Skip navigation
All Places > CheckMates Taiwan論壇 > Blog
1 2 3 Previous Next

CheckMates Taiwan論壇

41 posts

2018 9月份的全球威脅情資報告都會更新在這篇貼文中,請參考! https://research.checkpoint.com/

2018 8月份的全球威脅情資報告都會更新在這篇貼文中,請參考! https://research.checkpoint.com/

Hi All,

 

請參考2018年中安全報告,針對目前最新的資安情勢有完整的剖析!

 

主要的惡意威脅趨勢:

1) 挖礦攻擊日趨嚴重(尤以Coinhive為大宗)

2) 特別針對雲服務的攻擊接踵而來

3) 惡意威脅對端點裝置(包含行動裝置、筆電)的危害
4) Ransomware仍是全球資料保護的潛在風險

2018 7月份的全球威脅情資報告都會更新在這篇貼文中,請參考! https://research.checkpoint.com/

2018 6月份的全球威脅情資報告都會更新在這篇貼文中,請參考! https://research.checkpoint.com/

各位版眾們,第一次臺灣CheckMates版聚於5/10順利完成! 謝謝大家熱情付出以及踴躍參與!

雖因場地/經費的限制無法邀請所有人,以及某幾位大神因故未能一起與會同歡,但瑕不掩瑜,我們還是非常開心看到大家齊聚一堂! 第二次的活動規劃正如火如荼的進行,敬請期待!

 

謝謝Sung-Lun Yang 主持SE update, 分享如何進行EA Program與R80.20的搶先報!

謝謝kaimin chu 分享CloudGuard於VMware NSX的實作與SOP, 極為用心的提點大家部署的眉角

謝謝Neville Kuo 雖然嘴賤有如死侍翻版,但還是很棒的Demo了CloudGuard於MS Azure上的運作方式

在豐盛的午餐後,大家移師至台北信義威秀體驗VR的快感! 射爆殭屍就要用Anti-Bot!

留下難得的大合照留念,相信會很快再見面的!

Hi all,

 

我們今天釋出了 New threat emulation report(EA),在新版的報表中對於沙箱模擬的資訊顯示得更詳細,瀏覽器Web的瀏覽方式也更快速。

 

詳細的說明請參考 sk120357 New Threat Emulation reports

建議預計規劃SandBlast PoC的案子可以改用新的Report

2018 5月份的全球威脅情資報告都會更新在這篇貼文中,請參考!

https://research.checkpoint.com/

Neville Kuo

vSEC controller for NSX

Posted by Neville Kuo May 6, 2018

Dear all:

有新版的出現了:

R80.10 CloudGuard Controller / vSEC Controller Hotfix v1 

 

想玩vSEC on NSX的可以試試看(二師兄在Cue你了),在這之前的版本,用R80.10的OVF在匯入時會有問題,所以vSEC GW只能用R77.30,現在可以用這個版本試試看。

 

事實上我也在和公司同事在測,很快就知道行不行了。

Neville Kuo

Passive Stream Layer

Posted by Neville Kuo May 6, 2018

分享一篇前原廠SE給小弟的內部文件,關於PSL(Passive Stream Layer)。

CP的檢查主要分為Passive Stream Layer和Active Stream Layer。

PSL: Application ctrl/URLF/AV/AB/TE

ASL:Proxy/萬惡的SSL inspection/Voip

 

所以你們如果在做zdebug drop時看到一堆PSL drop,不要懷疑就是上述功能丟的。

 

PSL+SecureXL=PXL

QoS+SecurityXL=QXL

這兩個也就是在輸入fwaccel stats -s輸出結果會看到的兩個值,所以不要再說開了功能後為什麼Accelerated Packets都是0%了。

 

除了Voip以外, ClusterXL不會Sync ASL的連線,因為有太多資料要同步的關係,因此ASL相關的連線會中斷。

其餘的請見附件,能吸收多少就看各位的造化。

 

PS.這是2014的文件,有沒有改可能要給原廠SE再確認。

 

今年稅繳好多,幹!

George Liu

Force install Jumbo

Posted by George Liu May 4, 2018

(省時間的客官請看 Workaround)

 

前情提要:

  1. 初始建置:R77.20 ,上過一些 hotfix
  2. 就地升級 R77.30 失敗,Fresh install R77.30 後 upgrade_import 重建環境
  3. 歷經幾次因為 Smart Center Crash, resotre 種種問題。

 

需求:Install Jumbo 302

 

處理經過:

1. CPUSE 安裝時,發現要 uninstall Take 216,卻失敗

 

2. 檢查 installed_jumbo_take 顯示裝的卻是 take_184

 

3. fw ver -k 顯示 Build 503,這是未安裝 Jumbo 的 build number

 

4. cpstat mg 查出來的 Build number 居然對不上任何版本 sk114513

5. 走頭無路時參考了 sk101975,敲醒我的重點摘錄如下:

Or manually remove references to Jumbo Hotfix Accumulator RPM packages for Gaia OS:

There are two ways to remove references - either using an uninstall shell script (recommended), or by manually editing the relevant files.

  • Way 1: Remove references to RPM packages using an uninstall shell script (recommended):

    1. Backup the current files:
      [Expert@HostName:0]# cp $CPDIR/registry/HKLM_registry.data $CPDIR/registry/HKLM_registry.data_BKP
      [Expert@HostName:0]# cp /opt/SecurePlatform/conf/crs.xml /opt/SecurePlatform/conf/crs.xml_BKP

 

※ 以下有練過,再來做,沒練過,找 Support 做,千萬記得 backup, backup, 再 backup。

 

Mindset

  1. 想辦法讓系統認為沒裝過 Hotfix
  2. 萬一出問題要能恢復原狀。(再一次,backup, backup, backup)

 

 

Workaround: (以下摘要說明,因為過程有點煩)

  1. cpstop; backup
  2. /dev/null > /opt/SecurePlatform/crs.xml
  3. vi $CPDIR/registry/HKLM_registry.data
  4. 以 : ( ) 為單位,刪除整組以下開頭的資訊
    • HotFix
    • HOTFIX
    • BUNDLE_R77_
  5. cpstart
  6. exit expert mode
  7. installer install Take302
  8. 收工

 

後續待研究:

  1. 目前沒找到如果 CPUSE clean rebuild 的方法。(like freebsd porttree update)

Symption:

1. HTTPS Inspection enable.

2. The page cannot display.

 

Solution:

1. Install Jumbo hotfix > 221

2. Turn on function

  • To prefer / propose ECDSA cipher suites:
    • [Expert@HostName]# ckp_regedit -a SOFTWARE//CheckPoint//FW1 CPTLS_ACCEPT_ECDSA 1
    • [Expert@HostName]# ckp_regedit -a SOFTWARE//CheckPoint//FW1 CPTLS_PROPOSE_ECDSA 1
  • To prefer / propose ECDHE cipher suites
    • [Expert@HostName]# ckp_regedit -a SOFTWARE//CheckPoint//FW1 CPTLS_ACCEPT_ECDHE 1
    • [Expert@HostName]# ckp_regedit -a SOFTWARE//CheckPoint//FW1 CPTLS_PROPOSE_ECDHE 1
  • Enable the support for P384 curve on Security Gateway / each cluster member:

    [Expert@HostName:0]# ckp_regedit -a SOFTWARE//CheckPoint//FW1 CPTLS_EC_P384 1

3. cpstop; cpstart on Gateway / Cluster.

 

 

Reference:

Specific HTTPS sites that use ECDHE ciphers are not accessible when HTTPS Inspection is enabled
Solution IDsk110883

 

Some HTTPS sites do not load when HTTPS Inspection is enabled, if TLS 1.2 with ECDHE cipher is used
Solution IDsk112954

Refer sk34574.

Symptoms
  • Synchronization fails after configuring Sync interfaces on high VLAN tag when several VLAN tag are configured on the physical interfaces
Cause

    By design, the synchronization network is supported on the lowest VLAN tag only.

Solution

    For example, if three VLAN tags are configured on interface eth1 - 10, 20 and 30, then only interface eth1.10 may be used for Synchronization.

 

In ATRG:Cluster, P.28, (2-5) Configuring synchronization network, also mention same as above.

 

 

Implementation:

1. Create a bond interface.

2. add two physical network interfaces into bond group.

3. create 5 vlan interfaces (2, 4, 6, 8, 10)

4. set bond1.8 as sync interface in cluster object topology

 

Result:It's work. Sync interface can be any vlan id rather than lowest vlan id.

Neville Kuo

公有雲上的CloudGuard

Posted by Neville Kuo Apr 28, 2018

既二師兄的私有雲CloudGuard登場後,小師弟我也來一篇公有雲的分享,當然我也是依照原廠新版的CloudGuard SOP做出來的,只是架構和功能再延伸了一點。

和NSX比起來最大的不同是佈署很方便,也不用懂NSX,但是不支援Threat Prevention的TAG功能,我的附件分成兩個,一個是原廠的SOP,另一個是我自己做出來的部份。

 

以上

George Liu

confd & monitord cpu 100%

Posted by George Liu Apr 24, 2018

sk104761

以下部份處理 confd 100% cpu 狀況,以及 Gaia 第一層登入後存檔或相關操作無回應的狀況。

主因:/config/db/initial_db 檔案過大。(超過 10 MB 以上就不算正常)

 

tellpm process:confd

mv /config/db/initial_db /config/db/initial_db_`date +%Y%m%d`

conv2db /config/db/initial /config/db/initial_db

sqlite3 /config/db/initial_db "update revisions set time='1980-01-01 02:00:00';"

tellpm process:confd t


gzip -9 
/config/db/initial_db_`date +%Y%m%d`

 

 

sk93587

以下部份處理 monitord 100% cpu 狀況。

主因:cpview history 檔案過大所致。

 

tellpm process:monitord

mv /var/log/db /var/log/db_`date +%Y%m%d`

sqlite3 /var/log/db

Run the following commands in the '
sqlite' prompt:

sqlite>
VACUUM;
sqlite> .exit

 

tellpm process:monitord t

 

gzip -9 /var/log/db_`date +%Y%m%d`