How To Troubleshoot Policy Installation Issues – Checkpoint

How To Troubleshoot Policy Installation Issues – Checkpoint

Checkpoint makalelerinde bu hafta konumuz Politika yükleme sırasında yaşanan sorunlar ve bu sorunların nasıl çözüleceğine ait kontol edilmesi  gereken loglardan bahsedeceğim.

  1. Disk üzerindeki boş alan kontrolü

Policy install sırasında yaşanan sorunlarda kontrol edilmesi gereken ilk adım aşağıdaki alanlarda yeterli boş alanın olup olmadığıdır.

Çözüm:

/dev/mapper/vg_splat-lv_current ve /dev/mapper/vg_splat-lv_log alanlarında yer açmak yada diski genişletmek bu sorunu çözecektir. Aşağıdaki makalede sanal olarak kurulan management server da bu işlemin nasıl yapılacağı anlatılmaktadır.

https://howdoesinternetwork.com/2017/check-point-firewall-vm-disk-resize

  1. Policy installation fails with Error code: 0-2000040

Objeler üzerindeki bozukluklar yada objenin rolune göre statik olarak seçilmiş IPS imzalar da zaman zaman sorun çıkartabiliyor.

Çözüm:

Objeler üzerinde bu rollerin kaldırılması çözümlerin başında gelmektedir. Tek tek objeler üzerinde bu rollerin  işaretli olup olmadığına kontrol etmek vakit alacağından aşağıdaki komut setini Management Server üzerinde çalıştırarak objeler bulunabilir.

# cd $FWDIR/conf/
# grep -e $’^\t\t: (‘ objects_5_0.C -e “is_mail_server (false)” -e mail_server_prop | grep -v “mail_server_prop ()” | grep mail_server_prop -B 2 | grep “:is_mail_server (false)” -B 1 | grep -e $’^\t\t: (‘

Diğer hata kodları tek tek anlatmadan çözümleri bulabileceğiniz linki sizlerle paylaşıyorum.

https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk154435

Olayı bir adım daha ileri götürerek ekran görüntüsünü paylaştığım sorunu inceleyelim hataya ilk baktığımızda aklımıza ilk gelen IPS Treat Prevention blade i üzerinde bir sıkıntı olduğudur. Çözüm olarak Blade i kapa/aç , lisanı kontrol et, update sorunu varsa onu gider,Policy üzerinde Threat Prevention layer ını sil/ekle vs dikkat ederseniz kontrol edilecek bir çok nokta var.Aşağıda göstereceğim iki farklı log bizlere böyle bir sorunda düzeltmemiz  gereken yerler konusunda yardımcı olacak.

Çözüm:

  1. Policylerin yüklenmesi güncellenmesi rolünü üstlenen cpd servisinin kontrolü

Gateway rolü yüklü sunucu üzerinde /var/log/opt/CPshrd-R80.40 dizininde cpd.elg file dosyasını Winscp ile bilgisayarımıza kopyalıyoruz.

Notepad üzerinde açtığımız cpd.elg yi incelediğimizde iki noktada “failed “ aldığımızı görüyoruz.

“malware_tp_conf_reload: Reload(/opt/CPsuite-R80.40/fw1/state/__tmp/AMW) failed “

Hatayı araştırdığımızda yaşadığımız sorunun Dynamic ID(SMS/MAIL 2FA) üzerinde yaptımız tanmlardan kaynaklandığını görebiliyoruz.(Dynamic ID bu süre zarfında çalışıyor)

https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk120358

Gerekli düzenlemeyi yaptıktan sonra Politikayı tekrar yüklemeyi deniyoruz.

  1. Bildiğiniz üzere chekpoint te bir politika paketi bulunur, bir değişik yapıldığında bu değişiklik

gateway rolundeki server a yüklenir. Kontrol edilmesi gereken bir diğer nokta management/gateway arasındaki bu işlemin incelenmesi

Management serverdan install edilen policy aşağıdaki dizinlerde yer alır.

/opt/CPsuite-R80.40/fw1/state/__tmp/FW1     Management serverdan transfer edildiği yer

/opt/CPsuite-R80.40/fw1/state/local/FW1/       Policy install işlemi bittikten sonraki yer

fetchlocal komut seti gateway/management arasında policy install işlemini cli üzerinden gerçekleştirir.

Aşağıdaki komut setini gateway üzerinde çalıştırarak oluşan logları “fetch.txt” dosyasına yazmasını sağlıyoruz.

fw -d fetchlocal -d /opt/CPsuite-R80.40/fw1/state/__tmp/FW1 >& /var/log/fetch.txt &

ls -l /var/log/fetch.txt

/var/log/fetch.txt logları incelediğimizde sorunun DLP blade i ile ilgili olduğunu görüyoruz.

Bu makalemde sizlere yaşayabileceğiniz sorunlara nasıl müdahale edebileceğiniz ,hangi  noktalara bakmanız gerektiğini anlatmaya çalıştım.Umarım yardımcı olmuştur.

Bir sonraki makalede görüşmek üzere.

 

 

Leave a Reply

Your email address will not be published.

Enjoy this blog? Please spread the word :)