Me he encontrado con algunos problemas de configuración en el Firewall-1 que administro. Los detallo aquí por si a alguien le sirven de ayuda. Para empezar, cuando nos instalaron el Firewall (Un Nokia IP330, con el Checkpoint NG R55 AI), no configuraron en los módulos las VPN. Al configurar la VPN en los módulos, la primera sorpresa que me llevo es que es incapaz de generar los certificados que necesita par funcionar. La autoridad interna de certificación (ICA) no funcionaba bien, parece ser que porque cuando se generó no tenía un nonbre FQDN. Conectado al los fires, tocó resetearla (fw sic_reset). Esto hizo que se perdieran las relaciones de confianza con los otros módulos del firewall, y que hubiese que restablecerla.
El segundo problema que me encontré fue la topología y la activación del antispoofing. Al no tener definida que patas eran externas o internas, cuando usaba el SecureClient para conectarme no escogia adecuadamente la IP con la cual tenía que negociar el IPSEC (vamos, una traza de tcpdump mostraba que se estaba conectando a la IP interna). Por otro lado, el antispoofing me dio problemas (tanto como que perdí la conexión con los módulos desde con la management). Al final tuve que optar, dado el particular direccionamiento que tengo por desactivarlo y hacer el antispoofing en los routers de borde, asegurandome que no salen IP's de la LAN y que no entran IP's RFC 1918.
Por otra parte, el SecureClient / SecureRemote tiene una particularidad divertidad: el Office Mode no está soportado por el SecureRemote, y estuve dando vueltas al asunto un rato hasta que descubrí en las páginas de soporte de Checkpoint esa diferencia.
Tendré que leer más documentación. De momento, he encargado el libro Essential Check Point FireWall-1 NG (la primera edicción dedicada a la versión 4.x me encantó).
No hay comentarios:
Publicar un comentario