cancel
Showing results for 
Search instead for 
Did you mean: 
Create a Post
Taiwan論壇
bear410hk
bear410hk inside Taiwan論壇 2019-09-18
views 99

Check Point 730 Bridge 問題

HI ~ 大大們這個問題我真的不知是 CP 的問題過是我設定的問題。我使用了 CP730 建立了一個 Bridge ,這個 bridge 是接到我下線的另一台 sonicwall 上。主要是加多一個 firewall 但又不想改變現時 network 上的架構。但是有以下問題。設定 : WAN : 跟 Sonicwall 的 WAN 是同一個 IP ,e.g : 123.123.123.2LAN 3 : 跟 WAN 綁在一起。LAN 3 的 IP 是 192.168.200.11. 建立 Bridge 後可以功能正常,沒有影響到後面的 web server。但是不知為何不能更新 anti-virus , IPS 及 anti-bot。2. firmware 的更新也是不到。不斷說我的 DNS resolve 不到。3. CP 730 有時侯會當掉。Thanks各位大大
Jason_Tugwell
inside Taiwan論壇 2019-08-27
views 194 1 2
Employee+

Check Point Certification Promotion for Taiwan

Check Point限時特價開始了, 2019年8月15 至2019年9月30日止台灣, 香港與中國地區的所有認證考試全面7折. 敬請把握難得的機會取得認證.   https://home.pearsonvue.com/checkpoint     Education Services       The discount will be automatically applied at checkout https://home.pearsonvue.com/checkpoint  
George_Liu
George_Liu inside Taiwan論壇 2019-08-02
views 6675 21 3

VTI unnumbered with 3rd party

實作 VTI unnumbered with 3rd party (FortiGate 60C, Juniper SSG5),以下是簡略的 memo 留存。(只記錄我方重點步驟,其餘留default,或二端匹配之VPN設定)VTI unnumbered1. GaIA - add vpn tunnel 1 type unnumbered local peer peergwname dev eth02. GaIA - set static-route xx.xx.xx.xx/yy nexthop gateway logical vpnt1 on3. SmartConsole - Create a empty Group object. (I.E. VPN_Empty)4. SmartConsole - Create a Interoperable Devices - IPv4 Address5. SmartConsole - Modify Interoperable Devices - Topology - VPN Domain - Manually defined - VPN_Empty5. SmartConsole - Create a community with two firewall peers.
RickLin
RickLin inside Taiwan論壇 2019-07-22
views 6542 3 1

CheckPoint R80.20 (Management) already support HP DL360 and DL380 G10

CheckPoint R80.20 GA Management (not Gateway) already supports HP DL360 G10 and DL380 G10.Please reference the Gaia Hardware Compatibility List.https://www.checkpoint.com/support-services/hcl/ But in R80.20 Management Feature Release Known Limitations(sk122486)You also need to aware the limit.Hope Gateway can support soon.
Jacky_Chen
Jacky_Chen inside Taiwan論壇 2019-05-23
views 981 7

Block keywords via Snort Rules

Dear 各位先進,    近期某家金融客戶,由 third-party 資安設備偵測到某台 Web server 一直遭到 Hydra Webshell 攻擊, 如下面 report    這問題我們有開 Ticket , IPS database 更新到最新版本, 也 import 最新的 Snort rules, 並把所有有關 Hydra Signature 都設為 Prevent, 但還是偵測不到這個攻擊    最後我們是用 Snort rules 來阻擋含有 "public/hydra.php?xcmd=cmd.exe" 這個關鍵字的流量, 步驟如下:1. 準備 Snort rules Snort rules 檔案請參考附件或是將以下語法存成 file-name.rulesalert tcp any any -> any any (content: "public/hydra.php?xcmd=cmd.exe"; msg: "HYDRA Attack-jacky_test";)至於語法的說明, 在 Google 大神上都可以查的到,這邊就不加說明2. 將 Snort rule 檔案滙入 Check Point詳細的滙入說明可參考松倫大大分享的文章https://community.checkpoint.com/t5/Taiwan%E8%AB%96%E5%A3%87/New-Exploits-for-Unsecure-SAP-Systems-How-to-import-Snort-rule/m-p/53095#M498%2Fjump-to%2Ffirst-unread-message若是 R77.30 的版本, 可參考https://sc1.checkpoint.com/documents/R77/CP_R77_IPS_WebAdminGuide/12857.htm3. 滙入完成後, 將滙入的 Snort rules Action 設為Prevent, 並且勾選Capture Packets4. Install Threat Prevention policy, 然後產生一些 http://IP/public/hydra.php?xcmd=cmd.exe%20/c%20 測試流量例如用 pchome 來做測試, 會看到連線被 reset 掉5. 查看 IPS log 是否有相關 log 點選 Packet Captures 可看到阻擋的封包內容所以透過 Snort Rules, 只要簡單修改一些內容, 就可以達到阻檔 keyword 的目的, 很簡單PS. 若是 HTTPS 的流量, 當然是要開 HTTPS Inspection 才看的到囉 Regards,Jacky
bear410hk
bear410hk inside Taiwan論壇 2019-05-23
views 4862 5

Check Point 730 接橋設定

Hi All,我是checkpoint 的新手也是 network 上的新手,對於 bridge mode 的設定不太懂想請教一下各位。公司想增加現在 web service security. 所以買了 Check Point 730, 打算放到現時的 web server firewall 前。想在不影響原本的網絡架構及設定上做到增加一層 firewall。但在 bridge 的設定我不太明白。ISP IP: 123.123.123.100SonicWall Wan: 123.123.123.100SonicWall 有2台隨時做自動轉換 failover. 現在的網絡架構 (Web Service);Internet modem > Cisco Giga Switch (8 port, 2 條線分別插到 SonicWall Firewall 1號及 SonicWall Firewall 2號) > SonicWall Firewall 1號(ISP internet IP)及 SonicWall Firewall 2號 (有failover) > VM 希望轉為 :Internet modem > Cisco Giga Switch > Check Point ( 2 條線分別插到 SonicWall Firewall 1號及 SonicWall Firewall 2號) > SonicWall Firewall 1號(ISP internet IP)及 SonicWall Firewall 2號 (有failover) > VM 問題:1. 如果這樣 Bridge mode 是最好嗎?2. 如果這樣設定,我 SioneWall 的 WAN IP 需要轉移到 Checkpoint 上? 但我看過網上的文件說可以不用更改也可以不用在 CheckPoint 的 Bridge 設定 IP ,但是在設定時發現 Br0 一定要鍵入一個 IP ,內網又不對,外網我又不知道是不是現在的外網 IP.Thanks for your help.  Bear
Sung-Lun_Yang1
inside Taiwan論壇 2019-05-09
views 813 3
Employee+

New Exploits for Unsecure SAP Systems, How to import Snort rule

Hello all,   近期US-Cert發佈了SAP系統的一個新漏洞: https://www.us-cert.gov/ncas/alerts/AA19-122A 有客戶詢問到Check Point如何進行防禦(How to Prevent);US-Cert已經先發佈了此攻擊相關的Snort Rule: R80.10版本之後的客戶可以透過SmartConsole直接匯入來阻擋攻擊,步驟如下: Step.1 將上方的Snort rule(可以在上方的US-Cert網頁複製)貼到記事本,並另存成 「XXX.rules」 Snort檔案格式。 Step.2 登入SmartConsole,切換到Security Policies頁籤,點選Threat Prevention policy,下方會有IPS Protectections的連結,點選上方的Action >> Snort Protections >> Import Snort rules >> 選擇剛剛另存的Snort rule:   Step.3 匯入之後左下角Task會顯示匯入的進度:   Step.4 匯入完成之後,在IPS Protections裡面即可以查詢到剛剛匯入的Snort特徵碼:   Step.5 進行Profile的設定之後就可以Install Policy開始進行防禦了。
Danny_Yang
inside Taiwan論壇 2019-05-09
views 4461 23 5
Employee++

Logs Exporter正式推出! 別再煩惱log匯出問題

在R80.10/R77.30版本已經開始支援Logs Exporter功能,可以更加方便安全地將CP log匯出與第三方的SIEM/Log management進行整合。Logs Exporter需基於R80.10 JFA take56/R77.30 JFA take292以上版本才能安裝,並支援幾種目前客戶端常見的SIEM產品包括ArcSight, Splunk, QRadar, RSA等。相關內容請參考sk122323 Logs Exporter - Check Point Logs Export
Sung-Lun_Yang1
inside Taiwan論壇 2019-04-23
views 1328 2 3
Employee+

匯出Traffic Log成Excel格式 Export traffic log as Excel CSV

Hello all, 在R80.10的SmartConsole中可以把Log匯出成Excel CSV的格式,但是如果透過SmartConsole匯出時,只會匯出目前顯示的筆數: 例如上圖所看到的範例:總數有466筆,預覽時先顯示50筆,如果此時使用SmartConsole右方的「Export to Excel CSV」功能,只會匯出預覽時的50筆數: 相信大家都遇過這一個問題;如果要把這些筆數全數匯出,許多人會選擇把所有的Log先全部預覽之後再匯出。   But!! 透過 R80.10的SmartView就可以解決這一個問題:   SmartView是R80.10之後的新報表功能,可以透過2個方式開啟: 從SmartConsole:在SmartConsole >> Logs & Monitor 頁籤 >> 開啟一個新分頁 >> 左下方External App選擇「SmartView」   從瀏覽器:開啟瀏覽器之後直接連線到 「https://管理主機SMS的IP/smartview」。 是的,你沒看錯,透過SmartView可以直接使用瀏覽器來瀏覽Log或是報表,不需要再透過SmartConsole。   出現登入畫面之後,使用跟SmartConsole相同的帳號進行登入即可。 登入之後就可以看到SmartView的畫面,操作方法及畫面跟SmartConsole幾乎是完全相同: 回到我們剛剛Log Export的問題,在SmartView中開啟新分頁 >> 選擇 Log view  >> 輸入相同的搜尋條件, 在下圖的範例中可以看到Logs顯示筆數一樣是466筆,此時使用右邊SmartView的匯出功能: 目前一次支援的最多筆數是100萬筆 (1M),選擇完成之後按下「OK」開始匯出: 開始匯出時右下角會出現「Export started」圖示: 完成之後右下角會出現「Export Completed Successfully」並且還有「Download」連結: 下載完成之後打開檔案就可以看到所有的Log檔案都已經匯出了:   以上內容就是這一次的分享,也歡迎大家在CheckMate多多留言討論。   P.S.:不好意思,因為最近事情比較多,技術分享中斷了一陣子,之後我會再不定期分享一些Check Point的實用資訊或是S.O.P給大家參考看看。 或是如果大家對於某些議題特別有需要的,也可以留言或是私訊給我,我會再另外發文章跟大家分享。   Best regards, Sung-Lun Yang  
Han_Lung_Kuo
Han_Lung_Kuo inside Taiwan論壇 2019-04-23
views 2273 4

Smartlog (HF_B122) custom log filter 時差問題

 Hi All, 最近嘗試將SmartConsole升級至HF_B122,發現使用Smartlog的custom log filter時搜尋出來的log時間似乎和指定時間有落差(8小時前)SMS、GW及Smartlog的query settings皆設定Asia/Taipei (+8:00)將版本降至HF_B089後就可以正常取得指定時間的log想請問有人有碰到類似的問題嗎?謝謝。 
Danny_Yang
inside Taiwan論壇 2019-03-31
views 1285 2 2
Employee++

R80.10 Checkup Report 中文版本

Hello All, 執行Checkup Report產出前,如果希望看到中文報表的格式,請先匯入附件的CPR檔案並產出。另外,我們也有釋出新的威脅Kill Chain格式以及GDPR報表樣本可供選擇,請參考:Security Checkup Report - How to add the latest Report for R80.10 GDPR Security Report for R80.10  提交Checkup Report獎金每份NTD1,000的活動仍持續進行中喔,產出後請註明客戶名稱並直接提交給CPTW SE team請大家踴躍利用此工具協助客戶發現安全風險!
DongYuan_Wu1
inside Taiwan論壇 2019-03-20
views 1176
Employee

Check Point Automation App for ServiceNow

We are happy to announce the Check Point certified app – automating ServiceNow block requests – is now available on the ServiceNow Store (Check Point App - includes solution brief and product documentation). This app allows our joint customers to extract malicious IOCs from ServiceNow and push them to Check Point gateways for enforcement. A joint Fortune 500 Healthcare customer has successfully tested and deployed this solution in production => we look forward to having many more success stories:   Block malicious IP addresses, URLs, and Domains using Block Request List capabilities within ServiceNow’s Security Incident Response ServiceNow’s Security Incident Response and Orchestration plugin provides flexibility to create multiple Block Lists that apply to distributed Check Point gateways Detailed reporting on the types of sites being blocked (phishing, malware, and whitelisted sites)   ServiceNow (NYSE: NOW) is the largest IT Service Management company globally, one of the largest SaaS companies, and an important technology partner: 5,400 customers including 44% of the Global 2000 customers $2.6B in annual revenue (36% y/y growth) and 8,154 employees (as of December 31, 2018) $44B market cap
George_Liu
George_Liu inside Taiwan論壇 2019-03-08
views 1391 2 5

Force install Jumbo

(省時間的客官請看 Workaround)前情提要:初始建置:R77.20 ,上過一些 hotfix就地升級 R77.30 失敗,Fresh install R77.30 後 upgrade_import 重建環境歷經幾次因為 Smart Center Crash, resotre 種種問題。需求:Install Jumbo 302處理經過:1. CPUSE 安裝時,發現要 uninstall Take 216,卻失敗2. 檢查 installed_jumbo_take 顯示裝的卻是 take_1843. fw ver -k 顯示 Build 503,這是未安裝 Jumbo 的 build number4. cpstat mg 查出來的 Build number 居然對不上任何版本 sk1145135. 走頭無路時參考了 sk101975,敲醒我的重點摘錄如下:Or manually remove references to Jumbo Hotfix Accumulator RPM packages for Gaia OS:There are two ways to remove references - either using an uninstall shell script (recommended), or by manually editing the relevant files.Way 1: Remove references to RPM packages using an uninstall shell script (recommended😞Backup the current files: [Expert@HostName:0]# cp $CPDIR/registry/HKLM_registry.data $CPDIR/registry/HKLM_registry.data_BKP [Expert@HostName:0]# cp /opt/SecurePlatform/conf/crs.xml /opt/SecurePlatform/conf/crs.xml_BKP※ 以下有練過,再來做,沒練過,找 Support 做,千萬記得 backup, backup, 再 backup。Mindset想辦法讓系統認為沒裝過 Hotfix萬一出問題要能恢復原狀。(再一次,backup, backup, backup)Workaround: (以下摘要說明,因為過程有點煩)cpstop; backup/dev/null > /opt/SecurePlatform/crs.xmlvi $CPDIR/registry/HKLM_registry.data以 : ( ) 為單位,刪除整組以下開頭的資訊HotFixHOTFIXBUNDLE_R77_cpstartexit expert modeinstaller install Take302收工後續待研究:目前沒找到如果 CPUSE clean rebuild 的方法。(like freebsd porttree update)
DongYuan_Wu1
inside Taiwan論壇 2019-02-22
views 841 2
Employee

Old logs for R80.x SmartLog and SmartEvent

Hi AllI have successfully generated R80.10 SmartEvent from old logs, and the log files are R77.30 version.If you have the same request to import old logs (Date/version) to R80.x for a view or generate reports, Please refer to sk111766 - R80.x SmartLog/SmartEvent server doesn't index/show logs older than 1-14 days back, and you don't need to run OfflineJobExecuter tool.
Danny_Yang
inside Taiwan論壇 2019-02-21
views 766 2
Employee++

2019 CPX 360 Bangkok Surveys Raffle Winner!

2019 CPX 360 BKK活動圓滿落幕,你是否也對這些精采內容感到振奮不已,也參與每天的隨機調查呢?恭喜我們臺灣團隊的Channel Sales Ada成為2019開年最幸運的人,驚喜獲得活動獎勵Apple Watch 4!Congratulations! Our team member Ada Hsieh‌ to be the CPX360 BKK surveys winner!#The Future of Cyber Security Video Link : 10991 Ada received the Apple Watch 4 for the gift!