This website uses Cookies. Click Accept to agree to our website's cookie use as described in our Privacy Policy. Click Preferences to customize your cookie settings.
Accept
Reject
Preferences
ABOUT CHECKMATES CYBER SECURITY COMMUNITY & FAQ
Create a Post
Help
cancel
Turn on suggestions
Auto-suggest helps you quickly narrow down your search results by suggesting possible matches as you type.
Showing results for 
Search instead for 
Did you mean: 

Are you a member of CheckMates?

×
Sign in with your Check Point UserCenter/PartnerMap account to access more great content and get a chance to win some Apple AirPods! If you don't have an account, create one now for free!
Amir_Aliev
Ambassador
Ambassador
‎2018-06-07 05:03 AM

Security CheckUp и всё, что с этим связано

Обсуждаем вопросы связанные с самым популярным способом тестирования решений Check Point.

Напомню, что на свете существует прекрасный гайд как провести CheckUp на версии R80.10 с пошаговыми инструкциями:

R80.10 Security CheckUp Admin Guide

Шаблон отчета CheckUp на русском языке:

Security Checkup - Languages Support for R80 

Шрифты нужно устанавливать обязательно, иначе при выгрузке отчета появятся нечитаемые символы.

Если есть сложности с генерацией отчетов локально на площадке где выполнялся CheckUp (нет ресурсов для SmartEvent, медленный канал в Интернет) - отчет можно сделать онлайн.

Процедура следующая:

1) Проводим CheckUp в обычном режиме собирая логи.

2) Скачиваем скрипт на лог-сервер, запускаем. Скрипт отправляет в облако лог-файлы (.log,  .logptr, .logaccount_ptr, .loginitial_ptr) за последние N-дней.

3) В облаке создается виртуальная машина со SmartEvent которая доступна как веб-страница, в которой можно генерировать любые отчеты за любые даты на основании загруженных логов.

Машина работает в течение 21 дня.

Security Checkup in the Cloud - Automated Script 

7 Replies
Dmitriy_Chazov
Contributor
‎2018-06-27 11:21 PM

Доброго дня коллеги.

А подскажите какие действия должны дополнительно должны предпринять инженеры заказчика, чтобы получить корректный срез зеркалированого входящего трафика, иногда в тестах на входящем трафике я видел только само устройство а не сам внешний трафик.

Привожу пример:

Была ситуация, у заказчика проводил CheckUp и не смог захватить корректно входящий трафик, мне отдавали зеркалироный трафик входного интерфейса маршрутизатора. В качестве маршрутизатора использовался Микротик и на нем же был настроена зеркалирование на интерфейс CheckPoint. Но в логах я видел только это устройство маршрутизатора в журналах, а не внешние адреса интернета.

0 Kudos
Amir_Aliev
Ambassador
Ambassador
‎2018-06-29 03:19 AM
In response to Dmitriy_Chazov

Дмитрий, это все же больше вопрос настройки сетевого оборудования отдельного вендора. У циски и микротика процедуры отличаются. У меня была подобная ситуация, когда с микротика не было видно полезного трафика. Инженер перебрал несколько портов и все получилось.

Если возникает тупик иногда приходится самому читать документацию и подсказывать, ничего не поделаешь.

0 Kudos
Dmitriy_Chazov
Contributor
‎2018-06-29 05:25 AM
In response to Amir_Aliev

Ну вот у коллеги однажды тоже была похожая тема, только там приходил транк в cisco в которой потом отдавался vlan который был интернет и в журналах тоже был только само устройство cisco а не внешний адреса интернета.

Вот в том же документе SecurityCheckup сказано про:

"Если вы используете устройства NAT, Proxies (без заголовка x-forward-for), сервер терминалов, DNS-сервер, контроллер AD и т. Д. Вы увидите только это устройство в журналах, а не пользователей/серверов позади."

Случайно это не из этой же оперы?

0 Kudos
Amir_Aliev
Ambassador
Ambassador
‎2018-06-29 07:33 AM
In response to Dmitriy_Chazov

Если снимать трафик только с внешнего интерфейса (выходящего в Интернет), то будут видны обращения только от существующего файрвола/прокси с внешним IP. Чтобы видеть пользователей и приложения при обращении в Интернет, а также атаки снаружи на сеть заказчика стоит снимать трафик с двух точек - внутри и снаружи.

0 Kudos
Dmitriy_Chazov
Contributor
‎2018-07-02 03:27 AM

Да конечно, я так и делаю (снимаю трафик как снаружи так и внутри). Я привел примеры которые попадались в CheckUp  и хотелось бы понимания этого момента на будущие.

0 Kudos
Dmitriy_Chazov
Contributor
‎2018-07-11 12:05 AM

Коллеги поделитесь опытом, когда нет возможности зазеркалировать на один интерфейс CheckPoint. В случае использования двух интерфейсов CheckPoint, один зеркалирует внешний а другой внутрениий. В определение топологий внешний будет как External а внутрении как Internal ?

Ну и конечно не забываем прописатьна уровне ядра отключить anti-spoofig, на Security Gateway в
vi $FWDIR/boot/modules/fwkern.conf

fw_antispoofing_enabled=0

fw_local_interface_anti_spoofing=0

0 Kudos
Evgeniy_Olkov
Collaborator
Collaborator
‎2018-10-19 02:05 AM

Вот эта ссылка еще пригодится - Типичные проблемы с безопасностью корпоративной сети, которые удается обнаружить с помощью Check Poi... 

0 Kudos
Upcoming Events

    Sort by:
    CheckMates Events