Check Point VSX a nastavenie DHCP Relay

Posted on By Martin Hasin No Comments on Check Point VSX a nastavenie DHCP Relay

V prostredí virtualizovaného firewallu Check Point VSX je častým scenárom potreba zabezpečiť, aby klienti v rôznych VLAN sieťach dostali adresy z centrálneho DHCP servera. Keďže DHCP je založené na broadcastovej komunikácii, paket sa štandardne neprenáša za hranice L2 siete. Práve tu vstupuje do hry DHCP Relay agent – komponent, ktorý zabezpečí preposlanie DHCP požiadaviek z broadcastu do unicastu smerom na definovaný DHCP server.

Ako funguje DHCP Relay

  • Klient v sieti vyšle DHCP Discover na adresu 255.255.255.255.
  • Firewall/VSX, na ktorom je nakonfigurovaný DHCP Relay, tento broadcast zachytí.
  • Relay agent zabalí pôvodnú požiadavku do unicastu a pošle ju na definovaný DHCP server (napr. 147.232.50.50).
  • Odpoveď z DHCP servera sa následne prenesie späť ku klientovi cez relay.
+----------+        VLAN 902         +----------------+        Unicast        +------------------+
|  Client  | --- DHCP Discover --->  |  Check Point   | --- DHCP Request ---> |  DHCP Server     |
|  10.101  |                         |  VSX (bond1.902)| <--- DHCP Reply ---- | 192.168.50.50    |
+----------+                         +----------------+                       +------------------+
         (broadcast 255.255.255.255)          Relay agent

V tejto topológii máte na VSku vytvorený interface bond1.902 s adresou 10.101.2.1, na ktorom funguje DHCP relay. Relay je nastavený tak, aby forwardoval požiadavky na server 192.168.50.50.

Konfigurácia DHCP Relay v CLI

Váš konkrétny príklad konfigurácie vyzerá takto:

set bootp interface bond1.902 relay-to 147.232.50.50 on
set bootp interface bond1.902 primary 10.101.2.1 wait-time 0 on
set bootp interface bond1.902 on

Overenie nastavenia cez príkaz:

show bootp interface bond1.902

Výstup potvrdzuje, že relay beží a forwarduje požiadavky na zvolený DHCP server.

Firewall pravidlá

Dôležitý krok, na ktorý sa často zabúda, je vytvorenie firewallového pravidla. DHCP Relay posiela broadcastové požiadavky z klientov na adresu 255.255.255.255, ktoré musia byť explicitne povolené v bezpečnostnej politike.

Odporúčam teda pridať pravidlo:

  • Source: vaša klientská sieť (napr. 10.101.2.0/24)
  • Destination: 255.255.255.255
  • Service: DHCP (UDP/67)
  • Action: Accept

Toto pravidlo zabezpečí, že relay bude schopný zachytiť a spracovať broadcasty.

CEO at  | martin.hasin@gmail.com | Website |  + posts

Odborník na kybernetickú bezpečnosť, správu Azure Cloud a VMware onprem. Využíva technológie, ako Checkmk a MRTG, na monitorovanie siete a zvyšovanie efektívnosti a bezpečnosti IT infraštruktúry. Kontakt: hasin(at)mhite.sk

Checkpoint

Leave a Reply

Your email address will not be published. Required fields are marked *

en_US
sk_SK en_US