Friday, October 19, 2012

Upgrade the Check Point Security Management server from SPLAT R71.45 to R75.40

There is official way to upgrade Check Point SPLAT solutions based on SPLAT.
Bellow I've described my way to upgrade CP Security Management server (SMART center).
My SMART center installed on the HP Proliant DL380g6 server.
First of all you have to check state and version :). I've done it using CP SmartView monitor.
As you can read at the upgrade procedure document, you have to check contracts files.
I've done it using SmartUpdate tool.
On the next stage you should do backup your system. I've used two method: backup (using backup script from the CPUG forum) and snapshot.
Here is backup script:


#!/bin/sh -x
# Set Check Point profile for library settings!
. /etc/profile.d/CP.sh
PATH=$PATH:/bin:/sbin:/usr/bin:/usr/sbin:/opt/CPsuite-R65/fw1/
FILENAME="`uname -n`"_"`/bin/date +%m-%d-%Y_%H%M`"
### update system clock
###/usr/sbin/ntpdate 4.2.2.2
###
### create /var/tmp/upgrade_export
mkdir /var/tmp/upgrade_export
### Enter /var/tmp directory
###
cd /var/tmp/upgrade_export
###
### Remove the temp directory if exists
rm -rf $FILENAME
###
### Create upgrade_export directory
mkdir /var/tmp/upgrade_export/$FILENAME
###
### Enter temporary upgrade export directory
cd /var/tmp/upgrade_export/$FILENAME
###
### Gather system important information
###
/bin/set_host >> info.txt
/bin/echo ------------- >> info.txt
/bin/save_ifconfig -a >> info.txt
/bin/echo ------------- >> info.txt
/bin/netstat -rnv >> info.txt
/bin/echo ------------- >> info.txt
/bin/cat /etc/hosts >> info.txt
/bin/echo ------------- >> info.txt
/bin/cat /etc/sysconfig/netconf.C >> info.txt
###
### Start the upgrade_export process
###echo Y | /opt/CPsuite-R65/fw1/bin/upgrade_tools/upgrade_export $FILENAME
${FWDIR}/bin/upgrade_tools/upgrade_export -n ${FILENAME}
###
### pack up files and zip them up
cd /var/tmp/upgrade_export
tar -cf $FILENAME.tar $FILENAME
gzip $FILENAME.tar
###
### Remove temporary directory
rm -rf $FILENAME
###
### At this point what you may want is to transfer this $FILENAME.tar.gz file
### to a safe external system with Secure Copy Protocol or scp.
### Make sure to use the "admin" account when you get this file from the SCP
### server.
### Enjoy !!!!!!
### copy this file to a scp server
###/usr/bin/scp $FILENAME.tar.gz root@192.168.1.1:/var/backups/.
### Finish


Script was placed at the admin home folder, and run from expert mode

[Expert@hostname-sc00]# /home/admincp/backup-script

As the result you have one file at the /var/tmp/upgrade_export folder
This file you have to copy to the backup server. I've done it manually using WinSCP.

Next I've used the classical snapshot procedure.

Make sure that snapshot file successfully copied to the FTP-server.

And now you can do the upgrade procedure.
I've used many ways, but only one method was successfully.
It is upgrade through ILO-interface and ISO-file. 
Well, logon to ILO.

Login to CP console.

Add image file.

Start path command.

We've already done snapshot.

After extract files there are welcome window.

Is reading license agreement.

Select the Upgrade option.
Notice about contract information.

Our contract verification succeeded.

Select source for upgrade (from CD).

Pre-upgrade verification procedure.

Warning message.

And next option:

Validation our installed products.

Upgrading.

Installing PSM.

And finish.

Reboot server.

After reboot I've noticed wonderful information at the CP console.

Then you can login through SSH and check version of SPLAT.

[hostname-sc00]# ver
This is Check Point SecurePlatform Pro R75.40 Build 069
[hostname-sc00]#

And using CP SmartView monitor.

That's all. Have a good upgrading!

Monday, October 8, 2012

Internet access control with URL-filtering service

Solution has been realized in the MS Hyper-v environment. It's high availability and expensive solution. Total have been used 6 virtual machines. 
Used software: 
- MS TMG 2010 Enterprise Edition;
- 6 operating systems (like MS Windows server SE)
- Websense Web-filter licences.
- MS SQL Express
Schematic diagram is described bellow.

Thursday, October 4, 2012

Creating DMZ infrastructure in MS Hyper-V environment

There are schematic diagram, where you can find information about building Virtual Environment and maintenance virtual machines using products and equipment these vendors MS, HP, Cisco, Check Point.
All IP-addresses are black and can be used in any production.





Tuesday, October 2, 2012

Upgrade the network infrastructure

The big ugly unmanagement L2 network with one big switch (DES-6000) and a lot of another D-Link switches was upgraded to reliable, with high perfomance network infrastructure.
There is a L1 figure.
And there is a L2 figure.

Monday, October 1, 2012

Trend Micro Enterprise Security Suite solutions in IT-inftrastructure

I have built an anti-malware solution from Trend Micro OfficeScan.
TM OfficeScan server has built in the clustered virtual environment (MS Hyper-v server).
Schematic diagram is displayed bellow.

All communications are controlling by Check Point firewall.
Antispam solution, has named InterScan Security Suite (short IMSS), is displayed bellow

Solution for secure users' web traffic is displayed on the figure bellow. There are two virtual machine - one proxy is server IWSVA (with AD user authentication) and a lot of features, and second is ARM host for advanced logging and reporting.

Friday, September 28, 2012

Creating Check Point VPN-tunnel for Remote Access users.


Check Point Endpoint client + RADIUS authentication.
Here is understanding chart for already built solution.
Users uses their AD logins/passwords for VPN authentication.


Monday, September 10, 2012

Execution of women. Peter the Great by Alexey Tolstoy.


Now only on Russian.
...
– О, это очень серьезный вопрос, я нетрезвый, – ответил Сидней. – Если его величество позволит, я завтра мог бы, вполне владея своим разумом, рассказать про дурные русские обычаи, а также – отчего богатеет государство и что для этого нужно…

Петр вытаращился в его окосевшие, чужеумные глаза. Показалось, – уж не смеется ли купец над дураками русскими? Но Лефорт, быстро перегнувшись к плечу, шепнул:

– Послушать будет любопытно, – сие филозофия, как обогатить страну.

– Ладно, – сказал Петр, – но пусть назовет, что у нас гадкое?

– Хорошо. – Сидней передохнул опьянение. – По пути к нашему любезному хозяину я проезжал по какой-то площади, где виселица, там небольшое место расчищено от снега и стоит один солдат.

– За Покровскими воротами, – подсев со стулом, подсказал Алексашка.

– Так… И вдруг я вижу, – из земли торчит женская голова и моргает глазами. Я очень испугался, я спросил моего спутника: «Почему голова моргает?» Он сказал: «Она еще живая. Это русская казнь, – за убийство мужа такую женщину зарывают в землю и через несколько дней, когда умрет, вешают кверху ногами…»

Алексашка ухмыльнулся: «Гы!» Петр взглянул на него, на нежно улыбающегося Лефорта.

– А что? Она же убила… Так издавна казнят… Миловать разве за это?

– Ваше величество, – сказал Сидней, – спросите у этой несчастной, что довело ее до ужасного злодеяния, и она наверно смягчит ваше добродетельное сердце… (Петр усмехнулся.) Я кое-что слышал и наблюдал в России. О, взор иностранца остер… Жизнь русской женщины в теремах подобна жизни животных… (Он провел платком по вспотевшему лбу, чувствуя, что говорит лишнее, но гордость и хмель уже развязали язык.) Какой пример для будущего гражданина, когда его мать закопана в землю, а затем бесстыдно повешена за ногу! Виллиам Шекспир, один из наших сочинителей, трогательно описал в прекрасной комедии, как сын богатого итальянского купца из-за любви к женщине убил себя ядом… А русские бьют жен кнутами и палками до полусмерти, это даже поощряется законом… Когда я возвращаюсь в Лондон, в мой дом, – моя почтенная жена с доброй улыбкой встречает меня, и мои дети кидаются ко мне без страха, и в моем доме я нахожу мир и благонравие… Никогда моей жене не придет в голову убивать меня, который с ней добр.

Англичанин, растроганный, замолк и опустил голову. Петр схватил его за плечо.

– Гамильтон, переведи ему… (И громко, в ухо Сиднею, стал кричать по-русски.) Сами все видим… Мы не хвалимся, что у нас хорошо. Я говорил матери, – хочу за границу послать человек пятьдесят стольников, кто поразумнее – учиться у вас же… Нам аз, буки, веди – вот с чего надо учиться… Ты в глаза колешь, – дики, нищие, дураки да звери… Знаю, черт! Но погоди, погоди…

Он встал, отшвырнул стул по дороге.

– Алексашка, вели – лошадей.

– Куда, мин херц?

– К Покровским воротам…
4

Медленно голова подняла веки… Нет смерти, нет… Земляной холод сдавил тело… Не прогреть землю… Не пошевелиться в могиле… По самые уши закопали… (Мягкий снежок падал на запрокинутое лицо.) Хоть бы опять тошнота заволокла глаза, – не было бы себя так жалко… Звери – люди, ах – звери…

…Жила девочка, как цветочек полевой… Даша, Дашенька, – звала мама родная… Зачем родила меня?.. Чтоб люди живую в землю закопали… Не виновата я… Видишь ты меня, видишь?..

…Голова разлепила губы, сухим языком позвала: «Мама, маманя, умираю…» Текли слезы. На ресницы садились снежины…

…Позади головы на темной площади скрипела кольцом веревка на виселице… И умрешь – не успокоишься, – тело повесят… Больно, больно, земля навалилась… В поясницу комья впились… Ох, боль, вот она – боль!.. (Голова разинула рот, запрокинулась.) «Господи, защити… Маманя, скажи ему, маманя… Я не виновата… В беспамяти убила… Собака же кусает… Лошаденка и та…» Нечем кричать. До изумления дошла боль. Расширились глаза, померкли. Голова склонилась набок…

…Опять… Снежок… Еще не смерть… Третий день скоро… Ветер, ветер скрипит веревкой… «Корова, чай, третий день не доенная… Это что – свет красный?.. Ох, страшно… Факелы… Сани… Люди… Идут сюда… Еще муки?» Хотела забить ногами – земляные горы сдавили их, – пальчиком не сдвинуть…

– Где она, не вижу, – громко сказал Петр. – Собаки, что ли, отъели?

– Караульный! Спишь? Эй, сторож! – закричали люди у саней.

– Здееесь! – ответил протяжный голос, – сквозь падающий снег бежал сторож, путаясь в бараньем тулупе… С ходу – мягко, по-медвежьи – упал Петру в ноги, поклонясь, остался на коленях…

– Здесь закопана женщина?

– Здесь, государь-батюшка…

– Жива?

– Жива, государь…

– За что казнили?

– Мужа ножом зарезала.

– Покажи…

Сторож побежал, присел и краем тулупа угодливо смахнул снег с лица женщины, со смерзшихся волос.

– Жива, жива, государь, мыргает…

Петр, Сидней, Алексашка, человек пять Лефортовых гостей подошли к голове. Два мушкетера, поблескивая железными касками, высоко держали факелы. Из снега большими провалившимися глазами глядело на людей белое, как снег, плоское лицо.

– За что убила мужа? – спросил Петр…

Она молчала.

Сторож валенком потрогал ей щеку.

– Сам государь спрашивает, дура.

– Что ж, бил он тебя, истязал? (Петр нагнулся к ней.) Как звать-то ее? Дарья… Ну, Дарья, говори, как было…

Молчала. Хлопотливый сторож присел и сказал ей в ухо:

– Повинись, может, помилуют… Меня ведь подводишь, бабочка…

Тогда голова разинула черный рот и хрипло, глухо, ненавистно:

– Убила… и еще бы раз убила его, зверя…

Закрыла глаза. Все молчали. С шипеньем падала смола с факелов. Сидней быстро заговорил о чем-то, но переводчика не оказалось. Сторож опять ткнул ее валенком, – мотнулась, как мертвая. Петр резко кашлянул, пошел к саням… Негромко сказал Алексашке:

– Вели застрелить…
...

Friday, January 27, 2012

Check Point - Maximum concurrent connections

Был случай, отвалился интернет и странно как-то, не так как всегда, как будто на L1 проблемы. Потом заработало.
Выполнил трассировку гуглового DNS 8.8.8.8 c пограничного Linux-маршрутизатора все в порядке - хост достижим через правильного провайдера.
Кактус показывает что есть проблема с каналом.
Зашел на SmartView Monitor - активная нода фаервола в waitin'ге.
Вот дела!
Залез в SmartView Tracker - настроил фильтры, ищу аномалии, в дропах.
Нашел, и время совпадает.
Какой-то хрен с хоста 82.181.137.112 установил за одну секунду сотни телнет соединений с моими хостами.
Предполагаю, что он очень быстро выжрал предельный параметр  - Maximum Concurrent Connection в 25000 значений.
Определяется по значению параметра PEAK:


[Expert@fw1]# fw tab -t connections -s
HOST                  NAME                               ID #VALS #PEAK #SLINKS
localhost             connections                      8158  4212 24580   12652


Значение, заданое по умолчанию я после ввода фаервола в продуктив не менял.
Где его менять написано у Дениса Урасова http://xn--80ae9aggj.xn--p1ai/2009/11/06/max-connect-checkpoint/
Учитывая что оперативной памяти на фаерволе 12 Gb, а используется около 3 Gb, я, по совету друзей, поставил значение в 200000.
Для анализа производительности фаервола можно использовать команду top
Фрагмент результата выполнения команды top:

top - 14:38:05 up 224 days,  6:49,  1 user,  load average: 0.16, 0.12, 0.09
Tasks: 121 total,   1 running, 120 sleeping,   0 stopped,   0 zombie
Cpu(s):  2.0%us,  0.5%sy,  0.0%ni, 96.4%id,  0.0%wa,  0.0%hi,  1.0%si,  0.0%st
Mem:  12463492k total,  2105400k used, 10358092k free,   398212k buffers
Swap: 26213992k total,        0k used, 26213992k free,   557572k cached


  

Thursday, January 19, 2012

Доступ к файлам Check Point SecurePlatform из Windows

Для доступа к файлам можно использовать программу WinSCP.
Мне нравиться портированная версия, т.е. не требующая инсталляции.
Процедура состоит из создания на платформе SPLAT дополнительного локального аккаунта и настройка его профиля для работы с WinSCP.
Описано все тут http://xn--80ae9aggj.xn--p1ai/2011/05/19/splat-winscp/
В двух словах - надо заменить оболочку cpshel l на bash в файле /etc/passwd
Я постоянно забываю как пользоваться редактором vi
тут есть его краткое описание http://lib.ru/unixhelp/vi.txt
Мегакраткое описание привожу:
Открыв файл в редакторе идем стрелками к нужному слову.
Нажимаем клавишу i
Пишем нужное слово
Нажимаем клавишу Esc
Подгоняем курсор к ненужному символу
Удаляем ненужное слово нажатием клавиши x
Нажимаем Esc : w! Enter для сохранения файла.
Для выхода Esc : q!