код ошибки 26702 чекпоинт
Код ошибки 26702 чекпоинт
Обновляем Check Point с R77.30 на 80.20
Подробнейшая инструкция для тех, кому предстоит обновиться до версии 80.20.
Осенью 2019 года Check Point прекратил поддержку версий R77.XX, и нужно было обновляться. О разнице между версиями, плюсах и минусах перехода на R80 сказано уже немало. Давайте лучше поговорим о том, как, собственно, обновить виртуальные appliance Check Point (CloudGuard for VMware ESXi, Hyper-V, KVM Gateway NGTP) и что может пойти не так.
Итак, у нас было 2 инженера CCSE, более десятка виртуальных кластеров Check Point R77.30, несколько облаков, немножечко хотфиксов и целое море разнообразных багов, глюков и всего такого, всех цветов и размеров, а еще очень сжатые сроки. Погнали!
Так выглядит типичная облачная инфраструктура клиента с виртуальным Check Point
Подготовка
Первым делом нужно проверить достаточность ресурсов для обновления. Рекомендованные минимальные требования для R80.20 сейчас выглядят так:
| Device | CPU | RAM | HDD |
|---|---|---|---|
| Security Gateway | 2 core | 4 Gb | От 15 GB |
| SMS | 2 core | 6 Gb | — |
Рекомендации описаны в документе CP_R80.20_GA_Release_Notes.
Но мы будем реалистами. Если в самой минимальной конфигурации этого достаточно, то, как показывает практика, обычно у нас включена https-инспекция, на SMS работает SmartEvent и т. д., что, разумеется, требует совершенно других мощностей. Но в целом не больших, чем для R77.30.
Но есть нюансы. И касаются они, в первую очередь, размеров физической памяти. Многие операции непосредственно в процессе обновления потребуют места на жестком диске.
Для сервера управления размер свободного пространства на диске будет очень сильно зависеть от объема текущих логов (если мы желаем их сохранить) и от количества сохраненных Database Revisions, хотя они-то нам в большом количестве уже не понадобятся. Разумеется, для нод кластера (если только вы не храните логи еще и локально) это все не имеет значения. Вот как можно проверить наличие необходимого места:
Подключаемся к Smart Management Server по ssh, заходим в expert mode и вводим команду:
На выходе мы увидим примерно такую конфигурацию:
Filesystem Size Used Avail Use% Mounted on
/dev/mapper/vg_splat-lv_current 30G 7.4G 21G 27% /
/dev/sda1 289M 24M 251M 9% /boot
tmpfs 2.0G 0 2.0G 0% /dev/shm
/dev/mapper/vg_splat-lv_log 243G 177G 53G 78% /var/log
Учитывайте, что в зависимости от политики хранения и удаления старых лог-файлов, а также размера экспортируемой базы может понадобиться больше места. Если при создании архива свободного места станет меньше, чем указано в политике хранения лог-файлов, система начнет стирать старые логи и НЕ включит их в архив.
Также для самого процесса обновления системе понадобится минимум 13 GB нераспределенного места на жестком диске. Проверить его наличие можно командой:
Увидим приблизительно вот такой вывод:
PV VG Fmt Attr PSize PFree
/dev/sda3 vg_splat lvm2 a — 141.69G 43.69G
В данном случае у нас есть 43 GB. Ресурсов хватает. Можно приступать к обновлению.
Обновляем сервер управления Check Point SMS
Перед началом работ нужно сделать следующее:
Далее собираем информацию о сетевых интерфейсах, таблице маршрутизации и выгружаем конфигурацию GAIA:
Увеличиваем timeout SSH сессии до 8 часов. Тут как повезет: в зависимости от размеров экспортируемой базы может продолжаться от нескольких минут до нескольких часов. Для этого:
[Expert@HostName]# export TMOUT=3600 указываем новый timeout expert mode (в секундах), если поставить значение 0, то timeout будет выключен.
Подгружаем и монтируем установочный образ SMS. iso к виртуальной машине.
Перед следующим шагом ОБЯЗАТЕЛЬНО еще раз проверьте, что у вас достаточно нераспределенного места на жестком диске (напоминаю, нужно 13 GB).
Экспорт конфигурации и логов
Экспорт базы SmartEvent
Здесь нам понадобится заранее установленный SMS версии R80. Любой тестовый подойдет.
Обновление
Скачиваем образ и проходим Verifier. В случае необходимости устраняем несоответствия.
В результате должны увидеть вот такое сообщение:
Подключаемся к SMS по SSH и меняем shell нашего пользователя на /bin/bash/:
set user shell /bin/bash/
save config (в случае, если мы хотим оставить bin/bash/ как shell по умолчанию и после перезагрузки).
Увеличиваем timeout SSH сессии до 8 часов. Для этого:
[Expert@HostName]# export TMOUT=3600 указываем новый timeout expert mode (в секундах). Если поставить значение 0, то timeout будет выключен.
Наслаждаемся жизнью ближайшие пару часов. НЕ ОТКЛЮЧАЙТЕ SSH-СЕССИЮ во время процедуры. В конце процесс migrate выдаст либо сообщение об успешном завершении операции, либо ошибку.
Чек-лист проверок после обновления
Импорт базы SmartEvent
Обновляем кластер Check Point GW (Active/Backup)
Перед началом работ
Обновление
Чек-лист проверок после обновления
Заключение
В общем-то на этом моменте все – вы обновились.
У нас весь процесс занимал в среднем от 6 до 12 часов, в зависимости от размеров экспортируемых баз. Работы проводили две ночи: одна – для обновления SMS, вторая – для кластера.
Простоя трафика не было, несмотря на то, что все вышеупомянутые ошибки мы проверяли на себе.
Конечно, иногда могут возникнуть и совершенно новые трудности в процессе обновления, но это Check Point, и, как мы все знаем, всегда есть hotfix!
Современные приложения не могут подключаться при использовании VPN-подключения Check Point
В этой статье данная статья позволяет решить проблему, из-за которой современные приложения не могут подключаться к Интернету после подключения к корпоративной сети с помощью VPN-программного обеспечения Check Point.
Применяется к: Windows 8
Исходный номер КБ: 2855849
Симптомы
Рассмотрим следующий сценарий.
В этом сценарии классические приложения могут успешно подключаться к Интернету. Однако современные приложения не могут подключаться. Кроме того, компьютерная версия Windows Internet Explorer 10 не может подключиться, если включен режим расширенной безопасности.
Причина
Эта проблема возникает из-за того, что установленный брандмауэр не может устанавливать правила, позволяющие современным приложениям общаться через виртуальную частную сеть.
Решение
Чтобы устранить эту проблему, установите check Point VPN E80.50 (ожидается, что она будет доступна осенью 2013 г.) на следующем веб-сайте Центра поддержки контрольных точек:
Обходной путь
Точно следуйте всем указаниям из этого раздела. Внесение неправильных изменений в реестр может привести к возникновению серьезных проблем. Прежде чем приступить к изменениям, создайте резервную копию реестра для восстановления на случай возникновения проблем.
Чтобы решить эту проблему, запустите следующий Windows PowerShell, чтобы изменить скрытое свойство для виртуального сетевого интерфейса в реестре:
Этот сценарий также задокументирован на следующем веб-сайте Check Point: Microsoft Store (Windows 8) приложение не удается связаться с помощью VPN-туннеля.
В этой статье упомянуты программные продукты независимых производителей. Корпорация Майкрософт не дает никаких гарантий, подразумеваемых и прочих, относительно производительности и надежности этих продуктов.
Контактные данные сторонних организаций предоставлены в этой статье с целью помочь пользователям получить необходимую техническую поддержку. Эти данные могут быть изменены без предварительного уведомления. Корпорация Майкрософт не гарантирует точность этих сторонних контактных данных.
Настройка Checkpoint. Часть 1. Установка и первоначальная конфигурация
Доброго всем времени суток. Сегодня я хочу начать цикл о настройке и принципах работы межсетевых экранов Checkpoint.
Chekpoint — компания, занимающаяся разработкой решений по сетевой безопасности начиная с 1993 года. Компания позиционирует себя как разработчик собственной архитектуры управления\взаимодействия — SMART (SecurityManagment Architecture). На основании этой концепции в конечном итоге была создана операционная система Gaia, путём объединения ОС IPSO (Nokia) и ОС SPLAT (ранняя разработка СР на базе Unix-ориентированных систем). В данном программном обеспечении реализован ряд технологий, связанных с безопасностью обмена данными (например пакетная фильтрация, IPS), а так же проприетарная Stateful Inspection основной задачей которой является контроль конкретных соединений в реальном времени.Wikipedia.
Увы, на Хабре не так много статей, посвященных этому вендору. Хотя, на мой взгляд, он заслуживает большего внимания.
Опытные инженеры систем безопасности, скорее всего, не найдут никакой новой информации в этой и последующих статьях. Но для новичков, я надеюсь, они будут полезными. Мы попробуем разобрать принципы работы основных модулей и системы в целом, а так же рассмотрим примеры настройки из “best practice».
Сегодня на повестке дня установка и начальная конфигурация устройства. Добро пожаловать под кат.
На Хабре уже была статья о том, как установить две фаервольных ноды и сделать из них кластер. Попытаюсь уделить внимание вопросам, которые в той статье рассмотрены не были.
В первую очередь нам необходимо подобрать оборудование. Есть, по сути, только два варианта: либо покупать устройство, с любовью оклеенное этикетками Checkpoint и помещенное в специально подготовленный для него корпус, или же собирать платформу самостоятельно. В любом случае выбор устройства будет зависеть от очень большого количества параметров. Мы можем опираться лишь на свой опыт и на ту документацию, которую нам предоставляет сам вендор. Список поддерживаемых серверов можно посмотреть по ссылке. Так же можно примерно посчитать на какую нагрузку будет рассчитан конкретный девайс от компании Checkpoint (осторожно PDF). К сожалению, Checkpoint не предоставляет информацию об установленном в устройства оборудовании, лишь объем оперативной памяти и количество интерфейсов, но в Интернете можно найти кое-какую информацию о CPU.
Этап 1. Установка операционной системы Gaia
После того, как мы выбрали платформу, перейдем к установке операционной системы. Кстати, об операционной системе: Gaia (последняя из операционных систем Checkpoint’а) базируется на дистрибутиве RedHat 5.2. А значит, если Вы до этого работали с linux-based операционными системами, то Вам будет приятно увидеть многие знакомые утилиты и команды.
Здесь будет рассматриваться Gaia R77.10 в виртуальном окружении. Установка предыдущих, так и последующих версий этой операционной системы, ничем не отличается. На сегодняшний день последней является Gaia R77.30.
Компания Checkpoint не предоставляет дистрибутивы своих операционных систем без регистрации и SMS на сайте, поэтому поиск образа я полностью доверяю вам. Если же у вас имеется учетная запись, то загрузить необходимый дистрибутив можно по ссылке.
Теперь мы вооружены всем необходимым и можем перейти непосредственно к установке.
Большинство следующих скриншотов не требуют пояснения: далее, далее, готово. Никто не предлагает установить Mail.Агент или какое-либо другое приложение, не имеющее отношение к теме.
Единственное, на что хочу обратить Ваше внимание – разметка диска. Система выдаст ошибку и прекратит установку, если объем жесткого диска менее 8Гб. В случае наличия от 8 до 15 Гб система самостоятельно разбивает диск на необходимые ей разделы. Если же объем больше 15Гб, то нам разрешат немного повлиять на этот процесс, а именно: изменить размер разделов под system-root (/) и логи (/var/logs/). Эта информация может пригодиться тем, кто собирается ставить Checkpoint на виртуальную машину. Остальным же требуется знать лишь, основное правило, которое заключается в том, что размер раздела “Backup and upgrade» должен быть не менее, чем сумма system-root и logs, так как снэпшоты операционной системы помещаются именно туда.
Рис 1.1
Выбираем пункт “Install Gaia on this system»:
Рис 1.2
Тут мы можем посмотреть информацию об установленном оборудовании:
Рис 1.3
Выбираем язык:
Рис 1.4
Размечаем диск:
Рис 1.5
Придумываем пароль:
Рис 1.6
Тут мы можем выбрать и настроить интерфейс, который в дальнейшем будем использовать для подключения к устройству через https и ssh.
Рис 1.7
Непосредственно, настройка.
После этого придется немного подождать, пока система установится на выбранный сервер.
Этап 2.1 Подготовка к настройке
Первичная настройка Checkpoint для последующей работы с ним доступна в упомянутой выше статье. Мы же сейчас попробуем сделать то же самое, но при помощи командной строки, для этого нам не понадобится отдельный компьютер, сетевое подключение к фаерволу и даже монитор, если Вы знаете толк в извращениях не боитесь трудностей.
Для того что бы произвести конфигурацию фаервола через CLI у нас есть специальная утилита config_system, точнее, это обычный bash-скрипт, содержимое которого Вы можете посмотреть и отредактировать. Лежит он в /bin/config_system.
Этот скрипт редактирует файл базы данных Gaia OS /config/db/initial.
Давайте разберем принцип его работы на примере функции по изменению ip-адреса:
Получение текущих настроек из базы происходит при помощи утилиты /bin/dbget, а изменяет конфигурацию команда /bin/dbset. Вот так выглядит кусок файла, описывающий настройки интерфейса eth0:
Параметр отделяется от значения пробелом. Теперь мы можем попробовать получить какие-нибудь значения при помощи DBGET.
Ключ -c необходим для вывода имени дочернего параметра с не нулевым значением. Что бы дополнительно показать значение этого параметра существует ключ -v.
Мы получили значение равное t, то есть true. По сути это означает лишь то, что на интерфейсе задан ip-адрес, равный 192.168.1.2.
Этап 2.2 Первоначальная конфигурация
Config_system принимает либо файл, либо строку из необходимых параметров, разделенных амперсандом (&). Синтаксис команды со строкой в качестве параметра будет выглядеть следующим образом:
Значение каждого из этих параметров мы разберем далее. А сейчас разберемся с конфигурационным файлом.
Конфигурационный файл содержит в себе все те же самые значения, каждое на отдельной строке.
Первым делом мы создадим шаблон конфигурационного файла, который потом будем редактировать.
В самом шаблоне довольно подробно описан каждый параметр. Поэтому я просто приведу пример конфигурации для менеджмент сервера:
Единственное, на чем хочется остановиться отдельно — параметр ftw_sic_key=»». SIC, или Secure Internal Communication key — это одноразовый пароль, который нужен, что бы фаерволом можно было управлять с менеджмент сервера (поэтому мы задали его только на фаерволе). Он нам будет нужен один раз при добавлении фаервола в панель управления менеджмент сервера.
Последний шаг — это отдать полученный файл скрипту и подождать пока завершится конфигурация:
Теперь перезагружаем сервер и все готово.
Этап 3. Подведение итогов
Теперь у нас есть один менеджмент сервер и один фаервол. Они готовы к дальнейшей настройке.
В следующей статье мы научимся добавлять фаерволы для управления с одного менеджмент сервера. Узнаем как из них организовать кластер, если изначально мы к этому готовы не были. Рассмотрим варианты кластеров и их принцип работы. А так же пробежимся по способам настройки NATа и простейшим фаервольным политикам.
Спасибо за внимание. Буду рад ответить на ваши вопросы.
Код ошибки 26702 чекпоинт
Вопрос
I have a package with settings SaveCheckpoints=True and CheckpointUsage = Never. After the package failed I fixed the cause of failure by setting a database column to allow nulls. Then I went to our web app that we built to monitor package execution and clicked on the button to restart the package. The web app loads the package and then sets the CheckpointUsage property of the package object to ‘Always’. Then it executes the package in a new thread. The package then produced this error:
Checkpoint file «E:\Package1Checkpoint» failed to open due to error 0x80070005 «Access is denied.».
Since there was only one remaining task to run in the package I ran it manually.
Now here is the really interesting part. I then needed to run the same package but with different parameters. When I attempted to run it with the saved checkpoint settings (CheckpointUsage=Never, SaveCheckpoints=True) I got this error:
«An existing checkpoint file is found with contents that do not appear to be for this package, so the file cannot be overwritten to start saving new checkpoints. Remove the existing checkpoint file and try again. This error occurs when a checkpoint file exists, the package is set to not use a checkpoint file, but to save checkpoints. The existing checkpoint file will not be overwritten. «
So I then attempted to rename the checkpoint file so it would not interfere, however, it would not let me, saying that the file was in use.
So what I had to do was add a configuration entry which set SaveCheckpoints to False. Then I was able to run the package.
Чек-лист по настройкам безопасности Check Point
Относительно недавно мы опубликовали в открытый доступ мини-курс » Check Point на максимум «. Там мы попытались вкратце и с примерами рассмотреть самые частые ошибки в конфигурации Check Point с точки зрения ИБ. По сути мы рассказали чем плохи настройки по умолчанию и каким образом «закрутить гайки». Курс (неожиданно для нас) получил довольно хорошие отзывы. После чего, к нам поступило несколько запросов на краткую «выжимку» этого материала — чек-лист по настройкам безопасности. Мы решили, что это неплохая идея, в связи с чем и публикуем эту статью.
Перед началом мне хотелось бы сделать акцент на двух вещах:
1)Включена HTTPS-инспекция
О важности HTTPS-инспекции я рассказывал во втором уроке «Check Point на максимум». Без этой опции ваш дорогой NGFW превращается в большую дыру в периметре сети.
2)Блокируются нежелательные ресурсы и приложения (App & URL filtering)
В Check Point за это отвечают два блейда — Application Control и URL Filtering. Практически тоже самое есть и у других вендоров с небольшими отличиями. Главная задача данных функций — уменьшить площадь атаки за счет блокировки доступа к потенциально опасным ресурсам или приложениям. Почему-то, несмотря на наличие преднастроенных категорий (Anonymizer, Botnets, Critical Risk, Hacking, High Risk, Phishing, Remote Administration, Sospicious Content, Spyware/Malicious Sites, Stealth Tactics и т.д.), люди не используют эти возможности ограничения. Лучше блокировать подобные вещи на сетевом уровне и не доводить до проверки трафика более тяжелыми средствами защиты (IPS, Antivirus, Anti-Bot, Threat Emulation). Это позволит избежать ложных срабатываний и сэкономит вам производительность шлюза. Изучите какие категории сайтов и приложений позволяет блокировать ваш шлюз, затем еще раз пересмотрите вашу политику доступа. Хорошим подспорьем здесь является SmartEvent, который может сгенерировать отчет по пользовательскому трафику.
3)Блокируется скачивание нежелательных файлов (Content Awareness)
4)Антивирус осуществляет полную проверку файлов (Antivirus — Deep scan)
5)Проверяются архивы, запароленные блокируются (Antivirus — archive scan)
Удивительно, но многие забывают про эту опцию. Думаю всем очевидна необходимость проверки архивов. И всем должно быть очевидно, что архивы с паролем нужно блокировать. Не вижу смысла расписывать здесь что-то подробнее. Просто проверьте, что у вас это настроено.
6)Включены дополнительные механизмы проверки (Antivirus — Protections)
7)IPS обновляется хотя бы раз в неделю
В пятом уроке я попытался показать, на сколько важен IPS для защиты сети. И одним из ключевых условий эффективности является «свежая» база сигнатур. Убедитесь, что ваш IPS обновляется достаточно часто. Моя рекомендация — хотя бы раз в три дня. Как правило, значения по умолчанию гораздо выше (от недели до месяца) практически у всех вендоров.
8)IPS вынесен в отдельный Layer
Еще один важный момент. Обязательно вынесите IPS в отдельный Layer. Только так вы сможете получить от него максимум. Я довольно подробно рассказал зачем и как это делать в шестом уроке курса.
9)Разные политики Threat Prevention для разных сегментов сети
В политики Threat Prevention входят такие блейды как: Antivirus, Anti-Bot, IPS, Threat Emulation, Threat Extraction. Как мы уже обусловились выше, IPS должен быть вынесен в отдельный Layer. Там у вас должно быть минимум две политики — одна для клиентский устройства, другая для серверных. При этом, в идеале политика должна дробиться еще сильнее, т.к. в каждом сегменте могут быть разные типы устройств и разные типы сервисов. Ключевая задача — включить только нужные механизмы защиты. Бессмысленно проверять windows-сигнатурами трафик, который предназначен Linux хосту. Тоже самое касается и других блейдов. Сегментированная политика Threat Prevention — залог адекватной защиты.
10)Используется Hold режим
По умолчанию для Threat Prevention используется режим background. Это значит, если файл новый и нет нужной сигнатуры, то он может пройти, пока в фоне идет «углубленная» проверка. Это не совсем то, что обычно требуется от средств защиты. Поэтому убедитесь, что в свойствах Threat Prevention (в глобальных настройках и настройках профиля) включен Hold режим.
11)Сформирована Geo Policy
Данную функцию также незаслуженно забывают. Эта опция позволит заблокировать для вашей сети любой трафик (как входящий, так и исходящий) любой страны. Вашим пользователям нужно посещать ресурсы Бангладеша или Конго? А ведь злоумышленники любят использовать сервера стран, где довольно слабо развито законодательство с точки зрения киберпреступности. Грамотная Geo-политика позволит не только повысить уровень безопасности, но и снизить нагрузку на шлюз, т.к. последнему не придется проверять все подряд.
12)Включен Threat Emulation
Здесь не обойтись одним пунктом. По хорошему нужно сделать отдельный чек-лист по настройкам Threat Emulation. С вашего позволения я не буду этого делать 🙂 Остановлюсь на одной главной рекомендации — блейд должен быть включен. По каким-то причинам еще очень много администраторов считают эту функцию ненужной экзотикой. Включите хотя бы в режим Detect и посмотрите отчет через недельку. Вы будете удивлены. Если текущий уровень подписки не позволяет использовать этот блейд, то можно запросить демо-лицензию на 30 дней.
13)Отсутствуют False Positive
product_family:(Threat OR Endpoint OR Mobile) AND action:Detect AND severity:(Critical OR High) AND confidence_level:(Medium-High OR High)
Если вы увидели логи, которые подпадают под этот фильтр, то значит вы пропустили в сеть то, что должны были заблокировать. Либо вы что-то неправильно настроили, либо ваше средство защиты отрабатывает не так, как должно. Периодически проверяйте наличие подобных событий, либо настройте уведомления (функционал SmartEvent).