Creando un laboratorio de VSX de CheckPoint

El alcance de este laboratorio es realizar un despliegue desde 0 de VSX y realizar pruebas de funcionamiento.

Se han necesitado las siguientes herramientas:

VirtualBox (Virtualizar el SMS y los dos SGW)
GNS3 (Virtualizar los demás elementos de red y realizar interconexión entre ellos)

El despliegue se ha realizado en la versión R81.10, la más recomendada para VSX. Antes de empezar a montar el laboratorio, mostramos la topología a nivel de VSX que se va a desplegar, así como la topología a nivel "físico" que se monta en GNS3.

Arquitectura Lógica Cluster VSX Checkpoint

A lo largo de este laboratorio , nos vamos a centrar en 4 partes principalmente:

Creación del clúster VSX
Creación de VSW
Creación de VS y asignación de políticas
Pruebas de conectividad

Creación del clúster VSX

La configuración final, será la siguiente:

Para empezar, se muestra la analogía VSX con los elementos de red tradicionales:

Antes de la creación del clúster, tenemos que asegurarnos que los 2 SGW tienen visibilidad con la gestora SMS. Para crear el clúster VSX tenemos que usar el objeto específico que nos ofrece la SMS:

Creación de objeto VSX Cluster Checkpoint

Tendremos que configurar la dirección principal del clúster. Por defecto, a partir de la versión R81.10 el único método de despliegue disponible es "Load Sharing":

Hay que asegurarse que VSX está habilitado a nivel de SGW (en ambos nodos). Esto puede habilitarse/deshabilitarse usando "cpconfig" (opción 7 y luego 11 para guardar)

Tras cambiarlo es necesario reiniciar para que se apliquen los cambios.

El siguiente paso no difiere en la creación de un clúster de SGW normal. Hay que añadir cada nodo y establecer la SIC:

Añadimos el primer nodo y establecemos la SIC:

En este laboratorio el uso que haremos de los puertos es el siguiente:

Eth0 - Gestión
Bond1 (Eth1) - Redes LAN ( Crearemos un trunk donde se pasaran todas las VLANs )
Eth2 - Externa
Eth3 - Sincronización clúster

En el siguiente apartado, tenemos que indicar si vamos a configurar alguna interfaz como Trunk.

NOTA: primero hay que crear el bond antes de lanzar el wizard para que lo detecte, si no luego tendremos que editarlo en el objeto clúster:

Creación de las interfaces de sincronización, elegiremos un rango privado:

Para finalizar, el wizard nos pide crear una serie de reglas para la gestión del propio clúster VSX (No para los VS que creemos). Marcamos las políticas y aceptamos para que las cree:

Después de finalizar, podremos comprobar que ha aparecido un nuevo objeto clúster en nuestra gestora

Creación de VSW

Una vez que se ha creado el clúster, vamos a crear los dos virtual switches que definen nuestra topología (Revisar mapa lógico).

Vsx01_vsw ( En azul en la imagen inicial ): Se encargará de interconectar el VS_BLUE con el VS_GREEN, de forma que este último tenga que salir hacia INET a través del VS_BLUE
Vsx02_vsw ( En rojo ): Proporciona salida a INET a los VS interconectando con un router externo. Posiciona a los VS en la misma VLAN Externa.

Configuración Virtual Switch Wizard Checkpoint

Tenemos que definir el ID de VLAN Interna que vamos a usar para interconectar el VS_BLUE y VS_GREEN. En este caso hemos usado cualquier ID que no esté en uso , ID:200.

Ahora crearemos el VSwitch que proporciona la salida a INET, el vsw02_vsw, que tendremos que asociarlo al eth02.

VSwitch para salida a internet Checkpoint

Asignación VSwitch Check Point salida internet eth2

Creación de Virtual System (VS) y asignación de políticas

En este apartado se verá la creación de los VS (Firewalls virtuales)

Solo veremos la creación de uno de ellos, pero tendremos 3 (Revisar mapa lógico)

VS_BLUE: Tiene 2 redes internas y tiene conexión directa con el router externo ( A través del vsx02_vsw )
VS_GREEN: Tiene una sola red interna, y para salir hacia INET no hace por VS_BLUE ( interconectado por vsx01_vws )
VS_YELLOW: Tiene 1 red internas y tiene conexión directa con el router externo ( A través del vsx02_vsw )

Creación de Virtual System en Checkpoint

En esta pantalla definiremos las interfaces de red que tendrá:

Interfaz hacia el vsw02_vsw, del tipo "lead to virtual switch":

Datos del leads del Virtual System de Checkpoint

Posteriormente la configuramos como interfaz externa ( Para usar la zona en políticas ):

Interface Properties Checkpoint Virtual System Zona Externa

Interfaz hacia el vsw01_vsw:

Creación de las Redes Internas del VS_BLUE

Para finalizar con las interfaces habría que añadir GW y las rutas estáticas para formas la topología que se quiere montar, quedando de la siguiente forma.

Una vez creado el VS, tendremos que asignarle una política de seguridad, en este caso solo permitiremos el ICMP para hacer pruebas.

Politica para permitir ICMP en Firewall Checkpoint

Procedemos a instalar Políticas Firewall Checkpoint

Para montar el VS_YELL y VS_GREEN seguiremos los mismos pasos, añadiendo sus interfaces, rutas, conexiones y políticas de seguridad ( Tener en cuenta que cada VS es un firewall independiente )

Pruebas de conectividad

Salida a Internet desde las siguientes VLANS:

VLAN 40 ( Pasando por VS_GREEN -> VS_BLUE -> EXT ):

Pruebas de conectividad Checkpoint VLANS

NOTA: Desde el VS 0 podemos ver el tráfico de cualquier VS, en este caso, si filtramos por las trazas icmp que se están lanzando veremos lo siguiente: