Настройка SNMP в ЧекПойнт Гайя

Для настройки мониторинга через протокол SNMPv3 на устройстве CheckPoint Gaia введите следующие комманды:

[code]
set snmp agent on
set snmp contact «zzzz@domain.com»
set snmp location «Middle of nowhere»
add snmp address 123.34.56.78
set snmp agent-version v3-Only
add snmp usm user snmpv3user security-level authPriv auth-pass-phrase 111222333 privacy-pass-phrase 555666777
[/code]

Если вы предпочитаете менее безопасные версии SNMP v1/v2 используйте следующий пример:

[code]
set snmp agent on
set snmp contact «zzzz@domain.com»
set snmp location «Middle of nowhere»
add snmp address 123.34.56.78
set snmp agent-version any
set snmp community snmpv2community read-only
[/code]

Замените 123.34.56.78 на IP адрес интерфейса фаервола, на который будут приходить SNMP запросы. Эту комманду можно пропустить — тогда SNMP будет активен на всех интерфейсах.

При вкоючении SNMPv3 вышеописанным образом, вы можете столкнуться с проблемой удаления стандартной — «public» коммьюнити

При попытке ее удаления вы увидите следющую ошибку:

[code]
delete snmp community public read-only
NMSSNM0075 SNMP v3-Only does not accept community strings.
[/code]

Что бы обойти данный баг введите:

[code]
set snmp agent-version any
delete snmp community public read-only
set snmp agent-version v3-Only
[/code]

Конфигурация синхронизации времени в ЧекПойнт

Для настройки автоматической синхронизации времени на фаерволлах CheckPoint через протокол NTP выполните следующую комманду:

[code]
ntp -n 1800 time.nist.gov ntp.eenet.ee ntp.estpak.ee
[/code]

Вы так же можете использовать IP-адреса:

[code]
ntp -n 1800 64.236.96.53 193.40.133.142 192.98.49.10
[/code]

Эта комманда создаст конфигурационный файл /etc/sysconfig/ntp и вкючит сервис ntpd при запуске машины.

Пример конфигурационного файла:
[code]
SERVER1=64.236.96.53
SERVER2=193.40.133.142
SERVER3=192.98.49.10
INTERVAL=1800
MD5_SECRET=
USE_NTP=true
[/code]

На всякий случай убедимся что сервис будет запущен при запуске фаервола:

[code]
chkconfig —list ntp
[/code]

Вывод должен быть следующим:
[code]
ntp 0:off 1:off 2:off 3:on 4:off 5:on 6:off
[/code]

CheckPoint VPN — Wrong value for: Group Description

При настройке VPN на фаерволле ЧекПойнт, вы можете увидеть следующее сообщение:

IKE Main Mode Failed to match proposal: Transform 3DES / AES, SHA1 / MD5, Pre-shared secret, Group 1 (1024 bit)

Это означает что настройки ВПН Фазы 1 локального и удаленного устройства не совпадают.
Различие может быть не только в группе Диффи — Хеллмана, но и в алгоритмах шифрования.

Если у вас есть доступ к удаленному устройству, проверьте настройки самостоятельно, или свяжитесь с администратором удаленного устройства.

Блокировка Скайп клиента

Существует мнение что Skype-клиент сложно заблокировать на уровне сети, из-за его Peer-To-Peer особенностей и использования HTTP портов.

Block Skype client

Однако на сегодняшний день (Декабрь, 2012) клиент Скайпа может быть достаточно просто отключен от сети.
При запуске, Скайп пытается получить список своих основных (возможно логин) серверов через ДНС — в данный момент имеется 17 записей от dsn0.d.skype.net до dsn16.dsn.skype.net.

Используя простой скрипт (требует наличия ДНС утилиты dig) получаем большую часть серверных адресов:

[code]
for i in {0..20} ; do dig +short dsn$i.d.skype.net; done | sort | uniq
[/code]

Для блокировки Скайпа достаточно запретить доступ к этим сетям:

111.221.74.0/24
111.221.77.0/24
157.55.130.0/24
157.55.235.0/24
157.55.56.0/24
157.56.52.0/24
213.199.179.0/24
64.4.23.0/24
65.55.223.0/24

Если ваш маршрутизатор использует фаерволл на базе iptables, можете использовать слелдующую комманду:

[code]
for ip in 111.221.74.0/24 111.221.77.0/24 157.55.130.0/24 157.55.235.0/24 157.55.56.0/24 157.56.52.0/24 213.199.179.0/24 64.4.23.0/24 65.55.223.0/24; do iptables -A OUTPUT -d $ip -j DROP; done
[/code]

OpenVPN рутинг всего трафика через VPN

Чтобы направить весь сетевой траффик через VPN-сервер, необходимо добавить следующие строки в файл конфигурации openVPN (как правило, etc/openvpn/server.conf ).

[code]
push «redirect-gateway def1»
push «dhcp-option DNS 8.8.8.8»
[/code]

Добавление публичного DNS сервера Google может быть необходимо, при проблемах c разрешением доменных имен, после соединения VPN.