Подготовка инсталляции SecurePlatform под Oracle VirtualBox

9 ноября 2011
Категория: Информационная безопасность
Вендор: Check Point
Валера 

Валерий Фраерман
Сертифицированный инструктор
Check Point и Juniper
fraerman@masterlab.ru


Системы защиты от компании Check Point предлагают огромное количество различных возможностей и функций. Но прежде чем внедрять их в боевых сетях настоятельно рекомендуется провести предварительное тестирование. Но на чем это осуществить, если система уже введена в эксплуатацию? Идеальным решением является использование виртуальных машин. В статье рассматривается вариант развертывания системы Check Point на официальном бесплатном решении от Oracle.



Оговорюсь сразу – такой вариант развертывания межсетевых экранов компании Check Point Software Technologies не является рекомендованным или поддерживаемым, он ни в коем случае не должен рассматриваться как альтернатива для «боевой» реализации. Использовать этот вариант развертывания можно только в тестовых или учебных целях. Собственно, именно это и послужило причиной написания данной заметки – поддерживаемые и рекомендованные варианты развертывания хорошо и подробно описаны самим производителем, добавлять там ничего не надо. Преимущество использования Virtual Box – возможность создания тестовой конфигурации на официально свободном программном обеспечении, без отягощения кармы хакерством или бюджета – тратами. Однако расплачиваться все равно придется – в данном случае - некоторыми хитростями настройки, вовсе не чрезмерными. В нашем случае использовалась VirtualBox версии 4.1.0 73009 и SecurePlatform версии 70.10, в качестве хост-системы – CentOS.
Рассмотрим ситуацию, когда саму VirtualBox мы уже поставили – это несложно, и описаний имеется достаточно. После запуска мы получим следующее


001.jpg

Если нам понадобится связывать несколько виртуальных машин внутренними сетевыми соединениями, то необходимо предварительно создать виртуальные сетевые адаптеры – система не создает их самостоятельно. Если же все интерфейсы виртуальных машин будут смотреть во внешний мир, то виртуальные адаптеры вам не понадобятся. 
Для создания виртуальных адаптеров выбираем пункт меню 
Файл – Свойства и в появившемся окне – пункт Сеть. Все остальные свойства тоже интересны, но их настройка в нашем случае необязательна.  

002.jpg

Кнопки справа от списка адаптеров позволяют добавить, удалить и настроить адаптеры. Если никакие специальные параметры не требуются, то настройку можно не делать – адаптер создается с некоторыми настройками по умолчанию, которыми в большинстве случаев можно пользоваться сразу. 
Теперь можно создавать виртуальные машины. Нажимаем на кнопку 
Создать.

003.jpg

Указываем имя будущей виртуальной машины, а также обязательно тип и версию операционной системы - так, как это показано


004.jpg

005.jpg

006.jpg

Если нам не нужно, чтобы вновь создаваемый диск был доступен из других систем (например, из VMWare), то тип файла можно не менять

007.jpg

Динамический (то есть увеличивающийся по мере надобности) диск занимает меньше места, но чуть медленнее работает.

008.jpg

Для SecurePlatform версий R60 объем виртуального диска должен быть не менее 10 ГБ, иначе вполне вероятен сбой при инсталляции. Это связано с механизмом разбиения диска системой при инсталляции. При этом размер диска готовой системы будет значительно меньше.

009.jpg

010.jpg

011.jpg

Виртуальная машина создана 

012.jpg

Как видите, здесь не было этапов настройки сети, кроме того, как будет видно ниже, некоторые параметры созданной машины не дадут инсталлировать на нее операционную систему SecurePlatform, так что следующий этап – настройка. 
Нажимаем кнопку 
Свойства

013.jpg

Первый шаг – выбор чипсета. По умолчанию предложен вариант PIIX3, на нем SecurePlatform отказывается инсталлироваться. Необходимо поменять чипсет на ICH9, после чего мы получаем предупреждение о необходимости включить поддержку контроллера прерываний IO APIC, которая по умолчанию выключена. Кроме того, в этом же окне при необходимости можно поменять порядок загрузки по умолчанию – если надо будет часто переставлять систему, имеет смысл первым устройством для загрузки выбрать CD-ROM. В результате окно системы приобретает вот такой вид.

014.jpg

Параметры процессора и ускорения можно и не менять.
Следующий шаг – настройка виртуального диска.    

015.jpg

Как видим, по умолчанию система создает виртуальный жесткий диск SATA. Это нас не устраивает, потому что SecurePlatform не видит таких дисков без настройки БИОС, а здесь нам эти настройки не доступны. Необходимо создать IDE жесткий диск и удалить первоначальный.
Выбрав SATA контроллер, нажимаем под списком дисков и контроллеров кнопку 
Удалить контроллер и подтверждаем удаление.     

016.jpg

Нажимаем рядом с IDE контроллером в списке кнопку 
Добавить жесткий диск 

017.jpg

и в появившемся окне выбираем вариант 
Создать новый диск. Это приводит к появлению ряда диалоговых окон, аналогичных тем, которые описывали параметры диска при создании виртуальной машины. После последнего подтверждения мы получаем новый IDE диск.     

018.jpg

В этом же окне необходимо выбрать, как будет работать CD-ROM. 

019.jpg

Слово «Пусто» означает, что CD-ROM не подключен никуда. Нажав кнопку 
Настроить привод оптических дисков, мы можем выбрать заранее загруженный образ диска (ISO), либо указать, что необходимо использовать физический привод.    

020.jpg

Последний шаг – настройка сетевых соединений.    

021.jpg

Каждая виртуальная машина может иметь до четырех адаптеров. По умолчанию активирован первый из них в режиме NAT. Это означает, что виртуальная машина получает некий немаршрутизируемый адрес и имеет возможность выхода во внешнюю сеть через реальный интерфейс (если их несколько – вопрос, через какой). Чаще всего в нашем случае этот вариант не годится. 
Если мы хотим, чтобы виртуальный интерфейс был подключен к определенному реальному интерфейсу, но при этом имел возможность иметь любой нужный адрес, нужно в пункте 
Тип подключения выбрать вариант Сетевой мост,

022.jpg

тогда в пункте 
Имя имеется возможность выбрать, с каким именно реальным интерфейсом сопоставлен данный виртуальный адаптер. 
Если же мы хотим соединить несколько виртуальных машин внутри системы без выхода наружу, выбираем вариант 
Виртуальный адаптер хоста

023.jpg

и в пункте 
Имя выбираем, какой именно созданный нами виртуальный адаптер использовать. Надо сказать, что устройства vboxnetN, хотя и называются виртуальными адаптерами, по сути, представляют собой виртуальные хабы, так что несколько виртуальных машин, использующих один и тот же виртуальный адаптер, оказываются соединенными сетью, если, конечно, их адреса находятся при этом в одной сети. В варианте Сетевой мост виртуальные машины, использующие один и тот же физический адаптер, также соединены друг с другом, но только в том случае, если соответствующий физический адаптер активен. 
Важно также определить, какую именно аппаратную реализацию сетевого адаптера эмулирует система. Если окажется, что все вроде бы настроено правильно, адреса верные, а соединения нет – необходимо попробовать изменить тип адаптера. Чтобы увидеть эту настройку, надо щелкнуть по слову 
Дополнительно. Вариант Intel Pro/1000 MT Desktop оказался работоспособным в моем случае, не исключено, что для других версий SecurePlatform может понадобиться подобрать другой тип адаптера.
И последнее замечание. До тех пор, пока вы не нажмете кнопку 
OK в самом низу окна свойств виртуальной машины, все изменения, внесенные вами, останутся не сохранены, даже если вы перешли на другую закладку. Случайное нажатие кнопки Отмена или клавиши Esc - и все настройки придется начинать сначала. 
Виртуальная машина настроена, можно начинать инсталляцию SecurePlatform. Но это уже совсем другая история. 


Диона Мастер Лаб ©
Все права защищены
При использовании обязательна ссылка на первоисточник

Возврат к списку

Согласие на обработку персональных данных

Настоящим даю согласие на обработку (сбор, систематизацию, накопление, хранение в электронном виде и на бумажном носителе, уточнение, использование, распространение, обезличивание, блокирование, уничтожение, с использованием средств автоматизации и без использования таких средств) АНО ДПО «Диона Мастер Лаб» (127287, г. Москва, 2-я Хуторская ул., д. 38А, стр. 15) моих всех вышеуказанных персональных данных в целях обработки моего запроса, направленного через сайт masterlab.ru и коммуникации со мной в целях, связанных с обработкой и выполнением моего запроса с помощью различных средств связи, а именно посредством: интернет; сообщений на адрес электронной почты; телефону.

Срок действия согласия является неограниченным. Вы можете в любой момент отозвать настоящее согласие, направив письменное уведомления на адрес 127287, г. Москва, 2-я Хуторская ул., д. 38А, стр. 15 с пометкой «Отзыв согласия на обработку персональных данных».

Гарантирую, что представленная мной информация является полной, точной и достоверной, а также что при представлении информации не нарушаются действующее законодательство Российской Федерации, законные права и интересы третьих лиц. Вся представленная информация заполнена мною в отношении себя лично.

Настоящее согласие действует в течение всего периода хранения персональных данных, если иное не предусмотрено законодательством Российской Федерации.