Die 100 wichtigsten Check Point VPN-1-Kommandos Nokia IPSO CLISH> set interface eth1 speed 100M duplex full auto-advertise on link- recog-delay 6 Physikalische Netzwerkkartenparameter für eth1 konfigurieren CLISH> add interface eth1c0 address 10.20.30.1/24 IP-Adresse und Subnetmask von eth1c0 konfigurieren CLISH> save config geänderte Einstellungen speichern CLISH> set static-route default nexthop gateway address 172.16.20.2 on IP-Adresse für Standard Gateway einstellen CLISH> set static-route 192.168.10.0/24 nexthop gateway address 172.16.20.1 on priority 1 statische Route zu einem bestimmten Zielnetz mit höchster Priorität einrichten CLISH> set config-lock on override Schreibzugriff auf die Systemkonfiguration übernehmen CLISH> show interfaces Netzwerkkartenkonfigurationen anzeigen CLISH> show vrrp VRRP-Zustand anzeigen CLISH> show vrrp interfaces VRRP-Interface-Informationen anzeigen CLISH> set cryptaccel enable Kryptobeschleunigerkarte aktivieren CLISH> set cryptaccel disable Kryptobeschleunigerkarte deaktivieren voyager –e 0 80 Zugriff auf Nokia Network Voyager über Port 80 freischalten ipsofwd on admin das Routing explizit einschalten ipsofwd off admin das Routing explizit ausschalten ipsofwd list es wird angezeigt, ob Routing ein- oder ausgeschaltet ist BOOTMGR[1]> boot –s Nokia IP Appliance in den Single User Mode booten #/etc/overpw nach Booten in Single User Mode das Passwort des admins überschreiben BOOTMGR[2]> install Neuinstallation des IPSO-Betriebssystems vornehmen BOOTMGR[3]> printenv IPSO-Systemeinstellungen anzeigen BOOTMGR[4]> setenv testboot YES IPSO-Testboot aktivieren BOOTMGR[5]> unsetenv testboot IPSO-Testboot deaktivieren newimage –i –k IPSO-Upgrade durchführen. –k ist obliga- torisch, wenn bereits installierte Packages nach Upgrade nicht deaktiviert werden sollen newpkg –i Package-Upgrade. –i dient nur als Warnung (install only). Das neue Package würde zwar installiert, aber anschließend wieder deaktiviert. SecurePlatform patch add cd bei eingelegter CD-ROM ein Inplace Upgrade durchführen echo 1 > /proc/sys/net/ipv4/ip_forward Routing einschalten cat /proc/sys/net/ipv4/ip_forward Prüfen, ob Routing eingeschaltet ist backup --sched on 23:30 –w Wed --file Wed_Back jeden Mittwoch um 23:30 Uhr eine Sicherung durch- führen. Lokale Sicherungsdatei heißt Wed_Back.tgz und befindet sich unter dem Verzeichnis /var/CPbackup/ backups backup --tftp 172.16.20.101 --path / FireWall- HQ-01_Backup* Sicherung des SecurePlatform-Systems einmalig auf den TFTP-Server mit der IP-Adresse 172.16.20.101 transferie- ren. Sicherungsdatei befindet sich auf dem TFTP-Root- Verzeichnis und heißt FireWall-HQ-01_Backup.tgz* restore --tftp 172.16.20.101 FireWall-HQ-01_Back- up.tgz* Sicherung FireWall-HQ-01_Backup.tgz* vom TFTP-Server (172.16.20.101) zurücksichern snapshot --tftp 172.16.20.101 Snapshot_Dec07 Festplatten-Image Snapshot_Dec07 auf TFTP-Server (172.16.20.101) sichern revert --tftp 172.16.20.101 Snapshot_Dec07.tgz Festplatten-Image Snapshot_Dec07.tgz vom TFTP-Server (172.16.20.101) zurückspielen webui disable Web User Interface deaktivieren webui enable Web User Interface aktivieren webui enable 4477 Web User Interface mit Port tcp/4477 aktivieren ntp –n 60 ptbtime1.ptb.de ptbtime2.ptb.de für SecurePlatform als NTP-Client eine Liste der NTP- Server konfigurieren. Zeitsynchronisation alle 60 sec durchführen ntpstart nachdem NTP-Server mit dem vorherigen Kommando konfiguriert wurden, NTP-Client initialisieren ntpstop NTP-Clientdienst beenden shutdown SecurePlatform-Maschine herunterfahren reboot SecurePlatform-Maschine neu starten Microsoft Windows net start | find "Check Point" anzeigen, welche Check Point-Dienste gestartet wurden SUN Solaris ndd –set /dev/ip ip_forwarding 1 Routing aktivieren ndd –get /dev/ip ip_forwarding prüfen, ob Routing eingeschaltet ist Yasushi Kono Check Point VPN-1 Power 1076 S., 2007, 69,90 Euro, ISBN 978-3-89842-897-2 www.galileocomputing.de/1424 * FireWall-HQ-01 und Mgmt_HQ_01 sind exemplarische Namen, die Sie durch die Namen in Ihrem System ersetzen müssen. SmartCenter Server fwm unload FireWall-HQ-01* aktive Policy vom SmartCenter aus deinstallieren fwm load $FWDIR/conf/Standard.W FireWall- HQ-01* vom SmartCenter aus eine Policy auf einem Gateway aktivieren smartportalstop SmartPortal beenden smartportalstart SmartPortal starten fwm admin_lock –v Liste der gesperrten Administratoren fwm admin_lock –ua alle gesperrten Administratoren entsperren fwm admin_lock –u erwin Administrator erwin entsperren fwm –a Administrator anlegen fwm sic_reset internal CA komplett reinitialisieren fwm dbload Benutzerdatenbank auf SmartCenter übertragen cprlic print FireWall-HQ-01* Check Point-Lizenz eines Gateways vom SmartCenter aus anzeigen fw logswitch Log Rotation anstoßen fw logswitch –audit Log Rotation für Audit Log anstoßen fwm logexport –i $FWDIR/ log/2007-10-10_183301_1.log –o~/log_ Oct_2007.csv –d , -n Log in ASCII-Datei (CSV) ohne Reverse Lookup-Auflösung exportieren ldapmodify –c –h 172.16.20.200 –D "cn= Administrator,cn=users,DC=Konolab,DC=com" –p abc123 –Z –p 636 –f $FWDIR/lib/ldap/ schema_microsoft_ad.ldif Mit Einstellungen der schema_microsoft_ad.ldif eine Schema- Erweiterung auf dem Directory Server (172.16.20.200) durchführen und dabei Berechtigungsnachweis von cn=Administrator, cn=users, DC=Konolab, DC=com verwenden. Kommunikations- port ist TCP 636 (LDAP-SSL). fwm ver NG/NGX-Version des SmartCenters anzeigen SmartCenter & Security Gateway cpconfig Check Point-Konfigurationswerkzeug aufrufen sysconfig Systemkonfigurationswerkzeug aufrufen cplic print lokale Check Point-Lizenz anzeigen Security Gateway I fw stat Name der aktiven Policy cpstat fw –f policy [-o 1] zusätzlich zu fw stat noch Statistiken der durchgelassenen/verworfenen Pakete cpstat polsrv –f default Anzahl der lizenzierten SecureClients cpstat os –f memory Statistik Speichernutzung cpstat os –f cpu Statistik Prozessorauslastung cpstat fg –f default Statistiken Check Point QoS cpstat fw –f sync Statistiken State Synchronisation cpstat vpn –f accelerator Statistiken Kryptobeschleunigung fw unloadlocal aktive Policy lokal deinstallieren fw fetch Mgmt-HQ-01* reaktivieren der zuletzt aktiven Fassung der Policy vom Gateway aus cprestart SVN Foundation reinitialisieren cpstop SVN Foundation beenden cpstart SVN Foundation starten cpstop FW1 FireWall-1 Dienst anhalten cpstart FW1 Firewall-1 Dienst starten cpstop ADVR Advanced Routing beenden cpstart ADVR Advanced Routing starten etmstop Check Point QoS beenden etmstart Check Point QoS starten cpridstop CPRID (für SmartUpdate) beenden cpridstart CPRID (für SmartUpdate) starten Security Gateway II vpn macutil Frank für Frank MAC-Adresse zwecks DHCP- Reservierung der Office Mode-Adresse für den SecureClient anzeigen vpn macutil < userlist.txt > ~/ mac2user.txt aus userlist.txt die Zuordnungstabelle MAC-Adresse zu Benutzernamen erstellen vpn drv off VPN-Dienst terminieren vpn drv on VPN-Dienst starten vpn accel stat Krypto-Statistik anzeigen vpn accel on Kryptokarte aktivieren vpn accel off Kryptokarte deaktivieren vpn debug on VPN-Debugging einschalten vpn debug ikeon IKE-Debugging einschalten cphaprob state Cluster-Status anzeigen cphaprob –a unregister defekte Interfaces deregistrieren cphaprob –d Faildev –s problem –t 0 register virtuelles Interface Faildev mit Status problem registrieren (-> Cluster Failover) cphaconf set_ccp broadcast Cluster Control Protocol in Broadcast-Modus cphastart Cluster-Dienst starten cphastop Cluster-Dienst terminieren fw monitor Visualisierung von Paketen durch Security Gateway fw ctl pstat Statistiken Kernelspeichernutzung fw ctl iflist Liste der Interfaces am Gateway fw ctl arp Proxy-ARP-Einträge auf dem Gateway anzeigen fw ctl getifs Gateway-Interfaces samt IP-Adressen anzeigen Security Gateway III fw ctl debug 0 fw ctl debug –buf 2048 fw ctl debug –m cluster + all fw ctl debug –m – pivot fw ctl kdebug –f > cluster.dbg Befehlssequenz für das exemplarische Debug- ging vom Cluster, wobei der pivot-Kernelflag herausgenommen wurde. Die Outputdatei für das Debugging ist die Datei namens cluster.dbg fw ctl chain Chain Modules anzeigen fw tab –t gui_clients_list GUI-Clients anzeigen (IP-Adressen in hex. Schreibweise) fw tab –t sam_blocked_ips gemäß SAM-Regel gesperrte IP-Adressen anzeigen (in hex.) fw tab –t sam_requests zusätzliche Informationen zu gesperrten IP-Adressen anzeigen fw sam –t 7200 –i src 172.10.20.130 IP-Adresse 172.10.20.130 als Quell-IP per Reject verwerfen. Sperre beträgt 7.200 Sekun- den (2 h) fw sam –J src 172.10.20.131 Quell-IP 172.10.20.131 per Drop verwerfen fw sam –D sämtliche SAM-Regeln löschen fw tab –t sam_blocked_ips –x identisch zu fw sam –D fw tab –t sam_blocked_ips –e 0a646566 –x aus SAM Rule Adresse 10.100.101.102 explizit entfernen fw ver NG/NGX-Version des Security Gateways anzeigen dynamic_objects –l dynamische Objekte anzeigen dynamic_objects –n BlockList –r 10.23.107.23 220.23.107.77 –a dynamisches Objekt BlockList mit Adressbe- reich 10.23.107.23 – 10.23.107.77 anlegen dynamic_objects –o BlockList –r 10.223.102.30 213.223.102.243 -a in dynamisches Objekt BlockList Adressbereich 10.223.102.30 – 10.223.102.243 einfügen dynamic_objects –o BlockList –r 10.23.107.23 220.23.107.77 –d aus dynamischem Objekt BlockList Adressbe- reich 10.23.107.23 – 10.23.107.77 entfernen