Bonjour,
 
J'utilise un firewall Checkpoint NGX R60.
Je voudrais savoir comment configurer le firewall en ligne de commande (pour pouvoir faire un script plus tard).
Et plus précisément je cherche la commande pour activer ou désactiver une règle précise dans ma politique de sécurité. (Au lieu de le faire à la main:clique droit -> désactiver…).
 
Merci d'avance.

bonjour,
 
a part toucher au fichier rules*.* ya pas de commande pour faire ça..  
donc en gros :
 
tu sauves ton rules*.*
tu le modifiies, tu le renommes bien
tu compiles en command line ( fwm - xxxx )  
 
et tu pries de pas avoir corrompu les fichiers checkpoint ..

C'est quoi le fichier rules *.* ?
 
J'ai fait quelques recherches et j'ai vu que les règles sont traduites en un fichier de script *.W
Et pour charger le nouveau, il faudrait faire :  
 

 
Seulement, y a-t-il des risques lors de cette opération ?
 
Parce que la politique de sécurité que je gère fait une centaine de règles. En plus, admettons que je lance le script et qu'en même temps quelqu'un fait des modifs à l'aide de la console graphique...Effet indéterminé...
 
Je sais pas trop quoi faire...

quand je mets *.* c'est que j'ai pass accès au shell sur mon nokia
 
je sais que c'est le fichier rulebases_5.0.fws qui contient la policy
et objets_5_0.C qui contient les objets.
 
Par défaut, checkpoint un mécanisme de lock pour n'avoir q'un seul opérateur en écriture sur la policy : ceci est caractérisé par la présence d'un fichier : fw.lock .
dans ton script, tu peux donc tester la présence de ce fichier puis lancer tes test, il faudra aussi que tu renommes ta policy de façon incrémentale pour qu'un admin qui se logue après ta compil voie la nouvelle policy.
 
Enfin, sache que ce mode 'command line" n'est vraiment pas adapté au fonctionnement 3 tiers de checkpoint : ceci ne sera pas supporté par checkpoint ( modification des fichiersr de policy a la main).

Ok, merci pour ton aide précieuse. Donc on ne peut pas modifier les fichiers de policy à la main ?
 
En fait je cherche juste à désactiver/activer certaines règles et pour l'instant je n'ai pas trouvé d'autres moyens que d'installer de nouvelles policy basée sur celle de départ.
Et pui si la policy de départ change, il va falloir que je mette à jour les policy "dérivées" (celles où y a des règles désactivées par ex).
 
Pour le script, il faut que je l'écrive en langage de script Checkpoint, non? (INSPECT, je crois).
 
Grosso modo, ça donnerait pour un début :  
 
Test de présence de fw.lock.
Oui-->message
Non--> Load de la policy
 
Pour installer la policy, y a-t-il besoin de faire qqch autre?

ben nan pas autre chose, mais faut gérer les cas d'erreurs au cas où la compil et le push via SIC déconne ...
 
mais bon  , c'est une piste inhabituelle pour ton truc .. quel est le besoin initial ?

Le besoin initial, c'est contrôler des prises en main à distance via le firewall.
Actuellement, des règles sont activées en permanence pour qu'une machine extérieure précise puisse prendre la main (en TSE ou  PCanywhere, etc) sur une machine du réseau. Laisser ces règles en permanence activées réduit la sécurité du réseau. C'est pourquoi je cherche un moyen d'automatiser l'activation/désactivation de ces règles, qui pourait être faite via une appli web.  
Sur cette appli on cocherait "Télémaintenance PCanywhere", et ça lancerait un script qui se chargerait d'activer la bonne règle. Le but étant de visualiser en temps réel qui fait quoi à distance.
 
Voilà l'idée. Le pb c'est que apparemment on ne peut pas activer une règle en ligne de commande. C'est pour ça que je penchais du côté de l'install de nouvelles policy.

tu as plusieurs stratégies, car c'est un besoin qui revient souvent dans les boites.
 
soit tu supposes que le firewall laisse passer le flux, mais tu peux :
* restreindre les ip sources qui sont sensées se connecter
* tu mets des heures de connexion possibles
 
->et c'est le service final qui s'occupe de traiter les demandes ( authentification , chiffrement, etc..)
 
soit tu supposes que c'est au firewall de faire son boulot, mais il faut qqn qui active la règle lors de la TMA.
 
Dans tous les cas, tu peux implémenter des mécanismes de sécurité garantissant qu'une personne qui découvre le service ne puisse pas y accéder ( restrication, filtrage, chiffrement, authentification forte, analyse de log, changeemnt des ports d'écoute par défaut, etc..)

Oui je dois plutôt appliquer la version du firewall qui fait le boulot. Seulement, il n'y a que peu de personnes habilitéds à faire des manip sur le firewall. IL se pourrait très bien qu'elles ne soient pas là et qu'il y ait besoin d'activer une règle...c'est pour ça que je cherchais à automatiser cette tâche.