Create a Post
cancel
Showing results for 
Search instead for 
Did you mean: 
Amir_Aliev
Ambassador
Ambassador

Security CheckUp и всё, что с этим связано

Обсуждаем вопросы связанные с самым популярным способом тестирования решений Check Point.

Напомню, что на свете существует прекрасный гайд как провести CheckUp на версии R80.10 с пошаговыми инструкциями:

R80.10 Security CheckUp Admin Guide

Шаблон отчета CheckUp на русском языке:

Security Checkup - Languages Support for R80 

Шрифты нужно устанавливать обязательно, иначе при выгрузке отчета появятся нечитаемые символы.

Если есть сложности с генерацией отчетов локально на площадке где выполнялся CheckUp (нет ресурсов для SmartEvent, медленный канал в Интернет) - отчет можно сделать онлайн.

Процедура следующая:

1) Проводим CheckUp в обычном режиме собирая логи.

2) Скачиваем скрипт на лог-сервер, запускаем. Скрипт отправляет в облако лог-файлы (.log,  .logptr, .logaccount_ptr, .loginitial_ptr) за последние N-дней.

3) В облаке создается виртуальная машина со SmartEvent которая доступна как веб-страница, в которой можно генерировать любые отчеты за любые даты на основании загруженных логов.

Машина работает в течение 21 дня.

Security Checkup in the Cloud - Automated Script 

7 Replies
Dmitriy_Chazov
Contributor

Доброго дня коллеги.

А подскажите какие действия должны дополнительно должны предпринять инженеры заказчика, чтобы получить корректный срез зеркалированого входящего трафика, иногда в тестах на входящем трафике я видел только само устройство а не сам внешний трафик.

Привожу пример:

Была ситуация, у заказчика проводил CheckUp и не смог захватить корректно входящий трафик, мне отдавали зеркалироный трафик входного интерфейса маршрутизатора. В качестве маршрутизатора использовался Микротик и на нем же был настроена зеркалирование на интерфейс CheckPoint. Но в логах я видел только это устройство маршрутизатора в журналах, а не внешние адреса интернета.

0 Kudos
Amir_Aliev
Ambassador
Ambassador

Дмитрий, это все же больше вопрос настройки сетевого оборудования отдельного вендора. У циски и микротика процедуры отличаются. У меня была подобная ситуация, когда с микротика не было видно полезного трафика. Инженер перебрал несколько портов и все получилось.

Если возникает тупик иногда приходится самому читать документацию и подсказывать, ничего не поделаешь.

0 Kudos
Dmitriy_Chazov
Contributor

Ну вот у коллеги однажды тоже была похожая тема, только там приходил транк в cisco в которой потом отдавался vlan который был интернет и в журналах тоже был только само устройство cisco а не внешний адреса интернета.

Вот в том же документе SecurityCheckup сказано про:

"Если вы используете устройства NAT, Proxies (без заголовка x-forward-for), сервер терминалов, DNS-сервер, контроллер AD и т. Д. Вы увидите только это устройство в журналах, а не пользователей/серверов позади."

Случайно это не из этой же оперы?

0 Kudos
Amir_Aliev
Ambassador
Ambassador

Если снимать трафик только с внешнего интерфейса (выходящего в Интернет), то будут видны обращения только от существующего файрвола/прокси с внешним IP. Чтобы видеть пользователей и приложения при обращении в Интернет, а также атаки снаружи на сеть заказчика стоит снимать трафик с двух точек - внутри и снаружи.

0 Kudos
Dmitriy_Chazov
Contributor

Да конечно, я так и делаю (снимаю трафик как снаружи так и внутри). Я привел примеры которые попадались в CheckUp  и хотелось бы понимания этого момента на будущие.

0 Kudos
Dmitriy_Chazov
Contributor

Коллеги поделитесь опытом, когда нет возможности зазеркалировать на один интерфейс CheckPoint. В случае использования двух интерфейсов CheckPoint, один зеркалирует внешний а другой внутрениий. В определение топологий внешний будет как External а внутрении как Internal ?

Ну и конечно не забываем прописатьна уровне ядра отключить anti-spoofig, на Security Gateway в
vi $FWDIR/boot/modules/fwkern.conf

fw_antispoofing_enabled=0

fw_local_interface_anti_spoofing=0

0 Kudos
Evgeniy_Olkov
Collaborator
Collaborator

0 Kudos
Upcoming Events

    CheckMates Events