Check Point | Troubleshoot

Alperen Soyalp 10 Aralık 2021 Network, Security0

Check Point Firewall

Check Point kurumsal ağlarda en çok tercih edilen 3 güvenlik duvarından biridir. Sektörün ilk stateful güvenlik duvarı (FireWall-1 1993) Check Point tarafından üretilmiştir.

Bu uzun mazi; tecrübe ve güvenlik seviyesinin yüksek olması avantajını doğurmuştur. Fakat bu uzun mazinin elbette dezavantajlar da vardır.  Diğer rakipleri tamamen webden yönetilebilirken (tabii cli kadar esnek olunamadığı durumlar oluyor),  Check Point güvenlik duvarının halen bir masaüstü uygulaması hatta birkaç masaüstü uygulaması aracılığıyla yönetilebilmektedir.

Daha önce Fortigate / Palo Alto kullanmış ve bunların kullanımına alışmış kişilerin, Check Point’e sempati duyması biraz zor olabilir.

Check Point Firewall Troubleshoot Araçları

Checpoint firewall’da 2 cli kabuğu bulunmakta. Birincisi Gaia clish ikincisi expert. Gaia Clish varsayılan kabukdur. Tüm cihaz konfigurasyonları bu kabuk aracılığıyla yapılır. “show route” “show configuration” gibi komutların çalışıtrılabildiği, cihaz network interface ve statik, dinamik routinglerin yapılabildiği arayüzdür. Hostname, snmp, vrrp gibi ayarlar da yine clish ile yapılabilmektedir.

Expert ise cihaz üzerindeki GaiaOS ile etkileşimin yapılabildiği daha sınırsız bir kabuktur. Burada tcpdump, watch ethtool, ls, pwd ,mv ,rm rf gibi alışageldiğimiz unix/linux bileşenleri kullanılabilmektedir. Dolayısı ile troubleshoot yapmak için Expert modu güzel araçlar sunmaktadır.

Clish komutları

show configuration        

firewall üzerinde çalışan konfigurasyonu döker. show ile dökebileceğiniz diğer şeyleri görmek için show + tab ile ilerleyebilirsiniz.

arp –an

arp tablosunu gösterir

Checkpoint firewall’a ssh ile login olduktan sonra clish kabuğuna düşersiniz. clish’da iken expert komutu ile expert modunu açabilirsiniz.

cpview

Check Pointin CLI’ini diğer firewallar bir adım öne çıkaran bir uygulamadır cpview. Hem clish hem de expert kabuklarında çalışır. Cihaz hakkındaki herşeyin görülebileceği bir özet arayüz sunar. Mouse hareketleri ile üst menüde gezip cihaz hakkındaki istatistiklere, kullanım rakamlarına ulaşabilirsiniz.

checkpoint firewall sorun

Expert Komutları

cphaprob stat

HA durumunu gösteren komuttur. Cluster Mode bilgisini, aktif pasif cihaz durumunu, son failover’en neden yaşandığını ve ne zaman yaşandığını ve kaç kez failover olduğu bilgisini bu komut çıktısında görebilirsiniz.

route –n

Kernel IP routing tablosundaki, Destination, Gateway, Genmask, Flags, Metric, Ref, Interface bilgilerini yazdıran komuttur.

ifconfig

epey tanıdık bir komut açıklama yazmasam da olur sanırım 🙂

Packet Capture Komutları

tcpdump -i eth1 host 13.71.66.71

eth1 porta girip çıkan 213.71.66.71 IP adresli paketleri gösterir

tcpdump -i eth1 port 3333

eth1 portunda kaynağı veya hedefi 3333 olan paketleri gösterir

tcpdump -i any 'udp && src host 121.121.121.121'

herhangi bir interfaceden kaynağı 121.121.121.121 olan udp paketleri gösterir

tcpdump programı ile ilgili internette birçok örnek bulabilirsiniz.

fw ctl zdebug +drop

herhangi bir sebepten dolayı droplanıpda, loglanmayan paketleri bu komut ile görebilirsiniz. Bazen Logs & Monitor tabında izinlenmiş gibi görünen paketler aslında droplanmış olabilir.  Sonuna “| grep 13.7.19.97” gibi bir option ile droplanan paketler içerisinde IP adresi vb. Filtreler koyabilirsiniz.

fw monitor

fw monitor -e “(host(192.168.1.111) and host(192.118.214.101)) , accept;” -o /var/log/fw_droppackets.cap

Yukarıdaki komut, komut içerisinde belirtilmiş IP adresleri arasındaki “accept” olan trafiği /var/log altındaki fw_packets.cap dosyasına kaydeder.

Nispeten Sık Yaşanan Ciddi Sorunlar ve Çözümleri

Localpolicy yüklenmesi

Bazı durumlarda Checkpoint güvenlik duvarı üzerindeki konfigurasyonu kaybedebiliyor (Ani elektrik kesintisi veya başka kararsız durumlarda). Bu durumlarda cihaz ayakta, console ile bağlanılabiliyor, internete ping atabiliyor fakat ssh / gui’den erişilemiyor olabiliyor. Bu gibi durumlarda cihaza console ile bağlanıp “fw unloadlocal” komutu ile local policy silinip, smartconsole’dan tekrar policy basılabilir.

Vpn Acceleration’un Random Packet Droplaması

Özellikle checkpoint to checkpoint (site to site ipsec) VPN’lerde bazı sistemlerin bazı trafikleri silent drop ile düşürülüyor ise, detayına girmeyeceğim, vpn acceleration teknolojisinden kaynaklanıyor olabilir.

Sorun yaşanan cihazlarda “vpn accel off” komutunu çalışıtrıp bu droplamanın bitip bitmediğini denetleyin. Sorunun çözüldüğüne kanaat getirirseniz “vpn accel off” u kalıcı hale getirmeniz gerekmektedir. Aksi takdirde her reboot sonrası vpn acceleration tekrar açılacaktır.

 “vpn_accel=0” satırını fwkern.conf ($FWDIR/boot/modules altında) dosyasına eklemeniz durumunda vpn acceleration kalıcı olarak kapatılacaktır. Cihazı reboot etseniz de tekrar aktif hale gelmez.

Bu işlemi yapmak için:
1. Expert modda iken;

Expert# echo vpn_accel=0 >> $FWDIR/boot/modules/fwkern.conf

Komutunu çalıştırın.

2. Aşağıdaki komutla satırın doğru eklendiğini teyit edin.
Expert# cat $FWDIR/boot/modules/fwkern.conf

Eğer HA bir yapıya sahipseniz vpn acceleration’u standby cihazda da aynı şekilde kapatmanız gerekir.

External Link: https://sc1.checkpoint.com/documents/R81.10/WebAdminGuides/EN/CP_R81.10_Gaia_AdminGuide/Topics-GAG/Gaia-Overview.htm

Diğer Network Güvenliği kategorisindeki yazılar burada.

Yorumlar (Yorum yapılmamış)

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Dostlar