checkpoint_new

CheckPoint выпустила новый HFA 60 для 2.6 и 2.4 кернель систем.
Там много всяких новых полезностей, а точнее старых полезностей которые были починены-
про которые можно прочитать в release notes :
http://dl4.checkpoint.com/s/dc/1f/VPN-1_NGX_R65_HFA_60_Release_Notes.pdf?e=1259594527&h=eb40fec550aaf48f34bb11ba1cc430ac

На мой взгляд самое интересное то, что если на 2.6 системе вы хотите убрать этот хотфикс - то вы не можете.
А точнее :
Uninstalling NGX R65 HFA 60 from SecurePlatform 2.6 is not supported as it may
cause system instability.Before installing NGX R65 HFA 60 on SecurePlatform 2.6,
make sure to take a snapshot of the entire system to enable reverting to the previous
state if needed. For details refer to sk42329.

Знаменитый в последнее время Sockstress tcp dos attack...
CheckPoint тоже выпустила к нему хотфикс и не только CheckPoint.

http://community.livejournal.com/securityblogru/59213.html?view=758093#t758093

Чекпойнт выпустил интересную програмку под названием Confwiz которая позволяет делать экспорт конфигураций/обьектов - в XML и импортировать обратно.Также заявлена поддержка миграции конфигураций pix6.3(они явно издеваются).

Cвершилось! он вышел!R65 HFA 50! налетай и разберай :)
Работает так же под 2.6 :)

Вышел новый R70.1 который я так долго ждала :)
в нем есть много существенных изменений +snmp hardware check о которой я уже говорила.
Но не это главная фишка этого релиза, а совсем другое :)SmartWorkflow Blade!!!
Теперь клиенты не будут говорить= а мы этого не делали... мы эту опцию не добавляли...
Теперь все будет видно!Кто делал,что делал и когда делал :)
----------
SmartWorkflow Blade:
SmartWorkflow is a full-featured security policy change management solution incorporated into the Security Management Server and Provider-1 Environments.

* SmartWorkflow Sessions allow administrators to work with discrete sets of proposed changes to the network security configuration.
* Comprehensive audit features allow administrators to track, control, and analyze changes to the network security configuration as follows:
o New or modified elements are highlighted in the SmartDashboard object tree and Rule Base.
o Session Information window documents specific changes and provides justification for these actions.
o Audit logs provide detailed information regarding all changes and can be viewed using SmartView Tracker.
o The Change Summary Report provides details of changes.
o The Compare Policies feature provides a comparison between the installed policy and the currently defined policy or between selected policy versions.
* Segregation of roles, with separate permissions, ensures that proposed changes are approved by authorized managers prior to implementation and that only authorized managers can configure SmartWorkflow properties.
* SmartWorkflow is easy to learn and use, and contains a user-friendly toolbar, menu, and other convenient UI elements. This feature is optional.


Additional Features
R70.1 contains the following additional features:
* Hardware Health Monitoring Capabilities for Check Point appliances
* Remote Deployment Tool
* Enhanced LCD Panel Menus on Check Point appliances
* Link Aggregation is Now Available on SecurePlatform
* Security Management Enhancements
* URL Filtering Enhancements
* Eventia on VMware ESX Server

Привет.
может кому интересно генерировать фильтры на инспекте
вот decock.org/ginspect
там все просто.

Привет пользователям продуктов фирмы Чекпойнт.
Сразу хотелось бы сказать, что я сам являюсь давним пользователем их продуктов начиная с версии 4.0.
Наткнулся тут на блог фирмы paloaltonetworks основателем которой является Нир Цук,если кто не в курсе, то Нир был одним из главных дизайнеров/инженерв Statefull inspection protocol в фирме Чекпойнт, пока не посрался с Гилем Шведом и не ушел от туда в 1999 году(насчет посрался - мне расказал это один работник Чекпойнта).Он также работал в Netscreen и Juniper.
Так вот в этом блоге есть интересный пост blog.paloaltonetworks.com/ Нира о том что он думает про технологию "software blades" которую Чекпойнт реализовал в своей последней версии R70. Кстати было бы интересно узнать ваше мнение о новой версии.
спасибо.
P.S. Очень надеюсь,что мой пост не сочтут рекламой продуктов фирмы  paloaltonetworks :))

Simpot поднял очень не плохую тему и я бы хотела так же уточнить разницу между zdebug и kdebug .

Часть 1 - отношение к топику не имеющая, но так же не маловажная.
в основном kernel debug берется в один момент с fw monitor.
Например :
# fw monitor -e "accept;" -o log.out
# fw ctl debug 0
# fw ctl debug -buf 8192
# fw ctl debug -m fw + drop conn ld
# fw ctl kdebug -f > fw.ctl
// Сделать репликацию проблемы.
#fw ctl debug 0 //turn off debug
# kill monitor with CTRL+C

fw monitor поможет нам увидеть, пакет в стадиях - i,I,o,O , при которых кстати tcpdump видит только i,O.
Но и у него есть свои недостатки- tcpdump например может видеть L2 пакеты- data lynk layer,а fw monitor нет.

Часть 2 - заключительная.
Теперь с fw monitor мы можем увидить на какой стадии упал пакет и прошел ли он через rulebase (I)
И так же чтобы увидить причину падения или прохождения пакета - берется kernel debug.

zdebug - используется когда мы хотим увидеть именно дроп.
(fw ctl zdebug drop > filename.drop)+ так же можно добавлять к нему разные фильтры.
Так же в нем есть очень важная вещь -его можно включить для ловления пакетов на определенном vs (vsx).

kdebug - может схватить весь траффик проходящий через firewall.
Я думаю будет нелишне сказать, что надо быть поосторожнее с включенным kdebug с опцией ловить все,
Ваш firewall попросту может хорошо подзаморозиться.

Вопросы и размышления на эту тему - приветствуются в комментах :)

Иногда бывают ситуации, что в логах SmartView Tracker'а CheckPoint'а не видно падает ли пакет или нет?
Этому может быть множество причин: например на данный вид трафика не включён лог, нет связи с SmartCentre'ом, в SmartView Tracker'е вы выставили неправильный фильтр и т.д.

Помимо тяжелой артиллерии ввиде снифера, можно использовать kernel debug на активном Enforcement Module'е, который не только покажет упал ли пакет в CheckPoint'е в реальном времени, но и поможет определить почему именно он упал.

Пример примитивного использования:

[Expert@xl2]# fw ctl zdebug drop | grep 89.122.55.17
fw_log_drop: Packet proto=17 89.122.55.17:10001 -> 89.122.56.25:42942 dropped by fw_handle_first_packet Reason: Rulebase drop - rule 3
fw_log_drop: Packet proto=17 89.122.55.17:10001 -> 89.122.56.25:42942 dropped by fw_handle_first_packet Reason: Rulebase drop - rule 3
fw_log_drop: Packet proto=17 89.122.55.17:10001 -> 89.122.56.25:42942 dropped by fw_handle_first_packet Reason: Rulebase drop - rule 3
fw_log_drop: Packet proto=17 89.122.55.17:10001 -> 89.122.56.25:42942 dropped by fw_handle_first_packet Reason: Rulebase drop - rule 3
[Expert@xl2]#

Помимо этого, kernel debug можно использовать и для debug'а других проблем связанных с CheckPoint'ом: VPN, CPHA, NAT, SIP и многое другое...

Немного устаревшая документация по использованию kernel debug лежит тут: http://www.checkpoint.com/services/enterprise/docs/Troubleshooting_and_Debugging.pdf
Понять концепцию хватит...

ПС: мой пример НЕ подтвердит, прошел ли пакет успешно через firewall или нет. Тоесть если в output'е ничего не видно, то или пакет вообще не дошел до firewall'а или firewall его пропустил через себя.

Будет ли?
И если да - то как его профурычить к сбоксу?

Не так давно я написала дерзкое(в обоих смыслах этого слова) письмецо нашим R&D
на счет великого snmp который не может наши машинки(UTM-1, VPN-1, POWER-1) проверять на hardware failure.
Например : harddisk failure,fan failure,power supply failure.

Я даже накатала sk на эту тему :
Symptoms
* SNMP hardware check on CheckPoint hardware machines is not working.
There is no such CheckPoint MIB for checking hardware status via snmp on CheckPoint hardware.
Cause
This feature is in development, planned to be included as a part of an upcoming 2009 release. Check Point currently runs an Early Availability program for this release, allowing customers to experience new features and provide feedback. Participation in the EA program requires an NDA in place
---------------
Так вот! Через месяц примерно должна выйти новая версия Р70 которая .1 и она будет поддерживать
harddisk failure,fan failure .

Браво! (правда packeteer or cisco уже давно это поддерживают...)

ну а что там с линукс клиентом под СР? на сайте только древность под RH7

Скоро выходит hfa 5 на R65 , который обещает быть лучше 30 и 40 - которые больше вредили, чем что-то чинили :)
Есть такая фишка в hfa30 и 40, что имена интерфейсов меняются -если до этого были поменяны.

Так что если ктото ждет апгрейда- подождите еще 1-2 недельки :)

Hello!
In this journal I mean to past CheckPoint news
(In the case I will have a time to do this) and to discuss problems/issues with the CheckPoint products.
So you are welcome !

P.S. You also may add the entry!!! :)