Решаем распространённые проблемы в работе с Check Point: баг разрешающего лога и ошибки в работе ОС и Https Inspection
→ Распространённые ошибки при работе с Check Point, часть 2
1
Проблемы с работой Https Inspection (SSL inspection)
Суть ошибки: инспекция была включена, но сертификат не подменяется.
Такое поведение, скорее всего, связано с тем, что ресурсы используют протокол QUIC, который может заменять собой SSL.
Решение:
Для того чтобы шлюз смог инспектировать такой трафик: нужно заблокировать данный протокол на сетевом уровне базы правил
Суть ошибки: инспекция была включена, но сертификат не подменяется.
Такое поведение, скорее всего, связано с тем, что ресурсы используют протокол QUIC, который может заменять собой SSL.
Решение:
Для того чтобы шлюз смог инспектировать такой трафик: нужно заблокировать данный протокол на сетевом уровне базы правил
Также перед включением инспекции не забудьте распространить сертификат на пользовательские компьютеры
2
Проблема: невозможно зайти на сайт
При этом имеется разрешающий лог с причиной: Connection terminated before the Security Gateway was able to make a decision: Insufficient data passed
Для решения проблемы на активном шлюзе нужно ввести команду:
fw ctl set int up_log_extended_reason_for_incomplete_match 1
Затем воспроизвести проблему и найти новый лог.
В новом логе будет написано, на каком уровне политики и на каком правиле произошёл баг.
Далее вам нужно создать явное правило до данного ресурса (выше того правила, в котором произошла проблема)
При этом имеется разрешающий лог с причиной: Connection terminated before the Security Gateway was able to make a decision: Insufficient data passed
Для решения проблемы на активном шлюзе нужно ввести команду:
fw ctl set int up_log_extended_reason_for_incomplete_match 1
Затем воспроизвести проблему и найти новый лог.
В новом логе будет написано, на каком уровне политики и на каком правиле произошёл баг.
Далее вам нужно создать явное правило до данного ресурса (выше того правила, в котором произошла проблема)
3
Заполнение места в разделах памяти может приводить к разным ошибкам, а также влиять на работу операционной системы
Для того чтобы это избежать, нужно:
Как только вы собрали и выгрузили себе cpinfo, удалите его, чтобы он не занимал место на устройстве
Также можете удалить старые дампы ядра, которые находятся по пути: /var/log/dump/usermode
Когда вы скачиваете snapshot, учтите, что он помещается в папку /var/log/download. Не забудьте удалить его после скачивания, так как snapshot`ы занимают много места
Для того чтобы это избежать, нужно:
Как только вы собрали и выгрузили себе cpinfo, удалите его, чтобы он не занимал место на устройстве
Также можете удалить старые дампы ядра, которые находятся по пути: /var/log/dump/usermode
Когда вы скачиваете snapshot, учтите, что он помещается в папку /var/log/download. Не забудьте удалить его после скачивания, так как snapshot`ы занимают много места
Рекомендуется переключить автоматическое удаление логов, чтобы они удалялись по достижению определённого процента свободной памяти
Также можете настроить глубину хранения логов:
В параметре «keep indexed logs no longer then» указываем значение сколько будем хранить индексы логов. А в «keep log files for an extra» сколько дополнительно будут храниться логи от времени указываемом в «keep indexed logs no longer then».
То есть логи будут храниться дополнительно n дней после достижения количества дней в параметре «keep indexed logs no longer then»
Из скриншота видно, что индексы будут удаляться старше 31 дня, а логи старше 62 дней.
В параметре «keep indexed logs no longer then» указываем значение сколько будем хранить индексы логов. А в «keep log files for an extra» сколько дополнительно будут храниться логи от времени указываемом в «keep indexed logs no longer then».
То есть логи будут храниться дополнительно n дней после достижения количества дней в параметре «keep indexed logs no longer then»
Из скриншота видно, что индексы будут удаляться старше 31 дня, а логи старше 62 дней.
