Одминский блог

Ошибки при использовании InfoView

Забавная ситуация конечно с просмотром cpinfo файлов, ибо когда я запрашивал эту информацию у тех поддержки check point они мне ответили, что таких утилит у них нет в доступном обозрении, и все это возможно просматривать на их стороне. Однако в usercentre отыскался файлец infoview_360000087_1.exe, доступный для скачивания , который как раз и является смотрелкой и эмулятором для ознакомления с конфигурацией машины и политиками шлюза, полученные путем сбора файла cpinfo. Устанавливаем сию легковесную утилиту и начинаем радостно пользовать для просмотра полученных cpinfo. Единственно несколько напрягает надпись на вкладке о-программе “For internal use only”. Интерфейс прост и незамысловат, в конфиге просмотра можно выбрать какую версию SmartDashboard использовать для открытия собранных политик: если этого не сделать, то для открытия политики будет выбираться наиболее актуальная версия. Также в комплекте поставки идет версия для Provider-1.

И вот при использовании утилиты стали возникать эпизодические проблемы связанные с тем, что политики там или иначе не открывались в InfoView, сопровождая это матерной руганью “Error occured while trying to copy local_plugins_list.C from Gui library” и “The connection has been refused because the database could not been opened”. Собственно удалось побороть это следующим образом: первое сообщение убралось после того, как клиент установил на своем сервере последнюю версию утилиты cpinfo (на данный момент cpinfo_911000096_2) и снова собрал данные по своей системе. Второе сообщение появилось первый раз при открытии, но после того как выпав в Demo-режим, ручками указывалось что следует открывать вариант InfoView, открылась корректно, после чего повторно стала открываться без ошибок.

Так что получается что проблемы лечатся установкой последних версий cpinfo и InfoView, хотя у коллеги на рабочем XP (я пробовал на своем Server 2003 и двух чистых виртуалках XP и 2Yk) выскакивает ошибка, указывающая на то что при открытии возникают какие то проблемы с буффером памяти, что вероятнее всего находится в зависимости от каких то установленных программ или патчей.

Кстати, в процессе копания вскрылся интересный момент что cpinfo собранный на R65 открывается нормально в версии R65.3 SmartDashboard, в то время как в обычной R65, открытие политик приводит к возникновению ошибки The connection has been refused because the database could not been opened.

Рубрика: Check Point | Ваш отзыв »

Сравнение оборудования Cisco и Check Point

Если рассуждать о соответствии оборудования Cisco и Check Point то надо четко понимать некоторые аспекты направленности бизнеса этих двух компаний, ибо эти два вендора принадлежат к разным нишам информационных технологий, поскольку Cisco в первую очередь это телеком и сетевое оборудование, а Check Point это исключительно решения информационной безопасности. По этой самой причине у этих компаний совершенно разный технологический подход к их решениям. Cisco предлагает в своих решениях межсетевых экранов ASA прежде всего межсетевой экран и возможность построения VPN, при этом модульная архитектура позволяющая расширять функционал устройства зачастую предполагает использование только одного решения, например только IPS или только антивирус. Если клиенту необходим больший функционал, то ему, как следствие, либо необходимо менять оборудование на более дорогостоящую модель, либо ставить второе, дополнительное устройство. При этом оборудование Check Point четко ориентировано на защиту информации и поэтому их блейдовая архитектура позволяет увеличивать функционал устройства (ибо сейчас я говорю исключительно об аппаратных платформах UTM и Power) без каких либо ограничений, позволяя включать тот или иной функционал, не задевая работу других сервисов, поэтому можно получить полностью “заряженное” устройство, которое помимо выполнения сервиса брандмауэра и построения VPN, будет служить IPS, антивирус и антиспам шлюзом, обладать богатым функционалом (которого попросту нет в арсенале Cisco) Web Security, обеспечивать URL фильтрацию и работу сетевого DLP на границе периметра. С другой стороны, такие стандартные вещи для Cisco как работа QoS, VoIP, кластеризация, advanced routing (хотя cisco asa, в отличии от решений Check Point не поддерживает BGP) в случае решение Check Point являются отдельными лезвиями и требуют отдельных денег.

Большим преимуществом Check Point является возможность централизованного менеджмента, и управления всем парком шлюзов и иных устройств из единой консоли управления. К тому же, в случае Check Point, администрирование правил фильтрации трафика гораздо проще и понятнее чем управление устройством cisco, где текстовое представление правил может занимать не одну сотню строк. Но в решениях Check Point, менеджмент- это отдельное решение, чья цена также не учитывается при сравнении оборудования этих производителей, тем более что управлять asa можно и из командной строки, в то время как со шлюзами Check Point такое действие не пройдет- для управления ими необходим менеджмент сервер в обязательном порядке, чаще всего он входит в бангл аппаратной платформы (везде кроме Power), но в случае большого количества узлов сервер управления также необходимо лицензировать по количеству управляемых шлюзов, а с новых версий и по числу нод входящих в кластер. Но как говорят цискари GUI менеджмент у cisco оставляет желать лучшего ибо java-решения всегда отличались своей особой и неповторимой неторопливостью в работе.

Далее возьмем характеристики по которым сравнивается оборудование Check Point и Cisco. Чаще всего отправными параметрами являются скорость фильтрации трафика, скорость VPN, число конкурирующих сессий, количество защищаемых пользователей, а для решений высшего эшелона и форм-фактор, ибо разница между 2U и 4U, даже в решении 4нодового кластера, уже весьма ощутима в пределах одной стойки. Секрет в том, что Cisco указывает в своих спецификациях параметры работы при рабочей нагрузке, в то время как Check Point указывает параметры работоспособности при так называемых дефолтных правилах, то есть все разрешено. Как только добавляется 20-30 правил, эта заявленная производительность падает на 20-30%. Тоже самое касается и работы IPS, малейшее усложнение дефолтной конфигурации приводит к потерям до трети заявленной скорости.

Теперь поговорим о стоимости обслуживания оборудования. Знатные цисководы, имеющие большой опыт работы говорят о том, что стать сертифицированным специалистом Cisco в разы сложнее чем специалистом по Check Point, как по количеству экзаменов (в cisco их 6 штук, в то время как в CP максимум 2), так и в смысле качественности экзаменов- на сертификации CP есть только теоретические вопросы, даже если и ситуационные, и не никаких лабораторных работ.

Согласуясь со всем вышесказанным я бы отметил следующие аспекты: не надо безусловно верить всем маркетинговым таблицам, ибо приводимые данные разнятся у различных компаний; следует четко понимать что именно вы хотите от решения- какой функционал и какие задачи оно должно обслуживать; естественно важна стоимость обслуживания. Сложно давать какие либо советы при выборе, но в случае единичного решения от которого требуется исключительно фильтрация трафика, я бы скорее всего остановил свой выбор на Cisco (а то и на бесплатных брандмауэрах под Unix системами ;), особенно если имеются инженеры этого вендора, которых по статистике гораздо больше чем сертифицированных специалистов Check Point. В случае же если необходимо сложное функциональное решение, или целый парк устройств, то выбор скорее всего тяготел бы в сторону Check Point именно благодаря облегченности менеджмента и более глубоким возможностям как управления, так и мониторинга и анализа проходящего сетевого трафика и происходящих инцидентов.

Рубрика: Check Point | Отзывов: 2 »

Рабочие моменты

Вчера сидел в конторе, третий день сдавал экзамены по маккафе за клиентов. Скажу откровенно- это взрыв мозга, ибо вчитываться в презентацию по каждому из продуктов нет никакого желания, а нормальный поиск не работает, ибо эти американские гоблины на новых экзаменах 201 курса, весь материал сделали во флеше, так что либо сканируй весь курс поперек, либо соси шишку. Я выбрал последнее.. Но речь не о маккафе, а о состоянии мозга, на излете третьего дня выжигания по нему родимому.

Тут мне сваливается очередной запрос от нашего нового “недопродакт” менеджера по продуктам checkpoint- подобрать аналог решению cisco asa. Надо отметить, что такие запросы последние полгода сваливаются довольно часто, в связи с тем, что cisco решив работать вбелую, поимела огромные проблемы с доставкой оборудования в области инфобезопасности на 1/6 часть  суши, ибо наши доблестные фсбшники попросту не выдают им соответствующих сертификатов на оборудование. В этой связи кстати, также пропали все рутеры от LinkSyS, пару лет назад купленной Cisco- ведь wi-fi это же тоже адское шифрование и требует обязательной сертификации.

Вообщем приходит запрос на ASA 5505 8 портов, DES/AES и 10 пользователей. Ну я решив поднять себе настроение отписываюсь о том, что это в принципе SofaWare, но если исходить из того что нужен VPN, то вполне вероятно UTM 130, поскольку у него скорость VPN аналогична заявленной скорости ASA 5505- 100Мб/c. У Edge и Safe@Office этот параметр равен 35 Мб/c,и только у версии N заявлен под 200, но они отгружаются из Check Point в течении месяца-полутора. И тут я делаю стратегическую ошибку, решив пошутить в людьми не очень секущими в теме, и пишу что дескать есть конечно очень надо 8 портов, то следует остановить выбор на 2070, а это уже порядка 25к+ грина, против 600 долларов за ASA 5505, ну и сопровождаю это дело смайликом. С человеком который до этого был на этом месте, у нас это был стандартный способ общения, и я как то не предполагал что продавцам придет в голову отправлять клиенту предложение замены 600 долларового оборудования, оборудованием стоимостью в 25к зелени

Так что поимев двухдневную войну с нач.отдела по поводу того кто из нас троих в этой ситуации идиот, причем инженер из cp принял нейтралитет, заявив что 130 решение не подходит только по цене, а по функционалу полностью соответствует; видимо буду составлять матрицу аналогов между Checkpoint и Cisco, которую и выложу несколько позднее.

Рубрика: Check Point | Ваш отзыв »

Перепрошивка устройства Checkpoint EDGE

Возникла необходимость залить на десяток устройств Edge кастомную прошивку, которая прошла сертификацию ФСТЭК. Сделать это можно несколькими способами, как через SmartUpdate, так и через GUI. Если в ситуации со SmartUpdate все понятно, но однозначно не подходит, ибо поднимать SmartCentre ради того чтобы обновить пару-тройку Edge, совсем не катит, то придется использовать другие способы.

Начнем с GUI, для чего настроим машину либо на DHCP либо на сетку 192.168.10.0/24. Заходим через бродилку по адресу http://192.168.10.1/ где задаем администраторский пароль и попадаем в основное меню GUI. Далее выбираем Setup -> вкладка Firmware -> Firmware Update, выбираем файл который является нашей новой прошивкой и говорим Upload. После этого Edge задумается на пару минут, вывесив объявление о том, что обновление в процессе, после чего уйдет в перезагрузку. После того как он загрузится, снова заходим в GUI с установленным нами ранее паролем и сбрасываем устройство в состояние Factory Default (по крайней мере моей задачей было передать устройство заказчику, так что все установки должны были быть по умолчанию): Setup -> Tools -> Factory Settings -> на загрузившейся странице следует обратить внимание на то, чтобы галочка на чекбоксе “Revert to the factory default firmware version” была снята. Нажимаем ОК и ждем несколько минут пока устройство перегрузится. Здесь следует обратить внимание на тот не приятный факт, что гуй Edge подглючивает в Mozilla, поэтому, чтобы не озадачиваться зазря, следует пользоваться IE.

Второй вариант такой же как и установка новой лицензии на Edge- путем загрузки её посредством протокола tftp. Для этого переводим устройство в режим tftp сервера, т.е нажимаем кнопку Power и держа её, включаем устройство. Кнопку отпускаем после того как индикатор работы PWR/SEC загорается красным. Настраиваем сетевые свойства компьютера на сеть 192.168.10.0/24, после чего загружаем dos-promt (win -> run -> cmd) и в нем задаем команду: tftp -i 192.168.10.1 put <N.extension> , где N- номер версии, а extension тип файла:
* Для устройств Edge без поддержки ADSL, extension будет tftp (например 8042x.tftp)
* Для устройств Edge с поддержкой ADSL, extension будет  firm (например a8042a.firm)
Вот тут начинается самое интересное- по мануалу, устройство должно перегрузиться после этого само, но к сожалению у меня оно и дальше продолжало радостно помигивать лампочками, поэтому все приходилось делать своими руками. Так что перегружаем устройство и ждем пока оно проморгается и начнет снова стабильно гореть здоровым зеленым цветом на индикаторе PWR/SEC, правда ждать придется минут 5 как минимум. Но по невыясненным причинам у меня из десяти устройств это вариант прокатил только с 3мя, так что рекомендую все таки воспользоваться способом через GUI.

Рубрика: Check Point | Ваш отзыв »

Установка поддержки SNX и Endpoint Connect на шлюзах

Установка поддержки SNX R71 на шлюз VPN-1 R65+ и портал Connectra Gateway

Для того, чтобы проапгрейдить движок SNХ на шлюзе VPN-1, делаем следующие процедуры:

1. Резервируем директорию $FWDIR/conf/extender/CSHELL
2. Скачиваем с офф.сайта Checkpoint файл апгрейд-патча SNX_for_VPN1_Win7.tgz
3. Распаковываем скаченный файл, в директорию $FWDIR/conf/extender/CSHELL
4. Перемещаем файлы cashell_ver.txt и slim_ver.txt в директорию $FWDIR/conf/extender
5. Устанавливаем на шлюзе имеющиеся политики

Для того, чтобы установить патч на портал Connectra Gateway, необходимо проделать следующие шаги:

1. Резервируем директорию $CVPNDIR/htdocs/SNX/CSHELL
2. Скачиваем с офф.сайта файл апгрейд-патча SNX_for_Connectra_Win7.tgz
3. Распаковываем ранее скаченный файл в директорию $CVPNDIR/htdocs/SNX/CSHELL
4. Устанавливаем политики на портал

Установка поддержки Endpoint Connect R73 на шлюз VPN-1 R65+ HFA40 и портал Connectra Gateway
Для установки поддержки Endpoint Connect R73 на шлюзе VPN-1, начиная с версии R65 HFA 40, необходимо провести следующие процедуры:

1. Резервируем файлы TRAC.cab и trac_ver.txt содержащиеся в директории $FWDIR/conf/extender/CSHELL
2. Скачиваем с офф.сайта Checkpoint файл поддержки клиентского софта
   Check_Point_Endpoint_Connect_R73_For_Windows_835000022.cab
3. Перемещаем файл в директорию $FWDIR/conf/extender/CSHELL и переименовываем его в TRAC.cab
4. Задаем правильные права доступа к файлу поддержки клиента: chmod 750 TRAC.cab
5. Редактируем файл trac_ver.txt изменив build number содержащийся внутри файла, на новый 835000022
6. Устанавливаем политтику на шлюз

Для установки поддержки Endpoint Connect R73 на портале Connectra Gateway совершаем следующие процедуры:

1. Резервируем файлы TRAC.cab и trac_ver.txt из директории $CVPNDIR/htdocs/SNX/CSHELL
2. Скачиваем с офф.сайта файл поддержки обновленной версии клиента
   Check_Point_Endpoint_Connect_R73_For_Windows_B835000022.cab
3. Перемещаем файл в директорию  $CVPNDIR/htdocs/SNX/CSHELL и переименовываем его в TRAC.cab
4. Даем команду chmod 750 TRAC.cab для того чтобы задать необходимые права доступа к файлу
5. Изменяем в файле file trac_ver.txt версию build number, изменив имеющийся на 835000022
6. Устанавливаем политики на портал

Рубрика: Check Point | Ваш отзыв »

Checkpoint Secure Client VPN для 64битных Windows 7

После анонсирования новой системы Windows 7, вскрылась новая проблема, на которую никто не обращал внимания до этого, не смотря на то, что она уже была озвучена применительно еще к системам Vista: на 64-битных системах Windows Vista/7 невозможно использование IPSEC VPN клиента от Checkpoint – Secure Client, с помощью которого удаленный хост может подключаться к шлюзам Connectra, VPN-1, UTM-1 и Power-1 используя протоколы стандарта IPSEC. Это продукт отлично себя зарекомендовал на большинстве систем Microsoft и Mac, но к сожалению, после установки на 64-битную систему, пакет Secure Client не запускается в принципе, так что использование его невозможно.

И вот здесь начинается некоторая непонятка, ибо Checkpoint обещает выпуск обновленного полнофункционального VPN клиента Secure Client, поддерживающего 64битные системы, только в конце второго квартала, и на данный момент предлагает два вида решения: использование облегченного VPN клиента Endpoint Connect (он также интегрирован в продукт Endpoint Security Client R73), входящего в комплект Connectra, но при этом поддерживающего соединение со шлюзами, начиная от NGX R65 HFA40. В данный момент единственная версия клиента  Endpoint Connect, поддерживающая 64битные системы, является  Endpoint Connect R73, который дает возможность подключения к системам выше R65 HFA40 и Connectra R66.

Для использования этой версии клиента также необходимо произвести апгрейд поддержки Endpoint Connect на шлюзах, путем установки установки патча поддержки R73. Последняя актуальная версия клиента Endpoint Connect, а также патч для шлюза VPN-1 и портала Connectra доступны для скачивания на офф.сайте Checkpoint.

Лицензируется использование этого продукта в виде Check Point Endpoint Security – Secure Access license, путем приобретения лицензии на удаленное рабочее место, то есть если два пользователя работают с одной машины, то нужна всего одна лицензия, если же один пользователь предполагает работать с двух разных машин, то две лицензии.

Другим вариантом использования VPN клиента на 64битныхз платформах, является использование продукта SSL Network Extender (SNX) для построения шифрованного туннеля 3го уровня SSL VPN. Версия SNX R71 HFA1 for Windows поддерживает 64битные платформы Windows 7/Vista/XP. Этот клиент скачивается с портала Check Point Security Gateways по запросу пользователя, пытающегося установить шифрованное соединение через протокол HTTPS. Продукт поддерживает шлюзы, начиная с версии NGX R60 и выше. Для использования версии R71, на шлюзах также должен быть установлен патч поддержки этой версии, который можно скачать на офф.сайте Checkpoint.

Лицензируется использование данного продукта путем приобретения лицензии SNX (на определенное количество пользователей: 25, 100, 250 и т.д) или также Check Point Endpoint Security – Secure Access license, которая приобретается по количеству удаленных рабочих мест.

Так что все разговоры о том, что Endpoint Connect поддеривается только VPN порталом Connectra либо развод на лишние, причем не малые, бабуськи, либо просто незнание материала.

Рубрика: Check Point | Ваш отзыв »

Проблема обновления URL/Web Filtering на шлюзе CP

У клиента при обновлении блейда URL Filtering появляется ошибка “Summary of Web Filtering database installation on gateways:
– chkpoint: Failed. Message from module: ‘module is currently in the middle of a previous update process’.” Система R70, хотя данная проблема имела место быть и на системе NGX R65.

Собственно решения проблемы два. Первое наиболее простое и помогает в большинстве случаев, но иногда, если не помогает первый вариант, стоит попробовать второй:

1. Рестартим сервер и пробуем обновиться снова. Можно сделать более мягко путем рестарта сервиса checkpoint:
[cpmodule]# cpstop
[cpmodule]# cpstart

2. В процесс обновления фаервол создает некоторое количество файлов в подпапке $FWDIR/uf/sc/update/incoming содержащих информацию об обновлениях. Из них нас интересует один:
[cpmodule]# cpstop
[cpmodule]# expert (перейти в экспертный режим)
Удаляем файл Siglist2.txt.new, находящийся в папке cd $FWDIR/uf/sc/update/incoming , но удалять файлы на работающей системе не камильфо, поэтому мы его куда нибудь переносим из основной директории обновления
[Expert@cpmodule]# move $FWDIR/uf/sc/update/incoming/Siglist2.txt.new  /tmp
[Expert@cpmodule]# exit (выход из экспертного режима)
[cpmodule]# cpstart

Как я сказал уже выше, в большинстве случаев все заканчивается на первом способе, но тем не менее всегда стоит иметь что то про запас.

Рубрика: Check Point | Ваш отзыв »