» Настройка CheckPoint

Добрый вечер..
Нужна помощь.!

Есть сервер с Unix системой на которой стоит CHECKPOINT
теперь на него нужно установить какой нить файловый менеджер, и утилитку APC - PowerChute

Стандартные команды - не работают....
Посоветуйте или направьте в нужном направлении

western
А причём тут checkpoint??

dshf21391
ну я так понял, что тут система специфическая.
все никак не разгадаю, на каком ядре построена

На ядре RHEL 3.0. Или Solaris, если этот сервер UltraSparc и там действительно Unix.

>>>Настроил l2tp с preshared key, как написано в инструкции к HFA 30. Всё подключается, но при этом >>>трафик идёт мимо: на чекпоинт приходят закриптованные пакеты, декриптуются и проверяются на >>>общие правила, а не на правила VPN.
>>>Пробовал на разных клиентах - результат один.
>>>Никто с l2tp не заморачивался на чекпоинте?

Нашел твой пост,
Инструкцию выложить можешь по которой настраивал, или где ее слить.

capitancorsar
Настраивал по этой же инструкции, как и ты и по ссылке выше там есть тонкости, на форуме чекпоинта https://forums.checkpoint.com/forums/thread.jspa?threadID=8833&tstart=0

Тонкости в чем? Если не секрет?
В настройке клиента?

Цитата:

Тонкости в чем? Если не секрет?

Не секрет. Ссылка два раза приведена на этой странице:
First follow the steps to get the iphone setup, if you are going to use ldap then add your domain controllers to smart directory LDAP. Details can be found in the connectra documentation for this step. Then setup the XP client with the wizard, finish that, go to properties for the new connection, Networking select LT2P, Security -> IP Sec - put the PSK used for the Iphone into here, Select advanced -> settings, select require encryption, select allow these protocols, unencrypted password.

Make sure to set L2TP first, since the client will complain about no encryption if you set security protocol PAP first. Also verify you can connect with an Iphone before trying to make XP work.

Спасибо за ответ, буду разбираться дальше.
Можешь подсказать почему в свойствах gateway (шлюза) в "Topology", все адресса помечаются как External и там же в "VPN Domain" выбрана по умолчанию "This Host", а "All IP Addresses behind Gateway based on Topology information" и "Manually defined" затенены и выбрать их нельзя....

Не знаю, почему так по-умолчанию, но я в ручную настраиваю обычно как мне надо. Если они затенены, то значит у тебя интерфейс выбран, как external.

Да у меня на нем пять интерфейсов, и все отмечены как external, каким образом можно нужные мне поменять на internal?

Добавлено:
На вкладке Topology в свойствах нужного интерфейса, RadioButton на выбор Internal (leads out to the internal) почему то неактивен.... Может как раз в этом и проблема, что неправильная организация схемы подключения... Как тогда это изменить, т.е. сделать возможным выбор параметра External (leads out to the internal).

capitancorsar

Сталкивался с таким, что нельзя сменить external на internal. Если установка Check Point производилась на сервер с одним сетевым интерфейсом (сетевым адаптером), то он будет помечен как external. После добавления остальных интерфейсов (установки дополнительных сетевых адаптеров) они все тоже будут external и сменить на internal не получится. Почему так - не знаю, видимо глюк. При установке на сервер с несколькими сетевыми картами проблем таких нет. Такая проблема наблюдалась только под ОС Windows. На SPLATe таких проблем не было.

Спасибо за ответ, скорее всего так и было, не помню....
Как разрулить?

capitancorsar
Мне пришлось переставлять Check Point. Другого решения не нашел.
Просто снёс все компоненты, вычистил все оставшиеся файлы, почистил реестр и поставил всё заново.

У меня на линухе, буду думать в сторону, переноса правил после переустановки....

Еще один вопрос. Не совсем понятно...

В мануале по настройке SecureRemote говориться, что должна работать служба SecureClient Policy Server. Когда выставляю ее вкл. в разделе CheckPoint Products, у меня в SmartView Monitor данная служба горит красным и написано что она выключена ...Error: ... Down... .

1. Без запущенной SecureClient Policy Server будет ли работать SecureRemote?
2. И нужна ли дополнительная лицензия для запуска SecureClient Policy Server, если у меня есть лицензия на FireWall и VPN.

Т.е вопрос сводиться к: почему она не хочет запускаться....?

Цитата:

1. Без запущенной SecureClient Policy Server будет ли работать SecureRemote?

По идее должна работать и без неё.

Цитата:

И нужна ли дополнительная лицензия для запуска SecureClient Policy Server, если у меня есть лицензия на FireWall и VPN.

У меня она нормально без лицензии запускается и работает. Но вещь бестолковая.
Цитата:

Т.е вопрос сводиться к: почему она не хочет запускаться....?

Учитывая, что у тебя там и другие странные проблемы наблюдаются, может быть кривая установка.

Я понял, буду переставлять..... об изменениях отпишусь...

Еще хотел спросить, есть ли для CheckPoint билинг? Т.е. есть ли возможность получать информацию о количестве мегабайт переданных и полученых пользователями, а также посмотреть кто куда ходит в Интернет из корпоративной сети.... и т.д.
Если есть не родные программы, то какие и как реализованы?

capitancorsar

Из штатных средств - Eventia Reporter, но для нее требуется отдельная лицензия.
Из сторонних - наиболее удачное на мой взгляд Firewall Analyzer от ManageEngine.
Firewall Analyzer обрабатывает логи Check Point и на их основе позволяет формировать различные отчеты.
Сразу отмечу особенность - для учета количества принятых/отправленных байт при использовании любого средства в правилах в поле Track нужно выбирать Account вместо Log.
По опыту скажу, что в версии R55 была проблема с подсчетом FTP-трафика - он считался некорректно и результаты подсчета расходились в разы в большую сторону по сравнению с реальными данными. Есть ли такая проблема в R65 - не знаю.
Полноценным точным биллингом назвать всё это нельзя, т.к. отвергнутые пакеты (drop, reject) не учитываются при подсчете трафика, т.е. нельзя посчитать сколько байт пришло, хотя сами пакеты-то до Check Point дошли, а дальше он их зарубил.
Что касается кто и куда ходил и сколько примерно трафика получил/отправил - всё это Firewall Analyzer позволяет узнать и наглядно отобразить.
Скачать Firewall Analyzer можно с официального сайта, за ликой - в профильную тему или в ПМ.

Цитата:

Firewall Analyzer от ManageEngine

Честно говоря мне не удалось нормально считать на нём трафик. Отчёты там есть, но все они какие-то невразумительные, к тому же там нет группировки и подсчёта трафика по подсетям.
У меня 4 подсетки класса C и около 500 хостов и считать трафик там совершенно неудобно.
Eventia Reporter, к слову сказать, ничуть не лучше. А может даже и хуже. Единственный её плюс - легко устанавливать и настраивать. Фильтры там ещё более убогие.

dshf21391

Выбор невелик, да, согласен.
Но довольствуемся тем, что есть.
Хотя конечно гораздо приятнее трафик считать непосредственно на сетевом оборудовании, но это не всегда возможно. Да и само оборудование не всегда позволяет это делать.

У нас роутеры CISCO, мы с них по NetFlow снимаем в mysql и запросами уже считаем, как нам надо. Получается точнее намного и гибче. Но, конечно, было бы удобнее обходиться без всего этого, если бы на CheckPoint было бы что-то подобное.

dshf21391

Если сетевое оборудование Cisco, то лучше всего так и делать.
Но если требуется срез по пользователям в плане посещенных ресурсов, то тут NetFlow не поможет.
Кстати, в свое время пробовал средство SuperScout SurfControl. Оно позволяет не только статистику получать по посещенным ресурсам, но и блокировать доступ пользователей к целым категориям ресурсов, отдельным узлам и по условиям (превышение трафика, время и т.д.). Т.е. это Web-фильтр + сервер статистки.
Потом компанию SurfControl купила Websense (конкурент) и что теперь с решением SurfControl Web Filter for Check Point FireWall-1 - я не знаю.

Цитата:

Но если требуется срез по пользователям в плане посещенных ресурсов, то тут NetFlow не поможет.
Кстати, в свое время пробовал средство SuperScout SurfControl. Оно позволяет не только статистику получать по посещенным ресурсам, но и блокировать доступ пользователей к целым категориям ресурсов, отдельным узлам и по условиям (превышение трафика, время и т.д.). Т.е. это Web-фильтр + сервер статистки.

А для этого у нас стоит отдельно Squid и там тоже всё это настроено. Но опять же отдельно всем этим надо рулить и настраивать. Конечно удобнее было бы всё-в-одном иметь.

Спасибо за ответы, очень содержательно.

1. Лику я скрыл.

2. Я сам пользуюсь Firewall Analyzer, попробую поменять в правилах Firewall в поле Track Account вместо Log, посмотрю че получиться...

3. Если можно поделитесь ликой на Eventia Reporter и продуктом SuperScout SurfControl, даже если он уже не поддерживается.

Хочу посмотреть что наиболее близко к моим задачам...

capitancorsar

Цитата:

Хочу посмотреть

В репортере есть демо-режим, я его посмотрел и понял, что это такое, и что оно ещё хуже аналайзера.

capitancorsar

Согласен с dshf21391. Firewall Analyzer будет поудобнее в использовании.
На счет SuperScout SurfControl - поискал у себя, не осталось ничего. Так что тут помочь не смогу.

А кто подскажет обозначение лицензий на VPN, а то звонил торговцам чекпоинтом - они и сами не знают. Задачу я им сформулировал так: мне надо чтобы клиенты подключались в office mode и получали IP, чтобы можно было помимо secureclient и l2tp использовать endpoint connect, который есть под x64. Может кто в курсе обозначений того, что мне надо? Цену я потом и сам узнаю.

dshf21391
Для NGX именовалось так:
CPVP-VSR-XXXX-NGX, где XXXX - это количество remote users for VPN-1 SecuClient

+ еще видимо нужна лицензия на Policy Server - CPVP-VPS-1-NGX

Artempv
Это я понимаю, а вот входит ли туда Office Mode в эту лицензию? А то диллеры нифига не знают.