IT & IoT Security | Cloud | It's all about the life itself

Nothing in life is as important as you think it is, while you are thinking about it.

CheckPoint Log’larının HP ArcSight Logger ile Gözlenmesi

Merhaba,

Bu yazımızda Check Point log’larının HP ArcSight ile gözlenmesi için yapılması gerekenlerden bahsedeceğim.

ArcSight Smart Connector kurulumu için bir makina seçip “core” kurulumu yapmanız gerekiyor. Bunu daha önceki yazılarımda anlattığım için burada tekrar bahsetmeyeceğim.

Check Point log’larının Smart Connector tarafından toplanabilmesi için Check Point üzerinde birkaç konfigürasyon yapılması gerekiyor. Check Point OPSEC(Open Platform for Security) Software Development Kit , open protocol ’ler için Application Programming Interface’ler (APIs) sağlar. Bu API’lerden Log Export API, Check Point VPN/FW tarafından üretilen gerçek zamanlı(realtime) verilerin ya da eski(historical) verilerinin ArcSight tarafından güvenli bir şekilde alınmasını sağlayan. Check Point OPSEC NG için kullanılan ArcSight SmartConnector Log Export API’yı kullanır. LEA, Check Point datalarının ArcSight Smart Connector’e export edilmesini sağlar.

Şimdi, “adım adım” yapılandırmaya başlayalım :

1- Öncelikle ArcSight SmartConnector (LEA Client) Check Point Management Server ‘dan farklı bir makinaya kurulur.

2- Arcsight ve Check Point arasındaki connection ‘lar 3 farklı şekildedir:

a. Clear Connections

b. SSLCA Connections

c. SSL_OPSEC Connections

Yukarıdaki connection tiplerine göre yapılması gerkenleri birlikte inceleyeceğiz.

3- Connector ‘un, her 3 tipte de connection kuracak şekilde konfigurasyonu yapılmadan önce Check Point üzerinde yapılması gereken Check Point FW configuration dizininde fwopsec.conf dosyasını kontrol edip ilgili portları eklemek olacaktır.

4- Check Point ‘e SSH bağlantısı yaptıktan sonra UNIX ise ; /$FWDIR/conf dizinine

Windows platform için; \$FWDIR\FW1\conf , \$FWDIR\conf ve ya \$FWDIR\5.0\conf dizinine gidilir.

5- clip_image001

6- Yukarıdaki resimde görüldüğü gibi Check Point içerisindeki fwopsec.conf dosyasını editlemek için vi komutu ile açıyoruz.

7- Clear conneciton için aşağıdaki düzeltmeler yapılır ve “ ESC ” –> “ : ” –> “ wq ” komutları ile kaydedilip çıkılır.LEA Server ile bağlantı 18184 portu ile kurulur.

8- clip_image002

9- SSLCA için aşağıdaki düzeltmeler yapılır.

10- clip_image003

11- Yukarıda görüldüğü gibi auth_type satırı eklenip authentication tipi belirtilir.

12- clip_image004

13- Yukarıdaki resimde de connection tipi SSL_OPSEC için yapılan konfigurasyon görülmektedir.

14- Her 3 connection tipi için de firewall restart edilir. Bunun için;

Cpstop

Cpstart

Komutları kullanılabilir.

15- Bu maddeden itibaren aşağıdakiler SSLCA ve SSL_OPSEC için yapılması gerekir.

16- Check Point Dasboard ‘da ,LEA Client (Arcsight SmartConnector host) için OPSEC Application Object olarak tanımlanması gerekir.

17- Check Point Smart Dashboard açılır.

18- Manage menüsü altından Network Objects seçeneği ile yeni bir host ekleyelim.

19- clip_image005

20- clip_image007

21- Yukarıdaki ekranda LEA Client’ınız(SmartConnector makinası) için bir isim tanımlayıp IP bilgisi girebilirsiniz.

22- Şimdi yeni bir OPSEC App. Object oluşturmak için tekrar Manageà Servers and OPSEC Applications seçeneğine gidilir.

23- clip_image008

24- New butonu tıklanır.

25- clip_image009

26- Açılan ekran yukarıdaki gibidir.

27- OPSEC objesi için bir isim tanımlayabilirsiniz.

28- Host kısmında LEA Client makinanızı ( 18. Maddede eklemiştik.) seçiniz.

29- Client Entities kısmında LEA seçili olmasına dikkat edin.

30- Communication butonu tıklanır.

31- clip_image010

32- Burada belirleyeceğiniz şifre, sertifikayı connector makinası üzerine alınması (opsec_pull_cert) sırasında kullanılacaktır.

33- Initialize butonu tıklanır ve close ile çıkabilirsiniz.

34- Bu işlemi yaptıktan sonra Secure Internal Communication (SIC) alanında DN oluşur.

35- Check Point CLI ‘a SSH ile bağlanalım.

36- clip_image011

37- Yukarıdaki komut ile OPSEC client’a atanan SIC name ve OPSEC Server object’e atanan SIC Entity Name bilgilerini görebiliriz.

38- Yukarıdaki komut çalıştırıldığında aşağıdaki bilgiler görülmektedir.

39- clip_image012

40- Yukarıdaki ekranda gördüğünüz OPSEC Client SIC name bilgisini bir notepad’e kaydedin

41- clip_image013

42- Yukarıdaki resimde gördüğünüz de OPSEC Server object SIC Entity name’dir. Bunu da notepad’e kaydedlim. Bunlar connector eklnemesi sırasında gerekli olacaktır.

43- 15. Maddeden buraya kadar olan kısım SSLCA ve SSL_Opsec için gereklidir.

44- SSLCA için yapılması gereken bir işlem , Check Point management server’a connector’un erişimi için gerekli olan sertifikanın alınmasıdır ( Opsec_pull_cert)

45- Bu işlemden önce connector core kurulumunun yapıldığını varsayıyorum.

46- ArcSight Smart Connector ( LEA Client) üzerinde komut satırı açıp

C:\$ARCSIGHT_HOME\current\bin\agent\checkpoint\OPSECAD\win32\

dizinine gidilir.

47- opsec_pull_cert -h <lea_server1_ IP Address> (CP, IP adresi)

-n <lea_client_application_name> ( CP üzerinde oluşturulan obje)

-p < lea_client_password_key> (CP ‘de LEA client eklenirken verilen şifre)

-o <output_file_name > (default, opsec1.p12)

48- Yukarıdaki komut ile Check Point üzerinden sertifika alınıp bulunduğunuz path’e indirilir. Default ismi opsec1.p12 olan bu sertifikayı C:\$ARCSIGHT_HOME\current\user\agent\checkpoint dizinie kopyalayınız.

49- 44 ve 48 . maddeler SSLCA ve SSL_OPSEC için gereklidir. Şimdi SSL_OPSEC için yapılması gereken birkaç adım daha bulunmaktadır.

50- Yine SmartConnector core kurulumun yapıldığını varsayıyorum.

51- SSL_OPSEC seçilmiş ise LEA Server ve LEA Client arasında authenticated ve encrypted bağlantı kurulur. Bu nedenle de authentication key belirlemek gerekir.

52- LEA Server ‘a ssh ile bağlanıp aşağıdaki komut çalıştırılır.

53- clip_image014

54- Yukarıdaki resimde görülen IP adresi LEA client’a aittir. Belirlenen auth key client tarafında gereklidir.

55- LEA Client üzerinde komut satırı açılıp C:\$ARCSIGHT_HOME\current\bin\agent\checkpoint\OPSECAD\win32 dizinine gidilir.

56- clip_image016

57- Yukarıdaki komut çalıştırılır.LEA server’da belirlediğiniz key girilerek authenticated ve encrypted iletişim için gereksinimler tamamlanır.

58- Oluşan sslauthkeys.C dosyası C:\$ARCSIGHT_HOME\current\user\agent\checkpoint dizinine kopyalanır.

59- Öngereksinimler tamamlandığına göre connector eklemek için $ARCSIGHT_HOME/current/bin dizininde komut satırı aracı ile arcsight connectorsetup çalıştırılır ve connector eklemek için wizard açılır.

60- Add a connector seçeneği ile devam edilir.

61- clip_image018

62- Yukarıda görüldüğü gibi connector type olarak Check Point OPSEC NG seçilir.

63- clip_image020

64- Connection type olarak 58. Maddeye kadar yapılan konfigurasyonlara göre uygun type belirleyebilirsiniz.

65- clip_image022

66- Bu ekranda server ip yerine Check Point ip adresi girilir ve daha önce notepad’e kopyaladığınız SIC name ve SIC entity name bilgileri girilir. SSLCA file name yazılır.

67- clip_image023

68- Bu ekranda log ‘ların iletilmesini istediğiniz destination belirleyip devamında daha önceki yazılarımda anlatıldığı gibi konfigürasyon yapabilirsiniz.

69- Bir kaç örnek ekran görüntüsü aşağıdaki gibi.

70- clip_image025

71- clip_image027

72- clip_image029

73- clip_image031

74- clip_image033

75- clip_image035

76- clip_image036

77- clip_image038

78- clip_image040

79- Check Point Log’larının gözlenmesini incelemiş olduk. Bir sonraki yazımda görüşmek üzere.

Neşeli günler….