Merhaba,
Bu yazımızda Check Point log’larının HP ArcSight ile gözlenmesi için yapılması gerekenlerden bahsedeceğim.
ArcSight Smart Connector kurulumu için bir makina seçip “core” kurulumu yapmanız gerekiyor. Bunu daha önceki yazılarımda anlattığım için burada tekrar bahsetmeyeceğim.
Check Point log’larının Smart Connector tarafından toplanabilmesi için Check Point üzerinde birkaç konfigürasyon yapılması gerekiyor. Check Point OPSEC(Open Platform for Security) Software Development Kit , open protocol ’ler için Application Programming Interface’ler (APIs) sağlar. Bu API’lerden Log Export API, Check Point VPN/FW tarafından üretilen gerçek zamanlı(realtime) verilerin ya da eski(historical) verilerinin ArcSight tarafından güvenli bir şekilde alınmasını sağlayan. Check Point OPSEC NG için kullanılan ArcSight SmartConnector Log Export API’yı kullanır. LEA, Check Point datalarının ArcSight Smart Connector’e export edilmesini sağlar.
Şimdi, “adım adım” yapılandırmaya başlayalım :
1- Öncelikle ArcSight SmartConnector (LEA Client) Check Point Management Server ‘dan farklı bir makinaya kurulur.
2- Arcsight ve Check Point arasındaki connection ‘lar 3 farklı şekildedir:
a. Clear Connections
b. SSLCA Connections
c. SSL_OPSEC Connections
Yukarıdaki connection tiplerine göre yapılması gerkenleri birlikte inceleyeceğiz.
3- Connector ‘un, her 3 tipte de connection kuracak şekilde konfigurasyonu yapılmadan önce Check Point üzerinde yapılması gereken Check Point FW configuration dizininde fwopsec.conf dosyasını kontrol edip ilgili portları eklemek olacaktır.
4- Check Point ‘e SSH bağlantısı yaptıktan sonra UNIX ise ; /$FWDIR/conf dizinine
Windows platform için; \$FWDIR\FW1\conf , \$FWDIR\conf ve ya \$FWDIR\5.0\conf dizinine gidilir.
5- 
6- Yukarıdaki resimde görüldüğü gibi Check Point içerisindeki fwopsec.conf dosyasını editlemek için vi komutu ile açıyoruz.
7- Clear conneciton için aşağıdaki düzeltmeler yapılır ve “ ESC ” –> “ : ” –> “ wq ” komutları ile kaydedilip çıkılır.LEA Server ile bağlantı 18184 portu ile kurulur.
8- 
9- SSLCA için aşağıdaki düzeltmeler yapılır.
10- 
11- Yukarıda görüldüğü gibi auth_type satırı eklenip authentication tipi belirtilir.
12- 
13- Yukarıdaki resimde de connection tipi SSL_OPSEC için yapılan konfigurasyon görülmektedir.
14- Her 3 connection tipi için de firewall restart edilir. Bunun için;
Cpstop
Cpstart
Komutları kullanılabilir.
15- Bu maddeden itibaren aşağıdakiler SSLCA ve SSL_OPSEC için yapılması gerekir.
16- Check Point Dasboard ‘da ,LEA Client (Arcsight SmartConnector host) için OPSEC Application Object olarak tanımlanması gerekir.
17- Check Point Smart Dashboard açılır.
18- Manage menüsü altından Network Objects seçeneği ile yeni bir host ekleyelim.
19- 
20- 
21- Yukarıdaki ekranda LEA Client’ınız(SmartConnector makinası) için bir isim tanımlayıp IP bilgisi girebilirsiniz.
22- Şimdi yeni bir OPSEC App. Object oluşturmak için tekrar Manageà Servers and OPSEC Applications seçeneğine gidilir.
23- 
24- New butonu tıklanır.
25- 
26- Açılan ekran yukarıdaki gibidir.
27- OPSEC objesi için bir isim tanımlayabilirsiniz.
28- Host kısmında LEA Client makinanızı ( 18. Maddede eklemiştik.) seçiniz.
29- Client Entities kısmında LEA seçili olmasına dikkat edin.
30- Communication butonu tıklanır.
31- 
32- Burada belirleyeceğiniz şifre, sertifikayı connector makinası üzerine alınması (opsec_pull_cert) sırasında kullanılacaktır.
33- Initialize butonu tıklanır ve close ile çıkabilirsiniz.
34- Bu işlemi yaptıktan sonra Secure Internal Communication (SIC) alanında DN oluşur.
35- Check Point CLI ‘a SSH ile bağlanalım.
36- 
37- Yukarıdaki komut ile OPSEC client’a atanan SIC name ve OPSEC Server object’e atanan SIC Entity Name bilgilerini görebiliriz.
38- Yukarıdaki komut çalıştırıldığında aşağıdaki bilgiler görülmektedir.
39- 
40- Yukarıdaki ekranda gördüğünüz OPSEC Client SIC name bilgisini bir notepad’e kaydedin
41- 
42- Yukarıdaki resimde gördüğünüz de OPSEC Server object SIC Entity name’dir. Bunu da notepad’e kaydedlim. Bunlar connector eklnemesi sırasında gerekli olacaktır.
43- 15. Maddeden buraya kadar olan kısım SSLCA ve SSL_Opsec için gereklidir.
44- SSLCA için yapılması gereken bir işlem , Check Point management server’a connector’un erişimi için gerekli olan sertifikanın alınmasıdır ( Opsec_pull_cert)
45- Bu işlemden önce connector core kurulumunun yapıldığını varsayıyorum.
46- ArcSight Smart Connector ( LEA Client) üzerinde komut satırı açıp
C:\$ARCSIGHT_HOME\current\bin\agent\checkpoint\OPSECAD\win32\
dizinine gidilir.
47- opsec_pull_cert -h <lea_server1_ IP Address> (CP, IP adresi)
-n <lea_client_application_name> ( CP üzerinde oluşturulan obje)
-p < lea_client_password_key> (CP ‘de LEA client eklenirken verilen şifre)
-o <output_file_name > (default, opsec1.p12)
48- Yukarıdaki komut ile Check Point üzerinden sertifika alınıp bulunduğunuz path’e indirilir. Default ismi opsec1.p12 olan bu sertifikayı C:\$ARCSIGHT_HOME\current\user\agent\checkpoint dizinie kopyalayınız.
49- 44 ve 48 . maddeler SSLCA ve SSL_OPSEC için gereklidir. Şimdi SSL_OPSEC için yapılması gereken birkaç adım daha bulunmaktadır.
50- Yine SmartConnector core kurulumun yapıldığını varsayıyorum.
51- SSL_OPSEC seçilmiş ise LEA Server ve LEA Client arasında authenticated ve encrypted bağlantı kurulur. Bu nedenle de authentication key belirlemek gerekir.
52- LEA Server ‘a ssh ile bağlanıp aşağıdaki komut çalıştırılır.
53- 
54- Yukarıdaki resimde görülen IP adresi LEA client’a aittir. Belirlenen auth key client tarafında gereklidir.
55- LEA Client üzerinde komut satırı açılıp C:\$ARCSIGHT_HOME\current\bin\agent\checkpoint\OPSECAD\win32 dizinine gidilir.
56- 
57- Yukarıdaki komut çalıştırılır.LEA server’da belirlediğiniz key girilerek authenticated ve encrypted iletişim için gereksinimler tamamlanır.
58- Oluşan sslauthkeys.C dosyası C:\$ARCSIGHT_HOME\current\user\agent\checkpoint dizinine kopyalanır.
59- Öngereksinimler tamamlandığına göre connector eklemek için $ARCSIGHT_HOME/current/bin dizininde komut satırı aracı ile arcsight connectorsetup çalıştırılır ve connector eklemek için wizard açılır.
60- Add a connector seçeneği ile devam edilir.
61- 
62- Yukarıda görüldüğü gibi connector type olarak Check Point OPSEC NG seçilir.
63- 
64- Connection type olarak 58. Maddeye kadar yapılan konfigurasyonlara göre uygun type belirleyebilirsiniz.
65- 
66- Bu ekranda server ip yerine Check Point ip adresi girilir ve daha önce notepad’e kopyaladığınız SIC name ve SIC entity name bilgileri girilir. SSLCA file name yazılır.
67- 
68- Bu ekranda log ‘ların iletilmesini istediğiniz destination belirleyip devamında daha önceki yazılarımda anlatıldığı gibi konfigürasyon yapabilirsiniz.
69- Bir kaç örnek ekran görüntüsü aşağıdaki gibi.
70- 
71- 
72- 
73- 
74- 
75- 
76- 
77- 
78- 
79- Check Point Log’larının gözlenmesini incelemiş olduk. Bir sonraki yazımda görüşmek üzere.
Neşeli günler….