Рубрика «Check Point»

Рабочие моменты

Friday, 16 Jul 2010

Вчера сидел в конторе, третий день сдавал экзамены по маккафе за клиентов. Скажу откровенно- это взрыв мозга, ибо вчитываться в презентацию по каждому из продуктов нет никакого желания, а нормальный поиск не работает, ибо эти американские гоблины на новых экзаменах 201 курса, весь материал сделали во флеше, так что либо сканируй весь курс поперек, либо соси шишку. Я выбрал последнее.. ;) Но речь не о маккафе, а о состоянии мозга, на излете третьего дня выжигания по нему родимому.

Тут мне сваливается очередной запрос от нашего нового “недопродакт” менеджера по продуктам checkpoint- подобрать аналог решению cisco asa. Надо отметить, что такие запросы последние полгода сваливаются довольно часто, в связи с тем, что cisco решив работать вбелую, поимела огромные проблемы с доставкой оборудования в области инфобезопасности на 1/6 часть  суши, ибо наши доблестные фсбшники попросту не выдают им соответствующих сертификатов на оборудование. В этой связи кстати, также пропали все рутеры от LinkSyS, пару лет назад купленной Cisco- ведь wi-fi это же тоже адское шифрование и требует обязательной сертификации.

Вообщем приходит запрос на ASA 5505 8 портов, DES/AES и 10 пользователей. Ну я решив поднять себе настроение отписываюсь о том, что это в принципе SofaWare, но если исходить из того что нужен VPN, то вполне вероятно UTM 130, поскольку у него скорость VPN аналогична заявленной скорости ASA 5505- 100Мб/c. У Edge и Safe@Office этот параметр равен 35 Мб/c,и только у версии N заявлен под 200, но они отгружаются из Check Point в течении месяца-полутора. И тут я делаю стратегическую ошибку, решив пошутить в людьми не очень секущими в теме, и пишу что дескать есть конечно очень надо 8 портов, то следует остановить выбор на 2070, а это уже порядка 25к+ грина, против 600 долларов за ASA 5505, ну и сопровождаю это дело смайликом. С человеком который до этого был на этом месте, у нас это был стандартный способ общения, и я как то не предполагал что продавцам придет в голову отправлять клиенту предложение замены 600 долларового оборудования, оборудованием стоимостью в 25к зелени :-D

Так что поимев двухдневную войну с нач.отдела по поводу того кто из нас троих в этой ситуации идиот, причем инженер из cp принял нейтралитет, заявив что 130 решение не подходит только по цене, а по функционалу полностью соответствует; видимо буду составлять матрицу аналогов между Checkpoint и Cisco, которую и выложу несколько позднее.

VN:F [1.9.21_1169]
Rating: 9.0/10 (3 votes cast)
VN:F [1.9.21_1169]
Rating: +1 (from 1 vote)

Перепрошивка устройства Checkpoint EDGE

Friday, 28 May 2010

Возникла необходимость залить на десяток устройств Edge кастомную прошивку, которая прошла сертификацию ФСТЭК. Сделать это можно несколькими способами, как через SmartUpdate, так и через GUI. Если в ситуации со SmartUpdate все понятно, но однозначно не подходит, ибо поднимать SmartCentre ради того чтобы обновить пару-тройку Edge, совсем не катит, то придется использовать другие способы.

Начнем с GUI, для чего настроим машину либо на DHCP либо на сетку 192.168.10.0/24. Заходим через бродилку по адресу http://192.168.10.1/ где задаем администраторский пароль и попадаем в основное меню GUI. Далее выбираем Setup -> вкладка Firmware -> Firmware Update, выбираем файл который является нашей новой прошивкой и говорим Upload. После этого Edge задумается на пару минут, вывесив объявление о том, что обновление в процессе, после чего уйдет в перезагрузку. После того как он загрузится, снова заходим в GUI с установленным нами ранее паролем и сбрасываем устройство в состояние Factory Default (по крайней мере моей задачей было передать устройство заказчику, так что все установки должны были быть по умолчанию): Setup -> Tools -> Factory Settings -> на загрузившейся странице следует обратить внимание на то, чтобы галочка на чекбоксе “Revert to the factory default firmware version” была снята. Нажимаем ОК и ждем несколько минут пока устройство перегрузится. Здесь следует обратить внимание на тот не приятный факт, что гуй Edge подглючивает в Mozilla, поэтому, чтобы не озадачиваться зазря, следует пользоваться IE.

Второй вариант такой же как и установка новой лицензии на Edge- путем загрузки её посредством протокола tftp. Для этого переводим устройство в режим tftp сервера, т.е нажимаем кнопку Power и держа её, включаем устройство. Кнопку отпускаем после того как индикатор работы PWR/SEC загорается красным. Настраиваем сетевые свойства компьютера на сеть 192.168.10.0/24, после чего загружаем dos-promt (win -> run -> cmd) и в нем задаем команду: tftp -i 192.168.10.1 put <N.extension> , где N- номер версии, а extension тип файла:
* Для устройств Edge без поддержки ADSL, extension будет tftp (например 8042x.tftp)
* Для устройств Edge с поддержкой ADSL, extension будет  firm (например a8042a.firm)
Вот тут начинается самое интересное- по мануалу, устройство должно перегрузиться после этого само, но к сожалению у меня оно и дальше продолжало радостно помигивать лампочками, поэтому все приходилось делать своими руками. Так что перегружаем устройство и ждем пока оно проморгается и начнет снова стабильно гореть здоровым зеленым цветом на индикаторе PWR/SEC, правда ждать придется минут 5 как минимум. Но по невыясненным причинам у меня из десяти устройств это вариант прокатил только с 3мя, так что рекомендую все таки воспользоваться способом через GUI.

VN:F [1.9.21_1169]
Rating: 10.0/10 (1 vote cast)
VN:F [1.9.21_1169]
Rating: +1 (from 1 vote)

Установка поддержки SNX и Endpoint Connect на шлюзах

Thursday, 06 May 2010

Установка поддержки SNX R71 на шлюз VPN-1 R65+ и портал Connectra Gateway


Для того, чтобы проапгрейдить движок SNХ на шлюзе VPN-1, делаем следующие процедуры:

  1. Резервируем директорию $FWDIR/conf/extender/CSHELL
  2. Скачиваем с офф.сайта Checkpoint файл апгрейд-патча SNX_for_VPN1_Win7.tgz
  3. Распаковываем скаченный файл, в директорию $FWDIR/conf/extender/CSHELL
  4. Перемещаем файлы cashell_ver.txt и slim_ver.txt в директорию $FWDIR/conf/extender
  5. Устанавливаем на шлюзе имеющиеся политики

Для того, чтобы установить патч на портал Connectra Gateway, необходимо проделать следующие шаги:

  1. Резервируем директорию $CVPNDIR/htdocs/SNX/CSHELL
  2. Скачиваем с офф.сайта файл апгрейд-патча SNX_for_Connectra_Win7.tgz
  3. Распаковываем ранее скаченный файл в директорию $CVPNDIR/htdocs/SNX/CSHELL
  4. Устанавливаем политики на портал


Установка поддержки Endpoint Connect R73 на шлюз VPN-1 R65+ HFA40 и портал Connectra Gateway

Для установки поддержки Endpoint Connect R73 на шлюзе VPN-1, начиная с версии R65 HFA 40, необходимо провести следующие процедуры:

  1. Резервируем файлы TRAC.cab и trac_ver.txt содержащиеся в директории $FWDIR/conf/extender/CSHELL
  2. Скачиваем с офф.сайта Checkpoint файл поддержки клиентского софта
    Check_Point_Endpoint_Connect_R73_For_Windows_835000022.cab
  3. Перемещаем файл в директорию $FWDIR/conf/extender/CSHELL и переименовываем его в TRAC.cab
  4. Задаем правильные права доступа к файлу поддержки клиента: chmod 750 TRAC.cab
  5. Редактируем файл trac_ver.txt изменив build number содержащийся внутри файла, на новый 835000022
  6. Устанавливаем политтику на шлюз

Для установки поддержки Endpoint Connect R73 на портале Connectra Gateway совершаем следующие процедуры:

  1. Резервируем файлы TRAC.cab и trac_ver.txt из директории $CVPNDIR/htdocs/SNX/CSHELL
  2. Скачиваем с офф.сайта файл поддержки обновленной версии клиента
    Check_Point_Endpoint_Connect_R73_For_Windows_B835000022.cab
  3. Перемещаем файл в директорию  $CVPNDIR/htdocs/SNX/CSHELL и переименовываем его в TRAC.cab
  4. Даем команду chmod 750 TRAC.cab для того чтобы задать необходимые права доступа к файлу
  5. Изменяем в файле file trac_ver.txt версию build number, изменив имеющийся на 835000022
  6. Устанавливаем политики на портал
VN:F [1.9.21_1169]
Rating: 10.0/10 (3 votes cast)
VN:F [1.9.21_1169]
Rating: +2 (from 2 votes)

Checkpoint Secure Client VPN для 64битных Windows 7

Thursday, 06 May 2010

После анонсирования новой системы Windows 7, вскрылась новая проблема, на которую никто не обращал внимания до этого, не смотря на то, что она уже была озвучена применительно еще к системам Vista: на 64-битных системах Windows Vista/7 невозможно использование IPSEC VPN клиента от Checkpoint – Secure Client, с помощью которого удаленный хост может подключаться к шлюзам Connectra, VPN-1, UTM-1 и Power-1 используя протоколы стандарта IPSEC. Это продукт отлично себя зарекомендовал на большинстве систем Microsoft и Mac, но к сожалению, после установки на 64-битную систему, пакет Secure Client не запускается в принципе, так что использование его невозможно.

И вот здесь начинается некоторая непонятка, ибо Checkpoint обещает выпуск обновленного полнофункционального VPN клиента Secure Client, поддерживающего 64битные системы, только в конце второго квартала, и на данный момент предлагает два вида решения: использование облегченного VPN клиента Endpoint Connect (он также интегрирован в продукт Endpoint Security Client R73), входящего в комплект Connectra, но при этом поддерживающего соединение со шлюзами, начиная от NGX R65 HFA40. В данный момент единственная версия клиента  Endpoint Connect, поддерживающая 64битные системы, является  Endpoint Connect R73, который дает возможность подключения к системам выше R65 HFA40 и Connectra R66.

Для использования этой версии клиента также необходимо произвести апгрейд поддержки Endpoint Connect на шлюзах, путем установки установки патча поддержки R73. Последняя актуальная версия клиента Endpoint Connect, а также патч для шлюза VPN-1 и портала Connectra доступны для скачивания на офф.сайте Checkpoint.

Лицензируется использование этого продукта в виде Check Point Endpoint Security – Secure Access license, путем приобретения лицензии на удаленное рабочее место, то есть если два пользователя работают с одной машины, то нужна всего одна лицензия, если же один пользователь предполагает работать с двух разных машин, то две лицензии.

Другим вариантом использования VPN клиента на 64битныхз платформах, является использование продукта SSL Network Extender (SNX) для построения шифрованного туннеля 3го уровня SSL VPN. Версия SNX R71 HFA1 for Windows поддерживает 64битные платформы Windows 7/Vista/XP. Этот клиент скачивается с портала Check Point Security Gateways по запросу пользователя, пытающегося установить шифрованное соединение через протокол HTTPS. Продукт поддерживает шлюзы, начиная с версии NGX R60 и выше. Для использования версии R71, на шлюзах также должен быть установлен патч поддержки этой версии, который можно скачать на офф.сайте Checkpoint.

Лицензируется использование данного продукта путем приобретения лицензии SNX (на определенное количество пользователей: 25, 100, 250 и т.д) или также Check Point Endpoint Security – Secure Access license, которая приобретается по количеству удаленных рабочих мест.

Так что все разговоры о том, что Endpoint Connect поддеривается только VPN порталом Connectra либо развод на лишние, причем не малые, бабуськи, либо просто незнание материала.

VN:F [1.9.21_1169]
Rating: 7.6/10 (5 votes cast)
VN:F [1.9.21_1169]
Rating: +2 (from 4 votes)

Проблема обновления URL/Web Filtering на шлюзе CP

Wednesday, 10 Feb 2010

У клиента при обновлении блейда URL Filtering появляется ошибка “Summary of Web Filtering database installation on gateways:
– chkpoint: Failed. Message from module: ‘module is currently in the middle of a previous update process’.”
Система R70, хотя данная проблема имела место быть и на системе NGX R65.

Собственно решения проблемы два. Первое наиболее простое и помогает в большинстве случаев, но иногда, если не помогает первый вариант, стоит попробовать второй:

1. Рестартим сервер и пробуем обновиться снова. Можно сделать более мягко путем рестарта сервиса checkpoint:
[cpmodule]# cpstop
[cpmodule]# cpstart

2. В процесс обновления фаервол создает некоторое количество файлов в подпапке $FWDIR/uf/sc/update/incoming содержащих информацию об обновлениях. Из них нас интересует один:
[cpmodule]# cpstop
[cpmodule]# expert (перейти в экспертный режим)
Удаляем файл Siglist2.txt.new, находящийся в папке cd $FWDIR/uf/sc/update/incoming , но удалять файлы на работающей системе не камильфо, поэтому мы его куда нибудь переносим из основной директории обновления
[Expert@cpmodule]# move $FWDIR/uf/sc/update/incoming/Siglist2.txt.new  /tmp
[Expert@cpmodule]# exit (выход из экспертного режима)
[cpmodule]# cpstart

Как я сказал уже выше, в большинстве случаев все заканчивается на первом способе, но тем не менее всегда стоит иметь что то про запас.

VN:F [1.9.21_1169]
Rating: 0.0/10 (0 votes cast)
VN:F [1.9.21_1169]
Rating: -1 (from 1 vote)

Использование утилиты CPinfo

Wednesday, 20 Jan 2010

Практически любое обращение в службу поддержки Checkpoint по техническому вопросу, связанному с оборудованием или софтварным решением,  влечет за собой встречный вопрос-просьбу, предоставить файл cpinfo. Сама CPinfo-  служебная утилита, предназначенная для сбора информации с машины, на которой она запущена. Вся информация пишется в одноименный файл cpinfo, с помощью которого инженеры поддержки Check Point могут смоделировать проблемную систему и проанализировать её настройку на своем стенде, в котором они её запускают в демо-режиме. Благодаря этой утилите инженеры могу проводить глубокое исследование конфигурации системы, без выезда к заказчику, или предоставления им удаленного доступа к системе.

Утилита CPinfo собирает содержимое файлов находящихся в root директории установки программного обеспечения шлюза, включая директорию размещения логов $FWDIR/log/* files, а также специфические настройки самой системы.
Таблицы маршрутизации
Вывод команды netstat
Вывод команды ipconfig /all
Версию операционной системы шлюза и установленных патчей и хотфиксов.
Данный памяти и CPU
Вывод команды fw ctl pstat
Вывод системных логов
(more…)

VN:F [1.9.21_1169]
Rating: 10.0/10 (2 votes cast)
VN:F [1.9.21_1169]
Rating: +1 (from 1 vote)

Баг прошивки 8.0.42 для Sofaware 500W

Tuesday, 22 Dec 2009

Прекрасную новость я получил буквально пару минут назад от компании Sofaware, куда я обратился со своей “болью”: после того как устройство Sofaware 500W само, без разрешения, грейдилось на последнюю версию прошивки 8.0.42- сразу же начинались траблы с работоспособностью- по дефолтной политике дропались входящие UDP пакеты на 53 порт, даже в случае наличия правила разрешающего это действие; пропадал доступ к веб морде из вне сетки по https; и самое пакостное- после перевода wi-fi и Lan VLAN’ов в режим bridge, для того чтобы пользователи этих двух сетей могли работать друг с другом и внутренними ресурсами (хотя по причине этого косяка, выяснилось что все это реализуется и при обычном режиме firewall просто описанием взаимодействия подсетей)- начинались проблемы с доступам к внутренним ресурсам, транслируемым в интернет, по их внешним IP адресам, причем настолько сильные, что все соединения smtp/pop3/http/https/ssh дропались по таймауту.

Вообщем ответ тех.поддержки был, что shit happend- сие есть баг (баг заключается в том, что дропаются те пакеты у которых исходящий порт такой же как и входящий- 53; если же порт стандартно выше 1024 порта, то они проходят нормально), посему надо откатить устройство на более раннюю версию прошивки, но как оказывается сам я это сделать не могу, а это указывается ручками на стороне сервис центра производителя SMP, где оператор ручками указывает какому MAC адресу на какую прошивку перегрузиться. Но самое веселое, что это уже сделали, попросив меня ручками передернуть устройство. И мало кого волнует, что я в 50 километрах от устройства и самое близкое когда собирался туда заехать – это конец недели.

Все это очень мило, но тогда не понятно зачем там вообще в устройстве кнопка перепрошить устройство на специфическую прошивку. Надеюсь, что 7 прошивка, которую мне сегодня перезальют будет лучше чем 8.0.42, поскольку баг, со слов поддержки, будет исправлен не столь оперативно, как решаются проблемы для тех же Checkpoint Edge, которые являются клонами sofaware с той лишь разницей, что управляться могут централизованно и поддерживаются старшим братом.

*** 23.12.09 *** Баг после отката не исчез, по прежнему дропаются входящие и исходящего 53 порта, но зато разрешилась проблема с доступом по https к консоли. Оказалось, что сервер https, для внешних подключений, переехал со своего стандартного порта на 981, т.к. обращение https://server:981 позволяет достучаться к серверу из вне.

VN:F [1.9.21_1169]
Rating: 10.0/10 (1 vote cast)
VN:F [1.9.21_1169]
Rating: 0 (from 2 votes)