El alcance de este laboratorio es realizar un despliegue desde 0 de VSX y realizar pruebas de funcionamiento.
Se han necesitado las siguientes herramientas:
- VirtualBox (Virtualizar el SMS y los dos SGW)
- GNS3 (Virtualizar los demás elementos de red y realizar interconexión entre ellos)
El despliegue se ha realizado en la versión R81.10, la más recomendada para VSX. Antes de empezar a montar el laboratorio, mostramos la topología a nivel de VSX que se va a desplegar, así como la topología a nivel "físico" que se monta en GNS3.
![Arquitectura Lógica Cluster VSX Checkpoint](https://ciberseguridad.blog/content/images/2022/12/clustervsx.webp)
![Topología Física Desplegada Checkpoint](https://ciberseguridad.blog/content/images/2023/01/Topolog-a-F-sica-Desplegada-Checkpoint.webp)
A lo largo de este laboratorio , nos vamos a centrar en 4 partes principalmente:
- Creación del clúster VSX
- Creación de VSW
- Creación de VS y asignación de políticas
- Pruebas de conectividad
Creación del clúster VSX
La configuración final, será la siguiente:
![Configuración inicial VSX](https://ciberseguridad.blog/content/images/2023/01/Configuraci-n-VSX-Checkpoint.webp)
Para empezar, se muestra la analogía VSX con los elementos de red tradicionales:
![Analogia VSX Checkpoint](https://ciberseguridad.blog/content/images/2023/01/Analogia-VSX-Checkpoint.webp)
Antes de la creación del clúster, tenemos que asegurarnos que los 2 SGW tienen visibilidad con la gestora SMS. Para crear el clúster VSX tenemos que usar el objeto específico que nos ofrece la SMS:
![Creación de objeto VSX Cluster Checkpoint](https://ciberseguridad.blog/content/images/2023/01/Creaci-n-de-objeto-VSX-Checkpoint.webp)
Tendremos que configurar la dirección principal del clúster. Por defecto, a partir de la versión R81.10 el único método de despliegue disponible es "Load Sharing":
![Creación Load Sharing Checkpoint](https://ciberseguridad.blog/content/images/2023/01/Creaci-n-Loas-Sharing-Checkpoint.webp)
Hay que asegurarse que VSX está habilitado a nivel de SGW (en ambos nodos). Esto puede habilitarse/deshabilitarse usando "cpconfig" (opción 7 y luego 11 para guardar)
Tras cambiarlo es necesario reiniciar para que se apliquen los cambios.
![Habilitar SVX con cpconfig](https://ciberseguridad.blog/content/images/2023/01/habilitar-SVX-.webp)
![cpconfig en checkpoint](https://ciberseguridad.blog/content/images/2023/01/cpconfig-checkpoint.webp)
El siguiente paso no difiere en la creación de un clúster de SGW normal. Hay que añadir cada nodo y establecer la SIC:
![Creación de un VSX](https://ciberseguridad.blog/content/images/2023/01/Creaci-n-de-cluster-VSX.webp)
Añadimos el primer nodo y establecemos la SIC:
![Añadimos el primer nodo en VSX](https://ciberseguridad.blog/content/images/2023/01/Creaci-n-de-un-VSX-en-Checkpoint-.webp)
![Comunicacion de VCX](https://ciberseguridad.blog/content/images/2023/01/Comunicacion-de-VCX.webp)
En este laboratorio el uso que haremos de los puertos es el siguiente:
- Eth0 - Gestión
- Bond1 (Eth1) - Redes LAN ( Crearemos un trunk donde se pasaran todas las VLANs )
- Eth2 - Externa
- Eth3 - Sincronización clúster
En el siguiente apartado, tenemos que indicar si vamos a configurar alguna interfaz como Trunk.
NOTA: primero hay que crear el bond antes de lanzar el wizard para que lo detecte, si no luego tendremos que editarlo en el objeto clúster:
![Creación bond0 en VSX](https://ciberseguridad.blog/content/images/2023/01/Creaci-n-bond0-en-VSX.webp)
Creación de las interfaces de sincronización, elegiremos un rango privado:
![Creación de un rango privado en VSX](https://ciberseguridad.blog/content/images/2023/01/Creaci-n-de-un-rango-privado-VSX.webp)
Para finalizar, el wizard nos pide crear una serie de reglas para la gestión del propio clúster VSX (No para los VS que creemos). Marcamos las políticas y aceptamos para que las cree:
![Creación de Políticas VSX en Wizard](https://ciberseguridad.blog/content/images/2023/01/Politicas-VSX-en-Wizard.webp)
Después de finalizar, podremos comprobar que ha aparecido un nuevo objeto clúster en nuestra gestora
![Estado de VSX en la gestora Checkpoint](https://ciberseguridad.blog/content/images/2023/01/Estado-de-VSX-en-la-gestora-Checkpoint.webp)
Creación de VSW
Una vez que se ha creado el clúster, vamos a crear los dos virtual switches que definen nuestra topología (Revisar mapa lógico).
- Vsx01_vsw ( En azul en la imagen inicial ): Se encargará de interconectar el VS_BLUE con el VS_GREEN, de forma que este último tenga que salir hacia INET a través del VS_BLUE
- Vsx02_vsw ( En rojo ): Proporciona salida a INET a los VS interconectando con un router externo. Posiciona a los VS en la misma VLAN Externa.
![Virtual Switch Checkpoint](https://ciberseguridad.blog/content/images/2023/01/Virtual-Switch-Checkpoint.webp)
![Configuración Virtual Switch Wizard Checkpoint](https://ciberseguridad.blog/content/images/2023/01/Virtual-Switch-Wizard-Checkpoint.webp)
Tenemos que definir el ID de VLAN Interna que vamos a usar para interconectar el VS_BLUE y VS_GREEN. En este caso hemos usado cualquier ID que no esté en uso , ID:200.
![Crear VLAN no usada bond0.200](https://ciberseguridad.blog/content/images/2023/01/crear-vlan-no-usada-bond.webp)
Ahora crearemos el VSwitch que proporciona la salida a INET, el vsw02_vsw, que tendremos que asociarlo al eth02.
![VSwitch para salida a internet Checkpoint](https://ciberseguridad.blog/content/images/2023/01/VSwitch-para-salida-a-internet-Checkpoint.webp)
![Asignación VSwitch Check Point salida internet eth2](https://ciberseguridad.blog/content/images/2023/01/Asignaci-n-VSwitch-Check-Point-salida-internet-eth2.webp)
Creación de Virtual System (VS) y asignación de políticas
En este apartado se verá la creación de los VS (Firewalls virtuales)
Solo veremos la creación de uno de ellos, pero tendremos 3 (Revisar mapa lógico)
- VS_BLUE: Tiene 2 redes internas y tiene conexión directa con el router externo ( A través del vsx02_vsw )
- VS_GREEN: Tiene una sola red interna, y para salir hacia INET no hace por VS_BLUE ( interconectado por vsx01_vws )
- VS_YELLOW: Tiene 1 red internas y tiene conexión directa con el router externo ( A través del vsx02_vsw )
![Creación de Virtual System en Checkpoint](https://ciberseguridad.blog/content/images/2023/01/Creaci-n-de-Virtual-System-en-Checkpoint.webp)
![Wizard de Virtual System Checkpoint](https://ciberseguridad.blog/content/images/2023/01/Wizard-de-Virtual-System-Checkpoint.webp)
En esta pantalla definiremos las interfaces de red que tendrá:
- Interfaz hacia el vsw02_vsw, del tipo "lead to virtual switch":
![Leads to Virtual Switch Checkpoint.png](https://ciberseguridad.blog/content/images/2023/01/Leads-to-Virtual-Switch-Checkpoint.webp)
![Datos del leads del Virtual System de Checkpoint](https://ciberseguridad.blog/content/images/2023/01/Datos-del-leads-del-Virtual-System-de-Checkpoint.webp)
Posteriormente la configuramos como interfaz externa ( Para usar la zona en políticas ):
![Interface Properties Checkpoint Virtual System Zona Externa](https://ciberseguridad.blog/content/images/2023/01/Interface-Properties-Checkpoint-Virtual-System.webp)
Interfaz hacia el vsw01_vsw:
![Interfaz hacia el vsw checkpoint](https://ciberseguridad.blog/content/images/2023/01/Interfaz-hacia-el-vsw-checkpoint.webp)
Creación de las Redes Internas del VS_BLUE
![Creación de las Redes Internas del VS_BLUE Checkpoint](https://ciberseguridad.blog/content/images/2023/01/Creaci-n-de-las-Redes-Internas-del-VS_BLUE-Checkpoint.webp)
![Creación de interfaz en Checkpoint](https://ciberseguridad.blog/content/images/2023/01/Creaci-n-de-intefaz-en-Checkpoint.webp)
Para finalizar con las interfaces habría que añadir GW y las rutas estáticas para formas la topología que se quiere montar, quedando de la siguiente forma.
![Rutas estaticas en Checkpoint](https://ciberseguridad.blog/content/images/2023/01/Rutas-estaticas-en-Checkpoint.webp)
Una vez creado el VS, tendremos que asignarle una política de seguridad, en este caso solo permitiremos el ICMP para hacer pruebas.
![Creación de políticas Checkpoint](https://ciberseguridad.blog/content/images/2023/01/Creaci-n-de-pol-ticas-Checkpoint.webp)
![Politica para permitir ICMP en Firewall Checkpoint](https://ciberseguridad.blog/content/images/2023/01/Politica-para-permitir-ICMP-en-Firewall-Checkpoint.webp)
![Procedemos a instalar Políticas Firewall Checkpoint](https://ciberseguridad.blog/content/images/2023/01/Procedemos-a-instalar-Politicas-Firewall-Checkpoint.webp)
Para montar el VS_YELL y VS_GREEN seguiremos los mismos pasos, añadiendo sus interfaces, rutas, conexiones y políticas de seguridad ( Tener en cuenta que cada VS es un firewall independiente )
Pruebas de conectividad
Salida a Internet desde las siguientes VLANS:
- VLAN 40 ( Pasando por VS_GREEN -> VS_BLUE -> EXT ):
![Pruebas de conectividad Checkpoint VLANS](https://ciberseguridad.blog/content/images/2023/01/Pruebas-de-conectividad-Checkpoint-VLANS.webp)
NOTA: Desde el VS 0 podemos ver el tráfico de cualquier VS, en este caso, si filtramos por las trazas icmp que se están lanzando veremos lo siguiente:
![VSX stat v Checkpoint](https://ciberseguridad.blog/content/images/2023/01/VSX-stat-v-Checkpoint.webp)
vsenv 0
fw monitor -e "ip_p=1,accept;"
![Comprobaciones bound checkpint](https://ciberseguridad.blog/content/images/2023/01/Comprobaciones-bound-checkpint.webp)
- VLAN_30 (Pasando por VS_BLUE -> EXT):
![Virtual system y comprobaciones](https://ciberseguridad.blog/content/images/2023/01/Virtual-system-y-comprobaciones.webp)
Y con estas últimas comprobaciones, terminamos el laboratorio. Espero que os sea de ayuda y nos vemos en el siguiente.