Крон в CheckPoint Gaia

Для использования планировщика заданий cron на фаерволе CheckPoint Gaia неободимо создать дополнительного пользователя, так как конфигурация cron-а для пользователя «admin» акпкзаписывается при каждом рестарте машины процессом /bin/cron_xlate.

Вместо обычной комманды :
> crontab -e
(Будет выдано следующее предупреждение):
[code]
# This file was AUTOMATICALLY GENERATED
# Generated by /bin/cron_xlate on Wed Jan 14 13:33:33 2015
#
# DO NOT EDIT
#
SHELL=/bin/bash
MAILTO=»»
#
# mins hrs daysinm months daysinw command
#
[/code]

Необходимо использовать следующий формат комманды — указать пользователя, от имени которого будут выполнятся задачи:

> crontab -u cron_user -e

Для создания нового пользователя используйте следующие комманды:

[code]
add user cron_user uid 0 homedir /home/cron_user
set user cron_user gid 100 shell /bin/bash
add rba user cron_user roles adminRole
set user cron_user password
[/code]

Для записи данных в файл, используйте домашнюю папку нового пользователя, что бы избежать проблем с правами доступа.

Миграция конфигурации из SPLAT в Gaia

В новых версиях фаерволлов CheckPoint Gaia используется текстовой формат конфигурации.
Для конвертации конфигурации систем SecurePlatform (SPLAT) ниже предлагается скрипт генерирующий комманды для новой системы на платформе Gaia.

В настоящий момент преобразовываются следующие параметры:

Интерфейсы (включая bonding и vlan-ы)
Статические маршруты
DNS
NTP

Bonding параметры и часовой пояс должны быть заранее сконфигурированы.

Данный скрипт не меняет конфигурацию сисемы, а только выводит конфигурацию на экран.

Скачать скрипт можно тут:
splat2gaia.sh

Настройка SNMP в ЧекПойнт Гайя

Для настройки мониторинга через протокол SNMPv3 на устройстве CheckPoint Gaia введите следующие комманды:

[code]
set snmp agent on
set snmp contact «zzzz@domain.com»
set snmp location «Middle of nowhere»
add snmp address 123.34.56.78
set snmp agent-version v3-Only
add snmp usm user snmpv3user security-level authPriv auth-pass-phrase 111222333 privacy-pass-phrase 555666777
[/code]

Если вы предпочитаете менее безопасные версии SNMP v1/v2 используйте следующий пример:

[code]
set snmp agent on
set snmp contact «zzzz@domain.com»
set snmp location «Middle of nowhere»
add snmp address 123.34.56.78
set snmp agent-version any
set snmp community snmpv2community read-only
[/code]

Замените 123.34.56.78 на IP адрес интерфейса фаервола, на который будут приходить SNMP запросы. Эту комманду можно пропустить — тогда SNMP будет активен на всех интерфейсах.

При вкоючении SNMPv3 вышеописанным образом, вы можете столкнуться с проблемой удаления стандартной — «public» коммьюнити

При попытке ее удаления вы увидите следющую ошибку:

[code]
delete snmp community public read-only
NMSSNM0075 SNMP v3-Only does not accept community strings.
[/code]

Что бы обойти данный баг введите:

[code]
set snmp agent-version any
delete snmp community public read-only
set snmp agent-version v3-Only
[/code]

Конфигурация синхронизации времени в ЧекПойнт

Для настройки автоматической синхронизации времени на фаерволлах CheckPoint через протокол NTP выполните следующую комманду:

[code]
ntp -n 1800 time.nist.gov ntp.eenet.ee ntp.estpak.ee
[/code]

Вы так же можете использовать IP-адреса:

[code]
ntp -n 1800 64.236.96.53 193.40.133.142 192.98.49.10
[/code]

Эта комманда создаст конфигурационный файл /etc/sysconfig/ntp и вкючит сервис ntpd при запуске машины.

Пример конфигурационного файла:
[code]
SERVER1=64.236.96.53
SERVER2=193.40.133.142
SERVER3=192.98.49.10
INTERVAL=1800
MD5_SECRET=
USE_NTP=true
[/code]

На всякий случай убедимся что сервис будет запущен при запуске фаервола:

[code]
chkconfig —list ntp
[/code]

Вывод должен быть следующим:
[code]
ntp 0:off 1:off 2:off 3:on 4:off 5:on 6:off
[/code]

CheckPoint VPN — Wrong value for: Group Description

При настройке VPN на фаерволле ЧекПойнт, вы можете увидеть следующее сообщение:

IKE Main Mode Failed to match proposal: Transform 3DES / AES, SHA1 / MD5, Pre-shared secret, Group 1 (1024 bit)

Это означает что настройки ВПН Фазы 1 локального и удаленного устройства не совпадают.
Различие может быть не только в группе Диффи — Хеллмана, но и в алгоритмах шифрования.

Если у вас есть доступ к удаленному устройству, проверьте настройки самостоятельно, или свяжитесь с администратором удаленного устройства.