Пятничный пост #CPS_кейс_недели

👀 Узнайте, какой была прошлая неделя у инженеров технической поддержки CP Support:

Была решена 51 заявка, среднее время реакции составило 42 минуты

Делимся решением вопроса: «Выгрузка правил Check Point в формате JSON»

Запрос: «Коллеги, добрый день! Прошу помочь с выгрузкой правил Security Policies Check Point в файлы формата JSON»

Ответ: Начиная с версии R80 доступен инструмент Show Package Tool, который даёт возможность экспортировать конкретную политику безопасности вместе с объектами из базы данных в формат json/html

На менеджменте нужно запустить команду:
$MDS_FWDIR/scripts/web_api_show_package.sh

Итоговый файл будет находиться в каталоге, из которого запускалась команда

Профит!

⏲ Официальная техническая поддержка Check Point с сертифицированными инженерами CCSA, CCSE и CCSM

🫥Узнайте, как команда CP Support провела майские выходные в ролике #CPS_кейс_недели

Бонусом в видео вас ждёт инструкция правильной настройки службы Checkme в решении Sandbox от Positive Technologies

Забирайте первый бесплатный тикет по ссылке

В сегодняшнем ролике #CPS_кейс_недели мы поделимся с вами кейсом о переносе SMS-сервера на другой виртуальный сервер Check Point

📹 Больше полезных видео с разборами, инструкциями и решениями ошибок при работе с продуктами популярных вендоров смотрите на нашем канале

💰 Забирайте первый бесплатный тикет и протестируйте поддержку CP Support по ссылке

🟥 В новом выпуске #CPS_кейс_недели на нашем канале вы сможете узнать, как отменить опубликованные изменения в Check Point

✅ Забирайте первый бесплатный тикет и протестируйте поддержку CP Support по ссылке

🔥 Новые статусы, выступления на знаковых мероприятиях, публикация полезных материалов и запуск новых курсов — это только часть того, что мы успели сделать в июне:

🔵 Защищаем не только информацию, но и зрение команды! Провели «День здоровых глаз» в петербургском офисе TS Solution
🔵 TS Solution и НТЦ NeptunIT получили статус Platinum Partner от вендора UserGate!
🔵 Новый курс на портале TS University: «PTAF PRO Getting Started»
🔵 Продолжаем публиковать ролики из рубрики #CPS_кейс_недели на нашем канале
🔵 Запустили курсы по новой версии решения UserGate 7.1

📌 Подробности читайте в ежемесячном дайджесте ГК TS Solution

▶️В новом выпуске #CPS_кейс_недели мы рассказываем, как настроить блокировку зашифрованных файлов и доступ в Интернет на шлюзе Check Point

Техническая поддержка продуктов Check Point от СP Support это:
⚙️ Сертифицированные инженеры CCSA, CCSE и CCSM
⚙️ Время реакции на поступающие заявки до 4 часов (время реакции на заявки с критическим статусом до 1 часа)
⚙️ База знаний и бесплатные обучающие материалы по продуктам Check Point на образовательном портале
⚙️ Компетентные инженеры с сертификатами от вендора

Забирайте первый бесплатный тикет и протестируйте сервисы СP Support по ссылке

⭐️ Пятничное включение от #CPS_кейс_недели

✅ За прошедшие две недели инженеры CP Support решили 71 заявку, среднее время реакции — 28 минут

Сегодня рассказываем о двух интересных тикетах по продуктам Check Point:

1. Возможность перенаправления портов
Запрос: «Подскажите, пожалуйста, способ решения задачи. У нас есть хосты в локальной сети (10.10.10.1 и 10.10.10.2) на которых настроены https-сервисы. А также свободный внешний интерфейс на шлюзе 30.30.30.30. Как нам настроить так (nat? Или может быть есть другие варианты), чтобы хосты извне могли подключаться к обоим https-сервисам?»

Отвечаем: Способ первый - это сделать Manual Static NAT, чтобы снаружи доступ к двум https-серверам получали по разным портам. Например: https://y.y.y.y:aaa и https://x.x.x.x:bbb.
Второй способ, чтобы не использовать разные порты - это сделать публикацию одного сервера через 30.30.30.30 и 443 порт. А публикацию второго сервера через другой IP, который не будет явно привязан к внешнему интерфейсу. Но для него на внешнем интерфейсе будет proxy arp запись + у шлюза правило NAT (аналогичное примеру выше, но без подмены Services)

2. Обнаружение вторжений
Запрос: «У нас включена функция предотвращения вторжения checkpoint ips. А как посмотреть, что были попытки вторжения? Как это можно мониторить?»

Отвечаем: В логах можно просмотреть, когда отрабатывал блейд IPS, отфильтровав по blade:IPS. Action prevent означает, что ips заблокировал вредоносный трафик.Можно выбрать определенный лог отработавшего IPS и посмотреть более детальную информацию о соединении (почему был заблокирован данный трафик, какая сигнатура использовалась для обнаружения).

Также добавим, что если у вас активирован функционал SmartEvent, то для мониторинга можно использовать как встроенные отчеты, так и создавать свои.

➡️ Требуется помощь в работе с Check Point? Забирайте бесплатный тикет от CP Support по ссылке

🫥 Большой пятничный выпуск #CPS_кейс_недели

Сегодня мы собрали для вас сразу три кейса с решением ошибок при работе с продуктами Check Point:

1. Возможность добавления хостов по DNS имени

Запрос: «Подскажите, пожалуйста, есть ли возможность в SMS добавлять хосты по DNS имени? Хотелось бы отсечь по фаерволу конкретный внешний сайт IP которого могут меняться с течением времени.»

Отвечаем: Для этой цели вы можете добавить в destination запрещающего правила объект domain. В ячейке destination выбрать (+) add new items. Далее выбрать объект типа domain. В начале обязательно необходимо поставить точку, а также рекомендуем ставить галочку FQDN

2. Ограничение подключения к VPN с телефонов

Запрос: «Подскажите, каким образом можно пользователям запретить подключение к VPN с Android/IOS-устройств через мобильный клиент?»

Отвечаем: Для ограничения подключения через мобильный клиент нужно в свойствах шлюза > Mobile Access > убрать галочку напротив Capsule VPN / Connect. Если не включен блэйд mobile access, тогда в свойствах шлюза > VPN Clients

 3. Сброс сессии администратора

Запрос «У нас в smartconsole есть сотрудники, которых мы бы хотели удалить. При удалении, система пишет, что пользователь уже подключен к сессии. Не могли бы подсказать, как при помощи cli либо самой консоли мы можем сбросить сессию?»
 
Отвечаем: Чтобы удалить сессию, необходимо в SmartConsole перейти в Manage & Settings > Sessions > View Sessions и выполнить Discard & Disconnect: 

❤️ Бонус: бесплатный тикет для начала знакомства с CP Support ждёт вас по ссылке

☀️ Отмечаем предпоследнюю пятницу сентября постом #CPS_кейс_недели

Рассказываем, как инженеры технической поддержки CP Support справлялись с вызовами недели, и делимся решениями двух кейсов с продуктами Check Point

👤 За неделю было решено 52 тикета, среднее время реакции составило 45 минут

Кейс №1: Nmap
Запрос: «Добрый день! Подскажите, с чем может быть проблема: при запуске nmap на внешние ресурсы в результате появляются порты, которые в реальности закрыты?»

Отвечаем: Данное поведение вызвано Https-инспекцией.
Происходит это из-за того, что шлюз выступает в роли сервера и принимает эти порты. Затем он как клиент открывает сессии сайтами от себя

Кейс №2: Ошибки Threat Extraction
Запрос: Горят алерты на двух нодах по поводу недостатка свободного места. Однако места свободного очень много.»

Отвечаем: Проблема в том, что Check Point ориентируется на процент заполнения, а не на фактический объём.

Перейдите в свойства шлюза > Threat Extraction и уменьшите значение Stop cleaning files when disk space falls below до 15%. После этого установите политику.

👉 Тестируйте собственные сценарии на нашем стенде Check Point перед тем, как применить на своих МСЭ по ссылке

👏 Последний пост #CPS_кейс_недели в сентябре

За неделю инженеры технической поддержки СP Support решили 56 тикетов, среднее время реакции составило 45 минут

Сегодня мы подготовили кейс «Решение проблемы с высокой загруженностью CPU» по продукту вендора Код Безопасности:

Запрос: «В системе мониторинга наблюдается высокая загруженность CPU. Как можно это решить?»

Отвечаем: Если в системе мониторинга Континент 4 наблюдается высокая загруженность CPU (до 100%), то мы рекомендуем локально в командной строке выполнить команду «top» и «df». И обратить особое внимание на то, что создает основную нагрузку

Если это skydns_acl – возможным решением данной проблемы является откат последнего обновления категорий SkyDNS в Менеджере конфигурации

👁 Больше материалов с разбором частых ошибок при работе с решениями Код Безопасности от инженеров CP Support читайте по ссылке

🗂 Новый месяц — новые посты рубрики #CPS_кейс_недели

Сегодня мы расскажем о двух кейсах прошедшей недели от инженеров CP Support и поделимся решением проблем при работе с решениями Континент 4 и UserGate v7.1!

⏺Континент 4: «Истечение срока действия серверного сертификата»
Если срок действия серверного сертификата истекает, то необходимо в Менеджере Конфигурации в разделе «Администрирование» -> «Сертификаты» -> «Персональные сертификаты» создать новый сертификат с типом «Сервер доступа»

Затем этот сертификат нужно прикрепить к УБ, на котором активирован компонент «Сервер доступа». Этот сертификат будет автоматически загружен с помощью Континент АП/ZTN на машины пользователей, если в настройках клиентов отмечен соответствующий чекбокс (как на скриншоте, прикреплённом к посту)

При истечении срока действия текущего серверного сертификата начнёт использоваться выпущенный свежий

⏺ UserGate v7.1: «Блокировка Telegram с помощью UserGate v7.1»
При необходимости произвести блокировку Telegram средствами UserGate версии 7.1 можно создать правило в подразделе «Межсетевой экран». Нужно указать в качестве источника зону Trusted, а в качестве назначения — зону Untrusted, списки ip-адресов и url-адресов Telegram.

Их перечень приводим ниже:

91.108.56.0/22
91.108.4.0/22
91.108.8.0/22
91.108.16.0/22
91.108.12.0/22
149.154.160.0/20
91.105.192.0/23
91.108.20.0/22
185.76.151.0/24

t.me
telegram.org
web.telegram.org

Примечание: данные рекомендации были проверены на стенде с версией 7.1.2.33025R и работают на момент 10.10.2024. Но в связи с большим количеством ip-адресов, используемых Telegram, впоследствии они могут устареть

🛡 Ваш бесплатный тикет для начала знакомства с CP Support

💬 #CPS_кейс_недели

За прошедшую неделю наша команда инженеров решила 47 заявок, среднее время реакции составило 37 минут!

👤 Сегодня делимся решением кейса, связанного с платформой Maestro от вендора Check Point:

К нам обратился заказчик с проблемой: почта начала приходить с сильной задержкой. А также генерировались логи с action: Reject и reason: Failed to connect to SMTP server.

В ходе расследования мы выяснили, что письма не скапливаются в очереди MTA. При обращении на MTA выходит ошибка 421 No SMTP service here

В файле $FWDIR/log/emaild.smtp.elg было обнаружено:

fwasync_create_socket_bindopt: failed to bind to a reserved port: Address already in use fwmultik_bind_to_port_in_range: failed to bind to port in range 33236 – 33352

Решить проблему помогли следующие шаги:

На оркестраторе нужно ввести данную команду (на обоих, если кластер)

update_max_members_amount <SECURITY_GROUP> <MAX_MEMBER_ID>

где <SECURITY_GROUP> - это номер группы безопасности, а <MAX_MEMBER_ID> - количество шлюзов, находящихся в группе безопасности

На SMO (шлюз с наименьшим ID участника) нужно ввести команду:
cpha_blade_config set_max_members_for_port_range <MAX_MEMBER_ID>

Профит!

🤝 Узнать подробности об официальной технической поддержке Check Point от CP Support можно по ссылке