Но в процессе запуска- выяснилось что машинка не подхватывает IP адрес по DHCP, при работе в bridged mode, а при попытке задать статический IP я получал ругань на тему того, что данный IP уже используется, при том что данный адрес был однозначно свободен. Озадачившись данной проблемой проверил на всякий случай фаервол винды, но как оказалось он был отключен. Поковырявшись в меру возможностей в серваке и vmware, решил не озадачивать клиентского админа, а переставил Player на Workstation и попробовал поднять виртуалку в таком варианте. Но проблема осталась той же самой, при этом когда я переключил сетки в NAT вариант-  поднимался внутренний IP и все начинало нормально шуршать.

В итоге обратился к админу с описанием проблемы и предположением о том, что какая то тулза препятствует нормальному прохождению пакетов, выступая видимо фаерволом. Поковырявшись, админ сказал что обнаружил что на серваке зачем то был установлен, тысячу лет назад, kerio vpn client, который он благополучно снес. После данной манипуляции все зашуршало прекрасно, так что причина крылась именно в kerio vpn client который видимо как любой ipsec клиент имеет встроенный фаервол у которого имеются свои взгляды на прохождение пакетов. У клиента от checkpoint, например, таких проблем замечено не было.

Начну с того что я остановился сразу на платформе Asterisc, во первых потому что это наиболее популярный open-sourse, во-вторых потому что по данной платформе огромное количество полезной информации в интернете.

Погуглив, почитав и пообщавшись по форумам с людьми, выявил для себя следующие моменты:
под платформу лучше всего использовать отдельный сервер, поскольку на виртуалке могут возникнуть траблы как с трафом, так и с производительными мощностями, особенно в случае если трафик от провайдера приходит в одном кодеке, а в офисе мы используем другой;
для дедика вполне хватит сore2 или core i3, как минимум с 2Гб оперативы на борту, так что на первое время вполне сгодится какой нить десктоп, если руководство жмет деньги на приобретение полноценного сервера;
использовать лучше кодек g711, при этом под каждый активный разговор отводится порядка 64 кбит/с, так что умножаем на это число количество входящих линий и получаем необходимую под VoIP полосу пропускания;
использовать можно FreeBSD или CentOS, хотя тут мнения разделяются, как собственно и в любой холиваре- единственное что я пока осознал, что обновления для платформы Asterisc выходят на Cent OS с большим опозданием, по сравнению с фрей;
для сервака лучше использовать внешний, отдельный IP, поскольку при пробросе SIP портов (5060 udp/tcp и выделенный upd диапазон для траффа) через NAT могут возникнуть проблемы (в моем случае точно, поскольку на D-Link’e эти проблемы возникли даже при пробросе rdp);
можно использовать аналоговые телефоны, но для них придется докупать либо специальную карту в сервер, чья стоимость составляет около 2к грина, либо же VoIP шлюз, который также стоит в районе 200 грин;
цены на IP-телефоны начинают от 4к за более менее нормальные аппараты, так что имеет резон использовать бесплатные софтовые клиенты, так как в этом случае контора попадает только на гарнитуры, чья стоимость составляет от 700 рублей за штуку;
если планируется иметь факс, то его лучше вешать на аналоговую линию, поскольку для передачи факсимильных сообщений требуется идеализированный траффик, в противном случае факсы будут приходить крайне отстойного качества;
сама платформа Asterisc метит траффик, так что использовать для него приоритезацию траффика QoS не составляет проблемы;
некоторые провайдеры имеют свойство зафильтровывать SIP траффик, чтобы потенциальные клиенты не пользовались сторонними сервисами, так что придется либо брать данный вид трафа у этого провайдера, либо же каким то образом договариваться с ним;
в этом же ключе я пробивал возможность использования VoIP со шлюзом Checkpoint, который я уже успел несколько подзабыть за прошедшие полгода, в связи с чем выяснилось несколько моментов: в стандартной поставке Checkpoint FW будет корректно обрабатывать и пропускать VoIP траффик, и даже фильтровать его по политикам безопасности (при заведении объекта шлюза VoIP), а также симафорить с помощью IPS блейда, имеющего стандартными несколько сигнатур для проверки VoIP траффика. Но есть хочется чего то большего, то необходимо приобретать блейд  Voice over IP (VoIP) Software Blade, который этих сигнатур имеет большее количество и к тому же может не только проверять VoIP траффик, но и при необходимости вносить изменения в пакеты: транслировать адреса или вносить исправления в заголовки. Единственный момент здесь в том, что данный блейд встает только на версию R65, то есть весьма и весьма древнюю, так как на новых версиях SPLAT данный блейд не работает.

Пока эти размышления поставили мне мозги набекрень, так что ближайшие пару дней буду думать, куда мне копать дальше. Ну и да- главный аспект сколько за эти работы можно снять бабла- вот это для меня пока остается загадкой, так как сам не пойму во сколько можно оценить общий фимоз мозга, который я заработал за сегодняшний день, пока грыз всю эту инфу.

Старый сервер однопроцессорный, второй двухпроцессорный.

Стали выяснять, оказалось что помимо R65 Adv Routing клиент устанавливает также HFA70, то есть получается что утилита upgrade_import на старой машине и новой различается версиями.  Собственно не смотря на поучения нашего продакта, который полез в глубины кластеризации шлюзов, посоветовал клиентам попробовать использовать одинаковые версии утилиты upgrade_import.

Сегодня получил ответ, что все прошло нормально и процедура экспорта старой конфигурации на новый сервер завершилась успешно.
Ставим галочку.

Ну делается это довольно просто: скачиваем из usercenter прошивку, подключаем к usb портам внешний DVD, заходим в BIOS нажимая кнопку TAB, выбираем загрузку с сидюка и вуаля- заливаем новую операционку. Но тут как какое то проклятие- терминал пишет какие то кракозябры, и если настойчиво нажимать клавишу TAB, то экран попросту залипает. При нажатии же остальных клавиш нормально выводит загрузочное меню, которое является первым удобочитаемым рисунком. Пообщался в чате с тех поддержкой Check Point – они посоветовали открывать реквест на эту тему, ибо случай явно RMA.

Перепробовал 4 штуки различных терминалов от встроенного до SecureCRT- всюду одно и тоже. И тут решил вдруг проверить на чужой машине- надо заметить что я работаю под Windows 2003.  Втыкаю агрегат в XP- все работает, при включении отображается нормальный экран загрузки, нормально по TAB заходит в BIOS- вообщем все прекрасно и замечательно. Перекинул себе на машину XPшный гипертерминал, хотя он ничем не отличается от родного, попробовал на нем- таже самая картина- крокозябры вплоть до начала нормальной загрузки- первые нормальные строчки- это boot menu.

В связи с чем вывел, что устройство UTM-1 130 по каким то причинам, в начале загрузки, не дружит с серверной платформой Windows 2003  :-/ хотя быть может он не дружит с переходником RS232 на USB которым мне приходится пользоваться, ибо на моей машине нет com-порта.

При работе пользователю блокируется доступ к локальному диску, так что пользоваться он может только файлами, хранящимися на флеш-носителе, или полученными по сети. Использование оперативной памяти разделено с компьютером, поэтому вирусы и другое злонамеренное ПО не способно проникнуть внутрь виртуальной системы, что предохраняет от угрозы заражения как сами файлы пользователя, так и его корпоративную сеть, с которой он установит защищенное соединение. И главное этот механизм работы не требует дополнительных лицензий, как например стандартная виртуальная машина, как для операционной системы, так и для используемого ПО. Во время работы виртуальное окружение создает защищенный канал доступа к установленному на компьютере ПО, организуя безопасную работу пользователя с разрешенным политиками безопасности программами.Принцип работы таков, что после успешного логина, в виртуальном окружении, запускается новая оболочка explorer.exe  и все остальные процессы запускаются по отношению к этому процессу как к родительскому, что и позволяет Abra контролировать выполнение приложений с безопасной среде. Все вызовы к приложениям перенаправляются к флеш драйву, то есть все приложения запускаемые внутри виртуальной системы работают внутри виртуальной файловой системы и реестра, находящихся на флеш-носителе, где они шифруются сразу в процессе записи на носитель.

Благодаря устройству Abra пользователь может получить доступ к своим файлам и корпоративной сети практически с любой машины, подпадающей под определение не доверенных узлов, не боясь нанести урон своей сети или данным хранимым на носителе. Также в случае потери, данные не станут доступны похитителям или людям, случайно нашедшим утерянный флеш-носитель, а ведь не секрет, что большинство громких утечек данных на западе были вызваны кражей или потерей ноутбуков. Более того, данное решение позволяет пользователю отказаться от стандартного ноутбука, который постоянно приходится носить с собой и который свои фактом присутствия, уже является целью для воров. С Abra весь функционала ноутбука помещается к кармане рубашки или джинсов, позволяя использовать мощности любого доступного пользователю компьютера, не задумываясь при этом о потенциальных угрозах которые может нести сторонний компьютер не подпадающий под используемые в компании политики безопасности. И тем самым для нас, это еще один лишний довод перед начальством за то, чтобы работать удаленно- из-за домашнего компьютера.

Варианты прошивок для устройств Sofaware:
n8.1.37n.img  новая прошива для устройств нового поколения N-серии которое выгружается через GUI
x8.1.37x.img прошивка для устройств предыдущего поколения X-серии которое выгружается через GUI
8.1.37x.tftp прошивка для устройств предыдущего поколения X-серии которое выгружается через TFTP

Существуют ли какие нибудь специфические версии прошивок?
Версия 7.5.55_w6x.img имеет функционал WLAN-Client. Этот функционал будет введен в прошивке версии 9.
SofaWare предлагает специфическую прошивку по запросу, если клиенту требуется поддержка BGP

Имеются ли различия в прошивках с DSL-модемами
Да имеется отдельные прошики для версии аннеск А и аннекс В. Также существуют две версии прошивки SW2.0.*_pri.firm (primary) и SW2.0.*_sec.firm (secondary) которые идут в комплекте поставки. Первичное используется для загрузки устройство, а вторая создается при резервировании устройства и к нему откатываются в случае возврата к фабричным настройкам.

При использовании ADSL моделей необходимо сделать следующую процедуру, чтобы предотвратить попытку восстановления DSL сессии, которая происходит по умолчанию каждые 1 час 14 минут:
Идем по адресу нашего шлюза  https://my.firewall.
Далее идем по адресу Setup -> Tools -> кнопочка Command
В появившемся интерфейсе набираем  set port adsl auto-sra mode disable
Нажимаем Go

При управлении устройствами Edges из SmartCenter настоятельно не рекомендуется инсталить политики более чем на 10 устройств одновременно

Когда мигает индикатор PWR/SEC LED красным цветом, это означает что фаервол заблокировал какое либо соединение

Там же указано, что Sofaware действительно признает тот факт, что для управление устройством следует производить через IE, ибо Safari и Mozilla имеют проблемы работоспособности.

Существуют не явные страницы для диагностики устройства:

http://my.firewall/pop/Diagnostics.html

http://my.firewall/vpntopob.html  для старых версий (7.0.x и ниже) использовать http://my.firewall/vpntopo.html
https://my.firewall/dnstopo.html доступно для новых версий прошивок (с версии 7.5+)

http://my.firewall/Log.html

http://my.firewall/Ports.html

http://my.firewall/pub/test.html – не документированная страница на которой доступна служебная и лицензионная информация

SmartDefense как и следовало ожидать, отключить невозможно. Единственно что можно- минимизировать его работу путем выставления параметров его работы в None.  В случае центрального управления можно выставить настройку не распространять политику SmartDefense на этот шлюз. Для этого в объекте Edge необходимо пройти SmartDefense > Profile Assignment и включить галку Do not apply SmartDefense on this gateway

Существует специализированная дебажная прошивка, которая дает более богатый функционал логирования, путем запуска команды debug.  Также можно запустить с SmartCenter сервера, отредактировав файл SofawareLoader.ini , для чего найти строку DebugLevel в секции [LOG] и выставить её в параметр Debug или  Info. Для того чтобы запустить SofaWareLoader ручками необходимо в командной строке ввести fwm load -S -M -l41 policy_name.W <Edge>

Если при попытке соединения Edge со SmartCenter вываливается сообщение “Connection Refused: This UTM-1 Edge is not registered to the Service Center.” то следует проверить версию устройства в свойствах объекта на менеджмент сервере, чтобы они соответствовали действительной.

После инсталляции политики на менеджмент сервере Edge подхватывает политику спустя какое время, из-за того что устройства опрашивают менеджмент сервер на предмет обновленной политики, каждые 20 минут.

Полная версия в которой много информации по кластеризации устройств и использовании центрального менеджмента, можно найти по адресу:

http://www.cpug.org/forums/check-point-utm-1-edge-appliances/6341-utm-1-edges-faq.html

И вот при использовании утилиты стали возникать эпизодические проблемы связанные с тем, что политики там или иначе не открывались в InfoView, сопровождая это матерной руганью “Error occured while trying to copy local_plugins_list.C from Gui library” и “The connection has been refused because the database could not been opened”. Собственно удалось побороть это следующим образом: первое сообщение убралось после того, как клиент установил на своем сервере последнюю версию утилиты cpinfo (на данный момент cpinfo_911000096_2) и снова собрал данные по своей системе. Второе сообщение появилось первый раз при открытии, но после того как выпав в Demo-режим, ручками указывалось что следует открывать вариант InfoView, открылась корректно, после чего повторно стала открываться без ошибок.

Так что получается что проблемы лечатся установкой последних версий cpinfo и InfoView, хотя у коллеги на рабочем XP (я пробовал на своем Server 2003 и двух чистых виртуалках XP и 2Yk) выскакивает ошибка, указывающая на то что при открытии возникают какие то проблемы с буффером памяти, что вероятнее всего находится в зависимости от каких то установленных программ или патчей.

Кстати, в процессе копания вскрылся интересный момент что cpinfo собранный на R65 открывается нормально в версии R65.3 SmartDashboard, в то время как в обычной R65, открытие политик приводит к возникновению ошибки The connection has been refused because the database could not been opened.

Большим преимуществом Check Point является возможность централизованного менеджмента, и управления всем парком шлюзов и иных устройств из единой консоли управления. К тому же, в случае Check Point, администрирование правил фильтрации трафика гораздо проще и понятнее чем управление устройством cisco, где текстовое представление правил может занимать не одну сотню строк. Но в решениях Check Point, менеджмент- это отдельное решение, чья цена также не учитывается при сравнении оборудования этих производителей, тем более что управлять asa можно и из командной строки, в то время как со шлюзами Check Point такое действие не пройдет- для управления ими необходим менеджмент сервер в обязательном порядке, чаще всего он входит в бангл аппаратной платформы (везде кроме Power), но в случае большого количества узлов сервер управления также необходимо лицензировать по количеству управляемых шлюзов, а с новых версий и по числу нод входящих в кластер. Но как говорят цискари GUI менеджмент у cisco оставляет желать лучшего ибо java-решения всегда отличались своей особой и неповторимой неторопливостью в работе.

Далее возьмем характеристики по которым сравнивается оборудование Check Point и Cisco. Чаще всего отправными параметрами являются скорость фильтрации трафика, скорость VPN, число конкурирующих сессий, количество защищаемых пользователей, а для решений высшего эшелона и форм-фактор, ибо разница между 2U и 4U, даже в решении 4нодового кластера, уже весьма ощутима в пределах одной стойки. Секрет в том, что Cisco указывает в своих спецификациях параметры работы при рабочей нагрузке, в то время как Check Point указывает параметры работоспособности при так называемых дефолтных правилах, то есть все разрешено. Как только добавляется 20-30 правил, эта заявленная производительность падает на 20-30%. Тоже самое касается и работы IPS, малейшее усложнение дефолтной конфигурации приводит к потерям до трети заявленной скорости.

Теперь поговорим о стоимости обслуживания оборудования. Знатные цисководы, имеющие большой опыт работы говорят о том, что стать сертифицированным специалистом Cisco в разы сложнее чем специалистом по Check Point, как по количеству экзаменов (в cisco их 6 штук, в то время как в CP максимум 2), так и в смысле качественности экзаменов- на сертификации CP есть только теоретические вопросы, даже если и ситуационные, и не никаких лабораторных работ.

Согласуясь со всем вышесказанным я бы отметил следующие аспекты: не надо безусловно верить всем маркетинговым таблицам, ибо приводимые данные разнятся у различных компаний; следует четко понимать что именно вы хотите от решения- какой функционал и какие задачи оно должно обслуживать; естественно важна стоимость обслуживания. Сложно давать какие либо советы при выборе, но в случае единичного решения от которого требуется исключительно фильтрация трафика, я бы скорее всего остановил свой выбор на Cisco (а то и на бесплатных брандмауэрах под Unix системами , особенно если имеются инженеры этого вендора, которых по статистике гораздо больше чем сертифицированных специалистов Check Point. В случае же если необходимо сложное функциональное решение, или целый парк устройств, то выбор скорее всего тяготел бы в сторону Check Point именно благодаря облегченности менеджмента и более глубоким возможностям как управления, так и мониторинга и анализа проходящего сетевого трафика и происходящих инцидентов.

Тут мне сваливается очередной запрос от нашего нового “недопродакт” менеджера по продуктам checkpoint- подобрать аналог решению cisco asa. Надо отметить, что такие запросы последние полгода сваливаются довольно часто, в связи с тем, что cisco решив работать вбелую, поимела огромные проблемы с доставкой оборудования в области инфобезопасности на 1/6 часть  суши, ибо наши доблестные фсбшники попросту не выдают им соответствующих сертификатов на оборудование. В этой связи кстати, также пропали все рутеры от LinkSyS, пару лет назад купленной Cisco- ведь wi-fi это же тоже адское шифрование и требует обязательной сертификации.

Вообщем приходит запрос на ASA 5505 8 портов, DES/AES и 10 пользователей. Ну я решив поднять себе настроение отписываюсь о том, что это в принципе SofaWare, но если исходить из того что нужен VPN, то вполне вероятно UTM 130, поскольку у него скорость VPN аналогична заявленной скорости ASA 5505- 100Мб/c. У Edge и Safe@Office этот параметр равен 35 Мб/c,и только у версии N заявлен под 200, но они отгружаются из Check Point в течении месяца-полутора. И тут я делаю стратегическую ошибку, решив пошутить в людьми не очень секущими в теме, и пишу что дескать есть конечно очень надо 8 портов, то следует остановить выбор на 2070, а это уже порядка 25к+ грина, против 600 долларов за ASA 5505, ну и сопровождаю это дело смайликом. С человеком который до этого был на этом месте, у нас это был стандартный способ общения, и я как то не предполагал что продавцам придет в голову отправлять клиенту предложение замены 600 долларового оборудования, оборудованием стоимостью в 25к зелени

Так что поимев двухдневную войну с нач.отдела по поводу того кто из нас троих в этой ситуации идиот, причем инженер из cp принял нейтралитет, заявив что 130 решение не подходит только по цене, а по функционалу полностью соответствует; видимо буду составлять матрицу аналогов между Checkpoint и Cisco, которую и выложу несколько позднее.

Начнем с GUI, для чего настроим машину либо на DHCP либо на сетку 192.168.10.0/24. Заходим через бродилку по адресу http://192.168.10.1/ где задаем администраторский пароль и попадаем в основное меню GUI. Далее выбираем Setup -> вкладка Firmware -> Firmware Update, выбираем файл который является нашей новой прошивкой и говорим Upload. После этого Edge задумается на пару минут, вывесив объявление о том, что обновление в процессе, после чего уйдет в перезагрузку. После того как он загрузится, снова заходим в GUI с установленным нами ранее паролем и сбрасываем устройство в состояние Factory Default (по крайней мере моей задачей было передать устройство заказчику, так что все установки должны были быть по умолчанию): Setup -> Tools -> Factory Settings -> на загрузившейся странице следует обратить внимание на то, чтобы галочка на чекбоксе “Revert to the factory default firmware version” была снята. Нажимаем ОК и ждем несколько минут пока устройство перегрузится. Здесь следует обратить внимание на тот не приятный факт, что гуй Edge подглючивает в Mozilla, поэтому, чтобы не озадачиваться зазря, следует пользоваться IE.

Второй вариант такой же как и установка новой лицензии на Edge- путем загрузки её посредством протокола tftp. Для этого переводим устройство в режим tftp сервера, т.е нажимаем кнопку Power и держа её, включаем устройство. Кнопку отпускаем после того как индикатор работы PWR/SEC загорается красным. Настраиваем сетевые свойства компьютера на сеть 192.168.10.0/24, после чего загружаем dos-promt (win -> run -> cmd) и в нем задаем команду: tftp -i 192.168.10.1 put <N.extension> , где N- номер версии, а extension тип файла:
* Для устройств Edge без поддержки ADSL, extension будет tftp (например 8042x.tftp)
* Для устройств Edge с поддержкой ADSL, extension будет  firm (например a8042a.firm)
Вот тут начинается самое интересное- по мануалу, устройство должно перегрузиться после этого само, но к сожалению у меня оно и дальше продолжало радостно помигивать лампочками, поэтому все приходилось делать своими руками. Так что перегружаем устройство и ждем пока оно проморгается и начнет снова стабильно гореть здоровым зеленым цветом на индикаторе PWR/SEC, правда ждать придется минут 5 как минимум. Но по невыясненным причинам у меня из десяти устройств это вариант прокатил только с 3мя, так что рекомендую все таки воспользоваться способом через GUI.

Для того, чтобы проапгрейдить движок SNХ на шлюзе VPN-1, делаем следующие процедуры:

1. Резервируем директорию $FWDIR/conf/extender/CSHELL
2. Скачиваем с офф.сайта Checkpoint файл апгрейд-патча SNX_for_VPN1_Win7.tgz
3. Распаковываем скаченный файл, в директорию $FWDIR/conf/extender/CSHELL
4. Перемещаем файлы cashell_ver.txt и slim_ver.txt в директорию $FWDIR/conf/extender
5. Устанавливаем на шлюзе имеющиеся политики

Для того, чтобы установить патч на портал Connectra Gateway, необходимо проделать следующие шаги:

1. Резервируем директорию $CVPNDIR/htdocs/SNX/CSHELL
2. Скачиваем с офф.сайта файл апгрейд-патча SNX_for_Connectra_Win7.tgz
3. Распаковываем ранее скаченный файл в директорию $CVPNDIR/htdocs/SNX/CSHELL
4. Устанавливаем политики на портал

Установка поддержки Endpoint Connect R73 на шлюз VPN-1 R65+ HFA40 и портал Connectra Gateway
Для установки поддержки Endpoint Connect R73 на шлюзе VPN-1, начиная с версии R65 HFA 40, необходимо провести следующие процедуры:

1. Резервируем файлы TRAC.cab и trac_ver.txt содержащиеся в директории $FWDIR/conf/extender/CSHELL
2. Скачиваем с офф.сайта Checkpoint файл поддержки клиентского софта
   Check_Point_Endpoint_Connect_R73_For_Windows_835000022.cab
3. Перемещаем файл в директорию $FWDIR/conf/extender/CSHELL и переименовываем его в TRAC.cab
4. Задаем правильные права доступа к файлу поддержки клиента: chmod 750 TRAC.cab
5. Редактируем файл trac_ver.txt изменив build number содержащийся внутри файла, на новый 835000022
6. Устанавливаем политтику на шлюз

Для установки поддержки Endpoint Connect R73 на портале Connectra Gateway совершаем следующие процедуры:

1. Резервируем файлы TRAC.cab и trac_ver.txt из директории $CVPNDIR/htdocs/SNX/CSHELL
2. Скачиваем с офф.сайта файл поддержки обновленной версии клиента
   Check_Point_Endpoint_Connect_R73_For_Windows_B835000022.cab
3. Перемещаем файл в директорию  $CVPNDIR/htdocs/SNX/CSHELL и переименовываем его в TRAC.cab
4. Даем команду chmod 750 TRAC.cab для того чтобы задать необходимые права доступа к файлу
5. Изменяем в файле file trac_ver.txt версию build number, изменив имеющийся на 835000022
6. Устанавливаем политики на портал

И вот здесь начинается некоторая непонятка, ибо Checkpoint обещает выпуск обновленного полнофункционального VPN клиента Secure Client, поддерживающего 64битные системы, только в конце второго квартала, и на данный момент предлагает два вида решения: использование облегченного VPN клиента Endpoint Connect (он также интегрирован в продукт Endpoint Security Client R73), входящего в комплект Connectra, но при этом поддерживающего соединение со шлюзами, начиная от NGX R65 HFA40. В данный момент единственная версия клиента  Endpoint Connect, поддерживающая 64битные системы, является  Endpoint Connect R73, который дает возможность подключения к системам выше R65 HFA40 и Connectra R66.

Для использования этой версии клиента также необходимо произвести апгрейд поддержки Endpoint Connect на шлюзах, путем установки установки патча поддержки R73. Последняя актуальная версия клиента Endpoint Connect, а также патч для шлюза VPN-1 и портала Connectra доступны для скачивания на офф.сайте Checkpoint.

Лицензируется использование этого продукта в виде Check Point Endpoint Security – Secure Access license, путем приобретения лицензии на удаленное рабочее место, то есть если два пользователя работают с одной машины, то нужна всего одна лицензия, если же один пользователь предполагает работать с двух разных машин, то две лицензии.

Другим вариантом использования VPN клиента на 64битныхз платформах, является использование продукта SSL Network Extender (SNX) для построения шифрованного туннеля 3го уровня SSL VPN. Версия SNX R71 HFA1 for Windows поддерживает 64битные платформы Windows 7/Vista/XP. Этот клиент скачивается с портала Check Point Security Gateways по запросу пользователя, пытающегося установить шифрованное соединение через протокол HTTPS. Продукт поддерживает шлюзы, начиная с версии NGX R60 и выше. Для использования версии R71, на шлюзах также должен быть установлен патч поддержки этой версии, который можно скачать на офф.сайте Checkpoint.

Лицензируется использование данного продукта путем приобретения лицензии SNX (на определенное количество пользователей: 25, 100, 250 и т.д) или также Check Point Endpoint Security – Secure Access license, которая приобретается по количеству удаленных рабочих мест.

Так что все разговоры о том, что Endpoint Connect поддеривается только VPN порталом Connectra либо развод на лишние, причем не малые, бабуськи, либо просто незнание материала.

Собственно решения проблемы два. Первое наиболее простое и помогает в большинстве случаев, но иногда, если не помогает первый вариант, стоит попробовать второй:

1. Рестартим сервер и пробуем обновиться снова. Можно сделать более мягко путем рестарта сервиса checkpoint:
[cpmodule]# cpstop
[cpmodule]# cpstart

2. В процесс обновления фаервол создает некоторое количество файлов в подпапке $FWDIR/uf/sc/update/incoming содержащих информацию об обновлениях. Из них нас интересует один:
[cpmodule]# cpstop
[cpmodule]# expert (перейти в экспертный режим)
Удаляем файл Siglist2.txt.new, находящийся в папке cd $FWDIR/uf/sc/update/incoming , но удалять файлы на работающей системе не камильфо, поэтому мы его куда нибудь переносим из основной директории обновления
[Expert@cpmodule]# move $FWDIR/uf/sc/update/incoming/Siglist2.txt.new  /tmp
[Expert@cpmodule]# exit (выход из экспертного режима)
[cpmodule]# cpstart

Как я сказал уже выше, в большинстве случаев все заканчивается на первом способе, но тем не менее всегда стоит иметь что то про запас.

Утилита CPinfo собирает содержимое файлов находящихся в root директории установки программного обеспечения шлюза, включая директорию размещения логов $FWDIR/log/* files, а также специфические настройки самой системы.
Таблицы маршрутизации
Вывод команды netstat
Вывод команды ipconfig /all
Версию операционной системы шлюза и установленных патчей и хотфиксов.
Данный памяти и CPU
Вывод команды fw ctl pstat
Вывод системных логов

Утилита портирована для всех систем, поддерживающих систему Check Point, и для каждой системы имеется своя версия, которую необходимо тщательно выбрать именно для своей системы. Боьшинство проблем установки утилиты CPinfo на систему, связаны с тем, что администратор пытается установить не правильную версию утилиты. CPinfo можно установить на следующие системы:

• SecurePlatform
• Linux
• Solaris
• IPSO
• Windows 2000/XP, 2003

Установка на Винде совершенно ничем не отличается от обычной установки: скачиваем с офф.сайта, запускает, всюду нажимаем ОК, перегружаем машину.

Установка Linux/SecurePlatform

Скачиваем с офф.сайта последнюю версию CPinfo. Если скачать невозможно, то будем производить установку из идущего в комплекте дистрибутива: /sysimg/CPwrapper/linux/CPinfo/CPinfo-10-00.i386.rpm или копируем с диска, содеражащего комплект утилит Check Point: /linux/CPinfo/CPinfo-10-00.i386.rpm

Для начала сносим имеющуюся в системе версию (на тот случай если она у нас представлена)
#  rpm -e CPinfo-10-00
Заходим в директорию, содержащую установленный файл и распаковывываем архив.
#  gunzip cpinfo_X.tgz
#  tar -xvf cpinfo_X.tar

Устанавливаем утиту cpinfo
#  rpm -ivh CPinfo-10-00.i386.rpm
также можно использовать следующую команду
#  rpm -Uvh –force CPinfo-10-00.i386.rpm

Проверяем корректность установки утилиты, путем поиска в выводе пакета CPinfo-10-00
#  rpm -qa | grep CP
Если утилита установилась без ошибок, но в листинге отсутствует, то перегружаем базу rpm и после этого перезаходим в сессию, путем завершения сессии и нового логина в систему
#  rpm -v –rebuilddb

Проверяем версию установленной утилиты CPinfo
#  cpvinfo /opt/CPinfo-10/bin/cpinfo
Версия билда должна быть где то в районе 9110000xx

После этого перегружаем машину и загрузившись, создаем файл cpinfo путем ввода команды
#  cpinfo -n -z -o hostname.cpinfo

Установка на Solaris

Скачиваем последнюю версию cpinfo с офф.сайта или копируем с диска утилит  /solaris2/CPinfo/CPinfo.tgz.

Просматриваем установлена ли утилита cpinfo и если да, то удаляем имеющуюся версию cpinfo командой pkgrm <package name>
bash-2.05# pkginfo | grep Check
application CPfw1-R55W Check Point VPN-1/FireWall-1 NG with Application Intelligence (R55W)
application CPinfo-R55W Check Point CPinfo NG with Application Intelligence (R55W)
application CPrtm-R55W Check Point SmartView Monitor NG with Application Intelligence (R55W)
application CPshrd-R55W Check Point SVN Foundation NG with Application Intelligence (R55W)
# pkgrm CPinfo-R55W

Заходим в папку с архивом скаченной утилиты и распаковываем её
#  gunzip cpinfo_X.tgz
#  tar -xvf cpinfo_X.tar

Устанавливаем утилиту cpinfo
#  pkgadd -d /var/
как вариант, кладем TAR в директорию /var/spool/pkg и устанавливаем командой pkgadd

После этого проходим установочный диалог, мало чем отличающийся от виндового и установив, проверяем наличие утилиты в системе pkginfo | grep Check command.
bash-2.05# pkginfo | grep Check
application CPfw1-R55W Check Point VPN-1/FireWall-1 NG with Application Intelligence (R55W)
application CPinfo-10 Check Point CPinfo
application CPrtm-R55W Check Point SmartView Monitor NG with Application Intelligence (R55W)
application CPshrd-R55W Check Point SVN Foundation NG with Application Intelligence (R55W)

Проверяем версию билда установленной утилиты
#  cpvinfo /opt/CPinfo-10/bin/cpinfo command.
Версия билда должна быть 9110000xx.

Перезаходим в сессию, перед началом использования cpinfo

Генерим файл cpinfo

cpinfo [-v] [-l] [-n] [-o ] [-r | -t [tablename]] [-c cma ... | -x vs]

-z: сжимать файл вывода с помощью gzip (наиболее эффективно с опцией -o).
-r: включать регистр (для Windows получится большой вывод).
-v: выводить информацию о версиях
-l: включать записи логов (результат- объемный вывод).
-n: Не резолвить IP адреса (быстрый вывод)
-t: вывод состоит только из таблиц (только для SR)
-c: получать информацию о CMA (для Provider-1).
-x: получать информацию о (для VSX)

Получаем вывод cpinfo:
#  cpinfo -n -z -o hostname.cpinfo

Возможные варианты использования утилиты cpinfo:

Получить версию утилиты CPinfo:
#  cpinfo -v

Вывести результат исполнения утилиты в файл cpinfo.out (без разрешения адресов):
#  cpinfo -n -o cpinfo.out

Сжать вывод в файл cpinfo.out.gz:
#  cpinfo -z -o cpinfo.out

Получить информацию о CMA My_Cma и Your_Cma (для Provider-1):
#  cpinfo -c My_Cma -c Your_Cma -o cpinfo.out

Получить информацию о VS 5 (для VSX):
#  cpinfo -x 5 -o cpinfo.out

Вообщем ответ тех.поддержки был, что shit happend- сие есть баг (баг заключается в том, что дропаются те пакеты у которых исходящий порт такой же как и входящий- 53; если же порт стандартно выше 1024 порта, то они проходят нормально), посему надо откатить устройство на более раннюю версию прошивки, но как оказывается сам я это сделать не могу, а это указывается ручками на стороне сервис центра производителя SMP, где оператор ручками указывает какому MAC адресу на какую прошивку перегрузиться. Но самое веселое, что это уже сделали, попросив меня ручками передернуть устройство. И мало кого волнует, что я в 50 километрах от устройства и самое близкое когда собирался туда заехать – это конец недели.

Все это очень мило, но тогда не понятно зачем там вообще в устройстве кнопка перепрошить устройство на специфическую прошивку. Надеюсь, что 7 прошивка, которую мне сегодня перезальют будет лучше чем 8.0.42, поскольку баг, со слов поддержки, будет исправлен не столь оперативно, как решаются проблемы для тех же Checkpoint Edge, которые являются клонами sofaware с той лишь разницей, что управляться могут централизованно и поддерживаются старшим братом.

*** 23.12.09 *** Баг после отката не исчез, по прежнему дропаются входящие и исходящего 53 порта, но зато разрешилась проблема с доступом по https к консоли. Оказалось, что сервер https, для внешних подключений, переехал со своего стандартного порта на 981, т.к. обращение https://server:981 позволяет достучаться к серверу из вне.

При этом, если искать его через стандартную форму поиска на офф.сайте, то все выпавшие ссылки на скачивание SecuRemote/SecureClient ограничиваются просьбой заполниться формочку по которой с вами свяжутся чуть позднее. По которым никто не отвечает, т.к я заполнял почти неделю назад и до сих тишина. Но тем не менее на офф.сайте эти клиенты доступны, правда как попасть в этот раздел, последовательно используя системы меню и навигации, я так и не понял, но тем не менее по этой ссылке там доступны клиенты SecuRemote/SecureClient как для Windows так и для MaC OS X, a также SecureMobile Client.

Такое вот прекрасное устройство, причем вместе с подпиской на год и безлимитное число пользователей, оно выходит чуть больше штуки грина. Все очень просто настраивается через веб морду по http или https. Но есть одно маленькое НО- коробка идет со стандартной прошивкой 7.х которая после того как подцепляешь подписку, без вопроса грейдится на самую последнюю 8.0.42 после чего начинается свистопляска. Все входящие DNS пакеты на внутренний сервер, который натится из сетки, начинаются дропаться по дефолтному правилу, не смотря на указанную политику о том чтобы их пропускать. Помимо этого, напрочь отрубается внешний доступ к веб морде, а при попытке поднять wi-fi в бридж моде, для того чтобы иметь доступ из wi-fi сети к сетевым ресурсам, вешается внутрисетевой трафик, т.ч. простейшие операции вроде отправки почтового сообщения вешаются наглухо. В общем пришел к тому что нужно откатываться на старую версию прошивки, но как это сделать чтобы устройство не обновилось снова, не могу понять, в этой связи открыл тикет на офф.сайте. Пока суть да дело, с разборкой логов и настроек, мне упало еженедельное письмо от sofaware со статистикой по неделе работы устройства, где также была анонсирована эта самая многострадальная прошивка 8.0.42 откуда я с радостью узнал, что дроп пакетов на 53 порт UDP оказывается “не бага, а фича”, т.к. это трактуется как domain атака, также прикрывается атака на порт 51376 и 54498.

Приятный и удобный сервис, но будем ждать разрешения проблемы, когда все заработает наконец то в полном объеме.

Путем долгих разборок с базой знаний и мозговых терзаний выяснилось, что это можно сделать ручками, путем правки файла БД object_5_0.C, но данный путь годится для пытливых умом инженеров, мы же пойдем более простым и надежным путем- обратимся к утилите Check Point Database Tool, запускаемой файлом C:\Program Files\CheckPoint\SmartConsole\R65\PROGRAM\GuiDBedit.exe
Запустив её, подключаемся к управляющему серверу и проделываем следующие правки баз:
Для обновления антивируса идем: Table -> Other -> content_security -> Global_AV_Settings ->signature_updates -> proxy_address

Для обновления URL Filtering следуем по маршруту: Table -> Other -> uf_policy -> Global_UF_DB_Updates -> proxy_address

В этом поле вводим информация прокси сервера, в следующем формате: http://:
(как пример http://myproxy.ru:8080)

После этого инсталим политику на шлюзе

*** Примечание:
Нужно понимать что после этого шлюз будет использовать данный алгоритм обновления, вместо автоматического обновления.
Данная настройка распространяется на все шлюзы, т.к. невозможно её прикрутить к отдельно стоящему серверу.
В случае необходимости обновления через прокси сервер с аутентификацией, данная процедура не сможет помочь, т.к. такой возможности нет, и необходимо говорить о так называемом off-line обновление, но это уже отдельный разговор, т.к. для этого необходимо связываться с представительством чекпоинта в России.

Наглядную иллюстрацию этой картины, я получил вчера на семинаре, посвященном новому поколению продукта Checkpoint R70 Blades.  Семинар  был посвящен софтварной версии системы предотвращения вторжений IPS Blade, пришедшей на смену системе Smart Defense. Новую систему отличает повышенная производительность,  более совершенные механизмы обнаружения и защиты, и по заверению вендора, в ней решены печально известные проблемы работоспособности Smart Defense.

Так вот, собственно одна из лабораторных работ предполагала настройку VPN-1 с включенным IPS Blade стандартной конфигурации, и последующей эмуляцией атаки через систему.  После удачного завершения лабораторки стали разбирать логи на машине, которая была подключена к внешней системе через провайдера нового поколения Yota; и вот тут то и выяснился очень забавный момент, что с того момента как мы запустили IPS, буквально через полторы минуты, на машину пошли атаки различных типо: IP Fragments, Teardrop, Ping of death.

Teardrop – представляет собой DoS атаку, использующую уязвимость сборки пакетов при фрагментации: атакующая сторона посылает фрагменты перекрывающие друг друга, т.ч. при сборке на стороне жертвы пакета в цельное состояние, происходит зависание системы.

Ping of Death – также относится к DoS атаке, в результате которой атакующая сторона посылает echo запрос заведомо превышающий разрешенный размер для IP протокола в 65,535 байт, т.ч при получении данного запроса и попытке его обработки на удаленной системе происходит переполнение буфера, что в свою очередь приводит систему к  выходу из строя.

Ip Fragment – тип атаки направленной на безусловное установление соединения с атакуемой машиной, путем некорректной сборки фрагментированных пакетов.

Как видно из описания, каждая из этих атак является потенциально опасной и приводит либо к выходу системы из строя, либо к попытке захвата контроля над удаленной системой.

Вообщем как говорила Рената Литвинова:  как страшно жить! Не знаю как Вы, а я в инет без защиты – ни ногой.

Смена IP адреса уникальна для каждой отдельной операционной системы, и в данном мануале не рассматривается.  Рекомендую обратиться к мануалам OS, в случае если эта тривиальная процедура вызывает чувство беспокойства

Сценарий:
Host name сервера Smart Center ‘test’.  IP адрес = 10.0.30.200, и адрес на который мы хотим его сменить  10.0.30.150.

Кстати:
Для начала необходимо запросить новую лицензию в  Check Point User Center account.

Поехали:

1. Открываем SmartDashboard и правим объект политики  ‘test’
2. Меняем IP адрес во вкладке ‘General’ на новый IP
3. Правим вкладку Topology, изменяем старый IP на новый адрес, и кликом на OK закрываем объкт
4. Щелкаем  File -> Save.
5. Останавливаем SmartCenter сервер с помощью команды "cpstop"
6. Изменяем файл /etc/hosts file, чтобы ‘test’ перенаправлялся на 10.0.30.150
7. Изменяем IP адрес на внешнем интерфейсе SmartCenter сервера
   ***
   Не забыть поменять маршрут по умолчанию для внешнего интерфейса OS
8. Если лицензия сервера SmartCenter привязывалась к внешнему IP адресу, то изменяем лицензию для нового IP
9. Перегружам SmartCenter сервер
10. Пингуем host tets по его hostname, чтобы убедиться что резолв на новый адрес работает корректно
11. Подключаемся к SmartDashboard, проверяем и устанавливаем Security Policy.

1. Меняем IP адрес на модуле FireWall (OS/TCP/IP)
2. Изменяем локальный hosts файл
3. Отключаем от FireWall внешнюю сетку, желательно отключив патч-корд
4. Перегружаем
5. Устанавливаем новую FireWall лицензию
6. На консоли шлюза даем команду, для выгрузки политики безопасности “fw unload localhost”
7. Очищаем директорию fw/state (предварительно сделать резервную копию)
8. Устанавливаем используемую политику безопасности “fw load localhost”
9. Проверяем Masters file: должен быть выбран тот же уровень encryption level os что и на управляющем модуле

На управляющем модуле

1. Изменяем host файл
2. Используя “fwconfig” для Firewall-1 4.0 “cpconfig” для 4.1 или средствами GUI добавляем новый клиентский IP
3. Меняем IP адрес в  General tab FireWall используя Get Address
4. Используя “GET” меняем информацию в  interface tab, для отображения нового IP
5. Генерируем сертификационные ключи
6. Переставляем putkeys между management и PFM (делать необходимо на обоих машинах).
7. Применяем политику для всех FireWalls
8. Проверяем Masters file: должен быть выбран тот же уровень encryption level os, что и на firewall модуле

После этого необходимо настроить обновление шлюза, для этого идем в раздел “Services”, в поле “Service Account” запоминаем информацию в поле Gateway ID, после чего нажимаем “Connect to a Service Center”, в открывшемся диалоге выбираем родной серсис центр от sofaware.com и, нажав далее, вводим ту информацию что мы запоминали до этого, после этого “далее”-”далее”. По завершении процедуры, в том же разделе “Services”, проходим во вкладку “Software Updates” и говорит обновиться прямо здесь и сейчас.

В случае если вы обновили подписку по истечении года, по получении письма с подтверждением подписки, необходимо пройти на офф.сайт и в он-лайн поддержке инициировать запрос на предмет активации поддержки (никакие другие танцы с бубнами пока не работают . После того как саппорт-инженер скажет “yo m8, enjoy your subscription” можно спокойно идти по всем вышеозначенным путям и получать самые свежие обновления.