Instalación básica stonegate

Hacía unos cuantos años que no montaba desde 0 un stonegate, debido a marrones variados, el otro día me tocó montar otro así que, saqué unos pantallazos…

Antes de instalar nada tienes que tener las licencias, desde la ultima vez que monte uno, han cambiado el sistema de licenciamiento. Ahora tienes que pedir una licencia de consola y de log server contra la ip que va a tener el servidor y ya no hace falta hacerlo para los nodos (se hace desde el management en vez de por la web).

Te bajas las dos isos (de aqui, la de management center (consola + log server) y la de los nodos (firewall + vpn engine).

Las tuestas con tu programa favorito te instalas el smc, no tiene ningún misterio, seleccionas el path, siguiente, siguiente, pones usuario y contraseña y acabas. Ojo que te instala una versión algo antigua del JRE y ojo también a cambiar la versión, a veces se va todo a la mierda.

Arrancas el smc y le pones los 2 ficheros de licencia que te has descargado de la web, de lo contrario no te va a dejar hacer nada.

Ahora toca crear el objeto firewall.

Firewall -> New -> firewall cluster

Hay que definir los interfaces de red de los nodos, como es un cluster, cada «pata» tendrá 3 ip’s, una virtual y dos físicas. La primera que se define normalmente es la de administración (para poder coger control de los nodos) así que, se define para los dos nodos (que todavía no están instalados) y, de momento basta asi.

En cuanto lo hagas tienes que definir las licencias, sino no te deja instalar políticas en los nodos. en cuanto lo hagas debería quedar algo parecido a esto.

licencias stonegate

No se ve una mierda, pero bueno, si no esta en verde no te va a funcionar…

Ahora instalas uno de los nodos, hay que seleccionar cual va a ser la tarjeta que vas a usar para administración (que es la que va a contactar con la consola). Una vez finalizada la instalación tienes dos opciones, o utilizas un pendrive para realizar lo que ellos llaman (contacto inicial) o hacerlo a mano. Lo normal es que tengas que hacerlo unas cuantas veces (o por lo menos eso me pasa a mi siempre) así que, yo prefiero hacerlo a mano.

Para hacerlo a mano, hay que seleccionar el nodo en cuestión y hacer «save initial configuration», luego copias la key de un solo uso en el nodo y, si tiene conexión se realiza.

Si todo va bien haces lo mismo en el segundo nodo y ya tienes el cluster montado. Ojo con el heartbeat, aunque se puede utilizar cualquier red para hacerlo, se recomienda usar una tarjeta dedicada (con un cable cruzado mejor que mejor).

Una vez tengas control del cluster, toca definir el resto de los interfaces, este es el ejemplo de uno de los mios.

licencias stonegate

1 ip virtual (la definición de la mac es opcional, pero luego ayuda a la hora de hacer trazas, ojo con el switch que tengas).

2 ip’s fisicas, 1 a cada nodo, en cuanto instales la política se configuran automáticamente.

Esta es la definición del heartbea (igual, pero sin ip virtual)t.

licencias stonegate

Una vez definidos todos los interfaces e instalados en los nodos, tienes un bonito firewall que no hace nada.

Lo siguiente que hay que tocar es el routing y el anti-spoofing.< Antes de añadir rutas, tienes que crearte los objetos router que necesites, es decir, si tienes el fw en 10.36.149.x y el default gw de esa red es 10.36.149.1, tienes que definir un objeto router con la 10.36.149.1.
Una vez que tengas el router definido, vas a la pestaña routing (Configuration -> Routing). Debajo de cada interface aparece la red que tienes definida. Pues bien, arrastras el router a esa red y despues vas añadiendo las redes (que has tenido que crear también) a ese router. Al instalar, te pone las rutas en cada nodo. es muy gráfico, pero un poco coñazo.

Al ir añadiendo las rutas, se va ajustando el antispoof, aun así, a veces hay que tocarlo a mano, suele fallar el dhcp (o el bootp) pero poco mas.

Con esto el firewall ya esta configurado (pero sin política, con lo que sigue sin hacer nada).

Para probarlo, te creas una política nueva con un any-> any-> accept y pruebas las conexiones a todos los interfaces, todas las rutas. etc. Si te funciona, puedes empezar a poner alguna regla.

Antes de probar nada, tienes que poner los nodos online y hacer las típicas pruebas para comprobar que el cluster funciona..

Lo normal es probar a quitar 1 cable de un nodo y comprobar que se da cuenta (esta definida la alerta por defecto), hacer algún switcheo desde la consola, lo bueno que tiene (que le falta al checkpoint desde mi punto de vista es que las rutas solo las tienes que poner por cluster, asi te evitas tener que meterlas a mano en cada nodo).