https://community.checkpoint.com/t5/Russian/Security-CheckUp-%D0%B8-%D0%B2%D1%81%D1%91-%D1%87%D1%82%D0%BE-%D1%81-%D1%8D%D1%82%D0%B8%D0%BC-%D1%81%D0%B2%D1%8F%D0%B7%D0%B0%D0%BD%D0%BE/m-p/28775#M106 <HTML><HEAD></HEAD><BODY><P>Если снимать трафик только с внешнего интерфейса (выходящего в Интернет), то будут видны обращения только от существующего файрвола/прокси с внешним IP. Чтобы видеть пользователей и приложения при обращении в Интернет, а также атаки снаружи на сеть заказчика стоит снимать трафик с двух точек - внутри и снаружи.</P></BODY></HTML> Fri, 29 Jun 2018 14:33:42 GMT Amir_Aliev 2018-06-29T14:33:42Z https://community.checkpoint.com/t5/Russian/Security-CheckUp-%D0%B8-%D0%B2%D1%81%D1%91-%D1%87%D1%82%D0%BE-%D1%81-%D1%8D%D1%82%D0%B8%D0%BC-%D1%81%D0%B2%D1%8F%D0%B7%D0%B0%D0%BD%D0%BE/m-p/28771#M102 <HTML><HEAD></HEAD><BODY><P>Обсуждаем вопросы связанные с самым популярным способом тестирования решений Check Point.</P><P></P><P><IMG __jive_id="66838" class="image-1 jive-image" src="https://community.checkpoint.com/legacyfs/online/checkpoint/66838_pastedImage_1.png" /></P><P></P><P>Напомню, что на свете существует прекрасный гайд как провести CheckUp на версии R80.10 с пошаговыми инструкциями:</P><P><SPAN style="font-size: 11.0pt;"><A href="http://downloads.checkpoint.com/dc/download.htm?ID=55584">R80.10 Security CheckUp Admin Guide</A></SPAN></P><P></P><P>Шаблон отчета CheckUp на <STRONG>русском языке</STRONG>:</P><P><A class="link-titled" href="http://supportcontent.checkpoint.com/solutions?id=sk112136" title="http://supportcontent.checkpoint.com/solutions?id=sk112136">Security Checkup - Languages Support for R80</A>&nbsp;</P><P>Шрифты нужно устанавливать <SPAN style="text-decoration: underline;">обязательно</SPAN>, иначе при выгрузке отчета появятся нечитаемые символы.</P><P></P><P><SPAN style="font-size: 11.0pt;">Если есть сложности с генерацией отчетов локально на площадке где выполнялся CheckUp (нет ресурсов для SmartEvent, медленный канал в Интернет) - отчет можно сделать онлайн.</SPAN></P><P><SPAN style="font-size: 11.0pt;">Процедура следующая:</SPAN></P><P><SPAN style="font-size: 11.0pt;">1) Проводим CheckUp в обычном режиме собирая логи.</SPAN></P><P><SPAN style="font-size: 11.0pt;">2) Скачиваем скрипт на лог-сервер, запускаем. Скрипт отправляет в облако лог-файлы (.log,&nbsp; .logptr, .logaccount_ptr, .loginitial_ptr) за последние N-дней.</SPAN></P><P><SPAN style="font-size: 11.0pt;">3) В облаке создается виртуальная машина со SmartEvent которая доступна как веб-страница, в которой можно генерировать любые отчеты за любые даты на основании загруженных логов.</SPAN></P><P><SPAN style="font-size: 11.0pt;">Машина работает в течение 21 дня.</SPAN></P><P><SPAN style="font-size: 11.0pt;"><A class="link-titled" href="http://supportcontent.checkpoint.com/solutions?id=sk112732" title="https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&amp;solutionid=sk112732">Security Checkup in the Cloud - Automated Script</A>&nbsp;</SPAN></P></BODY></HTML> Thu, 07 Jun 2018 12:03:05 GMT https://community.checkpoint.com/t5/Russian/Security-CheckUp-%D0%B8-%D0%B2%D1%81%D1%91-%D1%87%D1%82%D0%BE-%D1%81-%D1%8D%D1%82%D0%B8%D0%BC-%D1%81%D0%B2%D1%8F%D0%B7%D0%B0%D0%BD%D0%BE/m-p/28771#M102 Amir_Aliev 2018-06-07T12:03:05Z https://community.checkpoint.com/t5/Russian/Security-CheckUp-%D0%B8-%D0%B2%D1%81%D1%91-%D1%87%D1%82%D0%BE-%D1%81-%D1%8D%D1%82%D0%B8%D0%BC-%D1%81%D0%B2%D1%8F%D0%B7%D0%B0%D0%BD%D0%BE/m-p/28772#M103 <HTML><HEAD></HEAD><BODY><P>Доброго дня коллеги.</P><P>А подскажите какие действия должны дополнительно должны предпринять инженеры заказчика, чтобы получить корректный срез зеркалированого входящего трафика, иногда в тестах на входящем трафике я видел только само устройство а не сам внешний трафик.</P><P></P><P>Привожу пример:</P><P>Была ситуация, у заказчика проводил CheckUp и не смог захватить корректно входящий трафик, мне отдавали зеркалироный трафик входного интерфейса маршрутизатора. В качестве маршрутизатора использовался Микротик и на нем же был настроена зеркалирование на интерфейс CheckPoint. Но в логах я видел только это устройство маршрутизатора в журналах, а не внешние адреса интернета.</P></BODY></HTML> Thu, 28 Jun 2018 06:21:28 GMT https://community.checkpoint.com/t5/Russian/Security-CheckUp-%D0%B8-%D0%B2%D1%81%D1%91-%D1%87%D1%82%D0%BE-%D1%81-%D1%8D%D1%82%D0%B8%D0%BC-%D1%81%D0%B2%D1%8F%D0%B7%D0%B0%D0%BD%D0%BE/m-p/28772#M103 Dmitriy_Chazov 2018-06-28T06:21:28Z https://community.checkpoint.com/t5/Russian/Security-CheckUp-%D0%B8-%D0%B2%D1%81%D1%91-%D1%87%D1%82%D0%BE-%D1%81-%D1%8D%D1%82%D0%B8%D0%BC-%D1%81%D0%B2%D1%8F%D0%B7%D0%B0%D0%BD%D0%BE/m-p/28773#M104 <HTML><HEAD></HEAD><BODY><P>Дмитрий, это все же больше вопрос настройки сетевого оборудования отдельного вендора. У циски и микротика процедуры отличаются. У меня была подобная ситуация, когда с микротика не было видно полезного трафика. Инженер перебрал несколько портов и все получилось.</P><P></P><P>Если возникает тупик иногда приходится самому читать документацию и подсказывать, ничего не поделаешь.</P></BODY></HTML> Fri, 29 Jun 2018 10:19:04 GMT https://community.checkpoint.com/t5/Russian/Security-CheckUp-%D0%B8-%D0%B2%D1%81%D1%91-%D1%87%D1%82%D0%BE-%D1%81-%D1%8D%D1%82%D0%B8%D0%BC-%D1%81%D0%B2%D1%8F%D0%B7%D0%B0%D0%BD%D0%BE/m-p/28773#M104 Amir_Aliev 2018-06-29T10:19:04Z https://community.checkpoint.com/t5/Russian/Security-CheckUp-%D0%B8-%D0%B2%D1%81%D1%91-%D1%87%D1%82%D0%BE-%D1%81-%D1%8D%D1%82%D0%B8%D0%BC-%D1%81%D0%B2%D1%8F%D0%B7%D0%B0%D0%BD%D0%BE/m-p/28774#M105 <HTML><HEAD></HEAD><BODY><P>Ну вот у коллеги однажды тоже была похожая тема, только там приходил транк в cisco в которой потом отдавался vlan который был интернет и в журналах тоже был только само устройство cisco а не внешний адреса интернета.</P><P></P><P>Вот в том же документе SecurityCheckup сказано про:</P><P>"Если вы используете устройства NAT, Proxies (без заголовка x-forward-for), сервер терминалов, DNS-сервер, контроллер AD и т. Д. Вы увидите только это устройство в журналах, а не пользователей/серверов позади."</P><P></P><P>Случайно это не из этой же оперы?</P></BODY></HTML> Fri, 29 Jun 2018 12:25:34 GMT https://community.checkpoint.com/t5/Russian/Security-CheckUp-%D0%B8-%D0%B2%D1%81%D1%91-%D1%87%D1%82%D0%BE-%D1%81-%D1%8D%D1%82%D0%B8%D0%BC-%D1%81%D0%B2%D1%8F%D0%B7%D0%B0%D0%BD%D0%BE/m-p/28774#M105 Dmitriy_Chazov 2018-06-29T12:25:34Z https://community.checkpoint.com/t5/Russian/Security-CheckUp-%D0%B8-%D0%B2%D1%81%D1%91-%D1%87%D1%82%D0%BE-%D1%81-%D1%8D%D1%82%D0%B8%D0%BC-%D1%81%D0%B2%D1%8F%D0%B7%D0%B0%D0%BD%D0%BE/m-p/28775#M106 <HTML><HEAD></HEAD><BODY><P>Если снимать трафик только с внешнего интерфейса (выходящего в Интернет), то будут видны обращения только от существующего файрвола/прокси с внешним IP. Чтобы видеть пользователей и приложения при обращении в Интернет, а также атаки снаружи на сеть заказчика стоит снимать трафик с двух точек - внутри и снаружи.</P></BODY></HTML> Fri, 29 Jun 2018 14:33:42 GMT https://community.checkpoint.com/t5/Russian/Security-CheckUp-%D0%B8-%D0%B2%D1%81%D1%91-%D1%87%D1%82%D0%BE-%D1%81-%D1%8D%D1%82%D0%B8%D0%BC-%D1%81%D0%B2%D1%8F%D0%B7%D0%B0%D0%BD%D0%BE/m-p/28775#M106 Amir_Aliev 2018-06-29T14:33:42Z https://community.checkpoint.com/t5/Russian/Security-CheckUp-%D0%B8-%D0%B2%D1%81%D1%91-%D1%87%D1%82%D0%BE-%D1%81-%D1%8D%D1%82%D0%B8%D0%BC-%D1%81%D0%B2%D1%8F%D0%B7%D0%B0%D0%BD%D0%BE/m-p/28776#M107 <HTML><HEAD></HEAD><BODY><P>Да конечно, я так и делаю (снимаю трафик как снаружи так и внутри). Я привел примеры которые попадались в CheckUp&nbsp; и хотелось бы понимания этого момента на будущие.</P></BODY></HTML> Mon, 02 Jul 2018 10:27:23 GMT https://community.checkpoint.com/t5/Russian/Security-CheckUp-%D0%B8-%D0%B2%D1%81%D1%91-%D1%87%D1%82%D0%BE-%D1%81-%D1%8D%D1%82%D0%B8%D0%BC-%D1%81%D0%B2%D1%8F%D0%B7%D0%B0%D0%BD%D0%BE/m-p/28776#M107 Dmitriy_Chazov 2018-07-02T10:27:23Z https://community.checkpoint.com/t5/Russian/Security-CheckUp-%D0%B8-%D0%B2%D1%81%D1%91-%D1%87%D1%82%D0%BE-%D1%81-%D1%8D%D1%82%D0%B8%D0%BC-%D1%81%D0%B2%D1%8F%D0%B7%D0%B0%D0%BD%D0%BE/m-p/28777#M108 <HTML><HEAD></HEAD><BODY><P>Коллеги поделитесь опытом, когда нет возможности зазеркалировать на один интерфейс CheckPoint. В случае использования двух интерфейсов CheckPoint, один зеркалирует внешний а другой внутрениий. В определение топологий внешний будет как External а внутрении как Internal ?</P><P></P><P>Ну и конечно не забываем прописать<SPAN style="font-size: 11.0pt;">на уровне ядра отключить </SPAN><SPAN style="font-size: 11.0pt;">anti</SPAN><SPAN style="font-size: 11.0pt;">-</SPAN><SPAN style="font-size: 11.0pt;">spoofig</SPAN><SPAN style="font-size: 11.0pt;">, на </SPAN><SPAN style="font-size: 11.0pt;">Security</SPAN> <SPAN style="font-size: 11.0pt;">Gateway</SPAN> в <BR /><SPAN style="font-size: 11.0pt; color: #0070c0;">vi $FWDIR/boot/modules/fwkern.conf </SPAN></P><P><SPAN style="color: #0070c0;">fw_antispoofing_enabled=0</SPAN></P><P><SPAN style="color: #0070c0;">fw_local_interface_anti_spoofing=0</SPAN></P></BODY></HTML> Wed, 11 Jul 2018 07:05:22 GMT https://community.checkpoint.com/t5/Russian/Security-CheckUp-%D0%B8-%D0%B2%D1%81%D1%91-%D1%87%D1%82%D0%BE-%D1%81-%D1%8D%D1%82%D0%B8%D0%BC-%D1%81%D0%B2%D1%8F%D0%B7%D0%B0%D0%BD%D0%BE/m-p/28777#M108 Dmitriy_Chazov 2018-07-11T07:05:22Z https://community.checkpoint.com/t5/Russian/Security-CheckUp-%D0%B8-%D0%B2%D1%81%D1%91-%D1%87%D1%82%D0%BE-%D1%81-%D1%8D%D1%82%D0%B8%D0%BC-%D1%81%D0%B2%D1%8F%D0%B7%D0%B0%D0%BD%D0%BE/m-p/28778#M109 <HTML><HEAD></HEAD><BODY><P>Вот эта ссылка еще пригодится -&nbsp;<A class="link-titled" href="https://habr.com/company/tssolution/blog/426907/" title="https://habr.com/company/tssolution/blog/426907/">Типичные проблемы с безопасностью корпоративной сети, которые удается обнаружить с помощью Check Point Security CheckUP …</A>&nbsp;</P></BODY></HTML> Fri, 19 Oct 2018 09:05:08 GMT https://community.checkpoint.com/t5/Russian/Security-CheckUp-%D0%B8-%D0%B2%D1%81%D1%91-%D1%87%D1%82%D0%BE-%D1%81-%D1%8D%D1%82%D0%B8%D0%BC-%D1%81%D0%B2%D1%8F%D0%B7%D0%B0%D0%BD%D0%BE/m-p/28778#M109 Evgeniy_Olkov 2018-10-19T09:05:08Z