» Настройка CheckPoint

Artempv

Цитата:

Не исключаю, что при подключении клиента в режиме Office Mode сам Firewall назначает клинту адреса именно из той же подсети

вот тут интересный момент, сами клиенты получают ip из другой подсети 172.16.20.0/24, и работают в этой сетке. Но при этом же в таблицу маршрутизации вносятся ещё записи про мою внутренюю подсеть (192.168.40.0/24) с меньшей метрикой чем метрикой присутствует? соот-но и локальный трафик т.о. чекпоинт клиент рутит к себе отрубая сеть... Наск. я понял надо смотреть настройки сервера (он не у меня просто) - буду спрашивать...
Цитата:

На странице настройки см. значение поля Allocate IP From Network

это на клиенте или на сервере?

greenfox


Цитата:

это на клиенте или на сервере?

На сервере. На клиенте-то особо и настроек нет.
Клиент получает все с севрера - топологию, IP-адрес, если используется Office Mode с назначением IP клиенту.

На клиенте есть еще галочка такая - Route all traffic throught gateway.
Может в этом еще дело быть.

Artempv

Цитата:

На клиенте есть еще галочка такая - Route all traffic throught gateway

она не установлена... Вот вопрос ещё кстати может не по теме - у меня Ip внтренние получаются с dhcp и прописаны с метрикой 10, соот-но при подк чекпоинта-клиента он прописывает маршрут свой с метрикой 1 (забивая тем самым стандартный). Вопрос в том можно ли как на всех клиентах подправить автоматически метрику на 1-ку и какой маршрут в этом случае будет предпочтительней с точки зрения системы?

-------------------------
собственно вроде нашёл обходной путь - route delete в совокупности с netsh (можно всё только ей сделать) мне помогли прописать соот-е маршруты и нужные днс\винс серваки на чекпоинтовском(впн) интерфейсе...

При попытке залогинится в любой из компонентов Чекпоинта через графический интерфейс выдает следующую ошибку:
"connection cannot be initiated, make sure server хх.хх.хх.хх is up and running"

Причем сам файрвол судя по всему работает, во всяком случае пакеты на районы и интернет "бегают".
Есть у меня бекап 9 месячной давности, сделаный акронисом, с которого раньше откатывался и все было нормально, но сейчас после того как откатался ошибка осталась прежней. Разница между состоянием компа 9 месяцев назад и теперь, это разная ДАТА, и пару новых правил в том же файрволе.

Хотелось бы услышать мнения по этому поводу.

Helium

Сталкивался с таким на 5-ке (R55).
Причем как-то неожиданно все это случилось после того, как прописал доп. интерфейс, поменял чуть правила и перегрузился. Потом потребовалась еще одна перезагрузка и после этого случилось такая же беда...
Пробовал сносить последний XPU - не помогло.
Поставил его заново - не помогло.
Проапдейтил до R65 c кучей предупреждений от преинсталлера - не помогло и на R65 выскакивала та же ошибка.
Откатился назад с полного бекапа и играл с перезапуском служб Check Point и т.п. - безрезультатно.
Что характерно, даже невозможно сменить пароль для пользователя Check Point или добавить нового пользователя...
Ругается, что ошибка записи в базу...

Т.е. победить не удалось никак.
При этом сам фаервол четко работал - все правила отрабатывал и VPN-соединения устанавливал.
Т.е. не работал только GUI.

Итог - переустановка.

Вобщем нужна помощь стоит CheckPoint FW-1 подскажите пожалуста возможно на нем посмотреть с какого IP адреса какие данные были скачены с интернета и как это сделать? Спасибо

yurik3
SmartTracker думаю поможет
Но диалоги с аськи ты там не увидишь, да.

Читал тут в середине ветки, что некоторые используют аутентификацию по LDAP. Насколько я понял - для этого нужна какая-то отдельная лицензия. Есть ли возможность прикрутить нормально аутентификацию к этому чекпоинту не докупая отдельно ничего
Или единственный вариант это через кривой RADIUS?

Подскажите плиз, какие альтернативные утилиты можно использовать вместо SmartView Reporter и Eventia Reporter, для получения результата не хуже, можно даже платные, лишь бы совместимы были?

HQ74
http://manageengine.adventnet.com/products/firewall/index.html
Вот типа.

Спасибо большое

Народ, поделитесь русской документацией по администрированию CheckPoint, SmartDashboard. CP FW-1 NGX R61.
А то в инете все сцылки битые

hackroot

Русской документации и литературы по сабжу для версии NGX R6x нет в природе. Все только на английском.

Artempv
Можно ли залить книги по администрированию CP заново куда-нибудь, а то на рапиде все ссылки мертвые.
Если можно, то все, которые вы выкладывали.
Спасибо.

Garrybest

Syngress Configuring Check Point NGX VPN-1 FireWall-1
hxxp://rapidshare.de/files/39464456/Syngress_Conf_CP_NGX.rar.html

Если нужны книги по NG - пиши.

Artempv
Спасибо за книгу. Если можешь, выложи пожалуйста заново все книги, на которые ты давал ссылки на 6 и 7-ой страницах этой ветки.

Garrybest

Addison Wesley - Essential Check Point FireWall-1® NG: An Installation, Configuration, and Troubleshooting Guide
hxxp://rapidshare.de/files/39476640/Essential_CP_FW-1_NG.rar.html

Managing Check Point SecurePlatform by Check Point Software Technologies
hxxp://rapidshare.de/files/39476668/Managing_CP_SecurePlatform.rar.html

Check Point - Syngress (2003) Check Point NG Security Administration
hxxp://rapidshare.de/files/39476675/CP_NG_Security_Administration.rar.html

Check Point - Syngress (2003) Check Point NG VPN-1 FireWall-1 Advanced Configuration
hxxp://rapidshare.de/files/39476693/CP_NG_VPN-1_FW-1_Advanced_Configuration.rar.html

Sybex - CCSA NG Check Point Certified Security Administrator Study Guide
hxxp://rapidshare.de/files/39476708/CCSA.NG.Administrator.Study.Guide.rar.html

Sybex - CCSE Check Point Certified Security Expert Study Guide
hxxp://rapidshare.de/files/39476720/CCSE.CP.Certified.Security.Expert.rar.html

Syngress - Check Point NG/AI: Next Generation with Application Intelligence Security Administration
hxxp://rapidshare.de/files/39476737/CP_NG_AI_Security.rar.html

Artempv
Спасибо большое!!!

Для всех нуждающихся - свеженькая книга по NGX R65

Check Point NGX R65 Security Administration, Syngress Publishing, 2008
Author: Ralph Bonnell
ISBN: 1597492450

hxxp://rapidshare.de/files/39664029/CP-NGX-R65-Security-Administration.rar.html

Не знаю, не ставил CheckPoint Firewall, но интересует, есть ли там такой "объект" как LocaslHost, помимо LocalNet и ExternalNet, как в Isa2004> и Networkshield ?
Чтобы, например, пользователи локальной сети могли выходить через него в Internet, но видеть ресурсы сервера, (напрмиер по NetBios) не могли ?

Vxd2000
Там есть объект - сам сервер checkpoint.

dshf21391, по смыслу, это совпадает с LocalHost (и насколько близко) ?
Может быть этот объект только, например, для удаленного администрирования.

Если абстрагироваться от CP и ISA, то localhost - это есть loopback на любом хосте. Поэтому использование такого названия на ISA - несколько некорректно.

dshf21391 от части согласен.
Однако интересует, есть ли в Checkpoint объект, который как он там называется не знаю, который несет по смыслу (представляет) компьютер, на котором он и стоит, чтобы сделать описанное мной выше ограничение (Localnet <-> Internet и при этом запретить LocalNet -> CheckPoint по NetBios) , объект checkpoint, его наличие, позволяет это сделать ?

Все определяет не имя обьекта а его своиства ( ИП адрес, интерфеис и т д)
СП нет никакой разницы или это обьект за 1000 километров в Интернете или это
обьект представляющий саму машину на которой СП установлен - любой обьект
можно использовать в правилах разрешающих/запрещающих что-то.
Так что
Source Destination Service Ation
LAN CPFirewall Netbios Drop

Aluf, если по поводу моего сообщения, согласен, что в данном случае определяет не имя объекта, а его свойства и еще один момент, его "отношения" с другими объектами (как он взаимодействует) .

В Isa2000, например, было только, по сути, 2 объекта, Internal и External, защитить полноценно сервер, где стоит Isa2000 не было возможности.

Переформулирую и расширю:
1. Какая версия СP работает с Win2003 R2;
2. В этой версии есть возможность (наличествует объект) , защитить сам сервер (компьютер, где стоит CP) от "внутренней" сети, не только от "внешней" сети;
3. В этой версии есть авторизация IP + Mac;
4. В этой версии есть shap' ер (в kb/s для каждого компьютера в сети);
5. Плюсы и минусы (объективные и субъктивные) CP по сравнению с Isa2004 для сети от 5 до 30 компьютеров с 1 сервером (сам сервер+ad+dns+шлюз) .

1. Не проверял - лучше поискать на их сайте Release Notes,хотя уверен NGX 65 должен работать. В большинстве случаев - по моему опыту
75-85% устанавливают не на WIndows а как Splat (Linux based версия) на stand-alone machine.

2 Да возможность есть и большие
3 Не совсем понятно что имеется ввиду - авторизация чего против чего ?
4 Зависит от лицензии - Quality of Service (aka FloodGate) отделная
фича требующая лицензию. Если есть лицензия то нет проблем,
хоть для каждого ПК хоть для каждого сервиса
5 С ISA я не знаком в производстве - так устанавливал для себя
посмотрел интерфейс и снес, так что сравнивать могу поверхностно.
Но в принципе тут разный уровень - и задач и средств и требований,
если сделать грубое сравнение - ето как раутер Cisco и Edimax. Кстати
разница в цене соответсвуюшая. Так что думаю для 30 ПК СП слишком будет. Но опять - какие задачи ? Если задача защитить
от простых атак извне закрытием портов да позволить юзерам из дома по L2TP kak
VPN подключаться то ISA хватит.
Если задача несколько site-to-site VPN туннелей поднять да еще
с разным (Enterprize level) железом (Cisco routers, ASA/PIX, Juniper FW, Nortel Concentrator etc) да пропустить через это VOIP и чтобы он работал,
да плюс защитить в ЛАНе веб сервак от web-application атак и эксплойтов (SmartDefense + Web intelligence) ,да обеспечить удаленный доступ по VPN (SecureClient) так чтобы корпоративная политика безопасности соблюдалась (Desktop security), да плюс закрыть Peer-toPeer неважно на каком порте работают,
да плюс иметь полную свободу в создании NAT translations то Checkpoint тут рулит.
Не даром их реклама говорит что ВСЕ Fortune 100 компании используют их.

Vxd2000
1. R65 100% работает на w2k3 R2.
2. Там даже если какого объекта нет - его завсегда можно создать и описать =)
3. Это тебе свич нужен с привязкой по портам
4. Да. QoS, но для него нужна лицензия.
5. По мне, так ISA для сетки в 30 компов куда проще и дешевле выйдет =)) CP - это уже средний и энтерпрайз уровни.

Aluf, ты знаешь, кое что из написанного тобой мне интересно.
Про IP + Mac авторизацию, нет пока возможности покупать коммутатор с привязкой по портам, поэтому хочется, чтобы была авторизация компьютеров по IP + Mac, авторизация компьютеров для "попадания" на сервер (шлюз) и в internet.

dshf21391
Знаю, но пока нет возможности.

Какая сейчас последняя версия CP с FG (или для какой лицензия есть) , которая работает с Win 2003 R2 ?

Нет IP + Mac авторизацию СП не поддерживает