R33NET BLOG Rotating Header Image

CheckPoint: Managing ADQuery Suspected Service Account List

Solltet Ihr Identity Awareness [IA] mit ADQuery im Einsatz haben könnt Ihr die Option „Automtically exclude users wich are logged into more than X machines simultaneously“ aktivieren. Oder ihr müsst eure Windows Admins oder Servicedesk Mitarbeiter manuell vom ADQuery ausschließen [Excluded Users/Networks]. Warum ?
Sobald ein Benutzer ein „AD Security Login Event“  auslöst lernt die Firewall die IP Adresse des Benutzers und weist die entsprechende FW-Freischaltung die an dem AD-Konto gebunden ist dem System zu. Das kann durch die Anmeldung an einem System einer RDP Session, Zugriff auf Netzlaufwerke, Exchange oder sonstige Authentifizierung an der Domäne geschehen. Ein Admin loggt sich auf einer Vielzahl von Systemen ein und hat meistens andere Firewallfreischaltungen als ein normaler Anwender. Durch die Anmeldung auf einem System zu Support zwecken greifen jetzt also auch die FW-Freischaltunen des Admins. Um dieses zu verhindern solltet ihr die Service Accounts vom ADQuery ausschließen. Wird doch mal von einem Admin die Freischaltungen auf einem der Systeme benötigt kann dieser ich sich über das Captive Portal authentifizieren.
Solltet Ihr die Option „automatically exclude users“ aktiviert haben sucht IA alle 10min nach „service accounts“.  Die vermutlichen „service accounts“ werden in einer persistenten Datenbank gespeichert die auch einen Reboot überlebt.  Es ist es auf jeden Fall sehr hilfreich sehen zu können welche Benutzer auf dieser Liste stehen ggf. sobald mal einen von dieser Liste zu entfernen. Um die „service account“ Datenbank einsehen und verwalten zu können stehen euch folgende Befehle im Expert-Mode zur Verfügung.

adlog a control srv_accounts show Alle erkannten „service account“ anzeigen lassen
adlog a control srv_accounts find Den „service account“ Scan sofort starten
Adlog a control srv_accounts unmark <account name> Einen „service account“ aus der Datenbank löschen
adlog a conrol srv_accounts clear Alle „service account“ aus der Datenbank löschen
adlog a control reconf Wenn adlog a conrol ausgeführt wurde muss „reconf“ ausgeführt werden um die Änderungen zu speichern.

 

 

Netscaler: jsessionid Persistence with AppExpert

Load Balancing mit Persistenz ermöglicht es Ihnen, Client-Anfragen über mehrere Server zu verteilen und zu gewährleisten das ein „User“ einer bestimmten Instanz (Applikation/Realserver) zugeordnet werden kann. So können vorhanden Informationen die in dieser Instanz gespeichert sind weiterhin zu Verfügung gestellt werden. (z.B. ein Warenkorb)

Um die Persistenz anhand eines vom Server ausgestellten Cookies wie „jsessionid“ zu gewährleisten, empfehle ich folgende Konfiguration. Der Vorteil hierbei ist das zwei Situationen abgedeckt werden:

  • Die jsessionid ist in einem Cookie (normal)
  • Die jsessionid ist in der URL (Wird von Applikationen mit Clients die keine Cookies unterstützen verwendet.

Expression:
HTTP.REQ.COOKIE.VALUE("jsessionid") ALT HTTP.REQ.URL.BEFORE_STR("?").AFTER_STR(";jsessionid=") ALT HTTP.REQ.URL.AFTER_STR(";jsessionid=")
Response Expression:
HTTP.RES.SET_COOKIE.COOKIE("jsessionid").VALUE("jsessionid")

PaloAlto: PAN-OS 8.0 Session End Reason

PaloAlto zeigt in PAN-OS 8 die Informationen an warum eine Verbindung beendet wurde. Mir ist es bei der aktuellen Version 8 aufgefallen. Laut Dokumentation steht dieses Feature bereits seit PAN-OS 7.1 zur Verfügung. Wenn Ihr auf der Palo die SSL/TLS decryption macht um den Traffic nach Schadcode untersuchen zu können bekommt ihr jetzt genauere Informationen warum eine Verbindung nicht entschlüsselt werden kann.

decrypt-cert-validation wenn ein Serverzertifikat ausgelaufen, nicht vertrauenswürdig ist
decrypt-unsupport-param bei nicht unterstützten Protokoll Versionen, Cipher oder SSH Algorithmen
decrypt-error bei allen anderen Fehlern

Hier die komplette Liste (Nach Priorität sortiert) der Session End Reason. Sollte eine Verbindung aus mehreren Gründen beendet werden wird immer der höchst priorisierte Grund angezeigt.

threat

The firewall detected a threat associated with a reset, drop, or block (IP address) action.

policy-deny

The session matched a security rule with a deny or drop action.

decrypt-cert-validation

The session terminated because you configured the firewall to block SSL forward proxy decryption or SSL inbound inspection when the session uses client authentication or when the session uses a server certificate with any of the following conditions: expired, untrusted issuer, unknown status, or status verification time-out. This session end reason also displays when the server certificate produces a fatal error alert of type bad_certificate, unsupported_certificate, certificate_revoked, access_denied, or no_certificate_RESERVED (SSLv3 only).

decrypt-unsupport-param

The session terminated because you configured the firewall to block SSL forward proxy decryption or SSL inbound inspection when the session uses an unsupported protocol version, cipher, or SSH algorithm. This session end reason is displays when the session produces a fatal error alert of type unsupported_extension, unexpected_message, or handshake_failure.

decrypt-error

The session terminated because you configured the firewall to block SSL forward proxy decryption or SSL inbound inspection when firewall resources or the hardware security module (HSM) were unavailable. This session end reason is also displayed when you configured the firewall to block SSL traffic that has SSH errors or that produced any fatal error alert other than those listed for the decrypt-cert-validation and decrypt-unsupport-param end reasons.

tcp-rst-from-client

The client sent a TCP reset to the server.

tcp-rst-from-server

The server sent a TCP reset to the client.

resources-unavailable

The session dropped because of a system resource limitation. For example, the session could have exceeded the number of out-of-order packets allowed per flow or the global out-of-order packet queue.

tcp-fin

One host or both hosts in the connection sent a TCP FIN message to close the session.

tcp-reuse

A session is reused and the firewall closes the previous session.

decoder

The decoder detects a new connection within the protocol (such as HTTP-Proxy) and ends the previous connection.

aged-out

The session aged out.

Unknown

This value applies in the following situations:

-Session terminations that the preceding reasons do not cover (for example, a clear session all command)

-For logs generated in a PAN-OS release that does not support the session end reason field (releases older than PAN-OS 6.1), the value will be unknown after an upgrade to the current PAN-OS release or after the logs are loaded onto the firewall.

-In Panorama, logs received from firewalls for which the PAN-OS version does not support session end reasons will have a value of unknown

n/a

This value applies when the traffic log type is not end

PaloAlto Dokumentation PAN-OS 8: syslog field descriptions 

CheckPoint: Löschen alle Identity Awareness Sessions und Identitäten

Aus den verschiedensten Gründen kann es mal vorkommen da alle Identity Awareness Verbindungen und gelernte Identitäten aus der Datenbank gelöscht werden müssen.
ACHTUNG:
-In ClusterXL Umgebungen müssen die Befehle auf beiden Cluster-Geräten zeitgleich ausgeführt werden da diese zwischen den ClusterXL nodes synchronisiert werden.
-Da eine erneute „Authentifizierung“ der Clients erforderlich ist sollte das selbstverständlich nur in einem Wartungsfenster durchgeführt werden.

Clearing all Identity Awareness kernel tables:

[Expert@hostname]# fw tab -t pdp_sessions -t pdp_super_sessions -t pdp_encryption_keys -t pdp_whitelist -t pdp_timers -t pdp_expired_timers -t pdp_ip -t pdp_net_reg -t pdp_net_db -t pdp_cluster_stat -t pep_pdp_db -t pep_networks_to_pdp_db -t pep_net_reg -t pep_reported_network_masks_db -t pep_port_range_db -t pep_async_id_calls -t pep_client_db -t pep_identity_index -t pep_revoked_key_clients -t pep_src_mapping_db -t pep_log_completion -x -y

[Expert@hostname]# fw kill pdpd
[Expert@hostname]# fw kill pepd

CheckPoint: Logical Volume resize

Um die Festplatten in eurer Firewall zu vergrößern oder zu erweitern geht Ihr wie folgt vor. In diesem Fall habe ich das LV (Logical Volume) lv_current mit vorhandenen freien Speicher vergrößert. Falls Ihr eine weitere Festplatte eingebaut habt müsst Ihr das PV (Physical Volume) mit „pvcreate“ initialisieren. Danach einer VG (Volume Group) zuweisen mit „vgextend“

[Expert@fw-mgmt:0]# df -h
Filesystem Size Used Avail Use% Mounted on
/dev/mapper/vg_splat-lv_current
30G 25G 3.4G 88% /
/dev/sda1 145M 19M 118M 14% /boot
tmpfs 3.9G 0 3.9G 0% /dev/shm
/dev/mapper/vg_splat-lv_log
97G 51G 42G 56% /var/log
tmpfs 10G 0 10G 0% /ramdisk

[Expert@fw-mgmt:0]# pvs
PV VG Fmt Attr PSize PFree
/dev/sda3 vg_splat lvm2 a- 231.81G 91.81G

[Expert@fw-mgmt:0]# vgs
VG #PV #LV #SN Attr VSize VFree
vg_splat 1 3 0 wz–n- 231.81G 62.88G

[Expert@fw-mgmt:0]# lvs
LV VG Attr LSize Origin Snap% Move Log Copy%
lv_current vg_splat -wi-ao 40.00G
lv_log vg_splat -wi-ao 100.00G

[Expert@fw-mgmt:0]# lvextend -L +10G /dev/vg_splat/lv_current
Extending logical volume lv_current to 40.00 GB
Logical volume lv_current successfully resized

[Expert@fw-mgmt:0]# resize2fs /dev/vg_splat/lv_current
resize2fs 1.39 (29-May-2006)
Filesystem at /dev/vg_splat/lv_current is mounted on /; on-line resizing required
Performing an on-line resize of /dev/vg_splat/lv_current to 10485760 (4k) blocks.
The filesystem on /dev/vg_splat/lv_current is now 10485760 blocks long.

[Expert@fw-mgmt:0]# df -h
Filesystem Size Used Avail Use% Mounted on
/dev/mapper/vg_splat-lv_current
39G 25G 13G 66% /
/dev/sda1 145M 19M 118M 14% /boot
tmpfs 3.9G 0 3.9G 0% /dev/shm
/dev/mapper/vg_splat-lv_log
97G 51G 42G 56% /var/log
tmpfs 10G 0 10G 0% /ramdisk

Netscaler Syntax hervorheben im Notepad++

Auch wenn das Netscaler Webinterface sehr gut geworden ist (im Vergleich zum Alteon liegen da Welten zwischen) arbeite ich viel auf der cli . Gerade wenn mann mehrere VIPs , Realserver etc anlegt geht das um einiges schneller über die cli. Wer also viel in der Konfiguration sucht, ändert oder bearbeitet dem kann ich nur empfehlen mit dem Syntax highlighting zu arbeiten (siehe Bilder unten).  Ich arbeite schon immer mit dem Notepad++, ich kenne keinen besseren Editor. Die grundlegenden Keywords habe ich von Kenny Baldwin übernommen und bereits einige fehlende hinzugefügt. Sollte mir (oder euch) noch was auffallen werde ich das nachpflegen.

Hier die aktuelle Version [Stand 29.02.2016] : Netscaler.xml

Changelog
29.02.2016: Keyword2 – http tcp
In Notepadd++ unter „Sprachen“ -> „Eigene Sprache definieren“ -> „Importieren“

ohne

mit

notelang

Dropbox Speicherplatz im Internet 2GB kostenlos (Cloud-Datenspeicher)

Dropbox ist kostenloser Speicherplatz im Internet. Wer sich anmeldet bekommt automatisch 2GB Onlinespeicherplatz.
Für jeden den Ihr wirbt erhaltet ihr 500MB (bis zu 16GB) kostenlos dazu. Alternativ könnt Ihr auch für 1TB 9,99$ im Monat bezahlen.

Nachdem Ihr euch angemeldet habt, könnt Ihr für die Betriebssysteme Windows/Mac/Linux ein Programm herunterladen. Dieses erstellt euch dann einen Ordner auf dem Desktop in den Ihr Dateien ablegen könnt. Dieser Ordner wird automatisch mit eurem Internetspeicherplatz synchronisiert.
Ihr könnt mehrere Geräte wie z.B iPhone, iPad, Windows, MAC und Linux synchronisieren. Solltet Ihr mal ein Gerät verlieren, liegen eure Daten immer noch in der Dropbox. Ihr habt auch einen Public Ordner und könnt so Dateien mit anderen austauschen. Ihr könnt selber entscheiden welche Daten Ihr frei gebt und welche nur von euch eingesehen werden können.

Hier geht es zu kostenlosen Anmeldung inkl. 2GB Speicherplatz.

Surface Pro 3/4 WLAN Probleme

Des öfteren liest man in diversen Foren das einige Surface Pro 3 oder 4 Besitzer Probleme mit dem WLAN haben. Ich habe eine FritzBox und hatte auch das Problem dass die Verbindung sehr instabil bzw. langsam läuft. Auch nach dem Update 1511 besteht das Problem weiterhin. Für dieses Problem gibt es einen Einfachen Workaround. Weitere Informationen findet ihr hier.

-Über „Ausführen“ oder „Windows Suche“ gebt ihr „regedit“ ein.
-Auf der linken Seite navigiert ihr zu: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\mrvlpcie8897
-Sucht jetzt auf der rechtne Seite nach „TXAMSDU“ und ändert den Wert von 1 auf 0
-Nach einem Neustart sollte das Problem behoben sein.

Cause:
We have a known issue with .41 that results in low throughput with specific access points. The issue is specific to MAC layer aggregation (AMSDU over AMPDU) and only impacts a small subset of access points. We are working on a fix for an upcoming update. Until the fix is available, please update the registry key setting to work around this issue

Update:
Nach der Änderung habe ich die Geschwindigkeit an verschiedenen Access Points getestet. An der Firtz.Box 6360, TP-Link und Cisco AP2600I (alle 802.11 b/g/n). An allen bisher getesteten APs habe ich deutlich höhere und stabilere Übertragungsraten.

CheckPoint Security Gateway Backup/Restore

cp1Hier möchte ich kurz die unterschiedlichen Backup/Restore Möglichkeiten auf einem Check Point Security Gateway beschreiben. Die Backups zu erstellen über WebGui oder CLI ist relativ einfach und gut beschrieben: CP_R77_Gaia_Installation_and_Upgrade_Guide – Backing Up

upgrade_export (restore)
-Es werden keine OS (SPLAT) Einstellungen gesichert. Es werden nur die Check Point Einstellungen gesichert.
Da hier keine OS Daten gesichert werden kann es z.B auf einen anderen OS importierte werden.
Ein upgrade_import auf einer anderen Hardware ist möglich, sowie der Import auf eine neue OS Version (Achtung der upgrade_export muss mit der neueren Version ausgeführt werden.)

backup (restore)
-Ein SPLAT Backup sichert sowohl die SPLAT OS Einstellungen als auch die Check Point Einstellungen. Kurz gesagt ein upgrade_export mit OS Einstellungen.
Der Restore setzt die gleiche Softwareversion und Hardware voraus.

snapshot (revert)
-Ein Snapshot ist meistens die besser Wahl als ein Backup. Es enthält neben den OS und CP Einstellungen zusätzlich auch die binary-files. Kurz gesagt es wird ein Image erstellt. Hier ist eine Wiederherstellung zwischen unterschiedlichen Versionen möglich.
Z.B. kann ich einen Snapshot auf R77.10 machen, dann das Upgrade auf R77.30 durchführen. Auf R77.30 kann ich ebenfalls ein Snapshot machen. Dies erlaubt mir jederzeit zwischen den Versionen zu wechseln.
Ein Revert ist nur auf derselben Hardware möglich. Versucht man ein Snapshot auf einer anderen Hardware wieder her zu stellen muss man die /etc/sysconfig/hwconf und /etc/modules.conf löschen (Werden automatisch bei Reboot erstellt) sowie die „hwaddr“ Zeilen aus der /etc/sysconfig/netconf.C
Achtung: Ihr benötigt genug freien Plattenplatz auf der Backup Partition, mein letzter Snapshot war 5,4 Gb groß. (Root Partition * 1,15)

Probleme bei FireEye

fireeye3Eigentlich sollen die FireEye Produkte das Netzwerk schützen, aufgrund einer schwerwiegenden Sicherheitslücke könnten Sie jedoch selbst von Hackern angegriffen werden. Die Sicherheitslücke ermöglicht es unbefugten dritten, die volle Kontrolle über das System zu übernehmen. Hierzu reicht die richtige URL um mit Root-Rechten auf das Dateisystem der Systeme zu zugreifen, da der Webserver mit Root-Rechten betrieben wird. Derzeit gibt es noch keinen Patch. FireEye selbst bestätigt die Lücke, sagt aber auch dass diese derzeit nicht für Angriffe ausgenutzt wird. Die Lücke wurde von Sicherheitsforscher Kristian Erik Hermansen entdeckt. Dieser veröffentlichte die Lücke jetzt da diese von Kriminellen bereits zum Kauf angeboten wird. Er hat bereits vor 18 Monaten FireEye über diese Sicherheitslücke informiert aber kein Feedback erhalten.

Was mich daran stört ist nicht unbedingt die Sicherheitslücke selber sondern wie damit umgegangen wird. Warum werden Anwendungen mit Root-Rechten ausgeführt und warum werden so gravierende Sicherheitslücken 18 Monate ignoriert? FireEye-Kunden müssen sich die Frage stellen ob Sie weiterhin ihren Security Anbieter vertrauen können.