R33NET BLOG Rotating Header Image

Security

CheckPoint Security Gateway Backup/Restore

cp1Hier möchte ich kurz die unterschiedlichen Backup/Restore Möglichkeiten auf einem Check Point Security Gateway beschreiben. Die Backups zu erstellen über WebGui oder CLI ist relativ einfach und gut beschrieben: CP_R77_Gaia_Installation_and_Upgrade_Guide – Backing Up

upgrade_export (restore)
-Es werden keine OS (SPLAT) Einstellungen gesichert. Es werden nur die Check Point Einstellungen gesichert.
Da hier keine OS Daten gesichert werden kann es z.B auf einen anderen OS importierte werden.
Ein upgrade_import auf einer anderen Hardware ist möglich, sowie der Import auf eine neue OS Version (Achtung der upgrade_export muss mit der neueren Version ausgeführt werden.)

backup (restore)
-Ein SPLAT Backup sichert sowohl die SPLAT OS Einstellungen als auch die Check Point Einstellungen. Kurz gesagt ein upgrade_export mit OS Einstellungen.
Der Restore setzt die gleiche Softwareversion und Hardware voraus.

snapshot (revert)
-Ein Snapshot ist meistens die besser Wahl als ein Backup. Es enthält neben den OS und CP Einstellungen zusätzlich auch die binary-files. Kurz gesagt es wird ein Image erstellt. Hier ist eine Wiederherstellung zwischen unterschiedlichen Versionen möglich.
Z.B. kann ich einen Snapshot auf R77.10 machen, dann das Upgrade auf R77.30 durchführen. Auf R77.30 kann ich ebenfalls ein Snapshot machen. Dies erlaubt mir jederzeit zwischen den Versionen zu wechseln.
Ein Revert ist nur auf derselben Hardware möglich. Versucht man ein Snapshot auf einer anderen Hardware wieder her zu stellen muss man die /etc/sysconfig/hwconf und /etc/modules.conf löschen (Werden automatisch bei Reboot erstellt) sowie die „hwaddr“ Zeilen aus der /etc/sysconfig/netconf.C
Achtung: Ihr benötigt genug freien Plattenplatz auf der Backup Partition, mein letzter Snapshot war 5,4 Gb groß. (Root Partition * 1,15)

Probleme bei FireEye

fireeye3Eigentlich sollen die FireEye Produkte das Netzwerk schützen, aufgrund einer schwerwiegenden Sicherheitslücke könnten Sie jedoch selbst von Hackern angegriffen werden. Die Sicherheitslücke ermöglicht es unbefugten dritten, die volle Kontrolle über das System zu übernehmen. Hierzu reicht die richtige URL um mit Root-Rechten auf das Dateisystem der Systeme zu zugreifen, da der Webserver mit Root-Rechten betrieben wird. Derzeit gibt es noch keinen Patch. FireEye selbst bestätigt die Lücke, sagt aber auch dass diese derzeit nicht für Angriffe ausgenutzt wird. Die Lücke wurde von Sicherheitsforscher Kristian Erik Hermansen entdeckt. Dieser veröffentlichte die Lücke jetzt da diese von Kriminellen bereits zum Kauf angeboten wird. Er hat bereits vor 18 Monaten FireEye über diese Sicherheitslücke informiert aber kein Feedback erhalten.

Was mich daran stört ist nicht unbedingt die Sicherheitslücke selber sondern wie damit umgegangen wird. Warum werden Anwendungen mit Root-Rechten ausgeführt und warum werden so gravierende Sicherheitslücken 18 Monate ignoriert? FireEye-Kunden müssen sich die Frage stellen ob Sie weiterhin ihren Security Anbieter vertrauen können.

Juniper Netscreen Sessions analysieren

juniper_logoHier beschreibe ich kurz wie man genauere Informationen zu aktuellen Sessions auf der Juniper bekommt. Auf der SSG-550 ist es möglich 256064 Sessions zu halten. Je nachdem wie viele VPNs bzw Daten über die Juniper gehen kann es mal vorkommen das man an das Limit der Sessions kommt. Auch z.B. durch Fehlerhaften Traffic der immer neue Sessions aufbaut aber die alten nicht beendet und diese erst in einen Timeout laufen müssen.

Hier die wichtigsten Befehle:

get session info Zeigt aktuelle Sessions an
get session id Zeigt eine bestimmte Session an
get session policy-id Zeigt Sessions einer bestimmten Policy
get session dst-ip / dst-mac / dst-port) Zeigt Sessions bestimmter Ziele  IP / MAC / Port
get session src-ip / src-mac / src-port Zeigt Sessions bestimmter Quellen IP / MAC / Port
get session service „dns“ Zeigt Sessions eines bestimmten Service an

 

Sessions per Policy Anzeigen
vpn8:vpn8-1(M)-> get session policy-id 3844
id 35/s**,vsys 0,flag 00000040/0000/0001/0000,policy 3844,time 12, dip 0 module 0
if 0(nspflag 800801):10.x.x.61/58022->10.x.x.41/389,17,000000000d0,sess token 3,vlan 0,tun 0,vsd 0,route 20
if 6(nspflag 2002800):10.x.x.61/58022<-10.x.x.41/389,17,000000000000,sess token 4,vlan 0,tun 40000a53,vsd 0,route 0

Session Details anzeigen
vpn8:vpn8-1(M)-> get session id 35
id 35(00000023), flag 00000040/0000/0001/0000, vsys id 0(Root)
policy id 3844, application id 0, dip id 0, state 0
current timeout 70, max timeout 7200 (second)
status normal, start time 45054980, duration 0
session id mask 0, app value 0
ethernet0/0(vsd 0): 10.x.x.61/58022->10.x.x.41/389, protocol 17 session token 3 route 20
gtwy 192.x.x.254, mac 0000000000d0, nsptn info 0, pmtu 1500
flag 800801, diff 0/0
port seq 0, subif 0, cookie 0, fin seq 0, fin state 0
ethernet0/2(vsd 0): 10.x.x.61/58022<-10.x.x.41/389, protocol 17 session token 4 route 0
gtwy 0.0.0.0, mac 000000000000, nsptn info 40000a53, pmtu 1446
flag 2002800, diff 0/0
port seq 0, subif 0, cookie 0, fin seq 0, fin stat

Juniper Firewall Session Analyzer

Von Juniper gibt es noch das Tool FSA „Firewall Session Analyzer“. Hiermit können Reports erstellt werden. Dazu exportiert man alle Sessions von dem VPN Gateway und kann die dann über die Juniper Webseite analysieren lassen. https://tools.juniper.net/fsa/

Die Sessions könnt Ihr auf einen TFTP Server exportieren:
get session > tftp 10.x.x.107 name.txt

Folgende Reports werden erstellt:
Rank based on destination IP address
Rank based on source port
Rank based on source IP address
Rank based on protocol
Rank based on VSD (Virtual System Device)
Rank based on source IP with protocol and destination port information

Wer seine Session nicht zu Juniper hochladen will, kann das auch offline über das Tool „Netscreen Session Analyzer“ NSSA von Tim Eberhard machen. [Download V2.5 beta WIN] nssa

CheckPoint failover commands

cp-clusterDie wichtigsten CheckPoint Befehle zum Thema Cluster „failover“.

cphaprob stat

Listet den Clusterstatus

cphaprob -a if

Status der Interface

cphaprob syncstat

Zeigt den Sync Status

cphaprob -reset syncstat

Sync Status zurücksetzen

cphastart/stop

Stopt den Cluster auf dem jeweiligen Gerät

Juniper Netscreen reset (back to factory default)

juniper_logoUm eine Netscreen auf „factory default“ zurück zu setzen benötigt man einen Konsolen Zugriff denn es gehen alle IP Verbindungen verloren. Es wird die Seriennummer des Gerätes benötigt.  Diese steht unten auf dem Gerät oder kann über die CLI abgerufen werden. Die SN dient als login nutzen Sie diese sowohl für den Username als auch für das Passwort. Nach Login folgt die Frage ob Sie das Gerät wirklich zurücksetzen wollen. Nach dem Reset lauten die Logindaten netscreen/netscreen.


ns5xt-> get system | i serial
Serial Number: 0022114340534198, Control Number: 00000000

ns5xt-> exit
login: 0022114340534198
password:
!!! Lost Password Reset !!! You have initiated a command to reset the device to factory defaults, clearing all current configuration and settings. Would you like to continue? y/[n]

Kali Linux 2.0 Released

kali-linux-2-0-releasedDas Kali-Team hat die neue Version 2.0 veröffentlicht. Die Version steht ab sofort zum Download bereit. Die angepassten Versionen für VMWare, VirtualBox, ARM (RaspberryPi etc) findet ihr hier.

Was ist neu?
Kali läuft zukünftig als „Rolling Release“ und wir fortlaufend mit neuen Updates versorgt. Der neue Kernel 4.0 basiert auf Debian Jessie. Es wurden eine Vielzahl von neuen Treibern aufgenommen sowie die Oberflächen (gnome, kde, xfce, mate, e17, lxde, i3wm) stehen jetzt bereit. Weiter schreibt das Kali Team:

„But these bulletpoint items are essentially a side effect of the real changes that have taken place in our development backend. Ready to hear the real news? Take a deep breath, it’s a long list.“

Wer Kali bisher schon im Einsatz hat kann auch ein update durchführen.

cat << EOF > /etc/apt/sources.list
deb http://http.kali.org/kali sana main non-free contrib
deb http://security.kali.org/kali-security/ sana/updates main contrib non-free
EOF

apt-get update
apt-get dist-upgrade
reboot

Weitere Informationen findet Ihr unter: https://www.kali.org/blog/

Cisco ASDM Problem mit Windows 8 und Java

ciscoasdmIch hatte das Probleme den ASDM auf Windows 8 nicht starten zu können. Ich habe folgende Fehlermeldung erhalten „Could not find the main clasS: com.cisco.launcher.Launcher“. Das Problem hängt wohl mit der Java Version zusammen. Cisco weist darauf hin das es mit Java 64Bit und dem ASDM Probleme gibt. Mit der Java Version 7 update 45 habe ich den ASDM leider nicht zum laufen bekommen. Früher verwies der Pfad der ASDM Verknüpfung auf „C:\Windows\system32\javaw.exe“ ab einer bestimmten Java Version lautet der Pfad: C:\Windows\SysWOW64\javaw.exe. Das solltet Ihr als erstes prüfen und ggf den Pfad ändern. Als Workaround habe ich Java Version 6 update 45 installiert und habe den Pfad der ASDM Verknüpfung geändert auf das Java 6 Verzeichnis: „C:\Program Files (x86)\Java\jre6\bin\javaw.exe“ -Xms64m -Xmx512m -Dsun.swing.enableImprovedDragGesture=true -classpath lzma.jar;jploader.jar;asdm-launcher.jar;retroweaver-rt-2.0.jar com.cisco.launcher.Launcher

Cisco ASDM Troubleshooting

BSI-Sicherheitstest „Mehrere Millionen gestohlene Datensätze“

logo_bsi_left
update 07.04.2014:
Wieder wurden ca. 18 Millionen Datensätze gestohlen, drei Millionen davon lassen sich deutschen Mail-Providern zuordnen. Bei den Providern handelt es sich um Deutsche Telekom, Freenet, gmx.de, Kabel Deutschland, Vodafone und web.de.

Darüber hinaus hat das BSI die Daten in seinen Anfang des Jahres eingerichteten Prüfdienst eingepflegt, über den der Nutzer selbst checken kann, ob er zu den Betroffenen gehört. Nach der Eingabe einer Mail-Adresse schickt das BSI eine Mail dorthin, sofern sich diese in dem aufgespürten Datensatz befindet.

Wer nicht betroffen ist, erfährt das nur durch das Ausbleiben der Mail. Insbesondere wer einen Mail-Account bei einem Provider hat, der seine Kunden nicht informiert, sollte den Selbsttest durchführen. Das gilt freilich auch für Nutzer, die einen eigenen Mailserver betreiben.

Hier geht es zum Sicherheitstest

Quelle:
www.bsi.de und www.heise.de

(mehr …)

Multicast / IGMP / IGMP Snooping

IGMP „Internet Group Message Protocol“ ist eine Erweiterung des Internet Protocols (IPv4). Mit IGMP ist IP-Multicasting (Gruppenkommunikation) möglich. IP-Multicasting ist die Verteilung von IP-Paketen mit einer Ziel-IP-Adresse an mehrere Stationen gleichzeitig. Das Gegenstück von IGMP von IPv4 ist bei IPv6 MLD (Multicast Listener Discovery).
Das Internet Group Message Protocol wird benutz um Hosts zu ermöglichen, die Teilnehmerliste für Multicast-Gruppentelegramme im Netz bekannt zu geben.
Router und Switches lernen beim Empfang von IGMP Membership Requests, welche der angeschlossenen Geräte zu einer Multicast-Gruppe gehören. Wird ein Multicast für eine Gruppe empfangen, wird die Nachricht nur an den entsprechenden Ports, die zu dieser Multicastgruppe gehören weitergeleitet, die anderen Ports sehen diese Nachrichten nicht.

Wenn keine Multicast-Filterung mit IGMP vorgenommen wird, werden die Multicast-Nachrichten auf allen Ports versendet. Dieses Multicast-Filtering ist umso wichtiger, je größer die Netzwerke sind. In großen Netzstrukturen mit kaskadierten Switches wird eine unnötig hohe Netzlast in der Domäne entstehen oder einige Geräte werden möglicherweise überfordert, wenn sie permanent auf Multicastverkehr reagieren müssen, der nicht für sie bestimmt ist.

Wird ein Gerät auf einen anderen Switchport gesteckt würde der Switch die Multicast-Nachrichten zum falschen Port senden und das Gerät würde keine Multicast-Nachrichten mehr erhalten. Um das zu verhindern, fordert beim IGMP Snooping (ein) zerntrales Gerät iterativ alle Endgeräte auf, ihre Multicast-Gruppenzugehörigkeit bekanntzugeben, der sogenannte IGMP Querier.  Die Antworten auf Querier-Anfragen (IGMP Reports) veranlassen die Switche ihre Membership-Listen entsprechen zu aktualisieren.

Es gibt 3 IGMP-Versionen:

Version 1 (RFC 1112) kannte nur zwei Nachrichtentypen: Host Membership Query und Host Membership Report. Der Router kann mit IGMPv1 periodisch alle Hosts fragen, welche Gruppen sie denn empfangen möchten, und Hosts können als Antwort oder spontan pro Gruppe einen Report abschicken.
Bei Version 1 kann ein Host eine Gruppe nicht verlassen, er kann nur warten, bis der Router das nächste Mal eine Anfrage stellt und dann keinen Report mehr abschicken.

Version 2 (RFC 2236) fügt eine Nachricht dazu, mit der man Groups verlassen kann, und spezifiziert eine Methode, wie mehr als ein Multicast-Router in einem Ethernet koexistieren können.
Dabei wird der Router mit der kleineren IP-Nummer als Querier ausgewählt, d.h. fortan wird nur noch dieser Host Reports anfordern. Der andere Router übernimmt wieder,
wenn der erste eine Anfrage nicht rechtzeitig gestellt hat (und damit ausgefallen zu sein scheint).

Version 3 erlaubt die Angabe von ACLs zur Sender-Auswahl. Ein Host kann beim Beitritt zu einer Gruppe erklären, daß er nur Traffic von einem bestimmten Sender empfangen möchte (oder einer Liste von Sendern), oder er kann Sender explizit ausschließen.

LINKS:

RFC 1112 – Host Extensions for IP Multicasting
RFC 2236 – Internet Group Management Protocol, Version 2
RFC 3376 – Internet Group Management Protocol, Version 3
RFC 2933 – Internet Group Management Protocol MIB

Wiki: Multicast

IPv4 Multicast Address Space Registry

Multicast-Routing-Protokolle
Distance Vector Multicast Routing Protocol (DVMRP)
Multicast Open Shortest Path First (MOSPF)
Protocol Independent Multicast (PIM)

Anleitung: Installation Nagios 3.3.1 (Plugins 1.4.15) auf Ubuntu 11.10 “Step by Step” deutsch

clip_image002

Nagios ist der Name einer Software, die dem Monitoring komplexer IT-Infrastrukturen dient.Nagios bietet dazu eine Sammlung von Modulen zur Überwachung von Netzwerken, Hosts und speziellen Diensten sowie eine Web-Schnittstelle zum Abfragen der gesammelten Daten. Es steht unter der GNU GPL, ist also freie Software und läuft unter zahlreichen Unix-ähnlichen Betriebssystemen. Für eine einfache Grundinstallation von Nagios ist die Installation zumindest noch folgender Software-Komponenten erforderlich:
-Der Apache HTTP Server mit PHP-Modul
-Der GCC Compiler mit bzw. nur dessen Entwicklungs-Programmbibliotheken
Neben der Nagios Kern-Software benötigt man noch die Nagios Plugins: Das sind eine Reihe von Zusatzprogrammen (Modulen), die die eigentlichen Überwachungsabfragen durchführen und (gemäß ggf. vorzugebender Parameter) auswerten.

Download Nagios         Download Ubuntu

(mehr …)