cancel
Showing results for 
Search instead for 
Did you mean: 
Post a Question
George_Liu
George_Liu inside Taiwan論壇 Wednesday
views 370 20 3

VTI unnumbered with 3rd party

實作 VTI unnumbered with 3rd party (FortiGate 60C, Juniper SSG5),以下是簡略的 memo 留存。(只記錄我方重點步驟,其餘留default,或二端匹配之VPN設定)VTI unnumbered1. GaIA - add vpn tunnel 1 type unnumbered local peer peergwname dev eth02. GaIA - set static-route xx.xx.xx.xx/yy nexthop gateway logical vpnt1 on3. SmartConsole - Create a empty Group object. (I.E. VPN_Empty)4. SmartConsole - Create a Interoperable Devices - IPv4 Address5. SmartConsole - Modify Interoperable Devices - Topology - VPN Domain - Manually defined - VPN_Empty5. SmartConsole - Create a community with two firewall peers.
Sung-Lun_Yang1
inside Taiwan論壇 a week ago
views 72 2
Employee+

New Exploits for Unsecure SAP Systems, How to import Snort rule

Hello all, 近期US-Cert發佈了SAP系統的一個新漏洞: https://www.us-cert.gov/ncas/alerts/AA19-122A 有客戶詢問到Check Point如何進行防禦(How to Prevent);US-Cert已經先發佈了此攻擊相關的Snort Rule: R80.10版本之後的客戶可以透過SmartConsole直接匯入來阻擋攻擊,步驟如下: Step.1 將上方的Snort rule(可以在上方的US-Cert網頁複製)貼到記事本,並另存成 「XXX.rules」 Snort檔案格式。 Step.2 登入SmartConsole,切換到Security Policies頁籤,點選Threat Prevention policy,下方會有IPS Protectections的連結,點選上方的Action >> Snort Protections >> Import Snort rules >> 選擇剛剛另存的Snort rule: Step.3 匯入之後左下角Task會顯示匯入的進度: Step.4 匯入完成之後,在IPS Protections裡面即可以查詢到剛剛匯入的Snort特徵碼: Step.5 進行Profile的設定之後就可以Install Policy開始進行防禦了。
Danny_Yang
inside Taiwan論壇 2 weeks ago
views 2345 23 5
Employee++

Logs Exporter正式推出! 別再煩惱log匯出問題

在R80.10/R77.30版本已經開始支援Logs Exporter功能,可以更加方便安全地將CP log匯出與第三方的SIEM/Log management進行整合。Logs Exporter需基於R80.10 JFA take56/R77.30 JFA take292以上版本才能安裝,並支援幾種目前客戶端常見的SIEM產品包括ArcSight, Splunk, QRadar, RSA等。相關內容請參考sk122323 Logs Exporter - Check Point Logs Export
bear410hk
bear410hk inside Taiwan論壇 2 weeks ago
views 332 4

Check Point 730 接橋設定

Hi All,我是checkpoint 的新手也是 network 上的新手,對於 bridge mode 的設定不太懂想請教一下各位。公司想增加現在 web service security. 所以買了 Check Point 730, 打算放到現時的 web server firewall 前。想在不影響原本的網絡架構及設定上做到增加一層 firewall。但在 bridge 的設定我不太明白。ISP IP: 123.123.123.100SonicWall Wan: 123.123.123.100SonicWall 有2台隨時做自動轉換 failover. 現在的網絡架構 (Web Service);Internet modem > Cisco Giga Switch (8 port, 2 條線分別插到 SonicWall Firewall 1號及 SonicWall Firewall 2號) > SonicWall Firewall 1號(ISP internet IP)及 SonicWall Firewall 2號 (有failover) > VM 希望轉為 :Internet modem > Cisco Giga Switch > Check Point ( 2 條線分別插到 SonicWall Firewall 1號及 SonicWall Firewall 2號) > SonicWall Firewall 1號(ISP internet IP)及 SonicWall Firewall 2號 (有failover) > VM 問題:1. 如果這樣 Bridge mode 是最好嗎?2. 如果這樣設定,我 SioneWall 的 WAN IP 需要轉移到 Checkpoint 上? 但我看過網上的文件說可以不用更改也可以不用在 CheckPoint 的 Bridge 設定 IP ,但是在設定時發現 Br0 一定要鍵入一個 IP ,內網又不對,外網我又不知道是不是現在的外網 IP.Thanks for your help. Bear
Sung-Lun_Yang1
inside Taiwan論壇 4 weeks ago
views 144 2 3
Employee+

匯出Traffic Log成Excel格式 Export traffic log as Excel CSV

Hello all, 在R80.10的SmartConsole中可以把Log匯出成Excel CSV的格式,但是如果透過SmartConsole匯出時,只會匯出目前顯示的筆數: 例如上圖所看到的範例:總數有466筆,預覽時先顯示50筆,如果此時使用SmartConsole右方的「Export to Excel CSV」功能,只會匯出預覽時的50筆數: 相信大家都遇過這一個問題;如果要把這些筆數全數匯出,許多人會選擇把所有的Log先全部預覽之後再匯出。 But!! 透過 R80.10的SmartView就可以解決這一個問題: SmartView是R80.10之後的新報表功能,可以透過2個方式開啟: 從SmartConsole:在SmartConsole >> Logs & Monitor 頁籤 >> 開啟一個新分頁 >> 左下方External App選擇「SmartView」 從瀏覽器:開啟瀏覽器之後直接連線到 「https://管理主機SMS的IP/smartview」。 是的,你沒看錯,透過SmartView可以直接使用瀏覽器來瀏覽Log或是報表,不需要再透過SmartConsole。 出現登入畫面之後,使用跟SmartConsole相同的帳號進行登入即可。 登入之後就可以看到SmartView的畫面,操作方法及畫面跟SmartConsole幾乎是完全相同: 回到我們剛剛Log Export的問題,在SmartView中開啟新分頁 >> 選擇 Log view >> 輸入相同的搜尋條件, 在下圖的範例中可以看到Logs顯示筆數一樣是466筆,此時使用右邊SmartView的匯出功能: 目前一次支援的最多筆數是100萬筆 (1M),選擇完成之後按下「OK」開始匯出: 開始匯出時右下角會出現「Export started」圖示: 完成之後右下角會出現「Export Completed Successfully」並且還有「Download」連結: 下載完成之後打開檔案就可以看到所有的Log檔案都已經匯出了: 以上內容就是這一次的分享,也歡迎大家在CheckMate多多留言討論。 P.S.:不好意思,因為最近事情比較多,技術分享中斷了一陣子,之後我會再不定期分享一些Check Point的實用資訊或是S.O.P給大家參考看看。 或是如果大家對於某些議題特別有需要的,也可以留言或是私訊給我,我會再另外發文章跟大家分享。 Best regards, Sung-Lun Yang
Han_Lung_Kuo
Han_Lung_Kuo inside Taiwan論壇 4 weeks ago
views 64 4

Smartlog (HF_B122) custom log filter 時差問題

Hi All, 最近嘗試將SmartConsole升級至HF_B122,發現使用Smartlog的custom log filter時搜尋出來的log時間似乎和指定時間有落差(8小時前)SMS、GW及Smartlog的query settings皆設定Asia/Taipei (+8:00)將版本降至HF_B089後就可以正常取得指定時間的log想請問有人有碰到類似的問題嗎?謝謝。
Danny_Yang
inside Taiwan論壇 2019-03-31
views 320 2 2
Employee++

R80.10 Checkup Report 中文版本

Hello All, 執行Checkup Report產出前,如果希望看到中文報表的格式,請先匯入附件的CPR檔案並產出。另外,我們也有釋出新的威脅Kill Chain格式以及GDPR報表樣本可供選擇,請參考:Security Checkup Report - How to add the latest Report for R80.10 GDPR Security Report for R80.10 提交Checkup Report獎金每份NTD1,000的活動仍持續進行中喔,產出後請註明客戶名稱並直接提交給CPTW SE team請大家踴躍利用此工具協助客戶發現安全風險!
DongYuan_Wu1
inside Taiwan論壇 2019-03-20
views 99
Employee

Check Point Automation App for ServiceNow

We are happy to announce the Check Point certified app – automating ServiceNow block requests – is now available on the ServiceNow Store (Check Point App - includes solution brief and product documentation). This app allows our joint customers to extract malicious IOCs from ServiceNow and push them to Check Point gateways for enforcement. A joint Fortune 500 Healthcare customer has successfully tested and deployed this solution in production => we look forward to having many more success stories: Block malicious IP addresses, URLs, and Domains using Block Request List capabilities within ServiceNow’s Security Incident Response ServiceNow’s Security Incident Response and Orchestration plugin provides flexibility to create multiple Block Lists that apply to distributed Check Point gateways Detailed reporting on the types of sites being blocked (phishing, malware, and whitelisted sites) ServiceNow (NYSE: NOW) is the largest IT Service Management company globally, one of the largest SaaS companies, and an important technology partner: 5,400 customers including 44% of the Global 2000 customers $2.6B in annual revenue (36% y/y growth) and 8,154 employees (as of December 31, 2018) $44B market cap
George_Liu
George_Liu inside Taiwan論壇 2019-03-08
views 192 2 5

Force install Jumbo

(省時間的客官請看 Workaround)前情提要:初始建置:R77.20 ,上過一些 hotfix就地升級 R77.30 失敗,Fresh install R77.30 後 upgrade_import 重建環境歷經幾次因為 Smart Center Crash, resotre 種種問題。需求:Install Jumbo 302處理經過:1. CPUSE 安裝時,發現要 uninstall Take 216,卻失敗2. 檢查 installed_jumbo_take 顯示裝的卻是 take_1843. fw ver -k 顯示 Build 503,這是未安裝 Jumbo 的 build number4. cpstat mg 查出來的 Build number 居然對不上任何版本 sk1145135. 走頭無路時參考了 sk101975,敲醒我的重點摘錄如下:Or manually remove references to Jumbo Hotfix Accumulator RPM packages for Gaia OS:There are two ways to remove references - either using an uninstall shell script (recommended), or by manually editing the relevant files.Way 1: Remove references to RPM packages using an uninstall shell script (recommended😞Backup the current files: [Expert@HostName:0]# cp $CPDIR/registry/HKLM_registry.data $CPDIR/registry/HKLM_registry.data_BKP [Expert@HostName:0]# cp /opt/SecurePlatform/conf/crs.xml /opt/SecurePlatform/conf/crs.xml_BKP※ 以下有練過,再來做,沒練過,找 Support 做,千萬記得 backup, backup, 再 backup。Mindset想辦法讓系統認為沒裝過 Hotfix萬一出問題要能恢復原狀。(再一次,backup, backup, backup)Workaround: (以下摘要說明,因為過程有點煩)cpstop; backup/dev/null > /opt/SecurePlatform/crs.xmlvi $CPDIR/registry/HKLM_registry.data以 : ( ) 為單位,刪除整組以下開頭的資訊HotFixHOTFIXBUNDLE_R77_cpstartexit expert modeinstaller install Take302收工後續待研究:目前沒找到如果 CPUSE clean rebuild 的方法。(like freebsd porttree update)
DongYuan_Wu1
inside Taiwan論壇 2019-02-22
views 143 2
Employee

Old logs for R80.x SmartLog and SmartEvent

Hi AllI have successfully generated R80.10 SmartEvent from old logs, and the log files are R77.30 version.If you have the same request to import old logs (Date/version) to R80.x for a view or generate reports, Please refer to sk111766 - R80.x SmartLog/SmartEvent server doesn't index/show logs older than 1-14 days back, and you don't need to run OfflineJobExecuter tool.
Danny_Yang
inside Taiwan論壇 2019-02-21
views 98 2
Employee++

2019 CPX 360 Bangkok Surveys Raffle Winner!

2019 CPX 360 BKK活動圓滿落幕,你是否也對這些精采內容感到振奮不已,也參與每天的隨機調查呢?恭喜我們臺灣團隊的Channel Sales Ada成為2019開年最幸運的人,驚喜獲得活動獎勵Apple Watch 4!Congratulations! Our team member Ada Hsieh‌ to be the CPX360 BKK surveys winner!#The Future of Cyber Security Video Link : 10991 Ada received the Apple Watch 4 for the gift!
Danny_Yang
inside Taiwan論壇 2019-01-15
views 206 2 1
Employee++

2019 January Threat Intelligence Report(Weekly)

Hi Mates,Happy new year!Welcome to the new cyber attack generation, you have to pay much more attention to the security risk in 2019.2019 1月份的全球威脅情資報告都會更新在這篇貼文中,請參考! https://research.checkpoint.com/
Wang_Shu-fan
Wang_Shu-fan inside Taiwan論壇 2018-12-11
views 445 2 2

Demo license的狀態更新(sk114615 with error id: 7)

各位先進大大 大家好小弟於前天日子一直在測試R80.1 IPS的一些功能在展延測R80.1 Cluster A/A HOTFIX 154 試環境的license在展延之前IPS 的狀態如下license Status 為 Active Expiration Date 為 明天到期Additional info 為 空新的Demo license 下去之後變成如下圖所示license Status 為 N/AExpiration Date 為 空Additional info 為 Cannot fetch license information due to a configuration error. Refer to sk114615 with error ID:7但這就奇怪了我之前測試更新IPS的時候都很正常且 Update Contracts 也沒異常cpconfig也正常測試GW是否可以連到對外幾組CheckPoint Service 也正常 (SK83520)且又重新申請了一把新的lic 或重新開機GW 和Mng 想說等一下讓他連一下試試看睡醒後好像還是無法連線不知各位先進是否有遇到同樣的問題?是連線CheckPoint連線有異常還是我哪裡有設定上的錯誤嗎? 感謝大大~~
RickLin
RickLin inside Taiwan論壇 2018-12-11
views 144 3

在Gaia OS上除了tcpdump ,還有新的工具cppcap可以使用

從 sk141412 瞭解到某些情況下使用tcpdump會造成 CPU High因此 CheckPoint開發新的工具cppcap (需額外安裝,R80.20 亦不例外)