Thursday, March 17, 2011

Checkpoint Interview questions

As per my experience i am trying to share CP interview question -

Before going to start i suggest you that never try to make fool to your interviewer.

1)From which was the first version of Checkpoint you worked?
2)What is the difference between CP NG and CP NGX?
3)In how many mode we can install the checkpoint?
4)What is architecture of Checkpoint?
5)What is SIC ?
6)What is NAT and how many type of NAT supported by CP explain ?
7)What is the unicast and multicast?
8)What is the rules define Stealth and Clean up rule ?
9)Can we configure rules above stealth rule?
10)What is the purpose of clean up rule ?
11)How you can configure smart view client in new pc?
12)How you are taking backup of CP?
13)How you can take manual backup and which folders are necessary ?
14)How you can configure Log server and where in CP we configure it?
15)How you use smart view tracker tell about three pannes of it.
16)Have you ever configure smart defence if yes tell us the few feature of it.
17)What are the important communication ports of the checkpoint ?
18)Tell me about licence part of the CP and types of it.
19)How you can integrate gateway boxes with CP like Nokia and Nortel or UTM boxes?
20)How you can bring up Nokia box integration with CP server.
21)Have you configure Cluster in CP if yes then tell us process?
22)What is VRRP?
23)What is FW monitor ?
24)Try to give 5 important CLI commands which are helpful for CP admin ?
25)Have you done CCSA if yes then what is the career path for it and how many question were there .
26)What is Bi directional NAT?
27)If log folder is crossed the threshold value which you had defined in CP server then what will happen?
28)What is the use of database revision control?
29)Have you ever configure VPN if yes then tell us about Site to Site with IPSEC in CP?
30)Have you ever upgrade the R60 to R62 or R65 if yes then tell us the process?
31)What is FW unloadlocal
32)If log tracker is showing green means accepted even though defined rule is not working then what causes might be tell us.?
33)What is SYNC in cluster ?
35)What is statefull inspection technology ?
36)Apart from Statefull which other technology firewall belongs too?
37)Difference between ASA and Checkpoint firewall?
38)What is ICMP default setting in global properties of CP?
39)How you can reconfigure SIC password ?
40)If you restarted the remote gateway then what will happen in CP network ?

Networking question for core security guys

Hi Friends ,

Here i am publishing the networking questions which are asked by interviewer for Core security peoples .

1)How much you are rating your self in networking out of 10.?
2)Which models of Routers and Switches you handled ?
3)What is RIP , EIGRP , OSPF ?
4)What is Static and Dynamic routing ?
5)Why we create vlans?
6)How you troubleshoot the vlan problem ?
8)How you make it up down port status to up in switch ?
9)What is access list give the example of both standard and extended access list .
10)How you monitor ISP link in router ?
11)How to see the interface status in router and switches ?
12)How to take backup of router and switches configurations?
13)what is difference between SSH and Telnet ?
14)In which layer ICMP works??
15)What is private and public IP shema ?
16)What is span and spanning tree in Switches ?
17)Do you know about MPLS ?
18)What is the latest IOS of your router and swithces ?
19)How you can save the configuration of Routers and Switches ?
20)What is 802.1q ?

TIPS for how to manage the CheckPoing firewall

1. Use the latest version of the OS software available for your particular firewall. Install the latest patches and if possible/applicable, the latest software version available.

2. Use a stealth Rule at the top of the rule base.
What is a stealth rule? A stealth rule is a rule which disallows any communication to the firewall itself from unauthorized networks/hosts. It is a rule to protect the firewall itself from attacks.

3. Place the most commonly used or accessed rules on the top of the rule base. When a packet reaches a firewall it gets checked against the rulebase of the firewall from top down. Once it matches a rule, it is either accepted, denied or acted upon depending on what the action defined is. So it is best to place the most accessed rules on top of the rule base so that it need not get matched against all the rules in rule base. This would decrease load on the firewall.

4. Keep the rulebase as simple as possible. Do not allow access to anything and everything. Give access only if it is needed or required.

5. Use object groups where possible and combine similar rules into one rule. This would keep the rule base short and simple and thus reduce the load on the firewall.

6. If your network is using VPN, then give preference to use AES 128 where ever possible. Some firewalls like the popular Checkpoint Firewall, recommend AES 128 over 3DES and AES 256, in terms of firewall load and performance issues. Check with your firewall manufacturer which encryption would provide best performance on the given make, taking into consideration that security is also one of your main priorities.

7. Keep logging to a minimum. Example: If you have a couple of busy web servers, then logging each and every http connection might bring in addition load onto the firewall and also fill up the log server quickly.

8. Try to implement High Availability if your budget would allow that. This would reduce the down time of your network considerably. If a firewall is down it would mean that pretty much most of your operations are down. If High Availability is implemented, then even if the primary were to fail, the secondary would take over. Firewall Clustering is something which can provide your firewall both redundancy and load sharing. Check with the manufacturer if it is available.

9. If there are too many VPN connections that need to connect to your network, then try to get a dedicated VPN device. How many connections are too many connections? Check the firewall manufacturer’s manual. Another way of doing it is checking the load on the firewall – memory, cpu utilization etc.

10. End your rule base with a clean up rule or a ANY ANY DENY rule. Try to also log this rule. This would assist you in analyzing the dropped connections in case you ever attacked or even while simple troubleshooting.

Nokia firewall high cpu utilization problem how to identify?

http://shridhar-itsecurity.blogspot.com/2010/10/nokia-firewall-high-cpu-utilization.html

Tinh thần Nhật giữa phong ba

Chủ quán mì phát không cho người qua đường

Trong khi chính phủ Nhật Bản vẫn chưa thể chuyển hàng cứu trợ thật đầy đủ đến những nạn nhân của trận động đất, nhiều người Nhật Bản đã tự đứng ra để giúp đỡ những đồng hương gặp khó khăn.

Chẳng hạn như tại quán mì ở thành phố Miyako thuộc tỉnh Iwate, nơi người ta đang phát không món mì nóng cho những người không nhà cửa để chống chọi với cái đói và thời tiết lạnh giá bên ngoài.

Chủ quán mì, anh Hideshi, cho biết hiện anh đang phải ở khu sơ tán sau khi ngôi nhà trong thành phố đã bị trận sóng thần phá sập.

“Tôi chỉ muốn giúp những người xung quanh cảm thấy hạnh phúc hơn một chút”, Hideshi giải thích về hành động của mình.

Các “khách hàng” của quán mì đều tỏ ra hạnh phúc và biết ơn Hideshi. Nhiều người trong số này là những thiếu niên đã trở thành không nhà sau thảm họa.

Tại khách sạn Monterey ở thành phố Sendai, hai đầu bếp của khách sạn bận rộn phân phát món súp nóng cho những người qua đường - nhiều người trong số này chưa hề có gì vào bụng suốt nhiều ngày qua. Tuy nhiên tất cả đều xếp hàng ngay ngắn và trật tự. Không có ai quay lại để lãnh phần súp thứ hai - mọi người đều ý thức rằng điều đó là “không công bằng”.

Người lính cứu hỏa mất 7 người thân

Người dân chia nhau đi kiếm củii - Ảnh: Daily Mail

Tại một khu vực ở Kamaishi, có một người lảo đảo bước ra khỏi đống đổ nát. Những người xung quanh đã phải đỡ lấy người đàn ông tóc hoa râm, dường như đã không còn sức mạnh để đứng vững. Đó là Kenichi Suzuki, một lính cứu hỏa tình nguyện, người đã xông pha liên tục suốt những ngày kể từ sau khi thảm họa xảy ra - để rồi khi quay về nhà, ông bàng hoàng nhận ra cả gia đình mình đã thiệt mạng.

Suzuki cho biết ông đã không có tin tức từ gia đình ngay sau khi thảm họa xảy ra. Công việc sửa chữa đê sóng thần đã không cho phép ông có thời gian quay về tìm tin tức người thân.

“Tôi không còn nghĩ được gì nữa”, ông Suzuki nói trong nước mắt - Vợ tôi, vợ chồng con trai tôi và 4 đứa cháu - tất cả đều đã ra đi”.

Cũng tại Kamaishi, đài truyền hình NHK chiếu cảnh hai vợ chồng Machiko và Seiichirou lang thang giữa đống đổ nát để tìm kiếm cậu con trai bị thất lạc.

“Đó có phải là bưu điện không?” - ông Seiichirou hỏi một nhân viên cứu hộ, chỉ tay về phía một đống đổ nát ở phía xa. Người đàn ông gật đầu.

“Shiro?”, ông Seiichirou lên tiếng gọi con trai mình. Nhưng tất cả đã quá muộn, tòa nhà từng là bưu điện nay chỉ là một đống đổ nát khổng lồ…

Giữa thảm cảnh, người Nhật vẫn đứng vững

Tại nhiều vùng động đất, báo Daily Mail kể về từng nhóm người lang thang giữa trời tuyết để kiếm củi sưởi và những hộp thức ăn có thể còn sót lại đâu đó giữa những đống đổ nát. Họ reo lên mỗi khi tìm thấy một lon đồ hộp hoặc một gói mì còn nguyên vẹn - tất cả sẽ được mang về chia cho mọi người. Thức ăn mang về các khu sơ tán được các phụ nữ nấu chung với gạo cứu trợ.

“Thật buồn khi nhận ra rằng, những thanh củi này từng là ngôi nhà của chúng tôi - một người dân sống ở Rizukentakata nói - Nhưng chúng tôi không có nhiên liệu để sưởi”.

“Những thanh củi này hơi ướt, nhưng gom lại thành đống cũng đủ giúp chúng tôi sưởi ấm phần nào”, anh nói.

Một người đứng giữa đống đổ nát tại Minamisanriku, tỉnh Miyagi - Ảnh: Daily Mail

Thế nhưng không vì thế mà người Nhật Bản mất đi tinh thần kỷ luật.

Tại trường tiểu học Shichigo ở thành phố Sendai, nơi cư trú tạm thời của hàng trăm nạn nhân, người ta thấy những gia đình tự sắp xếp để sống chung với nhau. Mỗi gia đình sống trong một ô vuông ngay ngắn, kích thước bằng nhau được ngăn lại bằng những tấm cạc tông và mền vải - không có cảnh giành giật từng khoảng trống. Giày dép phải để ở ngoài để tránh giữ vệ sinh chung. Nhiều người chấp nhận ăn ít hơn bình thường để chia sẻ thức ăn cho mọi người - tất cả cùng nhau tồn tại.

Không có cảnh la hét ồn ào - ngoại trừ tiếng trẻ em cười đùa, mọi người đều nói với nhau một cách nhẹ nhàng và bình tĩnh.

Như CNN nhận xét “Những con người này, trở thành vô gia cư chỉ sau buổi chiều, đang thể hiện một tinh thần văn minh và cộng đồng khiến thế giới phải sửng sốt”.

Wednesday, March 16, 2011

Criticial error messages and logs

Today I want to bring your attention to SecureKnowledge article sk33219, which deals with “Critical error messages and logs”.

There we have a nice list of possible error messages together with a short explanation why this error occured.

I’m missing hints on how to resolve the issue or to a related sk. But all in all a very usefull article you should bookmark for further reference.

Tobias Lachmann

My favorite troubleshooting command

Do you know how to troubleshoot connection issues the easy way? Instead of looking into SmartView Tracker for the reason of a connection drop, just enter the shell. Then issue fw ctl zdebug drop and you’ll see the dropped packet in realtime with the reason for the drop. This is an undocumented command, which is actually a shortcut for a couple of debugging commands. A developer from Check Point was to tired of typing the needed debug lines again and again and so he introduced the zdebug command. His first name began with the letter Z, so this is why the command is zdebug.

The output is very nice, shows the reason for the drop and can easily be filtered with the grep command for IP addresses:

fw_log_drop: Packet proto=17 10.255.253.21:20031 -> 10.255.253.255:20031 dropped by fw_antispoof_log Reason: Address spoofing

fw_log_drop: Packet proto=17 192.243.100.205:58999 -> 224.0.0.1:9996 dropped by fw_handle_first_packet Reason: Rulebase drop - rule 243

fw_log_drop: Packet proto=1 10.68.111.2:1281 -> 10.68.111.5:1669 dropped by fw_icmp_stateless_checks Reason: ICMP redirect packets are not allowed

fw_log_drop: Packet proto=6 192.243.119.238:80 -> 91.96.46.174:49543 dropped by fw_first_packet_state_checks Reason: First packet isn't SYN

Since this is realtime debug output, you need to have live traffic through the firewall to see if a packet is dropped. When you try to investigate the reason for a drop of an older connection, you have to go the SmartView Tracker.

Tobias Lachmann

Documents related to troubleshooting

The Check Point knowledge base contains a lot of useful documents related to troubleshooting. Here’s a selection. Feel free to send an email to blog@lachmann.org when you think that a document is missing in the list.

Performance analysis for Security Gateway R65 / R70 / R71 / R75

There is a nice article in SecureKnowledge which points out how to analyze the system performance. See sk33781 for details.

The article isn’t only about performance, but also gives good troubleshooting hints and explanations about values and possible errors (especially true for the memory section).

Really worth reading. And you should try to understand every part of the sk, if something is unclear, investigate. Knowing this stuff is important.

Tobias Lachmann