Доброго времени суток, в этой короткой статье будут приведены примеры команд, которые можно выполнять на операционной системе Check Point'a Gaia через CLI.
Перед тем, как начать, уточнение: знак > указывает, что мы находимся в пользовательском режиме (clish), а знак #, что мы находимся в экспертном режиме (expert mode).
1) Настройка RADIUS: Синтаксис команд:
#radius servers add <server[:port]> <secret> <timeout> <label>
#radius users add <username>
#radius groups add <groupname>
//добавление radius сервера, пользователя и группы соответственно
#radius servers show
#radius groups show
#radius users show
//вывод информации о radius серверах, пользователях и группах соответственно
#radius users add <username>
#radius users del <username>
//удаление radius сервера, пользователя и группы соответственно
Чтобы настроить RADIUS сервер, мы разберем пример. Исходные данные возьмем следующие:
- адрес первичного RADIUS сервера: 10.100.100.31
- адрес вторичного RADIUS сервера: 10.100.100.32
- пароль: passwd
- имя пользователя: john
- группа сервера RADIUS: cp-admin-user
- RADIUS порт по умолчанию: 1812
[CP-FW]#radius servers add 10.100.100.31:1812 passwd 3 pri
[CP-FW]#radius servers add 10.100.100.32:1812 passwd 3 sec
//добавление первичного и вторичного radius сервера
[CP-FW]#radius groups add cp-admin-user
//добавление общей radius группы
[CP-FW]#radius users add john
//добавление пользователя john
2) Листинг портов Check Point Найти все порты и их краткое описание можете найти в таблице Excel
Check Point Port List - NG/NGX, в первом столбце указан номер порта, во втором протокол транспортного уровня, который используется с тем или иным протоколом, а в третьем – описание.
§ Порты, используемые NG и NGX релизами (первый лист Excel)
§ Общие порты Check Point (General Common Ports) (второй лист Excel)
§ SIC (security internal communication) порты Check Point (третий лист Excel)
§ Порты аутентификации Check Point (четвертый лист Excel)
3)
Команда просмотра ARP таблицы через CLI Для вывода ARP таблицы нужна одни лишь команда в экспертном режиме #arp. Ниже приведен примерный вывод на экран, после введения этой команды.
[Expert@CheckPoint:0]# arp
Address HWtype HWaddress Flags Mask Iface
10.100.100.9 ether 00:00:0C:07:AC:56 C eth0
10.100.100.172 ether 98:4B:E1:05:DD:C6 C eth0
10.100.100.192 ether 00:25:B3:1D:34:2C C eth0
10.100.100.110 ether 00:03:D2:E0:01:C1 C eth0
10.100.100.109 ether 00:1E:0B:75:D5:18 C eth0 4)
Команда просмотра и анализа статистики фаэрвола через CLI Команда "
fw ctl pstat" помогает просмотреть и проанализировать статистику фаэрвола: общую емкость системы, статистику хэш-памяти kernel(hmem), статистику памяти системы kernel (smem), статистику памяти kernel (kmem), куки-файлы, соединения, фрагменты, NAT и синхронизацию. Команду можно вводить из обоих режимов: пользовательского и экспертного.
Firewall-1> fw ctl pstat
System Capacity Summary: Memory used: 10% (906 MB out of 8995 MB) - below watermark
Concurrent Connections: 14711 (Unlimited)
Aggressive Aging is not active
Hash kernel memory (hmem) statistics: Total memory allocated: 939524096 bytes in 229376 (4096 bytes) blocks using 1 pool
Total memory bytes used: 110964304 unused: 828559792 (88.19%) peak: 275797876
Total memory blocks used: 29754 unused: 199622 (87%) peak: 69041
Allocations: 2973292326 alloc, 0 failed alloc, 2972371604 free
System kernel memory (smem) statistics: Total memory bytes used: 1562014700 peak: 1637268168
Total memory bytes wasted: 19268533
Blocking memory bytes used: 9323456 peak: 10206048
Non-Blocking memory bytes used: 1552691244 peak: 1627062120
Allocations: 3531743 alloc, 0 failed alloc, 3522718 free, 0 failed free
vmalloc bytes used: 1535613668 expensive: no
Kernel memory (kmem) statistics: Total memory bytes used: 730416708 peak: 903400200
Allocations: 2976731264 alloc, 0 failed alloc
2975804540 free, 0 failed free
External Allocations: 0 for packets, 87249934 for SXL
Cookies: 616785959 total, 0 alloc, 0 free,
159 dup, 1858687205 get, 970255 put,
620791859 len, 666 cached len, 0 chain alloc,
0 chain free
Connections: 1104181 total, 136685 TCP, 967119 UDP, 94 ICMP,
283 other, 0 anticipated, 0 recovered, 14711 concurrent,
24758 peak concurrent
Fragments: 2268 fragments, 1068 packets, 0 expired, 0 short,
0 large, 0 duplicates, 0 failures
NAT: 36620/0 forw, 1/0 bckw, 1 tcpudp,
0 icmp, 9407-22585774 alloc
Sync: Version: new
Status: Able to Send/Receive sync packets
Sync packets sent:
total : 23536733, retransmitted : 7941, retrans reqs : 4806, acks : 10007
Sync packets received:
total : -461197207, were queued : 13052, dropped by net : 8667
retrans reqs : 3578, received 64567 acks
retrans reqs for illegal seq : 0
dropped updates as a result of sync overload: 3044
5)
Просмотр статуса Agressive Aging через CLI Aggressive Aging вызывает окончание тайм-аута намного быстрее, например 60 секунд, вместо 60 минут. Статус Aggressive Aging можно посмотреть, используя команду
fw ctl pstat. Устройство может войти в Aggressive Aging, когда память на исходе.
Пример 1(Aggressive Aging не активен):
CheckPoint-Firewall-1
> fw ctl pstat
System Capacity Summary:
Memory used: 10% (906 MB out of 8995 MB) - below watermark
Concurrent Connections: 14711 (Unlimited)
Aggressive Aging is not active
Пример 2(Aggressive Aging активен):
CheckPoint-Firewall-1> fw ctl pstat
System Capacity Summary:
Memory used: 90% (900 MB out of 1000 MB) - below watermark
Concurrent Connections: 2000 (Unlimited)
Aggressive Aging is active
6)
Просмотр версии и статуса SecureXL/Acceleration через CLI SecureXL – это программное обеспечение, которое базируется на ускорении и улучшении производительности всего, что связано со словом Network. SecureXL будет ускорять передачу пакетов от интерфейса к интерфейсу для известного трафика, следовательно это сократит использование CPU.
Версия и статус SecureXL/acceleration могут быть отображены через командную строку (CLI) с помощью команд "
fwaccel ver" и "
fwaccel stat", введенных как в clish, так и в expert mode.
Синтаксис:
fwaccel ver
fwaccel stat Пример:
CP-Firewall
> fwaccel ver
Firewall version: R71.30 - Build 036
Acceleration Device: Performance Pack
Accelerator Version 2.1 Firewall API version: 2.85NG (19/7/2009)
Accelerator API version: 2.85NG (19/7/2009)
CP-Firewall
> fwaccel stat
Accelerator Status : on Accept Templates : enabled
Drop Templates : disabled
Accelerator Features : Accounting, NAT, Cryptography, Routing,
HasClock, Templates, Synchronous, IdleDetection,
Sequencing, TcpStateDetect, AutoExpire,
DelayedNotif, TcpStateDetectV2, CPLS, WireMode,
DropTemplates, Streaming, MultiFW, AntiSpoofing,
DoS Defender
Cryptography Features : Tunnel, UDPEncapsulation, MD5, SHA1, NULL,
3DES, DES, CAST, CAST-40, AES-128, AES-256,
ESP, LinkSelection, DynamicVPN, NatTraversal,
EncRouting
7)
Просмотр статистики ускоренных пакетов и соединений SecureXL/Acceleration через CLI Статистика ускорения SecureXL, а именно: ускоренные подключения, ускоренные пакеты, F2F и PXL пакеты - может быть отображена с помощью команды "
fwaccel stats -s", введенной как в clish, так и в expert mode.
Синтаксис:
fwaccel stats –s Пример:
CP-Firewall
> fwaccel stats -s
Accelerated conns/Total conns : 3273/3339 (98%)
Accelerated pkts/Total pkts : 582654303/600318668 (97%)
F2Fed pkts/Total pkts : 17664365/600318668 (2%)
PXL pkts/Total pkts : 0/600318668 (0%)
8)
Просмотр Active Chain на шлюзе безопасности через CL, код INSPECT Check Point kernel инспектирует пакеты в обоих направлениях: входящем (Inbound) и исходящем (Outbound). Модули и порядок инспекции могут варьироваться для каждого направления.
Код INSPECT иначе называется handler (обработчик), ибо он решает какие модули будут инспектировать пакет.
Каждый модуль инспекционных операций делится на цепи. Количество цепей на шлюзе безопасности варьируется исходя из включенных блейдов/фич. Все активные цепи могут быть отображены с помощью команды "
fw ctl chain".
Синтаксис:
fw ctl chain Пример:
[Expert@SecurityGateway] # fw ctl chain
in chain (15):
0: -7f800000 (ee6a8710) (ffffffff) IP Options Strip (ipopt_strip)
1: - 2000000 (ee42d540) (00000003) vpn decrypt (vpn)
2: - 1fffff6 (ee6a9f20) (00000001) Stateless verifications (asm)
3: - 1fffff2 (ee45ff30) (00000003) vpn tagging inbound (tagging)
4: - 1fffff0 (ee42f040) (00000003) vpn decrypt verify (vpn_ver)
5: - 1000000 (ee6f0b10) (00000003) SecureXL conn sync (secxl_sync)
6: 0 (ee65c4b0) (00000001) fw VM inbound (fw)
7: 1 (ee6b5390) (00000002) wire VM inbound (wire_vm)
8: 10 (ee676990) (00000001) fw accounting inbound (acct)
9: 2000000 (ee4317d0) (00000003) vpn policy inbound (vpn_pol)
10: 10000000 (ee6f7c60) (00000003) SecureXL inbound (secxl)
11: 7f600000 (ee69ddf0) (00000001) fw SCV inbound (scv)
12: 7f750000 (ee7e07a0) (00000001) TCP streaming (in) (cpas)
13: 7f800000 (ee6a8aa0) (ffffffff) IP Options Restore (ipopt_res)
14: 7fb00000 (ee7c6b10) (00000001) HA Forwarding (ha_for)
out chain (13):
0: -7f800000 (ee6a8710) (ffffffff) IP Options Strip (ipopt_strip)
1: - 1ffffff (ee430580) (00000003) vpn nat outbound (vpn_nat)
2: - 1fffff0 (ee7e05b0) (00000001) TCP streaming (out) (cpas)
3: - 1ff0000 (ee45ff30) (00000003) vpn tagging outbound (tagging)
4: - 1f00000 (ee6a9f20) (00000001) Stateless verifications (asm)
5: 0 (ee65c4b0) (00000001) fw VM outbound (fw)
6: 1 (ee6b5390) (00000002) wire VM outbound (wire_vm)
7: 2000000 (ee432210) (00000003) vpn policy outbound (vpn_pol)
8: 10000000 (ee6f7c60) (00000003) SecureXL outbound (secxl)
9: 20000000 (ee4324a0) (00000003) vpn encrypt (vpn)
10: 7f000000 (ee676990) (00000001) fw accounting outbound (acct)
11: 7f700000 (ee7e02c0) (00000001) TCP streaming post VM (cpas)
12: 7f800000 (ee6a8aa0) (ffffffff) IP Options Restore (ipopt_res)
9)
Просмотр лицензий и контрактов через CLI Благодаря команде "
cplic" можно через командную строку посмотреть всю информацию, относящуюся к лицензиям и контрактам.
Синтаксис:
cplic для Локального Лицензирования:
cplic –d // команда запускается в режиме дебага
cplic put <options>
//устанавливает и прикрепляет лицензию
cplic del [-F <output file>] <signature>
//удаляет файл лицензии
cplic print [-h help] [-n noheader] [-x print signatures] [-t type]
[-F <output file>] [-i <input file>] [-p preatures] [-D print only Domain licenses]
//позволяет вам посмотреть установленную лицензию с желаемыми функциями
cplic check [-p <product name>] [-v <product version>] [-c | -count] [-t <date>] [-r | -routers] [-S | -SRusers] <feature>
//проверяет есть ли лицензия на локальной машине и другие параметры
cplic contract <options>
//управление (удаление и установка) контрактами
для Удаленного Лицензирования (применимо только к SMS):
cplic –d
// команда запускается в режиме дебага
cplic put <object name> <options>
//устанавливает и прикрепляет лицензию
cplic del <object name> <options>
//удаление лицензии на хосте, включая нежелательные evaluation, истекших лицензий
cplic get <object name | -all>
//извлекает все лицензии со шлюза в репозиторий лицензий на менеджмент сервер
cplic upgrade -l input file
//апгрейд лицензии
Операции, связанные с базами данных лицензий (применимо только к SMS):
cplic –d
//команда запускается в режиме дебага
cplic db_add <options>
//добавляется лицензия в репозиторий лицензий
cplic db_rm <options>
//удаляется лицензия из репозиторий лицензий
cplic db_print <options>
//выводит детали о лицензиях, хранящихся в репозитории лицензий на SMS
В качестве примера, мы рассмотрим ситуацию, когда вам нужно через командную строку прикрепить лицензии и контракты на ваш Check Point. Можно прикреплять лицензии и контракты двумя способами: из файла или из Product Center (онлайн режим).
Прикрепление лицензии из файла: [Expert@HostName:0]#cplic put –l </path_to_the_license/Name_of_license>.lic
Прикрепление лицензии из Product Center: [Expert@HostName:0]# cplic put <IP Address> <Expiration Date> <License String> <Features> Прикрепление контракта из файла: [Expert@HostName:0]#cplic contract put –o </path_to_the_contract/Name_of_contract>.xml
Контракты, как и лицензии можно прикрепить через Smart Update – это более простой и удобный способ, однако бывают случаи, когда Smart Console не дает подключиться к менеджмент серверу из-за истекших лицензий, тут на помощь и приходят, описанные ранее, консольные команды.
P.S.: в случае, когда Smart Console отказывает в подключении из-за истекших лицензий, можно подключиться к Smart Update с помощью программы Smart Distributor, которая находится в папке с установленной Smart Console.
10)
Просмотр статуса и деталей прикрепленных лицензий через CLI Статус прикрепленных лицензий на устройствах Check Point и другие детали можно посмотреть с помощью команды "
cplic print". Вы можете увидеть ip-адреса устройств, на которых есть лицензии, сигнатуры лицензий и даты истечения лицензий.
Синтаксис:
cplic print Пример:
CheckPoint Firewall# cplic print
Host Expiration Features
10.100.50.110 never CPVP-10G-NGX CPVP-VPS-1-NGX CPMP-PPK-1-NGX CK-WMIK6782UGRB
10.100.50.110 never CPVP-10G-NGX CPVP-VPS-1-NGX CPMP-PPK-1-NGX CK-0056SRVY2L4M
11)
Просмотр настроек и сертификатов VPN (IKE SA и IPSEC SA) через CLI SA - Security Association, по сути является набором параметров, характеризующим соединение. Например, используемые алгоритм шифрования и
хэш-функция, секретные ключи, номер пакета и др.
Утилита VPN tunnelutil может быть использована для просмотра или удаления всех IKE SAs, всех IPSec SAs, всех IKE SAs для данного шлюза или клиента и всех IPSec SAs для данного шлюза или клиента.
Иногда VPN соединение напрочь отказывается сотрудничать и устанавливаться, одним из методов его починки является сброс сертификатов ключей (IKE) и IPSec сертификатов.
Синтаксис:
vpn tunnelutil или
vpn tu Пример:
CheckPoint-GW
> vpn tu
********** Select Option **********
(1) List all IKE SAs
(2) List all IPsec SAs
(3) List all IKE SAs for a given peer (GW) or user (Client)
(4) List all IPsec SAs for a given peer (GW) or user (Client)
(5) Delete all IPsec SAs for a given peer (GW)
(6) Delete all IPsec SAs for a given User (Client)
(7) Delete all IPsec+IKE SAs for a given peer (GW)
(8) Delete all IPsec+IKE SAs for a given User (Client)
(9) Delete all IPsec SAs for ALL peers and users
(0) Delete all IPsec+IKE SAs for ALL peers and users
(Q) Quit
*******************************************
Надеемся, статья была полезной, и вы нашли какие-то новые для себя команды.