체크포인트 OPSEC LEA

구독
다운로드 15
업데이트 2023. 8. 5.

설치 매뉴얼

이 문서는 체크포인트의 Gaia OS R80.10 버전 기준으로 작성되었습니다.

체크포인트 장비 설정

LEA 서비스는 별도로 활성화해야 합니다. SSH로 접속하여 아래 설정 파일을 편집합니다.

$FWDIR/conf/fwopsec.conf

sslca 인증 모드 사용 시 주석 처리된 아래 부분을 해제합니다.

lea_server  auth_port   18184
lea_server  auth_type   sslca

clear 인증 모드 사용 시 아래 항목을 추가합니다.

lea_server  port   18284

설정 변경 후 cprestart 명령으로 서비스를 재시작합니다.

체크포인트 스마트콘솔 다운로드

체크포인트 시큐리티 매니지먼트 서버에 로그인합니다.

상단의 Download Now 버튼을 클릭하여 스마트콘솔 설치 프로그램을 다운로드합니다.

체크포인트 스마트콘솔 설치

체크포인트 스마트콘솔은 아래와 같은 Visual C++ 재배포 패키지를 요구하므로 모두 설치합니다.

체크포인트 스마트콘솔 라이브러리 설치 화면

EULA에 동의 체크하고 설치 경로를 지정한 후 Install 버튼을 클릭합니다.

체크포인트 스마트콘솔 설치 옵션 화면

체크포인트 스마트콘솔 설치 완료 화면

OPSEC 애플리케이션 등록

이제 체크포인트 스마트콘솔을 실행하고 로그인합니다.

체크포인트 스마트콘솔 로그인 화면

첫번째 접속 시 서버 핑거프린트를 표시합니다. 그대로 진행합니다.

체크포인트 스마트콘솔 서버 핑거프린트 확인 화면

최상단의 Objects 버튼을 클릭하고 More object types > Server > OPSEC Application > New Application 을 순서대로 클릭합니다.

체크포인트 새 OPSEC 애플리케이션 메뉴 이동

이름에 logpresso를 입력하고 Client Entities 항목은 LEA (Log Export API)를 선택한 후, Host 오른쪽의 New... 버튼을 클릭합니다.

체크포인트 새 OPSEC 애플리케이션 등록 대화상자

New Host 대화상자에서 로그프레소 서버의 IP 주소를 입력합니다.

체크포인트 OPSEC 클라이언트 주소 등록

만약 SSL 인증 모드를 사용할 예정이라면, Secure Internal Communication 항목의 Communication 버튼을 클릭합니다.

체크포인트 OSPEC 애플리케이션 인증서 발급

작업 PC에서 opsec_pull_cert.exe 유틸리티를 사용하여 인증서를 다운로드합니다.

opsec_pull_cert.exe -h CHECKPOINT_SERVER_IP -n logpresso -p YOUR_ONE_TIME_PASSWORD
 The full entity sic name is:
CN=logpresso,O=R80.10_MGMT..q2y9ti
 Certificate was created successfully and written to "opsec.p12".

이 opsec.p12 파일은 로그프레소 서버의 /opt/logpresso/opsec 경로로 옮겨야 합니다. PKCS#12 인증서 파일을 옮긴 후 소유자가 logpresso 데몬 계정인지 다시 한 번 확인하세요.

이제 최상단의 Publish 버튼을 클릭하여 변경된 설정을 적용합니다.

체크포인트 스마트콘솔 변경 설정 적용

로그프레소 서버 라이브러리 설치

로그프레소는 체크포인트에서 제공하는 OPSEC SDK 라이브러리를 사용합니다. 이 라이브러리를 사용하려면 pam을 업데이트하고, glibc, libstdc++, libsnl 라이브러리를 설치해야 합니다. pam을 먼저 업그레이드 하지 않으면 glibc 등 설치 시 conflict 발생하면서 실패합니다.

$ sudo yum update pam
$ sudo yum install glibc.i686 pam.i686 libnsl.i686 libstdc++.x86_64 libstdc++.i686

체크포인트 OPSEC LEA 앱 설치

이제 스토어에서 다운로드한 로그프레소 체크포인트 OPSEC LEA 앱을 로그프레소 서버에 설치하고 시작합니다. 아래와 같이 로그프레소를 실행하는 java 프로세스의 자식 프로세스로 opsecagent.bin 프로세스가 보인다면 정상입니다.

$ pstree -sp `pgrep opsecagent`
systemd(1)───java(850889)───opsecagent.bin(851498)

수집기 추가

수집기 추가 시 수집 모델을 체크포인트 OSPEC LEA로 선택하면 아래와 같은 설정 항목이 표시됩니다.

OPSEC LEA 수집기 추가

  • 서버 주소: 체크포인트 서버 IP 주소
  • 서버 포트: sslca 모드인 경우 18184, clear 모드인 경우 18284
  • 인증서 파일 경로: opsec.p12를 입력합니다. $araqne.dir/opsec 경로 기준으로 인증서 파일 위치를 인식합니다.
  • 클라이언트 인증서 DN: CN=logpresso,O=R80.10_MGMT..q2y9ti
  • 서버 인증서 DN: CN=cp_mgmt,O=R80.10_MGMT..q2y9ti
  • 로그 파일 이름: fw.log 기본값을 사용합니다.
  • 수집 시작 위치: 로그가 이미 많이 적재되어 있어서 최근 로그부터 수집하려는 경우에만 end를 입력합니다.

위의 설정에서 DN의 R80.10_MGMT..q2y9ti 부분은 opsec_pull_cert 실행 시 출력된 실제 체크포인트 서버 식별자로 변경해야 합니다.

인증서 파일 경로, 클라이언트 인증서 DN, 서버 인증서 DN을 입력하지 않으면 clear 모드로 인증합니다.