» Настройка CheckPoint

gnazar
просто у fw и почтового сервера должны быть разные ip (в одной сети)

LazarKaluga
SecurePlatform это заточеная RHEL3
так что rpm -e поможет

А кто нибудь сталкивался с экспортом/импортом конфигураций?
Я находил там базы полисей но при переносе их на другой сервер он ругается и не находит объекты. Как бы коректно выгрузить конфигурацию в файл/базу и загрузить на другом серваке?

Возникла ситуации и не могу ее решить.

Есть устройство шифрования трафика. Принцип работы прост, есть два таких устройства на разных концах. Они устанавливают между собой соединение, обмениваються ключами безопастности и поднимают шифрованный ВПН канал. Для своей работы они используют специальные порты протокола IPSec, но модуль SmartDefence блокирует соединение, хотя весь входящий и выходящий трафик устройства полностью открыт. Как это выглядит в логах:

1 запись (accept):
Number:      763237
Date:     23Apr2007
Time:     17:39:12
Product:     VPN-1 & FireWall-1
Interface:     eth3
Origin:     firewall (х.х.х.х)
Type:     Log
Action:     Accept
Protocol:     udp
Service:     IKE (500)
Source:     CryptoIP-448_фирма1 (х.х.х.х)
Destination:      CryptoIP-448_фирма2 (х.х.х.х)
Rule:      17
NAT rule number:      2
NAT additional rule number:     0
Source Port:      11553
XlateSrc:     firewall (х.х.х.х)
XlateSPort:      22832

2 запись(drop):
Number:      763238
Date:     23Apr2007
Time:     17:39:17
Product:     SmartDefense
Interface:     eth3
Origin:      firewall (х.х.х.х)
Type:     Log
Action:     Drop
Protocol:     udp
Source:     CryptoIP-448_фирма1 (х.х.х.х)
Destination:     CryptoIP-448_фирма2 (х.х.х.х)
Source Port:      CryptoIP (4500)
Attack Name:      Malformed Packet
Attack Information:     Invalid UDP packet - source / destination port 0

3 запись (alert):
Number:      763530
Date:     23Apr2007
Time:     17:41:16
Product:     SmartDefense
Interface:     daemon
Origin:      firewall (х.х.х.х)
Type:     Alert
Action:     
Protocol:     udp
Source:     CryptoIP-448_фирма1 (х.х.х.х)
Destination: CryptoIP-448_фирма2 (х.х.х.х)
Attack Name:      Malformed Packet
Attack Information:     Invalid UDP packet - source / destination port 0
Information:      Total logs: 2
     Suppressed logs: 1

Что нужно смотреть в настройках? возможно ли отключить прверку трафика для определенного ИП?

Странно у тебя как то SmartDefence блокирует трафик. Вообще то IPsec - это порт UDP 500 для IKE, а потом протокол IP 53. Причём тут пакеты UDP 0 - совсем не ясно. Что ты используешь в качестве IPsec точек?

>Что ты используешь в качестве IPsec точек?

В этом разбираюсь поверхностно. Можно слегка объяснить о чем идет речь?

В этой ситуации я не могу понять почему идет блокирование если открыт полностью весь поток трафика.

Остается актуальным вопрос с отключением проверки трафика для определенного, чтобы установить между двумя устройствами связь, а дальше можно будет уже неспеша разобраться.

У меня SmartDefence почти весь выключен, т.к. там полезного вообще очень мало. Советую тебе тоже в SmartDefence отключить всё "лишнее" и включить только то, в чём ты на 100% уверен, что оно тебе надо. Т.к. он сканирует любой трафик и исключающих правил там нет.

to dshf21391


Цитата:

А кто нибудь сталкивался с экспортом/импортом конфигураций?
Я находил там базы полисей но при переносе их на другой сервер он ругается и не находит объекты. Как бы коректно выгрузить конфигурацию в файл/базу и загрузить на другом серваке?

Запусти на рабочем серваке установку Чуки, там есть експорт настроек.
При установке новой Чуки, выбери импорт настроек...

dshf21391
С экспортом\импортом все очень просто - есть команды:
1. upgrade_export
2. upgrade_inport
Во всяком случае у меня на солярисе именно так.... Там экспортируется все - рулисы, лицензии, настройки и т.п.

Спасибо, команды поищу. Пока выкрутился следующим образом:
Если запустить инсталлятор при уже установленном FW-1, то он предлагает экспорт настроек, а при чистой инсталляции предлагает импорт.

Как я понимаю, CheckPoint для Solaris только на Ultra Sparc идёт? Или всё же можно его на x86 запустить?

dshf21391
Вроде как да... Для х86 юзай SPLAT и т.п. )

Уважаемые гуру, помогите советом!

Ситуация вот в чем. Очень хочется попользовать такую полезную фичу Checkpoint-a как ISP Redundancy. На сервере есть 3 интерфеса. Проблема вот в чем: этот сервак собираемся пользовать не только под чекпоинт, и вместе с этим хочется, чтобы работал ISP Redundancy. Когда ставим СПЛАТ, то все хорошо работает, только на сплат ничего не навернешь поверху, к тому же он совсем не хочет видеть raid. Когда ставим на Red Hat Enterprise 3.0, то ISPr не работает ни разу (даже закладки в "Топологиях" нет). Подскажите пожалуйста, в чем может быть проблем или какие подводные камни?

Чекпоинт упрямо не считает трафик в байтах, а только конекшены. В отчётах даже колонки "байты" нет, только соединения. В демо-отчётах такие колонки присутствуют.
В чём может быть косяк? На сайте чекпоинта всё перерыл, ничего не нашёл

Всем здравствуйте! Возникла такая проблема - в сети стоит Checkpoint VPN-1 Edge. Сегодня возникла такая проблема - периодически выпадает Lan интерфейс... просто он тухнет и потом секунд через 10 поднимается... что это может быть? заранее благодарен

Может там скрутки в кабеле или помехи большие. В другой порт пробовал его втыкать? Прошивка какая там у тебя? Может обновить стоит?

senator14
для wan интерфейса Edge постоянно проверяет доступность шлюза (Probe Next Hop), посылая arp запросы, если ответа нет то он переиницилизирует свой интерфейс.

Начиная с firmware 6 у Edge есть sniffer, так что желаю удачи.

Неожиданно появилась проблема.
На сервере, гду установлен файерволл 4 сетевых интерфейса. До данной проблемы использовались только 3. Появилась необходимость задействовать 4 интерфейс. Пере настраиваю его ИП и маску. Начинаю конфигурировать политику, но при попытке обновить политику на новую (установить ее на файервол) выдаеться ошибка fw: no license for 'filter'

Через несколько часов файервол перестает работать - показывает, что на нем не установлена политика правил.

Что это может быть?

gnazar

Этот интерфейс был Enablе или Disable раньше?
Если Enablе, то была ли в нем заглушка, т.е. активный он был или нет?

В SmartDashboard в свойствах объекта в разделе Topology этот новый интерфейс я так понимаею есть. Если сделать Get Topology, то определяется ли он?

Просто была схожая проблема, когда прицепил неиспользуемый интерфейс. Но в нем торчала заглушка, так что линк на нем был. Т.е. он активный был.
При присвоении ему IP, Check Point отказывался корректно работать с этим интерфесом. Т.е. попросту не фиксировал и не обрабатывал пакеты с этого интерфейса.
При этом визуально все было в норме - никаких ошибок в логах и при инсталляции политики.

Помогла простая перезагрузка сервака. После этого все подхватилось и стало работать.

+1
Я тоже когда добавил в сервер ещё одну сетевую, то пока её в топологию не внёс и ещё раз не перезагрузил сервер ничего не работало.

Если внимательно посмотреть на конфигурацию ОС, то видно - CP к каждому сетевому интерфейсу прикручивает свои дрова. И сам процесс прикручивания требует ребута.
Причем это не зависит от ОС. По крайней мере на винде и линухе - точно. Механизмы установки шпионской прослойки а-ля CP от ОС к ОС конечно разные, но суть одна.
Поэтому, кстати, я склоняюсь ко мнению, что CP нужно юзать на отдельных серверах. И не только из соображений производительности.

Интерфейс не добавлялся, и уже был в топологии прописан. При нажатии Get - Interfaces определяется. Все начинается, когда я хочу сменить его ИП и маску (и не важно меняю ли я в ручную с клавиатуры сервака, или через веб-интерфейс). После смены ИП SmartDashboard в топологии определяет интерфейс и показывает измененные настройки. Но сохранить политику не дает и выпадает в ошибку (см. выше). Перезагрузка не помогает. Политика сбрасывается полностью и приходиться восстанавливать бэкап.

Попробуй в IP объекта Чекпоинт прописать адрес, к которому у тебя лицензия прикручена.

Действительно. Помогло.
Оказывается к этому ИП у меня прикручена лицензия, что и приводит к таким последствиям. По своей неосмотрительности и неопытности не заметил сразу. После генерации новой лицензии проблема ушла.
Спасибо всем ответившим.

Тут с Eventia Reporter кто нибудь работал таки??? Ну почему ж он только в connection трафик считает, а в байтах не хочет? Нафига мне количество соединений? Я хочу узнать сколько байтов сожрано.

dshf21391

Eventia Reporter строит свои отчеты на основе логов, которые собирает Check Point и пишет на Log Server.

Для того, чтобы в логи записывались значения полей "Bytes", "Client Inbound Bytes", "Client Outbound Bytes", "Server Inbound Bytes", "Server Outbound Bytes", надо чтобы в правилах (во всех, или только в части, в зависимости от того, что считать надо), значение TRACK было Account.
Иначе если TRACK задано как Log, то попросту значения вышеуказанных полей в лог не пишутся и Eventia Reporter не может ничего проанализировать и построить отчет на основе этого.

Artempv
Спасибо! Всё получилось! Действительно дело оказалось именно в этом.

Hi all!
Пару вопросов:
1. При коннекте клиентом к чекпоиту-серваку пропадает вся лок. сеть на клиенте (в роут табле он прописывает почему то свои записи с теме же подсетями, хотя работает с другими физически подсетями)
2. Дружит ли сервак чекпоинта с исой? (т.е. можно ли их тунелем объеденить?)

Спасибо, сорри ели вопросы глупые Сегодня только с этим чудом столкнулся

greenfox

1. Вероятнее всего когда клиент получает топологию от сервера (т.е. все внутренние подсети, которые есть на Check Point Firewall), то получается, что подсеть с определенными адресами присутствует и на клиенте в виде локалки, и на удаленном Check Point Firewall, к которому коннектится клиент. Т.е. совпадают адреса подсетей.
Соответственно сам клиент Check Point SecureRemote/SecureClient при установлении VPN-соединения вносит изменения в таблицу маршрутизации на клиенте. И весь трафик, адресованный в локалку, заворачивает в VPN и отправляет на Check Point Firewall.
Выход из этой ситуации при совпадении адресов подсетей - использование на Check Point Firewall режима OfficeModе.

2. Имеется в виду поднятие Site-to-Site VPN между ISA Server и Check Point Firewall?
Есть статейка такая на сайте Check Point - Configuring a Site-to-Site IPSEC VPN between Check Point Embedded NGX and Microsoft ISA Server 2004.
Положил вот сюда - xttp://rapidshare.com/files/50776580/Configuring_Site-to-Site_with_ISA.pdf
Это для Safe@Office и VPN-1 Edge, но может пригодится...

А вот тут детальное описание процесса настройки - xttp://www.isaserver.org/articles/2004sitetositecpv2.html
Версии там правда чуть устаревшие, но не суть.

Artempv
1. в настройках клиента галка Office mode и так стоит
2. имеется ввиду сайт-ту-сайт, за статейки спасибо, почитаю!

greenfox

1. Надо смотреть настройки на сервере (на Check Point Firewal), т.к. клиент (Check Point SecureRemote/SecureClient) берет настройки Office Mode с сервера.

В SmartDashboard в свойствах Check Point Gateway - Remote Access -> Office Mode - там как раз настройки.
Не исключаю, что при подключении клиента в режиме Office Mode сам Firewall назначает клинту адреса именно из той же подсети, что используется в локалке клиента. Тогда вероятно симптомы будут такие, как описаны...

На странице настройки см. значение поля Allocate IP From Network.