Крон в CheckPoint Gaia

Для использования планировщика заданий cron на фаерволе CheckPoint Gaia неободимо создать дополнительного пользователя, так как конфигурация cron-а для пользователя «admin» акпкзаписывается при каждом рестарте машины процессом /bin/cron_xlate.

Вместо обычной комманды :
> crontab -e
(Будет выдано следующее предупреждение):

#  This file was AUTOMATICALLY GENERATED
#  Generated by /bin/cron_xlate on Wed Jan 14 13:33:33 2015
#
#  DO NOT EDIT
#
SHELL=/bin/bash
MAILTO=""
#
# mins  hrs     daysinm months  daysinw command
#

Необходимо использовать следующий формат комманды — указать пользователя, от имени которого будут выполнятся задачи:

> crontab -u cron_user -e

Для создания нового пользователя используйте следующие комманды:

add user cron_user uid 0 homedir /home/cron_user
set user cron_user  gid 100 shell /bin/bash
add rba user cron_user roles adminRole
set user cron_user password <ENTER>

Для записи данных в файл, используйте домашнюю папку нового пользователя, что бы избежать проблем с правами доступа.

Миграция конфигурации из SPLAT в Gaia

В новых версиях фаерволлов CheckPoint Gaia используется текстовой формат конфигурации.
Для конвертации конфигурации систем SecurePlatform (SPLAT) ниже предлагается скрипт генерирующий комманды для новой системы на платформе Gaia.

В настоящий момент преобразовываются следующие параметры:

Интерфейсы (включая bonding и vlan-ы)
Статические маршруты
DNS
NTP

Bonding параметры и часовой пояс должны быть заранее сконфигурированы.

Данный скрипт не меняет конфигурацию сисемы, а только выводит конфигурацию на экран.

Скачать скрипт можно тут:
splat2gaia.sh

Настройка SNMP в ЧекПойнт Гайя

Для настройки мониторинга через протокол SNMPv3 на устройстве CheckPoint Gaia введите следующие комманды:

set snmp agent on
set snmp contact "zzzz@domain.com"
set snmp location "Middle of nowhere"
add snmp address 123.34.56.78
set snmp agent-version v3-Only
add snmp usm user snmpv3user security-level authPriv auth-pass-phrase 111222333 privacy-pass-phrase 555666777

Если вы предпочитаете менее безопасные версии SNMP v1/v2 используйте следующий пример:

set snmp agent on
set snmp contact "zzzz@domain.com"
set snmp location "Middle of nowhere"
add snmp address 123.34.56.78
set snmp agent-version any 
set snmp community snmpv2community read-only

Замените 123.34.56.78 на IP адрес интерфейса фаервола, на который будут приходить SNMP запросы. Эту комманду можно пропустить — тогда SNMP будет активен на всех интерфейсах.

При вкоючении SNMPv3 вышеописанным образом, вы можете столкнуться с проблемой удаления стандартной — «public» коммьюнити

При попытке ее удаления вы увидите следющую ошибку:

delete snmp community public read-only
NMSSNM0075  SNMP v3-Only does not accept community strings.

Что бы обойти данный баг введите:

set snmp agent-version any
delete snmp community public read-only
set snmp agent-version v3-Only

Конфигурация синхронизации времени в ЧекПойнт

Для настройки автоматической синхронизации времени на фаерволлах CheckPoint через протокол NTP выполните следующую комманду:

ntp -n 1800 time.nist.gov ntp.eenet.ee ntp.estpak.ee

Вы так же можете использовать IP-адреса:

ntp -n 1800 64.236.96.53 193.40.133.142 192.98.49.10

Эта комманда создаст конфигурационный файл /etc/sysconfig/ntp и вкючит сервис ntpd при запуске машины.

Пример конфигурационного файла:

SERVER1=64.236.96.53
SERVER2=193.40.133.142
SERVER3=192.98.49.10
INTERVAL=1800
MD5_SECRET=
USE_NTP=true

На всякий случай убедимся что сервис будет запущен при запуске фаервола:

chkconfig --list ntp

Вывод должен быть следующим:

ntp             0:off   1:off   2:off   3:on    4:off   5:on    6:off

CheckPoint VPN — Wrong value for: Group Description

При настройке VPN на фаерволле ЧекПойнт, вы можете увидеть следующее сообщение:

IKE Main Mode Failed to match proposal: Transform 3DES / AES, SHA1 / MD5, Pre-shared secret, Group 1 (1024 bit)

Это означает что настройки ВПН Фазы 1 локального и удаленного устройства не совпадают.
Различие может быть не только в группе Диффи — Хеллмана, но и в алгоритмах шифрования.

Если у вас есть доступ к удаленному устройству, проверьте настройки самостоятельно, или свяжитесь с администратором удаленного устройства.