Пропустить навигацию
All Places > CheckMates in Russian - ЧекМейтс по-русски > Блог
Aleksei Shelepov

Чат о Check Point в Telegram

Опубликовано: Aleksei Shelepov Nov 5, 2018

Неофициальный русскоязычный чат о Check Point в Telegram:

https://t.me/chkpchat  

 

Представители Check Point, партнёры, заказчики, админы, да и все, кому просто интересно, задают вопросы, обсуждают новости и проблемы, советуются как лучше действовать в каких-то ситуациях. Присоединяйтесь.

Всем привет.

 

Столкнулся с проблемой при переходе с R77.30 на R80.10 - в какой-то момент потерял доступ по HTTPs на свои устройства 4600 в кластере. Сразу на обе (позже пришел к выводу, что потерял после активации application blade - смотрите ниже).

 

Думал поначалу, что мешает MAB blade. Искал-искал проблему - не нашел. Открыл кейс (3-0610437711). Там мне предложили поставить обновление (крайний take). Очевидно, что мне это бы не помогло. Кейс закрыл. Пошел разбираться сам.

 

В логах видел следующее:

 

Dropped by multiportal infrastructure - Implied Rule 0

 

Dropped by multiportal infrastructure - Implied Rule

 

При этом на вкладке со связанными правилами вижу, что все разрешено:

 

 

Просмотрел в политике Implied Rules - там все разрешено, нигде не встрелил действия drop. Правила с номером 0 тоже не нашел.

 

В политике POLICY-FW (network) у меня было явное разрешающее правило (доступ из локальной сети к коробкам по https). Правило было перенесено вручную при подготовке миграции с R77.30 на R80.20 (у меня выделенный сервер управления - переносил правила с имеющегося сервера управления).

 

Однако на уровне приложений явного правила, разрешающего доступ по https к коробкам не было. Дописал. Установил политику. Получил доступ.

 

 

Такое решение проблемы меня сильно удивило, т.к. в конце политики приложений у меня стоит deny ip any. И устройство должно было блокировать трафик по этому правилу с указанием в логах номера этого запрещающего правила. Тогда бы и проблемы такой не встало - вполне штатная ситуация, не заслуживающая какого-либо обсуждения.

Valeri Loukine

CheckMates Live in Moscow - Материалы

Опубликовано: Valeri Loukine Модератор Oct 28, 2018

Еще раз огромное спасибо всем пришедшим на первую в истории цивилизации встречу CheckMates User Group в Москве, а также за ваш интерес, за вопросы и обсуждение.

 

Надеюсь увидеться еще раз в начале следующего года.

 

Презентация прикреплена к этому посту.

 

 

Если есть еще неотвеченные вопросы, пишите в комментарии.

Valeriy Denisov

Windows pre-logon Site-to-site VPN: CookBook

Опубликовано: Valeriy Denisov Сотрудник Oct 3, 2018

Преамбула

 

И так, холодным ранним утром вы поняли, что вам необходим IPSEC VPN с удаленной Windows машины где-то там и что бы этот VPN работал всегда, при любой погоде, перезагрузке, до Windows logon, без участия админа, без обновления клиентов и прочих вещей, что могут поломаться. Как же это сделать ?

 

Самый простой способ - использовать Windows firewall with advanced security. 

То есть, в Windows можно создать правило, которое будет работать как policy based IPSEC и запихивать весь нужный трафик в VPN до шлюза CHKP.

 

Ну что ж, начнем.

 

Включаем IPSEC на CHKP

В Check Point IPSEC VPN разделен на несколько частей: настройки сетей, объекты удаленных IPSEC шлюзов, настройки шифрования и аутентификации (community group). Начнем:

 

1. Включаем блейд IPSEC VPN

2. Указываем с какого адреса строить VPN

3. Создаем объект под нашу Windows машину

4. Называем, задаем IP адрес, включаем IPSEC VPN

5. переходим в topology и указываем внешний интерфейс

6. В VPN Domain указываем сети за Windows, либо просто оставляем все сети.

 

Настраиваем IPSEC на CHKP

Все объекты созданые, все готово к настройке самого IPSEC на шлюзе CHKP.

 

1. Создаем VPN Community

2. Настраиваем параметры шифрования

Windows поддерживает PFS, но включается он через CLI

Step 5: Examine the Differences in Functionality Between the MMC Snap-in and the Netsh Command-line Tool | Microsoft Doc… 

3. Задаем параметры формирования SA. 

4. Permanent tunnels работает только между CHKP - CHKP, не включаем

One VPN tunnel per Gateway pair, означает, что в SA Identity будет указано 0.0.0.0/0 - 0.0.0.0/0

5. Добавляем правила для VPN в Rule base либо разрешаем весь трафик в настройках Community.

 

Включаем вечно выключенный Windows firewall

1. Заходим в настройки Windows Firewall

2. Включаем для нужных подсетей (например, для внешней)

Настраиваем IPSEC

   Настройки IPSEC находятся в двух местах:

  • В настройках самого Windows FW (Encryption, key exchange, etc..)
  • В правилах Connection security rules - то есть, а какой трафик собственно шифровать ?

1. Переходим в настройки самого FW

2. Идем на страничку IPSEC Settings

3. В Key exchange выставляем Advanced и меняем настройки первой фазы

4. Удаляем 3DES, задаем время обновления ключей - key lifetime. У Check Point по умолчанию для первой фазы 1440 минут, для IPSEC SA 3600.

5. Настраиваем Quick Mode, точно так же задаем время жизни туннеля и алгоритмы шифрования

6. Заходим в Authentication Method, убираем Computer и выбираем выданный данной машине клиентский сертификат

7. Закрываем, все сохраняем и настраиваем tunnel authorization - кто сможет строить туннели с этой виндой?

Создаем правило шифрования трафика 

   Параметры IPSEC настроены, теперь пора описать что собственно мы будем широфвать на этой Windows машине. Следует учесть, что настройки Endpoint 1 и Endpoint 2 влияют на формирование поля Identity в SA. То есть, если будет указано Endpoint 1 - any, Endpoint 2 - <ЦОД IP>, то SA будет вида 0.0.0.0/0 - <ЦОД IP>. Что логично, но если вы видите ошибки вида Peer notification: invalid id information, это как раз про это.

 

И так, начнем.

1. Создаем новое правило

2. Мы ведь хотим все контролировать, выбираем Custom

3. В настройках Endpoint 1 указываем какие сети шифровать со стороны Windows (Сети за Windows машинной) либо все что есть.

4. В Endpoint 2 - сети за CHKP

5. Задаем двустороннюю аутентификацию

6. На следующем шаге оставляем либо Default - использовать настройки из Windows FW, либо указываем выданный клиентский сертификат

7.Задаем оставшиеся параметры - порты и сервисы и имя правила

Правило применяется сразу же!  Учтите, что бы не потерять связь с Windows машиной. 

8. Добавляем нужные правила в Windows Firewall.

9. Заходим в настройки созданного правила Connection rule и открываем Advanced-> IPSec Tunneling:

10. Указываем откуда куда строить туннель.

 

Проверяем

1. Заходим по SSH на CHKP

2. Заходим в Expert

3. Смотрим установленные SA через комманду VPN TU

4. Заходим в логи, видим в логах шифрованный трафик.

5. O_O работает с первого раза ?? 

6. Идем пить кофе

 

 

 

И так, есть такой простой экзамен как CCSA - это самый базовый уровень сертификации Check Point, который проверяет самые необходимые вещи, например:

  • Что такое SIC - как, зачем, почему и в консоли;
  • Как пользоваться TCPDUMP (самые простые вещи, AND, OR, host, port и т.д.)
  • Базовые ИБ и ИТ знания (клиент-сервер взаимодействия, DNS, NTP)
  • Все экзаменационные топики - CCSA exam

Примерное описание экзамена Pearson VUE

Старое описание на русском языке - Тут

 

Экзамен обновился и теперь можно сдавать R80.10.

 

Самый эффективным способ сдать экзамен, это конечно сходить на курсы, например:

Курсы ведут сертифицированные тренеры, а еще книжку в PDF дают!

 

R80 Self Study Resources

R80.10 Documentation Package

R80.10 Security Management Architecture Overview

 

R77 Практический экзамен ($50)

CCSA R77

CCSE R77

 

R80 Практический экзамен

R80 Practice Exams - Available Now! 

 

Удачи ! 

 

Коллеги, у нас есть замечательная новость!

 

После долгих месяцев ожиданий, Check Point получил подписанный сертификат на R77.10 по новым требованиям для МЭ (A4.П3, Б4.П3) и СОВ(С4.П3), которая работает на широко использующихся устройствах 2012 года.

 

Новая линейка устройств с версией R77.30 уже в работе на получение сертификата по новым требованиям.

 

Пока что, информация в реестре ФСТЭК не обновилась, этот процесс длительный, обычно занимает около двух месяцев, ждем внесения правок на сайте.

 

P.S Кстати, есть интересный нюанс, в отличии от многих других устройств, на сертифицированом Check Point МОЖНО использовать FW + IPS + контроль приложений.

Собственно здесь просто ссылка на хабр - Check Point. Подборка полезных материалов от TS Solution / Блог компании TS Solution / Хабр 

Там мы собрали все наши материалы (на русском). Надеюсь кому-нибудь пригодится.

Valeriy Denisov

CheckMates, день первый

Опубликовано: Valeriy Denisov Сотрудник May 20, 2018

Добро пожаловать на рускоязычную часть глобального форума CheckMates!

 

Здесь мы будем добавлять ссылки на интересные материалы, вебинары, брошюрки, презентации и другие материалы. Причем, в большинстве своем, на русском языке. Кроме того, это отличное место для обсуждения Check Point и связанных с ним решений. А еще у нас есть пече... поиск по всему форуму

 

Присоединяйтесь к нам, ведь, как говориться,sharing is caring !