CheckPoint Firewall

U zařízení CheckPoint se musíte nejprve ujistit, že je ve vaší verzi nainstalován CheckPoint Log Export. Některé z nejnovějších verzí bezpečnostních bran CheckPoint již mají Log Export integrovaný do softwaru (80.40 a vyšší), některé verze vyžadují instalaci nejnovější Jumbo Hotfix Accumulator (80.10 až 80.30) a některé vyžadují instalaci vyhrazené opravy (verze 77.10 až 77.30).

Další podrobnosti o CheckPoint Log Export jsou k dispozici na odkazu: https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk122323

Jakmile si budete jisti, že CheckPoint Log Export je ve vašem systému k dispozici, zbývá jen pár kroků, aby byl spuštěn s Logmanager.

1. Vytvořte nový cíl exportu protokolu CheckPoint pomocí příkazu cp_log_export add name Logmanager target-server 192.0.2.10 target-port 514 protocol tcp format generic, ve kterém nahraďte IP target-server vaší Logmanager IP adresou.

2. Povolte cíl příkazem cp_log_export set name Logmanager enabled true

3. Restartujte službu CheckPoint Log Export pomocí příkazu cp_log_export restart name Logmanager

   Níže je snímek obrazovky konfiguračních kroků 1–3 z konzoly CheckPoint v CheckPoint Secure Gateway verze 80.40:

   

4. Chcete-li zkontrolovat nastavení konfigurace exportu protokolu CheckPoint, spusťte příkaz cp_log_export show

   

5. Do Logmanager přidejte správnou klasifikaci, aby nasměrovala příchozí protokoly ze zdrojové adresy CheckPoint na parser Logmanager CheckPoint. Uložte upravený klasifikátor nebo šablonu klasifikátoru.

   

6. Počkejte chvíli a podívejte se na řídicí panely Logmanager pro CheckPoint, pokud vyplňují správná data.

Pro CheckPoint je nejprve nutné nainstalovat rozšíření Log Exporter do Vaší Gaia instalce, který umožní zasílání zpráv pomocí TLS syslogu.

Po nainstalování rozšíření postupujte podle následujících kroků:

1. Pro šifrovanou komunikaci je třeba nejprve zajistit veřejný certifikát CA, ve formátu .pem a vytvořit klientský certifikát, který bude ve formátu .p12 (obsahuje certifikát + privátní klíč).

2. Je potřeba tyto certifikáty nahrát do Vaší Gaia instalace (např. pomocí WinSCP) a vytvořit složku pro tyto certifikáty.

   • V případě nahrávání certifikátu pomocí WinSCP, je zapotřebí zapnout /bin/bash pro admin uživatele (přístup k expertnímu modu) nebo lze vytvořit nového uživatele pro kopírování souborů viz. https://community.checkpoint.com/t5/Enterprise-Appliances-and-Gaia/HowTo-Creating-an-scpuser-account-on-Gaia-Clish/td-p/5819. Nakopírujte certifikáty do vytvořené složky níže a proveďte chmod.
   • mkdir /opt/ssl-cert
   • chmod +r ca-cert.pem
   • chmod +r client-certifikat.p12

3. V expertním modu zadejte následující příkaz:

   cp_log_export add name logmanagertls target-server <Logmanager_IP> target-port 6514 protocol tcp format generic
   

4. Dále zadejte následující příkaz, kde je zapotřebí nastavit cesty k certifikátům (/opt/ssl-cert/) a nastavit heslo, které jste zvolili pro .p12 certifikát:

   cp_log_export set name logmanagertls enabled true encrypted true ca-cert <path_to_CA_pem (/opt/ssl-cert/)> client-cert <path_to_p12_certificate (/opt/ssl-cert/)> client-secret <challenge_phrase_for_p12>
   

5. Restartujte log exporter:

   cp_log_export restart name logmanagertls
   

6. Ověření správné konfigurace lze provést příkazem:

   cp_log_export show
   

7. Nyní jsou logy zasílány pomocí TLS na stranu Logmanager.