» Настройка CheckPoint

capitancorsar
SurfControl Web_Filter для CheckPoint, работает до 7-й версии точно. Версия только виндовая.
rapidshare.com/files/370131275/SurfControl_Web_Filter_for_Check_Point_FireWall-1_v5.rar
Пароль стандартный.

Цитата:

CPVP-VSR-XXXX-NGX, где XXXX - это количество remote users for VPN-1 SecuClient

VSR - это SecuRemote, это всё, что удалось выведать и оно не подходит для office mode. Есть CPVP-SCM SecureClient Mobile - но это для мобильных устройств на базе Windows Mobile, а такого же точно для обычных пользователей нет. Вобщем #опа.
Диллер сказал, что видит только единственный вариант - connectra gateway, куда входят эти лицензии. Но цена там сильно неадекватная....

dshf21391

Да, странно очень.
У них есть еще лицензия CPVP-VSC. По крайней мере до R60 включительно она была.
Вот тут информация - _https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk31255

Artempv
Вот именно, что была. Сейчас блэйд архитектуру ввели. Старые лицензии продают, но уже не все и постепенно сворачивают.
Кстати блэйдами намного дороже выходят многие вещи - таких удобных бандлов, типа 5/500 нет. И вообще скачёк в бандлах либо 3, либо 10 - т.е. в три раза. Чтобы можно было использовать endpoint connect, аналог secureclient, надо купить контейнер endpoint security и к нему блэйд VPN. Цен нет, надо запрашивать у диллеров, а они запрашивают у чекпоинта. Вот я сделал запрос. Может дешевле будет, чем коннектра $5500 за 25 юзеров.

Да уж.. дешевле, но не намного - ~4500. Скоро должен блейд для контейнера Security Gateway выйти. Надо подождать.

Добрый день!

Ту лику, которую выкладывал, точно работает для NGX 65, под 70 я не думаю, так как она шла для NGX 65.

Проблему , что нельзя сменить external на internal я разрулил, спасибо за совет, что это тянеться из за-за того, что ставился CP на один интерфейс, а остальные подкидывались уже на установленный CP.
Причем последовательность такая:
1. Ставлю CP Linux.
2. Через Web настраиваю все интерфейсы.
3. Запускаю sysconfig и ставлю все что нужно.

В таком порядке все гуд, если интерфейсы не настраиваю и сразу после установки перехожу к п.3, то попадаю в то, что нельзя сменить external на internal.

Только вот в VPN l2tp так и не разрулил, подскажите плиз, че не правильно делаю:

1. Name-CP -> General Properties -> VPN Communities -> RemoteAccess
2. General Properties -> RemoteAccess -> L2TP Support -> Authentification Method: MD5-Challenge
3. Gateway Properties > Remote Access > Office Mode -> Allow Office Mode to all users
4. Создал l2tp.conf ($FWDIR/conf) записал туда слово.
5. Создал пользователя в SmartBashoard > Users аутентификацию ему поставил CheckPoint Password. В вкладкн encription > IKE > EDIT > Pre-ShareSecret ввел тоже слово что и в l2tp.conf.
6. Создал правило:

Source: AllUsers@Any
Destination: Any
VPN: RemoteAccess
Action: Accept
Track: Account

В результате в логах:

IKE: Main Mode Failed to match proposal: Transform: 3DES, MD5, Group2 (1024 bit) Reason: Wrong value for: Autentication Method

У клиета Windows при подключении выставляю L2TP, IPSec: 'sharesecretCP', шифрование данных: необязательное, протокол расширенной проверки подлиности (EAP): MD5-Challenge.

П.5 лишний, вроде как.
По поводу клиента Windows - там тонкость есть одна: надо ставить аутентификацию PAP. Галки CHAP снимать.

Цитата:

Вобщем #опа.
Диллер сказал, что видит только единственный вариант - connectra gateway, куда входят эти лицензии.

Добрый вечер.
для работы endpoint connect в качестве VPN клиента покупать Connetra gateway не обязательно и избыточно.

нужна всего лиш лицензия CPEP-SA (Endpoint Security Secure Access includes firewall, program control, NAC, remote access VPN and antivirus/antispyware engine)
стоит лицензия от 60 у.е за клиента плюс support ~18-20%

https : / / pricelist.checkpoint.com/pricelist/US/PLUSGeneral/orderInfo.jsp

но и эту лицензию не обязательно приобретать, так как она присутствует в большинстве лицензий на gateway в виде CPEP-SA-5.

в свое время мы сильно с этой лицензией помучались, пока не стали внимательно вычитывать Check Point Licensing Guide
http : / / downloads.checkpoint.com/dc/download.htm?ID=8325

Цитата:

стоит лицензия от 60 у.е за клиента плюс support ~18-20%

Это контейнер, и ещё блэйд VPN для Endpoint $15. Для 50 клиентов получится очень даже нехило. Причём эти лицензии не concurrent, а per seat.

Цитата:

CPEP-SA-5

Не на большинстве. У нас только на одной железке - UTM-1 572. И то, она там есть, но почему-то клиенты endpoint connect не цепляются, ругаясь на отсутствие лицензии, хоть ты тресни.

Цитата:

Не на большинстве. У нас только на одной железке - UTM-1 572. И то, она там есть, но почему-то клиенты endpoint connect не цепляются, ругаясь на отсутствие лицензии, хоть ты тресни.

А железка управляется SmartCenter-ом локальным на железке или выделенным на отдельную машину ?

Смартцентр отдельный, т.к. железок и софтовых шлюзов несколько.

dshf21391

Знакомая картина.
Когда мы взялись за этот вопрос, то дошли до службы Accout Management в главном офисе Checkpoint. В итоге вопрос был сформулирован так:
где лицензии "License also includes Security Management container including Network Policy Management, Endpoint Policy Management and Logging & Status blades and 5 Check Point
Endpoint Security Secure Access and 1,000 VPN-1 SecuRemote users." заявленные при продаже устройства UTM-1 570 согласно прайса.
_https://pricelist.checkpoint.com/pricelist/US/product/product.jsp?pid=SWBUTM-1&cid=SWBUTM-1 раздел "Licensing Information"
Через несколько дней ступора, выясненеий cplic и cpconfig получили официальный ответ: Устройство продается как автономное и независимое и все лицензии в нем.
А так как в нашем случае оно управляется через отдельный ManagementCenter то эти лицензии (Endpoint Security Secure Access 5шт.) остались в незадействованном центре управления встроеном в Appliance. Для работоспособности Endpoint Security Secure Access необходимо приобрести дополнительные лицензии и установит их "ВНИМАНИЕ" на MenagementCenter.
Почесав репу мы поменяли IP в лицензии на UTM-1 570 на адрес SmartCenter-a и положили полученный файл как дополнительную лицензию в SmartCenter.
Все завелось и заработало. Полевые испытания показали что счетчик лицензий не совсем рабочий висели одновременно и 7-ми Endpoint Client R71.
Отписались в поддержку. Про счетчик естественно промолчали. На удивление они не обиделись, наоборот обрадовались и пообещали выпустить sk. Но видать потом подзабили. sk на эту тему я так и не встречал.

Цитата:

Почесав репу мы поменяли IP в лицензии на UTM-1 570 на адрес SmartCenter-a и положили полученный файл как дополнительную лицензию в SmartCenter.

Я изначально и генерил лицензию на IP смартцентра, а не девайса и загружал лицензию в смартцентр, а к устройству делал привязку.
А про какой счётчик лицензий ты говоришь и где его посмотреть?

dshf21391
отписал в личку


Добавлено:
dshf21391
еще отписал

Добавлено:
Вот нашел где то в архивах.
Может кому интересно почитать будет.
_http://us.ua/16421/

Это не дока, а книга.
Configuring Checkpoint NGX VPN-1/FireWall-1 изданная Singpress.

Может у кого есть другие книги (не доки), давайте делиться.

ryabkov

Я в свое время выкладывал в теме массу книг и учебных курсов по NG, NG AI и NGX, в т.ч. вышеупомянутую книгу. Но NG и NG AI уже неактуально, думаю, а по NGX есть следующее:
1. Официальный курс Check Point Security Administration I NGX (скан)
2. Официальный курс Check Point Security Administration III NGX (скан)
3. Интерактивный курс от SkillSoft - Сheck Point NGX SmartDefense and Content Security Training
4. Интерактивный курс от SkillSoft - Check Point NGX Security Policies Training
5. Интерактивный курс от SkillSoft - Check Point NGX VPN Configuration and Disaster Recovery Training
Всё на английском, разумеется.
Если нужно - выложу.
По R7x я пока не встречал материалов.

Цитата:

А кто подскажет обозначение лицензий на VPN, а то звонил торговцам чекпоинтом - они и сами не знают. Задачу я им сформулировал так: мне надо чтобы клиенты подключались в office mode и получали IP, чтобы можно было помимо secureclient и l2tp использовать endpoint connect, который есть под x64. Может кто в курсе обозначений того, что мне надо? Цену я потом и сам узнаю.

Цитата:

VSR - это SecuRemote, это всё, что удалось выведать и оно не подходит для office mode. Есть CPVP-SCM SecureClient Mobile - но это для мобильных устройств на базе Windows Mobile, а такого же точно для обычных пользователей нет. Вобщем #опа.
Диллер сказал, что видит только единственный вариант - connectra gateway, куда входят эти лицензии. Но цена там сильно неадекватная....

Порывшись в памяти и документах на последний суппорт, излагаю картину с моей (утв user) точки зрения.
Для функционирования компоненты Checkpoint Endpoint Connect версии R71 и выше, в качестве VPN клиента необходимо приобрести лицензии CPEP-SA-1 в количестве соответствующем количеству VPN пользователей. После оформления всех документов на приобретение лицензий в аккаунте с продуктами появится новая запись: «Product Name: CPEP-SA-1-1TO99-LICENSE»
Лицензия самостоятельная и помещения в контейнер не требует.
Лицензия составная, состоит из двух продуктов:
1. Feature Name: CPEC-SA-1
Feature Description: Check Point Endpoint Security Firewall, Antivirus, Anti-spyware, and NAC Components
2. Feature Name: CPEC-SA-RA-1
Feature Description: Check Point Endpoint Security Remote Access (IPsec and SSL) Components
Лицензия устанавливается на Management Center !!! не на шлюз !!!
После активации лицензии получаем файл со следующим License SKU:
CPIS-INT-25-NGX CPIS-ISPY-25-NGX CPIS-INT-5-NGX+15 CPIS-ISPY-5-NGX+15
CPVP-VPS-1-NGX CPVP-VPS-1-NGX CPVP-SNX-25-NGX CPVP-SNX-5-NGX+15

После установки лицензии через оснастку Smart Update необходимо выполнить процедуру «Install Policy» на шлюз, который обслуживает VPN клиентов .
Все было сегодня проверено на стендовой системе. После отключения выше описанной лицензии клиент с ПО Endpoint Connect перестал успешно подключаться к шлюзу, сообщая о следующей ошибке: OM: user tried to connect, but you have reached the number of purchased licenses.
Немного о цене вопроса. В конце 2009 года приобреталась лицензия CPEP-SA-1-1TO99, количество 15, стоимость ~$880 плюс ~$186 за Collaborative Enterprise Support Standard для CPEP-SA-1-1TO99
О возможности задействовать лицензию CPEP-SA-5, приобретаемую с каждым устройством UTM-1 Appliance отпишу позже, после окончания некоторых уточнений.
Естественно, если это кому то интересно.


Добавлено:
Artempv

Цитата:

Я в свое время выкладывал в теме массу книг и учебных курсов по NG, NG AI и NGX, в т.ч. вышеупомянутую книгу. Но NG и NG AI уже неактуально, думаю, а по NGX есть следующее:
1. Официальный курс Check Point Security Administration I NGX (скан)
2. Официальный курс Check Point Security Administration III NGX (скан)
3. Интерактивный курс от SkillSoft - Сheck Point NGX SmartDefense and Content Security Training
4. Интерактивный курс от SkillSoft - Check Point NGX Security Policies Training
5. Интерактивный курс от SkillSoft - Check Point NGX VPN Configuration and Disaster Recovery Training
Всё на английском, разумеется.
Если нужно - выложу.

Выложи, пожалуйста.
Конспекты по курсам обучения очень полезны при введении молодых специалистов в курс дела. Мы в свое время сканить обламались, а сейчас курсы #рен выпросиш. Крисис, своими силами, сколько вас можно учить ....., #####.....

Насчет актуальности, NG согласен. А вот NGX, NGX R65, R70 принципиальных изменений не много, только новые фозможности. А про основные принципы и приемы работы в книге всегда больше информации чем в официальной доке.

Есть еще книги:
Check_Point_NGX_R65_Security_Administration. Syngress
Firewall Policies And VPN Configurations (2006). . Syngress
CCSE NG:Check Point Certified Security Expert Study Guide
Если кому интересно - могу выложить.

Цитата:

CPEP-SA-1

Всё не так просто, дружище. Такие лицензии сейчас не продаются.
Сейчас можно купить только контейнерами и блейдами:
CPEP-C1-1TO100 - это контейнер, если покупаешь от 1 до 100 клиентов - $60.
CPEP-C1-101TO1000 - это контейнер, если покупаешь 101 и больше клиентов - $30.
В эти контейнеры входит блейд фаервол. Т.е. можно поставить пользователям endpoint security в качестве персонального фаервола.
К этим контейнерам нужно докупать блейд CPSB-EP-VPN-P на каждого пользователя, который будет использовать endpoint connect по цене $6 в год, либо $15 долларов единовременно.
Ну и плюс к этому сапорт на это всё - 18%.
Лицензии в составе железяк точно сейчас не знаю, но вот в юзер-центр когда заходишь, то там предлагают бесплатно проапгрейдить лицензии на блейд-архитектуру. Но что-то не хочется эксперементировать.

Цитата:

Такие лицензии сейчас не продаются

Не пойму откуда такая информация.
Официальный прайс лист.
_https://pricelist.checkpoint.com/pricelist/US/PLUSGeneral/orderInfo.jsp
Software Blades & NGX Rev.V1 Ap-10 (April 29th, 2010) - Valid until May 31, 2010
Раздел: Check Point Endpoint Security - Secure Access
Позиция: Check Point Endpoint Security, Secure Access Package - Single License for 1 to 99 Endpoints CPEP-SA-1-1TO99 I $60
Могу после празников уточнить информацию у нашего партнера.

А вот что такое CPEP-C1-1TO100 ? В прайсе я его почемуто не нашел.


Цитата:

Лицензии в составе железяк точно сейчас не знаю, но вот в юзер-центр когда заходишь, то там предлагают бесплатно проапгрейдить лицензии на блейд-архитектуру. Но что-то не хочется эксперементировать.

А почему бы и нет. Во первых - сохраняеш действующие лицензии в файлах.
Во вторых - любую лицензию R70 можно сгенерить в формате R65.

Цитата:

Такие лицензии сейчас не продаются

Не пойму откуда такая информация.
Официальный прайс лист.
_https://pricelist.checkpoint.com/pricelist/US/PLUSGeneral/orderInfo.jsp
Software Blades & NGX Rev.V1 Ap-10 (April 29th, 2010) - Valid until May 31, 2010
Раздел: Check Point Endpoint Security - Secure Access
Позиция: Check Point Endpoint Security, Secure Access Package - Single License for 1 to 99 Endpoints CPEP-SA-1-1TO99 I $60
Могу после празников уточнить информацию у нашего партнера.

А вот что такое CPEP-C1-1TO100 ? В прайсе я его почемуто не нашел.


Цитата:

Лицензии в составе железяк точно сейчас не знаю, но вот в юзер-центр когда заходишь, то там предлагают бесплатно проапгрейдить лицензии на блейд-архитектуру. Но что-то не хочется эксперементировать.

А почему бы и нет. Во первых - сохраняеш действующие лицензии в файлах.
Во вторых - любую лицензию R70 можно сгенерить в формате R65.

Цитата:

Не пойму откуда такая информация.

Запрашивал у дистрибьюторов чекпоинт.

Цитата:

А вот что такое CPEP-C1-1TO100 ? В прайсе я его почемуто не нашел.

Да, в прайсах его я тоже не видел. На сайте чекпоинта написано "звоните, мол, продавцам своим, чтобы узнать цену".
https://pricelist.checkpoint.com/pricelist/US/PLUSswblades/GeneralPL.jsp#EndpointSecurityBlades
Вот дистрибьютеры и называют цену. Причём у трёх разных запрашивал.

Прямой ссылки на чекпоинте нет, так же как и на ордеринг пейдж, что ты дал. Только через поиск как то у меня получилось выйти на описание и стоимость лицензий нового типа Endpoint Security
HTTPS_:_//_pricelist.checkpoint.com/pricelist/US/product/product.jsp?pid=EPS-con-perpetual&cid=SGB

Кстати, вышел R71 и там написано, что пользователи должны проапгрейдить лицензии на blade-архитектуру. Правда ниже написано, что если установлены от NGX лицензии, то будут выводиться ворнинги. Т.е. работат, по идее всё равно должно. Ну, в ближайшие пару недель обновимся и проверим.
Так что дни продаж NGX сочтены, ИМХО.

ryabkov
Кстати, а у тебя VPN-клиенты коннектятся без установленного ендпоинт секьюрити сервера? А то не хотелось бы его ставить только ради того, чтобы несколько человек могли использовать endpoint connect.

Установил лицензии Endpoint с блейдом VPN - те же яйца: юзернейм tried to connect, but you have reached the number of purchased licenses.

Глючная лицензия сгенерилась. После обращения в техсапорт они сгенерили вручную нормальные лицензии. Всё заработало.

Цитата:

Кстати, а у тебя VPN-клиенты коннектятся без установленного ендпоинт секьюрити сервера? А то не хотелось бы его ставить только ради того, чтобы несколько человек могли использовать endpoint connect.

коннектятся !
endpoint security server ставить не нужно.

SecureClient for Windows 7 x64 скоро выпустят. Достали их пользователи жалобами своими.
Будет называться Discovery VPN client.

Коллеги, нужна помощь: как опубликовать FTP на СheckPoint'е. (ну или пробросить порты)?
к сожалению получается опубликовать FTP только на 21 порту с проброской к внутреннему серверу (тоже только на 21 порт). Но необходимо нестандартный порт FTP (например 2222) пробросить на порт внут ftp-сервера 3333.

admSpotting
Попробуй кастомный протокол типа FTP создать на этот порт и сделай через NAT его проброс внутрь. Учти, что по основному порту идёт согласование какой порт будет открыт для данных (1024-65535).

admSpotting А чем вам так уж необходим FTP? Для обмена файлами вполне подойдет и НТТР.

dshf21391
пробовал, так не работает... должна быть возможность публикации FTP на файрфоле...

Добавлено:
vlary
люблю такие ответы))) а вообще лучше поставить ISA, т.к. на ней можно легко опубликовать FTP...