Продолжаем цикл статей посвященный аудиту безопасности сети с помощью Check Point Security CheckUP. В первой статье мы обсудили основные возможности, а вторая часть будет посвящена подготовке платформы для CheckUP. Кроме того, совсем недавно состоялся официальный релиз новой платформы R80.10 и именно ее мы рассмотрим.
Как было сказано ранее, схема работы CheckUP примерно следующая:
Т.е. нам необходимо мониторить копию трафика (подключение к SPAN порту). На рисунке трафик зеркалируется на Check Point Appliance, однако не всегда есть возможность (или желание) получить такую железку. В этом случае мы можем использовать виртуальную машину. Это гораздо быстрее и достаточно в 95% случаев. В качестве гипервизора поддерживается VMware ESXi (а также VMware Workstation), KVM и Hyper-V. Но на наш субъективный взгляд на VMware работает все шустрее.
Далее будет очень много картинок...
Варианты для CheckUP
Существует три основных способа развернуть виртуалку:
1) Развернуть на существующем сервере виртуализации используя физический ethernet adapter.
Это пожалуй самый простой вариант. Схема выглядит примерно следующим образом:
Если у вас уже есть сервер виртуализации, то все что вам потребуется это создать новую виртуальную машину и новый виртуальный свич, который привязывается к свободному Ethernet адаптеру, на который мы и будем зеркалировать трафик. Таким образом один интерфейс Check Point определяется в новый виртуальный свич (в нашем случае это vSwitch1), а второй интерфейс в уже существующий (vSwitch0). Второе подключение к сети (с выделением IP-адреса) обязательное. Оно служит для управления и для выхода CheckPoint в Интернет (скачивание обновлений и т.д.).
2) Развернуть на существующем сервере виртуализации используя виртуальный ethernet adapter.
Часто бывает, что сервер есть, а вот свободного Ethernet адаптера нет. В таком случае можно воспользоваться VLAN интерфейсами. Данный вариант использовать нежелательно, т.к. далеко не каждый коммутатор поддерживает зеркалирование трафика в определенный VLAN. Конечно можно включить у нового виртуального коммутатора неразборчивый режим (promiscuous) и “лить” копию трафика на общий ethernet адаптер. Однако, если трафик слишком большой, то могут начаться проблемы с доступностью корпоративных ресурсов, которые расположены на данном сервере виртуализации (в нашем случае это MS AD, Exchange, FileServer).
3) Развернуть на компьютере с двумя сетевыми адаптерами (либо два ethernet, либо ethernet + wifi адаптер).
Для этого вам понадобится VMware Workstation. Тоже довольно популярный способ, однако подходит исключительно для теста небольших сетей (маленький трафик). Компьютер должен иметь минимум 2 ядра (не меньше Core i5) и не меньше 8Гб оперативной памяти. Скорость HDD тоже важна (на оборотах 5400 все будет работать медленно). Если же вы все таки решили развернуть Check Point на обычном компьютере, то можете воспользоваться данной инструкцией.
Мы же подробно рассмотрим первый вариант.
Настройка сети
Для начала подготовим сеть. Как видите на данный момент у меня задействован только vSwitch0, который привязан к vmnic0.
Создадим vSwitch1 и привяжем его к адаптеру vmnic1. Для этого выбираем Add Networking и Virtual Machine в качестве Connection Types:
Выбираем свободный ethernet адаптер:
Имя VM Network 2 можно оставить по умолчанию:
В итоге должно получиться примерно следующее:
Теперь очень важно зайти в свойства только что созданного vSwitch1 и разрешить Promiscuous mode (Accept). Иначе мы не сможем видеть зеркалируемый трафик.
Подготовка сети завершена.
Создание виртуальной машины
Теперь мы можем приступить к созданию новой виртуальной машины. Предварительно вы должны загрузить образ R80.10 и закинуть его в datastore вашего сервера. В качестве имени можно указать CheckUP:
Диск лучше выбирать самый быстрый. В моем случае это SSD:
Операционную систему выбираем Other (64-bit):
Настраиваем два сетевых адаптера:
Размер диска минимум 300Гб (место нужно под логи):
На выходе получим примерно следующее:
Тут же открываем свойства только что созданной виртуальной машины и указываем использовать 4 ядра и минимум 6Гб оперативной памяти (лучше 8).
Теперь переходим в CDROM и «подсовываем» наш образ. Главное не забыть поставить галочку «Connect at power on»:
Завершим настройку и запускаем машину. Далее идет несложный процесс установки, но я все же покажу каждый шаг.
Установка Check Point
Выбираем пункт «Install Gaia on this system»
Соглашаемся и продолжаем установку:
Язык оставляем по умолчанию (US)
А вот здесь нужно увеличить размер диска под логи. Бэкапы нам не так важны:
Задаем пароль (он будет использоваться для дальнейшей инициализации и если что, его можно будет сменить):
Здесь важно настроить именно тот интерфейс, который используется для управления. В моем случае это eth0, что соответствует VM Network (он же vSwitch0):
Указав IP-адрес, маску и шлюз по умолчанию начнется процесс форматирования диска с последующей установкой:
По завершению нам предложат перезагрузить устройство:
После перезагрузки увидим следующее приглашение:
На этом процесс установки завершен и далее должна следовать процедура первоначальной инициализации, которая выполняется через браузер.
Инициализация Check Point
После установки нам необходимо подключиться по https к нашему Check Point. Появится окно для ввода логина-пароля. Логин — admin:
Залогинившись начинается процесс инициализации:
Выбираем «Continue with R80.10 configuration»
Проверяем настройки управляющего интерфейса:
Настройки второго адаптера оставляем дефолтными и просто жмем Next:
Здесь задаем основные параметры — имя, домен вашей сети, ваш DNS сервер (резервный тоже можно указать):
Проверяем актуальность времени, либо настраиваем NTP, если у вас есть:
Здесь мы выбираем «Security Gateway and/or Security Management»:
Далее настройки должны соответствовать слайду ниже. Очень важно наличие обоих пунктов — Security Gateway и Security Managment, т.к. у нас standalone конфигурация.
Тут мы можем создать нового пользователя, но лучше использовать уже имеющегося:
Указываем что доступ к Check Point возможен с любого IP-адреса (либо не с любого, все зависит от ваших желаний):
Жмем Finish и подтверждаем начало конфигурации:
Начнется долгий процесс инициализации. Процесс может застопориться на 90% и вам может показаться, что все зависло. Но это не так, нужно просто еще немного подождать.
По окончанию инициализации мы попадаем на веб-интерфейс чекпоинта. Именно здесь настраиваются такие параметры как интерфейсы, DHCP, маршруты, обновления и так далее (в общем системные параметры). Также вы сразу видите предложение скачать SmartConsole — Download Now!. Скачайте, т.к. именно с помощью Smart Console мы будем настраивать все функции безопасности.
Нам нужно перейти в Network Interfaces — eth1. Здесь мы включаем сам интерфейс, задаем описание (SPAN) и во вкладке Ethernet включаем monitor mode. Именно эта настройка позволяет «слушать» трафик на SPAN-порту. Важно! Не нужно прописывать IP-адрес для этого интерфейса!
Если перейти в Upgrades — Status and Actions, то увидим предупреждение, что обновление невозможно, т.к. нет лицензии. В данном случае можно либо запросить DEMO-лицензию (обращайтесь на sales@tssolution.ru), либо просто оставить так, как есть (существенных обновлений для R80.10 пока нет).
На этом настройка через веб-интерфейс завершена. Можно уставить скачанную SmartConsole. Процесс установки элементарный, поэтому я не буду его описывать. Запустив SmartConsole мы увидим предложение ввести логин и пароль:
Залогинившись мы увидим основное меню:
Внизу видно License Status — Not Activated. Можно нажать для более детальной информации:
Как видите, с этого момента у вас ровно 15 дней на тестирование. При этом вы сможете обновлять IPS, Antivirus, Anti-Bot и так далее. Если нужно больше времени, то опять же, необходимо запросить Demo-лицензию (sales@tssolution.ru).
На этом мы закончим вторую часть (она и так получилась огромной). В следующей статье мы опишем процесс настройки CheckUP-а.
Как было сказано ранее, схема работы CheckUP примерно следующая:
Т.е. нам необходимо мониторить копию трафика (подключение к SPAN порту). На рисунке трафик зеркалируется на Check Point Appliance, однако не всегда есть возможность (или желание) получить такую железку. В этом случае мы можем использовать виртуальную машину. Это гораздо быстрее и достаточно в 95% случаев. В качестве гипервизора поддерживается VMware ESXi (а также VMware Workstation), KVM и Hyper-V. Но на наш субъективный взгляд на VMware работает все шустрее.
Далее будет очень много картинок...
Варианты для CheckUP
Существует три основных способа развернуть виртуалку:
1) Развернуть на существующем сервере виртуализации используя физический ethernet adapter.
Это пожалуй самый простой вариант. Схема выглядит примерно следующим образом:
Если у вас уже есть сервер виртуализации, то все что вам потребуется это создать новую виртуальную машину и новый виртуальный свич, который привязывается к свободному Ethernet адаптеру, на который мы и будем зеркалировать трафик. Таким образом один интерфейс Check Point определяется в новый виртуальный свич (в нашем случае это vSwitch1), а второй интерфейс в уже существующий (vSwitch0). Второе подключение к сети (с выделением IP-адреса) обязательное. Оно служит для управления и для выхода CheckPoint в Интернет (скачивание обновлений и т.д.).
2) Развернуть на существующем сервере виртуализации используя виртуальный ethernet adapter.
Часто бывает, что сервер есть, а вот свободного Ethernet адаптера нет. В таком случае можно воспользоваться VLAN интерфейсами. Данный вариант использовать нежелательно, т.к. далеко не каждый коммутатор поддерживает зеркалирование трафика в определенный VLAN. Конечно можно включить у нового виртуального коммутатора неразборчивый режим (promiscuous) и “лить” копию трафика на общий ethernet адаптер. Однако, если трафик слишком большой, то могут начаться проблемы с доступностью корпоративных ресурсов, которые расположены на данном сервере виртуализации (в нашем случае это MS AD, Exchange, FileServer).
3) Развернуть на компьютере с двумя сетевыми адаптерами (либо два ethernet, либо ethernet + wifi адаптер).
Для этого вам понадобится VMware Workstation. Тоже довольно популярный способ, однако подходит исключительно для теста небольших сетей (маленький трафик). Компьютер должен иметь минимум 2 ядра (не меньше Core i5) и не меньше 8Гб оперативной памяти. Скорость HDD тоже важна (на оборотах 5400 все будет работать медленно). Если же вы все таки решили развернуть Check Point на обычном компьютере, то можете воспользоваться данной инструкцией.
Мы же подробно рассмотрим первый вариант.
Настройка сети
Для начала подготовим сеть. Как видите на данный момент у меня задействован только vSwitch0, который привязан к vmnic0.
Создадим vSwitch1 и привяжем его к адаптеру vmnic1. Для этого выбираем Add Networking и Virtual Machine в качестве Connection Types:
Выбираем свободный ethernet адаптер:
Имя VM Network 2 можно оставить по умолчанию:
В итоге должно получиться примерно следующее:
Теперь очень важно зайти в свойства только что созданного vSwitch1 и разрешить Promiscuous mode (Accept). Иначе мы не сможем видеть зеркалируемый трафик.
Подготовка сети завершена.
Создание виртуальной машины
Теперь мы можем приступить к созданию новой виртуальной машины. Предварительно вы должны загрузить образ R80.10 и закинуть его в datastore вашего сервера. В качестве имени можно указать CheckUP:
Диск лучше выбирать самый быстрый. В моем случае это SSD:
Операционную систему выбираем Other (64-bit):
Настраиваем два сетевых адаптера:
Размер диска минимум 300Гб (место нужно под логи):
На выходе получим примерно следующее:
Тут же открываем свойства только что созданной виртуальной машины и указываем использовать 4 ядра и минимум 6Гб оперативной памяти (лучше 8).
Теперь переходим в CDROM и «подсовываем» наш образ. Главное не забыть поставить галочку «Connect at power on»:
Завершим настройку и запускаем машину. Далее идет несложный процесс установки, но я все же покажу каждый шаг.
Установка Check Point
Выбираем пункт «Install Gaia on this system»
Соглашаемся и продолжаем установку:
Язык оставляем по умолчанию (US)
А вот здесь нужно увеличить размер диска под логи. Бэкапы нам не так важны:
Задаем пароль (он будет использоваться для дальнейшей инициализации и если что, его можно будет сменить):
Здесь важно настроить именно тот интерфейс, который используется для управления. В моем случае это eth0, что соответствует VM Network (он же vSwitch0):
Указав IP-адрес, маску и шлюз по умолчанию начнется процесс форматирования диска с последующей установкой:
По завершению нам предложат перезагрузить устройство:
После перезагрузки увидим следующее приглашение:
На этом процесс установки завершен и далее должна следовать процедура первоначальной инициализации, которая выполняется через браузер.
Инициализация Check Point
После установки нам необходимо подключиться по https к нашему Check Point. Появится окно для ввода логина-пароля. Логин — admin:
Залогинившись начинается процесс инициализации:
Выбираем «Continue with R80.10 configuration»
Проверяем настройки управляющего интерфейса:
Настройки второго адаптера оставляем дефолтными и просто жмем Next:
Здесь задаем основные параметры — имя, домен вашей сети, ваш DNS сервер (резервный тоже можно указать):
Проверяем актуальность времени, либо настраиваем NTP, если у вас есть:
Здесь мы выбираем «Security Gateway and/or Security Management»:
Далее настройки должны соответствовать слайду ниже. Очень важно наличие обоих пунктов — Security Gateway и Security Managment, т.к. у нас standalone конфигурация.
Тут мы можем создать нового пользователя, но лучше использовать уже имеющегося:
Указываем что доступ к Check Point возможен с любого IP-адреса (либо не с любого, все зависит от ваших желаний):
Жмем Finish и подтверждаем начало конфигурации:
Начнется долгий процесс инициализации. Процесс может застопориться на 90% и вам может показаться, что все зависло. Но это не так, нужно просто еще немного подождать.
По окончанию инициализации мы попадаем на веб-интерфейс чекпоинта. Именно здесь настраиваются такие параметры как интерфейсы, DHCP, маршруты, обновления и так далее (в общем системные параметры). Также вы сразу видите предложение скачать SmartConsole — Download Now!. Скачайте, т.к. именно с помощью Smart Console мы будем настраивать все функции безопасности.
Нам нужно перейти в Network Interfaces — eth1. Здесь мы включаем сам интерфейс, задаем описание (SPAN) и во вкладке Ethernet включаем monitor mode. Именно эта настройка позволяет «слушать» трафик на SPAN-порту. Важно! Не нужно прописывать IP-адрес для этого интерфейса!
Если перейти в Upgrades — Status and Actions, то увидим предупреждение, что обновление невозможно, т.к. нет лицензии. В данном случае можно либо запросить DEMO-лицензию (обращайтесь на sales@tssolution.ru), либо просто оставить так, как есть (существенных обновлений для R80.10 пока нет).
На этом настройка через веб-интерфейс завершена. Можно уставить скачанную SmartConsole. Процесс установки элементарный, поэтому я не буду его описывать. Запустив SmartConsole мы увидим предложение ввести логин и пароль:
Залогинившись мы увидим основное меню:
Внизу видно License Status — Not Activated. Можно нажать для более детальной информации:
Как видите, с этого момента у вас ровно 15 дней на тестирование. При этом вы сможете обновлять IPS, Antivirus, Anti-Bot и так далее. Если нужно больше времени, то опять же, необходимо запросить Demo-лицензию (sales@tssolution.ru).
На этом мы закончим вторую часть (она и так получилась огромной). В следующей статье мы опишем процесс настройки CheckUP-а.
Поделиться с друзьями
flintdemon
Подскажите, пожалуйста, если куплена лицензия на R70 и поддержка действующая, апгрейд до R80 возможен, или это отдельная лицензия уже?
cooper051
Если у вас активная техническая поддержка, то можете обновляться. R70 уже в принципе не саппортится.