Articles taggés ‘checkpoint’
ClusterXL sur IPSO et IGMP snooping
Presentation de ClusterXL et CCP Check Point utilise un protocole proprietaire - CCP (Cluster Control Protocol) - pour la communication entre les membres d'un ClusterXL. Ce protocole fonctionne en UDP sur le port 8116 en multicast (mode par défaut) ou bien en broadcast et permet notamment la vérification du status des membres du cluster ainsi que les échanges d'information pour la synchronisation de la table de connexions Les firewall Check Point étant "statefull", la synchronisation de la ...
Bridging d’interface Vlan
Dans certaines situations, le bridging d’interface Vlan peut présenter une solution à certaines problématiques d’architecture. Dans notre cas d’étude, les contraintes sont les suivantes : Une seule interface est disponible/doit être utilisée sur le Firewall (ce qui nous oblige à faire du 802.1q sur l’interface) Pas de NAT ni de routage supplémentaire pour des raisons d’optimisation Pouvoir filtrer les ...
Configuration DHCP Relay sur Checkpoint
La configuration du DHCP Relay est connue pour les Firewalls Checkpoint, cependant les flux à autoriser sont parfois compliqués à connaître : Sur ce schéma ce sont deux agences connectées en VPN IPSec (de type HQ-SOHO "HeadQuarters & Small Office/Home Office) Règles au niveau du FW HQ (HeadQuarters) : Règles au ...
Configuration d’interface PPPoE sur Checkpoint
Sur les OS SPLAT et GAIA de Checkpoint, il est possible de créer des interfaces PPPoE et d’effectuer la négociation PPP(ce cas devient fréquent avec la généralisation de la Fibre). De son côté, l’opérateur livre une interface Ethernet (RJ45) au lieu de la traditionnelle paire de cuivre (RJ11) . Par contre pour les OS IPSO, au-delà des versions 4.2 cela n’est pas possible (limitation CP) > Il faudra migrer vers GAIA pour ...
Un premier aperçu de Checkpoint GAIA
GAIA est le nom du nouvel OS de Check Point, la convergence entre SPLAT (basé sur du RedHat) et IPSO (l’OS type BSD de Nokia). Nous avons eu accès à la version beta (Early Availibility n°5 , aka EA5) avant le lancement officiel. Voici ci-dessous la reprise des tweets que nous avons réalisés lors de nos tests : La bannière reprend le thème CheckPoint : https://pic.twitter.com/ABnI7pYr (cette image n'est plus disponible) Deux (petites) nouveautés : la console embarquée Web (à la Fortinet) et les ...
[CheckPoint] Des paquets ICMP bypassent le VPN
Il vient de m'arriver un sale bug qui m'a occupé 2h lors d'une formation Checkpoint : autant en faire profiter tout le monde ! Lorsque la règle implicite "Accept ICMP requests" est activée (cf menu "Global properties"), les pings entre deux réseaux - reliés par un VPN - n'empruntent plus ce VPN !! Après avoir sniffé l'interface externe, on voit bien les paquets ICMP sortirent NATés et non encapsulés, comme si les règles VPN (basées sur la ...
Debug VPN sous CheckPoint SecurePlatform
J'ai été amené aujourd'hui à débugger un lien VPN entre un FW Check Point et un FW Netasq. Les logs ne mentionnaient qu'un échec de négociation lors de la phase 2. Il existe quelques outils pour débugger sous SecurePlatform. Tout d'abord activer les logs : [gw02]# expert Enter expert password: You are in expert mode now. [gw02]# vpn debug trunc Les fichiers de trace, ike.elg et vpnd.elg, se trouvent dans /opt/CPsuite-R65/fw1/log. Ne pas oublier ensuite d’arrêter les traces (qui contiennent les ...
Visioconférences IP au travers de firewalls
Les constructeurs de firewall se vantent souvent d'implémenter des modules applicatifs. Ceci est nécessaire lorsque l'applicatif ouvrent des ports TCP/UDP dynamiquement. C'est typiquement le cas de la visioconférence IP lorsque celle-ci utilise H.323 (SIP est un autre concurrent ainsi que MGCP), qui "regroupe" de nombreux autres protocoles tels que H.245 et H.225. Nous sommes intervenus récemment chez un client qui utilise des équipements de visioconférence TANDBERG pour des communications internationales traversant de ...