galileocomputing poster check point a3
TRANSCRIPT
Die 100 wichtigsten Check Point VPN-1-KommandosNokia IPSOCLISH> set interface eth1 speed 100M duplex full auto-advertise on link-recog-delay 6
Physikalische Netzwerkkartenparameter für eth1 konfigurieren
CLISH> add interface eth1c0 address 10.20.30.1/24
IP-Adresse und Subnetmask von eth1c0 konfigurieren
CLISH> save config geänderte Einstellungen speichern
CLISH> set static-route default nexthop gateway address 172.16.20.2 on
IP-Adresse für Standard Gateway einstellen
CLISH> set static-route 192.168.10.0/24 nexthop gateway address 172.16.20.1 on priority 1
statische Route zu einem bestimmten Zielnetz mit höchster Priorität einrichten
CLISH> set config-lock on override Schreibzugriff auf die Systemkonfiguration übernehmen
CLISH> show interfaces Netzwerkkartenkonfigurationen anzeigen
CLISH> show vrrp VRRP-Zustand anzeigen
CLISH> show vrrp interfaces VRRP-Interface-Informationen anzeigen
CLISH> set cryptaccel enable Kryptobeschleunigerkarte aktivieren
CLISH> set cryptaccel disable Kryptobeschleunigerkarte deaktivieren
voyager –e 0 80 Zugriff auf Nokia Network Voyager über Port 80 freischalten
ipsofwd on admin das Routing explizit einschalten
ipsofwd off admin das Routing explizit ausschalten
ipsofwd list es wird angezeigt, ob Routing ein- oder ausgeschaltet ist
BOOTMGR[1]> boot –s Nokia IP Appliance in den Single User Mode booten
#/etc/overpw nach Booten in Single User Mode das Passwort des admins überschreiben
BOOTMGR[2]> install Neuinstallation des IPSO-Betriebssystems vornehmen
BOOTMGR[3]> printenv IPSO-Systemeinstellungen anzeigen
BOOTMGR[4]> setenv testboot YES IPSO-Testboot aktivieren
BOOTMGR[5]> unsetenv testboot IPSO-Testboot deaktivieren
newimage –i –k IPSO-Upgrade durchführen. –k ist obliga- torisch, wenn bereits installierte Packages nach Upgrade nicht deaktiviert werden sollen
newpkg –i Package-Upgrade. –i dient nur als Warnung (install only). Das neue Package würde zwar installiert, aber anschließend wieder deaktiviert.
SecurePlatformpatch add cd bei eingelegter CD-ROM ein Inplace Upgrade durchführen
echo 1 > /proc/sys/net/ipv4/ip_forward Routing einschalten
cat /proc/sys/net/ipv4/ip_forward Prüfen, ob Routing eingeschaltet ist
backup --sched on 23:30 –w Wed --file Wed_Back jeden Mittwoch um 23:30 Uhr eine Sicherung durch- führen. Lokale Sicherungsdatei heißt Wed_Back.tgz und befindet sich unter dem Verzeichnis /var/CPbackup/backups
backup --tftp 172.16.20.101 --path / FireWall-HQ-01_Backup*
Sicherung des SecurePlatform-Systems einmalig auf den TFTP-Server mit der IP-Adresse 172.16.20.101 transferie-ren. Sicherungsdatei befindet sich auf dem TFTP-Root-Verzeichnis und heißt FireWall-HQ-01_Backup.tgz*
restore --tftp 172.16.20.101 FireWall-HQ-01_Back-up.tgz*
Sicherung FireWall-HQ-01_Backup.tgz* vom TFTP-Server (172.16.20.101) zurücksichern
snapshot --tftp 172.16.20.101 Snapshot_Dec07 Festplatten-Image Snapshot_Dec07 auf TFTP-Server (172.16.20.101) sichern
revert --tftp 172.16.20.101 Snapshot_Dec07.tgz Festplatten-Image Snapshot_Dec07.tgz vom TFTP-Server (172.16.20.101) zurückspielen
webui disable Web User Interface deaktivieren
webui enable Web User Interface aktivieren
webui enable 4477 Web User Interface mit Port tcp/4477 aktivieren
ntp –n 60 ptbtime1.ptb.de ptbtime2.ptb.de für SecurePlatform als NTP-Client eine Liste der NTP-Server konfigurieren. Zeitsynchronisation alle 60 sec durchführen
ntpstart nachdem NTP-Server mit dem vorherigen Kommando konfiguriert wurden, NTP-Client initialisieren
ntpstop NTP-Clientdienst beenden
shutdown SecurePlatform-Maschine herunterfahren
reboot SecurePlatform-Maschine neu starten
Microsoft Windowsnet start | find "Check Point" anzeigen, welche Check Point-Dienste
gestartet wurden
SUN Solarisndd –set /dev/ip ip_forwarding 1 Routing aktivieren
ndd –get /dev/ip ip_forwarding prüfen, ob Routing eingeschaltet ist
Yasushi Kono Check Point VPN-1 Power
1076 S., 2007, 69,90 Euro, ISBN 978-3-89842-897-2
www.galileocomputing.de/1424
* FireWall-HQ-01 und Mgmt_HQ_01 sind exemplarische Namen, die Sie durch die Namen in Ihrem System ersetzen müssen.
SmartCenter Serverfwm unload FireWall-HQ-01* aktive Policy vom SmartCenter aus deinstallieren
fwm load $FWDIR/conf/Standard.W FireWall-HQ-01*
vom SmartCenter aus eine Policy auf einem Gateway aktivieren
smartportalstop SmartPortal beenden
smartportalstart SmartPortal starten
fwm admin_lock –v Liste der gesperrten Administratoren
fwm admin_lock –ua alle gesperrten Administratoren entsperren
fwm admin_lock –u erwin Administrator erwin entsperren
fwm –a Administrator anlegen
fwm sic_reset internal CA komplett reinitialisieren
fwm dbload Benutzerdatenbank auf SmartCenter übertragen
cprlic print FireWall-HQ-01* Check Point-Lizenz eines Gateways vom SmartCenter aus anzeigen
fw logswitch Log Rotation anstoßen
fw logswitch –audit Log Rotation für Audit Log anstoßen
fwm logexport –i $FWDIR/log/2007-10-10_183301_1.log –o~/log_Oct_2007.csv –d , -n
Log in ASCII-Datei (CSV) ohne Reverse Lookup-Auflösung exportieren
ldapmodify –c –h 172.16.20.200 –D "cn= Administrator,cn=users,DC=Konolab,DC=com" –p abc123 –Z –p 636 –f $FWDIR/lib/ldap/schema_microsoft_ad.ldif
Mit Einstellungen der schema_microsoft_ad.ldif eine Schema-Erweiterung auf dem Directory Server (172.16.20.200) durchführen und dabei Berechtigungsnachweis von cn=Administrator, cn=users, DC=Konolab, DC=com verwenden. Kommunikations-port ist TCP 636 (LDAP-SSL).
fwm ver NG/NGX-Version des SmartCenters anzeigen
SmartCenter & Security Gatewaycpconfig Check Point-Konfigurationswerkzeug aufrufen
sysconfig Systemkonfigurationswerkzeug aufrufen
cplic print lokale Check Point-Lizenz anzeigen
Security Gateway Ifw stat Name der aktiven Policy
cpstat fw –f policy [-o 1] zusätzlich zu fw stat noch Statistiken der durchgelassenen/verworfenen Pakete
cpstat polsrv –f default Anzahl der lizenzierten SecureClients
cpstat os –f memory Statistik Speichernutzung
cpstat os –f cpu Statistik Prozessorauslastung
cpstat fg –f default Statistiken Check Point QoS
cpstat fw –f sync Statistiken State Synchronisation
cpstat vpn –f accelerator Statistiken Kryptobeschleunigung
fw unloadlocal aktive Policy lokal deinstallieren
fw fetch Mgmt-HQ-01* reaktivieren der zuletzt aktiven Fassung der Policy vom Gateway aus
cprestart SVN Foundation reinitialisieren
cpstop SVN Foundation beenden
cpstart SVN Foundation starten
cpstop FW1 FireWall-1 Dienst anhalten
cpstart FW1 Firewall-1 Dienst starten
cpstop ADVR Advanced Routing beenden
cpstart ADVR Advanced Routing starten
etmstop Check Point QoS beenden
etmstart Check Point QoS starten
cpridstop CPRID (für SmartUpdate) beenden
cpridstart CPRID (für SmartUpdate) starten
Security Gateway IIvpn macutil Frank für Frank MAC-Adresse zwecks DHCP-
Reservierung der Office Mode-Adresse für den SecureClient anzeigen
vpn macutil < userlist.txt > ~/mac2user.txt
aus userlist.txt die Zuordnungstabelle MAC-Adresse zu Benutzernamen erstellen
vpn drv off VPN-Dienst terminieren
vpn drv on VPN-Dienst starten
vpn accel stat Krypto-Statistik anzeigen
vpn accel on Kryptokarte aktivieren
vpn accel off Kryptokarte deaktivieren
vpn debug on VPN-Debugging einschalten
vpn debug ikeon IKE-Debugging einschalten
cphaprob state Cluster-Status anzeigen
cphaprob –a unregister defekte Interfaces deregistrieren
cphaprob –d Faildev –s problem –t 0 register
virtuelles Interface Faildev mit Status problem registrieren (-> Cluster Failover)
cphaconf set_ccp broadcast Cluster Control Protocol in Broadcast-Modus
cphastart Cluster-Dienst starten
cphastop Cluster-Dienst terminieren
fw monitor Visualisierung von Paketen durch Security Gateway
fw ctl pstat Statistiken Kernelspeichernutzung
fw ctl iflist Liste der Interfaces am Gateway
fw ctl arp Proxy-ARP-Einträge auf dem Gateway anzeigen
fw ctl getifs Gateway-Interfaces samt IP-Adressen anzeigen
Security Gateway IIIfw ctl debug 0 fw ctl debug –buf 2048 fw ctl debug –m cluster + all fw ctl debug –m – pivot fw ctl kdebug –f > cluster.dbg
Befehlssequenz für das exemplarische Debug-ging vom Cluster, wobei der pivot-Kernelflag herausgenommen wurde. Die Outputdatei für das Debugging ist die Datei namens cluster.dbg
fw ctl chain Chain Modules anzeigen
fw tab –t gui_clients_list GUI-Clients anzeigen (IP-Adressen in hex. Schreibweise)
fw tab –t sam_blocked_ips gemäß SAM-Regel gesperrte IP-Adressen anzeigen (in hex.)
fw tab –t sam_requests zusätzliche Informationen zu gesperrten IP-Adressen anzeigen
fw sam –t 7200 –i src 172.10.20.130
IP-Adresse 172.10.20.130 als Quell-IP per Reject verwerfen. Sperre beträgt 7.200 Sekun-den (2 h)
fw sam –J src 172.10.20.131 Quell-IP 172.10.20.131 per Drop verwerfen
fw sam –D sämtliche SAM-Regeln löschen
fw tab –t sam_blocked_ips –x identisch zu fw sam –D
fw tab –t sam_blocked_ips –e 0a646566 –x
aus SAM Rule Adresse 10.100.101.102 explizit entfernen
fw ver NG/NGX-Version des Security Gateways anzeigen
dynamic_objects –l dynamische Objekte anzeigen
dynamic_objects –n BlockList –r 10.23.107.23 220.23.107.77 –a
dynamisches Objekt BlockList mit Adressbe-reich 10.23.107.23 – 10.23.107.77 anlegen
dynamic_objects –o BlockList –r 10.223.102.30 213.223.102.243 -a
in dynamisches Objekt BlockList Adressbereich 10.223.102.30 – 10.223.102.243 einfügen
dynamic_objects –o BlockList –r 10.23.107.23 220.23.107.77 –d
aus dynamischem Objekt BlockList Adressbe-reich 10.23.107.23 – 10.23.107.77 entfernen