Аудит безопасности от Check Point (Часть 2)

Ранее мы затронули тему Security CheckUP – бесплатной возможности по аудиту безопасности от Check Point. Самое время познакомиться с данным решением поближе к практике.

Также мы обсуждали, что без использования «железа» всегда можно воспользоваться виртуальной машиной, где запускается ОС от Check Point.

Есть несколько вариантов, как это сделать.

1. Если у вас уже установлен сервер с виртуальными машинами, то все, что необходимо – создать новую ВМ с виртуальным коммутатором. Согласно схеме:

Новый коммутатор подключается к свободному адаптеру, куда и должен приходить «скопированный трафик». Второй порт будет служить для выхода в Интернет с целью получения обновлений и т.п., а также управления самим устройством.

2. В случае, если свободных портов нет, можно воспользоваться VLAN. Данный способ нежелателен ввиду того, что не каждый коммутатор работает с зеркалированием трафика в указанный VLAN. В таком случае можно воспользоваться и общим адаптером, но при больших объемах трафика может отказать доступ к различным внутренним ресурсам. Так что, пожалуй, оставим этот «костыльный» способ чисто для понимания «как можно сделать».

3. Воспользоваться рабочей станцией VMware. Тогда будет возможность воспользоваться либо двумя Ethernet-портами, либо скомбинировать один из них с wi-fi адаптером. Тоже довольно сложный способ из-за того, что используемый ПК должен обладать высокими техническими характеристиками для полноценной работы.

Как видите, выбор есть, даже если вам казалось обратное. Но хочется верить, что у вас есть возможность создать новую ВМ, и поиграть с ней. Об этом и пойдет речь.

Настройка

Первым делом создаем новый коммутатор и привязываем его к существующему свободному (!) адаптеру.

В итоге должно получиться следующее:

Теперь, чтобы коммутатор мог получать скопированный трафик, необходимо включить «неразборчивый режим»:

Подготовка сети завершена, можно переходить к созданию самой виртуальной машины.

Этапы работы с ВМ

Первым делом необходимо скачать образ ОС (была выбрана новая версия R80.10) и загрузить его в хранилище сервера.

Для легкой и комфортной работы лучше выбирать «скоростное» оборудование, в данном случае:

Операционная система:

Ранее мы говорили о необходимо использования двух сетевых адаптеров, и даже подготовили один из них.

Поскольку аудит – вещь тяжелая, потребуется много свободного места. Минимум – 300 Гб.

По итогу должно получиться следующее:

Опять же, чтобы «ничего не зависало», указываем параметры в свойствах ВМ, обеспечивающие ее комфортную работу.

Теперь необходимо найти наш скачанный образ и использовать его. Все обязательные пункты обведены красным.

Далее происходит этап настройки. Все действия достаточно просты, но есть пара моментов, о которых можно легко забыть. Поэтому лучше напомнить.

1. Не забываем оставлять свободное место под лог-файлы.

2. В качестве сетевого порта необходимо выбрать тот, который используется для управления (ведь второй у нас отвечает за получение зеркалированного трафика).

Все, перезагружаем виртуальное устройство и переходим к последующим этапам настройки.

Первый запуск

Подключаемся к веб-интерфейсу Check Point. Логин – стандартный, пароль мы указывали ранее при установке.

Для настройки доступны следующие варианты: продолжить с существующими конфигурациями, установить версию «с облака», установка с USB-устройства. Нам нужен первый вариант.

Проверяем настройки адаптеров, второй оставляем как есть.

Указываем необходимые настройки сети и проверяем NTP:

Тип установки – шлюз безопасности/сервер управления:

Следующие конфигурации необходимо в точности повторить. Важно помнить, что так как наша конфигурация состоит из «отдельно стоящих» шлюза и сервера, необходимо поставить обе галочки.

Создание пользователя:

Можно оставить и текущего. В дальнейшем будет меньше проблем с правами.

Далее указываем настройки доступа. Тут уже по вашему желанию.

Процесс начала конфигурации может происходить довольно долгое время, но тут просто нужно немного подождать. Все-таки настройки и объемы, используемые в работе, достаточно ресурсоемкие.

И наконец, можно познакомиться с интерфейсом установленного шлюза. Здесь происходит настройка сети и всех необходимых параметров. Дополнительно вам предлагают скачать консоль для управления безопасностью, это и нужно сделать.

Чтобы указать коммутатору его прямую обязанность – получать зеркалированный трафик, необходимо указать ему режим мониторинга и задать описание SPAN.

Адрес коммутатору прописывать не нужно.

Есть еще тонкий момент с лицензией и обновлениями, но благодаря широким возможностям Check Point, всегда можно воспользоваться демо-режимом. Либо не пользоваться обновлениями, поскольку у вас и так установлена самая последняя версия операционной системы.

С интерфейсом все более-менее понятно – можно спокойно изучать все функции и возможности. Вернемся обратно к скачанной консоли и авторизуемся:

Основное меню, позволяющее работать с безопасностью, выглядит следующим образом:

Опять же есть небольшой нюанс с лицензией, но сейчас в любом случае у вас есть 15 дней на изучение всех возможностей и сбора отчета по безопасности. Этого времени как раз хватит, чтобы обнаружить все уязвимости системы.