex mode netlog:eth2.. enabling 10baseT/UTP port in half duplex mode netlog:eth3.. enabling 10baseT/UTP port in half duplex mode netlog:eth1.. enabling 100baseTX/UTP port in full duplex mode done. Apr 10 08:15:44 [LOG_INFO] kernel: netlog:eth4.. enabling 10baseT/UTP port in half duplex mode Apr 10 08:15:44 [LOG_INFO] kernel: netlog:eth2.. enabling 10baseT/UTP port in half duplex mode Apr 10 08:15:44 [LOG_INFO] kernel: netlog:eth3.. enabling 10baseT/UTP port in half duplex mode Apr 10 08:15:45 [LOG_INFO] kernel: netlog:eth1.. enabling 100baseTX/UTP port in full duplex mode Thu Apr 10 08:15:45 GMT 2003 DRS/DTS/DCRT/CID/04-079 05/04/04 Page 8

Nokia/Checkpoint 1.1.1.2 Configuration par l interface Voyager Au moyen d un navigateur HTML, il suffit de se connecter sur l adresse IP configurée sur le boîtier. L utilisateur est admin et le mot de passe celui qui a été saisi précédemment. Sur la page d accueil, on trouve le nom du boîtier, la version du système d exploitation installé, le nombre de minutes et heures depuis lesquelles il fonctionne, ainsi que les boutons Config (pour visualiser ou modifier les paramètres de la configuration) et Monitor (pour visualiser et exploiter la configuration). Un bouton Doc s affichera lorsque le package "documentation" aura été installé. Important : Toute modification appliquée par le bouton Apply doit être sauvée à l aide du bouton Save sous peine de perdre la modification après redémarrage du système. En se connectant sur http://192.168.1.176, on arrive à une fenêtre d authentification (le login/mot de passe est admin / abc123): DRS/DTS/DCRT/CID/04-079 05/04/04 Page 9

Nokia/Checkpoint Ensuite il faut configurer la seconde interface et lui donner une adresse IP : Config DRS/DTS/DCRT/CID/04-079 05/04/04 Page 10

Nokia/Checkpoint Config / Interfaces Config / Interfaces / eth2c0 DRS/DTS/DCRT/CID/04-079 05/04/04 Page 11

Nokia/Checkpoint Eth2 correspond maintenant à l interface publique du firewall : 195.115.96.176. Il faut également configurer l heure du NOKIA pour avoir une cohérence dans les logs : Config / Time DRS/DTS/DCRT/CID/04-079 05/04/04 Page 12

Nokia/Checkpoint Il faut maintenant activer les packages Checkpoint NG FP3 pour installer l application ; il y a trois packages à activer : Check Point SVN Foundation NG Feature Pack 3 (Thu Sep 19 16:22:26 IDT 2002 Build 53267) Check Point VPN-1/FireWall-1 NG Feature Pack 3 (Thu Sep 19 15:58:48 IDT 2002 Build 53225) Check Point Policy Server NG Feature Pack 3 (Thu Sep 5 18:55:31 IDT 2002 Build 53031) DRS/DTS/DCRT/CID/04-079 05/04/04 Page 13

Nokia/Checkpoint Config / Manage Installed Packages 3.1.2 Packages Checkpoint 1.1.1.3 Installation de Checkpoint NG FP3 L installation de la console de management et du module firewall / VPN se fait en ligne de commande sur le NOKIA. Il faut donc se reconnecter en telnet ou en port console pour faire l installation. La commande a utilisé est cpconfig. L installation qui a été faite, est une installation «stand alone», c'est-à-dire que la console de management et le firewall module ont été installé sur la même machine. Définition du type d installation : DRS/DTS/DCRT/CID/04-079 05/04/04 Page 14

Nokia[admin]# cpconfig Welcome to Check Point Configuration Program ================================================= Please read the following license agreement. Hit 'ENTER' to continue... Select installation type: (1) Enforcement Module. (2) Enterprise Management. (3) Enterprise Management and Enforcement Module. (4) Enterprise Log Server. (5) Enforcement Module and Enterprise Log Server. Enter your selection (1-5/a-abort) [1]: 3 C est une plateforme de test, donc nous n avons pas besoin de mettre une licence, nous allons utiliser la licence d évaluation checkpoint. Définition de la licence : Configuring Licenses... ======================= Host Expiration Signature Features Note: The recommended way of managing licenses is using SmartUpdate. cpconfig can be used to manage local licenses only on this machine. Do you want to add licenses (y/n) [y]? n Il faut également définir les administrateurs qui pourront se connecter sur la console et les adresses IP des machines pouvant se connecter à la console. DRS/DTS/DCRT/CID/04-079 05/04/04 Page 15 sur 31

Nokia/Checkpoint Définitions des administrateurs et des GUI clients : Configuring Administrators... ============================= No Check Point Administrators are currently defined for this Management Station. Do you want to add administrators (y/n) [y]? y Administrator name: admin Password: Verify Password: Permissions for all Management Clients (Read/[W]rite All, [R]ead Only All, [C]ustomized) W Permission to Manage Administrators ([Y]es, [N]o) Y Administrator admin was added successfully and has Read/Write Permission for all Management Clients Add another one (y/n) [n]? n Configuring Management Clients... ================================= Management clients are trusted hosts from which Administrators are allowed to log on to this Management Station using Windows/X-Motif GUI. No Management clients defined Do you want to add a Management client (y/n) [y]? y Please enter the list hosts that will be Management clients. Enter hostname or IP address, one per line, terminating with CTRL-D or your EOF character. 192.168.1.10 192.168.1.11 Is this correct (y/n) [y]? y Il est également nécessaire de créer une autorité de certification sur le checkpoint pour pouvoir faire du VPN. Création du CA Configuring Certificate Authority... ==================================== The system uses an Internal Certificate Authority to provide Secured Internal Communication (SIC) certificates for the components in your system. Note that your components will not be able to communicate with each other until the Certificate Authority is initialized and they have their SIC certificate. Press 'Enter' to initialize the Certificate Authority... Internal Certificate Authority created successfully Certificate was created successfully Certificate Authority initialization ended successfully Check Point product Trial Priod will expire in 15 days. During this period you are able to use the complete Check Point Product Suite. DRS/DTS/DCRT/CID/04-079 05/04/04 Page 16 sur 31

Please obtain a permanent license from Check Point User Center at: http://www.checkpoint.com/usercenter The FQDN (Fully Qualified Domain Name) of this Management Server is required for proper operation of the Internal Certificate Authority. Would you like to define it now (y/n) [y]? The FQDN of this Management Server is Nokia Do you want to change it (y/n) [n]? n Warning: The FQDN might be incorrect! Make sure it contains the host name and the domain name. NOTE: If the FQDN is incorrect, the Internal CA cannot function properly, and CRL retrieval will be impossible. Are you sure Nokia is the FQDN of this machine (y/n) [n]? y Press 'Enter' to send it to the Certificate Authority... Trying to contact CA. It can take up to 4 seconds... FQDN initialized successfully The FQDN was successfully sent to the CA Cette opération nécessite un redémarrage du NOKIA. Ensuite pour démarrer le firewall, il faire un cpstart et cpstop pour l arrêter. La configuration du Checkpoint se fait ensuite par l intermédiaire d une GUI qu il faut installer sur un poste. DRS/DTS/DCRT/CID/04-079 05/04/04 Page 17 sur 31

3.2 Checkpoint Firewall-1/VPN-1 3.2.1 Configuration Toute la configuration du firewall Checkpoint se fait par l intermédiaire d une GUI (Graphical User Interface). Il y a plusieurs choses à configurer : Propriétés du firewall module Propriétés du VPN module Définitions des objets réseaux, groupes d utilisateurs, machines Création de la politique de sécurité 1.1.1.4 Configuration du firewall module L objet firewall est automatiquement créé ; il faut juste le configurer : Cocher VPN-1 Pro SecureClient Policy Server Dans l onglet Topology il faut configurer les interfaces pour définir laquelle se trouve en interne et laquelle se trouve en externe. Eth1 se trouve dans le LAN et eth2 est considéré comme externe. Il faut choisir l interface et cliquer sur Edit. DRS/DTS/DCRT/CID/04-079 05/04/04 Page 18 sur 31

Il faut choisir «Internal» et préciser le réseau LAN Pour eth2, il faut choisir «External» : DRS/DTS/DCRT/CID/04-079 05/04/04 Page 19 sur 31

Ensuite, il faut cliquer dans l onglet VPN et ajouter la communauté VPN : RemoteAccess. Il faut également spécifier les utilisateurs qui vont pouvoir se connecter au Policy Server. Le policy server est utilisé dans le cas des Secure Clients. C est lui qui permet de distribuer les règles de sécurité. Dans notre cas, le groupe d utilisateurs qui a été défini est le groupe Nomades. DRS/DTS/DCRT/CID/04-079 05/04/04 Page 20 sur 31

L onglet RemoteAcces permet de configurer l office mode qui permet d affecter une adresse IP d un pool à un utilisateur. Il faut pour cela cliquer sur «Offer Office Mode to group» et choisir notre groupe d utilisateurs «Nomades». Il faut également choisir le pool d adresses IP en cliquant sur «Manual» et en choissant le pool d adresses créé : «IP_Office». 1.1.1.5 Création des objets Création de l objet réseau local «LAN» : DRS/DTS/DCRT/CID/04-079 05/04/04 Page 21 sur 31

Création du Pool d adresses IP «IP_Office» : Création des hosts «Laptop1» et «Laptop2» : DRS/DTS/DCRT/CID/04-079 05/04/04 Page 22 sur 31

Voici la vue obtenue dans le Checkpoint SmartMap : Création des utilisateurs «user01» et «user02» : La création des utilisateurs comprend également les propriétés d authentification et de chiffrement de l utilisateur. Il faut donc aller dans l onglet «Encryption», cocher IKE, Edit et définir le «preshared secret» (user01 pour user01 et user02 pour user02). DRS/DTS/DCRT/CID/04-079 05/04/04 Page 23 sur 31

Création du groupe d utilisateurs «Nomades» : Il faut ensuite inclure ces utilisateurs dans le groupe «Nomades» : DRS/DTS/DCRT/CID/04-079 05/04/04 Page 24 sur 31

DRS/DTS/DCRT/CID/04-079 05/04/04 Page 25 sur 31

1.1.1.6 Configuration de la communauté VPN La configuration des propriétés de la communauté VPN se fait dans l onglet «VPN Manager» en cliquant sur «RemoteAccess». C est ici que l on va définir la gateway et les groupes d utilisateurs qui vont intervenir dans la communauté VPN. Il suffit de choisir le firewall «Nokia» dans «Participating Gateways» et «Nomades» dans «Participating Users Groups». On obtient ainsi une vue de ce type : DRS/DTS/DCRT/CID/04-079 05/04/04 Page 26 sur 31

DRS/DTS/DCRT/CID/04-079 05/04/04 Page 27 sur 31

1.1.1.7 Création de la politique de sécurité Création de la politique du firewall Checkpoint 1. Cette règle autorise le portable de Charles et de Fred à se connecter sur le Nokia pour l administrer. 2. Cette règle autorise les serveurs DNS du LAN à forwarder les requêtes DNS vers des serveurs DNS externe. 3. Cette règle autorise le LAN à accéder à l extérieur 4. Cette règle autorise les SecureClient de la communauté RemoteAcces à se connecter sur le LAN en VPN. Création de la politique des clients VPN 1. Cette règle interdit les flux Inbound sur les SecureClient 2. Cette règle autorise les flux vers le LAN mais demande à ceux qu ils soient chiffrés (Encrypt) 3. Cette règle autorise les flux Outband sur les SecureClient DRS/DTS/DCRT/CID/04-079 05/04/04 Page 28 sur 31

3.3 SecureClient & SecureRemote 3.3.1 Configuration La configuration du SecureClient nécessite à définir l adresse IP du firewall checkpoint afin de récupérer la topologie du réseau et le domaine de chiffrement. Il faut également, dans le cas d un SecureClient, se connecter au Policy Server pour récupérer les règles de sécurité définie par la console de management Checkpoint. Il faut cliquer sur Sites / Create New et mettre l adresse IP du firewall Checkpoint : Ensuite, le firewall demande à l utilisateur de s authentifier. Le login utilisé dans la maquette est user01 et le password est user01. DRS/DTS/DCRT/CID/04-079 05/04/04 Page 29 sur 31

Une fois authentifié, il faut se connecter au Policy Server pour récupérer la politique de sécurité : La petite icône avec le cadenas indique que le SecureClient est activé et que la politique de sécurité est activée : Dans les logs du Checkpoint Firewall-1, on peut vérifier que la connexion s est correctement effectuée et que le trafic vers la machine Charles est correctement déchiffré : DRS/DTS/DCRT/CID/04-079 05/04/04 Page 30 sur 31

DRS/DTS/DCRT/CID/04-079 05/04/04 Page 31 sur 31