{"id":532,"date":"2012-08-24T12:40:25","date_gmt":"2012-08-24T12:40:25","guid":{"rendered":"http:\/\/www.bsk-consulting.de\/?p=532"},"modified":"2022-10-04T16:11:26","modified_gmt":"2022-10-04T14:11:26","slug":"checkpoint-support-und-fehleranalyse","status":"publish","type":"post","link":"https:\/\/www.nextron-systems.com\/2012\/08\/24\/checkpoint-support-und-fehleranalyse\/","title":{"rendered":"Checkpoint Firewall Support und Fehleranalyse mit dem fw.log"},"content":{"rendered":"

[et_pb_section fb_built=”1″ admin_label=”section” _builder_version=”4.16″ global_colors_info=”{}” da_is_popup=”off” da_exit_intent=”off” da_has_close=”on” da_alt_close=”off” da_dark_close=”off” da_not_modal=”on” da_is_singular=”off” da_with_loader=”off” da_has_shadow=”on” da_disable_devices=”off|off|off”][et_pb_row admin_label=”row” _builder_version=”4.16″ background_size=”initial” background_position=”top_left” background_repeat=”repeat” global_colors_info=”{}”][et_pb_column type=”4_4″ _builder_version=”4.16″ custom_padding=”|||” global_colors_info=”{}” custom_padding__hover=”|||”][et_pb_text admin_label=”Text” _builder_version=”4.18.0″ background_size=”initial” background_position=”top_left” background_repeat=”repeat” hover_enabled=”0″ global_colors_info=”{}” sticky_enabled=”0″]Die Erfahrung hat gezeigt, dass es im Umfeld von Checkpoint Firewalls immer wieder dazu kommen kann, dass Firewalls ohne ersichtlichen Grund Anzeichen einer \u00dcberlastung aufweisen, indem sie f\u00fcr kurze Zeit nicht mehr erreichbar sind und Verbindungen mit Timeouts abbrechen. Besonders in gro\u00dfen Firewall-Umgebungen, mit mehreren Gigabyte an Logdaten pro Tag, stellt die Analyse derart unbestimmter Fehlerzust\u00e4nde ein erhebliches Problem dar.<\/p>\n

Die Werkzeuge der Herstellers sind meist nicht in der Lage, spezifische statistische Analysen zu erzeugen. Entweder erweisen sich die Auswertungen als zu grob, indem Angaben zu stark kumuliert wurden oder als zu detailliert, sodass zwar Einzelheiten erkennbar waren, aber die \u00dcbersicht verloren ging.
\nDer mit der Checkpoint Firewall ausgelieferte “SmartView Tracker”, der sich f\u00fcr die Detailanalyse einzelner Logs durchaus eignet,\u00a0 erlaubt beispielsweise keine sinnvolle Auswertung bez\u00fcglich kurzfristiger Lastspitzen. Die Funktion des Trackers beschr\u00e4nkt sich im Wesentlichen auf die Darstellung und die Filterung von Logzeilen.<\/p>\n

\"Checkpoint

Checkpoint Fehlersuche im SmartView Tracker<\/p><\/div>\n

Das von Checkpoint angebotene Produkt “SmartEvent” kann u.a. statistische Analysen erzeugen, die allerdings in den meisten F\u00e4llen nicht die Flexibilit\u00e4t aufweisen, die f\u00fcr die Eruierung des Problems erforderlich ist. Besonders im Bezug auf mehrdimensionale Auswertungen, wie beispielsweise der Auswertung der Top-Speaker pro Zeiteinheit, sind in den Werkzeugen starre Grenzen gesetzt.<\/p>\n

\"Checkpoint

Checkpoint SmartEvent (Source: http:\/\/www.ictsecurity.cz\/)<\/p><\/div>\n

Loganalysesoftware wie etwa Splunk, Sawmill oder Firewall Analyzer bieten jeweils andere und oftmals auch detailliertere Sichten auf diese Protokolldaten, sind aber oftmals in der jeweiligen Situation nicht verf\u00fcgbar, laden aus Performancegr\u00fcnden nicht das gesamte Firewall Log\u00a0 oder sind nicht so konfiguriert, dass eine einfache Fehlersuche erm\u00f6glicht wird.
\nMit Hilfe von uns entwickelter Analyseskripte ist es auf einfache Weise m\u00f6glich, auch sehr gro\u00dfe (getestet bis 10GB Dateigr\u00f6\u00dfe) Checkpoint Firewall Logs zu parsen und eine statistische Auswertung zu Zeitabschnitten und Ereignissen innerhalb dieser Zeitabschnitt zu erhalten.
\nDie Skripte eignen sich vor allem f\u00fcr folgende Analysen:<\/p>\n