Одминский блог

Перепрошивка устройства Checkpoint EDGE

Возникла необходимость залить на десяток устройств Edge кастомную прошивку, которая прошла сертификацию ФСТЭК. Сделать это можно несколькими способами, как через SmartUpdate, так и через GUI. Если в ситуации со SmartUpdate все понятно, но однозначно не подходит, ибо поднимать SmartCentre ради того чтобы обновить пару-тройку Edge, совсем не катит, то придется использовать другие способы.

Начнем с GUI, для чего настроим машину либо на DHCP либо на сетку 192.168.10.0/24. Заходим через бродилку по адресу http://192.168.10.1/ где задаем администраторский пароль и попадаем в основное меню GUI. Далее выбираем Setup -> вкладка Firmware -> Firmware Update, выбираем файл который является нашей новой прошивкой и говорим Upload. После этого Edge задумается на пару минут, вывесив объявление о том, что обновление в процессе, после чего уйдет в перезагрузку. После того как он загрузится, снова заходим в GUI с установленным нами ранее паролем и сбрасываем устройство в состояние Factory Default (по крайней мере моей задачей было передать устройство заказчику, так что все установки должны были быть по умолчанию): Setup -> Tools -> Factory Settings -> на загрузившейся странице следует обратить внимание на то, чтобы галочка на чекбоксе “Revert to the factory default firmware version” была снята. Нажимаем ОК и ждем несколько минут пока устройство перегрузится. Здесь следует обратить внимание на тот не приятный факт, что гуй Edge подглючивает в Mozilla, поэтому, чтобы не озадачиваться зазря, следует пользоваться IE.

Второй вариант такой же как и установка новой лицензии на Edge- путем загрузки её посредством протокола tftp. Для этого переводим устройство в режим tftp сервера, т.е нажимаем кнопку Power и держа её, включаем устройство. Кнопку отпускаем после того как индикатор работы PWR/SEC загорается красным. Настраиваем сетевые свойства компьютера на сеть 192.168.10.0/24, после чего загружаем dos-promt (win -> run -> cmd) и в нем задаем команду: tftp -i 192.168.10.1 put <N.extension> , где N- номер версии, а extension тип файла:
* Для устройств Edge без поддержки ADSL, extension будет tftp (например 8042x.tftp)
* Для устройств Edge с поддержкой ADSL, extension будет  firm (например a8042a.firm)
Вот тут начинается самое интересное- по мануалу, устройство должно перегрузиться после этого само, но к сожалению у меня оно и дальше продолжало радостно помигивать лампочками, поэтому все приходилось делать своими руками. Так что перегружаем устройство и ждем пока оно проморгается и начнет снова стабильно гореть здоровым зеленым цветом на индикаторе PWR/SEC, правда ждать придется минут 5 как минимум. Но по невыясненным причинам у меня из десяти устройств это вариант прокатил только с 3мя, так что рекомендую все таки воспользоваться способом через GUI.

Рубрика: Check Point | Ваш отзыв »

Ускоряем разрешение доменных имен через resolve.conf

Системный файл /etc/resolv.conf является файлом конфигурации процедур сервера доменных имен. В этом файле хранится информация об используемых DNS серверах, и этот файл перечитывается при вызове процедуры разрешения имен. В файл можно поместить информацию о трех DNS серверах, причем алгорит действия будет таким, что запрос всегда уходит на стоящий первым в списке сервер. В случае если он не отвечает в течении некоторого времени (по умолчанию 5 секунд), то запрос отправляется на вторичный сервер DNS, если он не отвечает, то запрос переходит к третичному серверу DNS. То есть по умолчанию система всегда использует первый из списка сервер, и обращается ко второму и третьему только в случае, если первичный сервер не отвечает.

Но в версии BIND 8.2 были добавлено некоторое количество новых опций, с помощью которых мы можем несколько ускорить работу разрешения доменных имен для нашего сервера:

Опиция timeout позволяет задавать время таймаута для присутствия в очереди запросов. По умолчанию этот параметр равен 5 секундам (максимально 30), так что если мы хотим ускорить отработку запроса, то выставляем этот параметр например на 2 секунды:
options timeout:2

Опция rotate позволяет использовать из списка доменных серверов все адреса, а не только первый, который может быть перегружен многочисленными запросами. Причем вторичный и третичный сервера используются только в случае отказа в обслуживании первого сервера. Поэтому с помощью этой опции мы можем разгрузить первичный сервер и отправить часть запросов на остальные сервера, указанные в resolve.conf
options rotate

Единственно что следует помнить о том что мы используем эту опцию, ибо в случае отладки, например почтового демона, мы никогда не будем знать какой из доменных серверов дал нам ответ на наш запрос. Еще один момент заключается в том, что данная опция будет полезна не всем программам, ибо часть из них, например ping, одноразово инициализирует резолвер и после разрешения имени выходит. Тогда как почтовые демоны, отправляющие многочисленные запросы разрешения доменных имен, будут использовать этот функционал.

Опираясь на все вышесказанное, resolve.conf  будет иметь следующий вид:

nameserver 1.1.1.1
nameserver 2.2.2.2
nameserver 3.3.3.3
option rotate
option timeout:2

Рубрика: Интернет | Ваш отзыв »

Перепрошиваем свич HP ProCurve

На старой работе возникла проблема с HPшными свичами ProCurve 2XXX серий, которые  закупал лет 6 назад. С месяц назад у ребят началась какая то свистопляска с портами и дуплексами, в связи с чем решили мы их перепрошить. Операция не сложная, но долгая по времени и довольно стремная, ибо система строилась на века, поэтому возникает опасение, что все транки и VLAN могут послетать если что то пойдет не так.

Поскольку я обновлял часть из них буквально перед уходом из конторы, то и версии прошивы были различными. Здесь следует оговорить несколько моментов:

Начиная с версии прошивки I.08.74 устройство не поддерживает FEC trunks (Cisco Systems’ Fast EtherChannel for aggregated links) и CDP (Cisco Discovery Protocol). Вместо них введены, базирующиеся на IEEE стандарте, протокол LACP aggregated links (предназначенный как раз для организации транков) и протокол LLDP для оповещения по сети и сбора информации о соседних устройствах.

Для апргейда до актуальной версии прошики I.10.xx необходимо иметь как минимум версию I.08.07, если она ниже, то сначала обновляемся до неё, после чего вторым обновлением поднимаем прошивку до I.10.xx. Версия промежуточной прошивки может отличаться у разных моделей.

Конфиги созданные с помощью прошики I.10.65 или новее, не поддерживаются предыдущими версиями прошивок, так что в случае варианта даунгрейда устройства, все придется настраивать заново.

При перепрошивке конфиг не затирается, ибо хранится статически на флеше, в то время как прошивка распаковывается при каждой загрузке устройства в оперативную память.

Перепрошить дейвайс можно двумя способами: через XMODEM соединение, и загрузкой с TFTP сервера. Работу с TFTP я рассмотрю позднее, ибо она требует настроить TFTP сервер, а пока попробуем перепрошить с помощью соединения  XMODEM. Сам XMODEM является простейшим протоколом передачи данных и отлично зарекомендовал себя еще на BBSках в далеких 70х годах. Не буду вдаваться в его подробности, ибо кому интересно тот почитает сам, а перейду сразу к нашей процедуре. Итак для перепрошивки нам необходим сам файл прошивки, скаченный с офф.сайта; стандартный RS-232 кабель  “мама-мама” и компьютер с com-портом, или, в связи с тем, что сейчас найти такой компьютер практически нереально, переходник usb-serial. Подключаемся к свичу с помощью встроенного терминала Windows (пуск -> стандартные -> связь -> HyperTerminal) со стандартными параметрами: 9600 без управления потоком, дважды щелкаем Enter и мы в строке управления CLI. Для начала нам надо перевести терминал на более высокую скорость, ибо загрузка имиджа на 9600 будет идти почти полтора часа. Для этого говорим:
# configure
# console baud-rate 115200
После чего перегружаем свич и подключаемся уже с использованием указанной скорости
Даем команду  # menu и в загрузившимся меню выбираем Download OS и выставив XMODEM говорим execute (также можно сделать это прямо из CLI задав команду # copy xmodem).  После этого нажимаем ентер и задаем отправку файла через терминал:  выбираем Передача -> Отправить файл, во вкладке Протокол выставляем XMODEM и выбираем необходимый файл прошивки.Минут 10-15 файл закачивается после чего перегружаем свич. Процесс первой загрузки будет идти несколько дольше чем обычно, так что не стоит начинать кусать локти раньше времени.

Если обновляемся с более древней прошивки, то как я отписал, этот этап придется проделывать два раза, до промежуточной и до конечной версии.

Рубрика: Оборудование | Ваш отзыв »

Несколько фактов об утечке информации

В очередной раз занимаюсь по работе совершенно дебильным занятием: сдаю экзамены за партнеров, с тем чтобы они ласковые наши могли получить авторизацию по определенным линейкам оборудования и наслаждаться этими самыми решениями.  Запарило это занятие до безобразия, ибо за последние полгода сдал уже более 200 тестов, но все таки иногда становится довольно интересно- если вдруг удается вчитаться в мануалы и презентухи по продуктам.

Вот и сегодня встретил в он-лайн презентации, посвященной некоей Network DLP довольно интересную статистику по утечкам информации:

80% CISO рассматривают сотрудников как основной источник утечки информации
73% утечек информации происходит через внутренние ресурсы компании
77% компаний не имеют возможности (технической или финансовой) проанализировать, постфактум, причины утечки и те финансовые потери, которая она нанесла компании и это при том, что по устаревшей статистике- убытки от утечек информации в период с 2006 года по 2007 возросли с $4.8 миллиардов до $6.3
Каждые 53 секунды в мире теряется или крадется один ноутбук- в кафешках, ресторанах, метро, вокзалах и прочее.
По данным ФБР среднестатистический ноут имеет 1 из 10 шансов быть украденным в этом году, и при этом с вероятностью 97% эта информация будет утеряна навсегда.
Всего 20% утечек данных происходит в результате действия злонамеренного кода, т.е. внешнего вторжения или вирусной атаки, при этом 92% компаний используют имаил (email) для пересылки конфиденциальной информации, не прибегая к каким либо дополнительным способам защиты пересылаемой информации; в 52% конфиденциальная информация уходит из офиса на портативных-переносных устройствах- ноуты, флешки и прочее.
Более 80% наиболее дорогостоящих утечек информации происходило по причинам выноса, вполне законопослушными сотрудниками, информации из вне организаций.

Довольно интересная информация, которая заставляет серьезно задуматься о том, как и с помощью чего необходимо хранить свои конфиденциальные данные.

Рубрика: IT безопасность | Ваш отзыв »

Установка поддержки SNX и Endpoint Connect на шлюзах

Установка поддержки SNX R71 на шлюз VPN-1 R65+ и портал Connectra Gateway

Для того, чтобы проапгрейдить движок SNХ на шлюзе VPN-1, делаем следующие процедуры:

1. Резервируем директорию $FWDIR/conf/extender/CSHELL
2. Скачиваем с офф.сайта Checkpoint файл апгрейд-патча SNX_for_VPN1_Win7.tgz
3. Распаковываем скаченный файл, в директорию $FWDIR/conf/extender/CSHELL
4. Перемещаем файлы cashell_ver.txt и slim_ver.txt в директорию $FWDIR/conf/extender
5. Устанавливаем на шлюзе имеющиеся политики

Для того, чтобы установить патч на портал Connectra Gateway, необходимо проделать следующие шаги:

1. Резервируем директорию $CVPNDIR/htdocs/SNX/CSHELL
2. Скачиваем с офф.сайта файл апгрейд-патча SNX_for_Connectra_Win7.tgz
3. Распаковываем ранее скаченный файл в директорию $CVPNDIR/htdocs/SNX/CSHELL
4. Устанавливаем политики на портал

Установка поддержки Endpoint Connect R73 на шлюз VPN-1 R65+ HFA40 и портал Connectra Gateway
Для установки поддержки Endpoint Connect R73 на шлюзе VPN-1, начиная с версии R65 HFA 40, необходимо провести следующие процедуры:

1. Резервируем файлы TRAC.cab и trac_ver.txt содержащиеся в директории $FWDIR/conf/extender/CSHELL
2. Скачиваем с офф.сайта Checkpoint файл поддержки клиентского софта
   Check_Point_Endpoint_Connect_R73_For_Windows_835000022.cab
3. Перемещаем файл в директорию $FWDIR/conf/extender/CSHELL и переименовываем его в TRAC.cab
4. Задаем правильные права доступа к файлу поддержки клиента: chmod 750 TRAC.cab
5. Редактируем файл trac_ver.txt изменив build number содержащийся внутри файла, на новый 835000022
6. Устанавливаем политтику на шлюз

Для установки поддержки Endpoint Connect R73 на портале Connectra Gateway совершаем следующие процедуры:

1. Резервируем файлы TRAC.cab и trac_ver.txt из директории $CVPNDIR/htdocs/SNX/CSHELL
2. Скачиваем с офф.сайта файл поддержки обновленной версии клиента
   Check_Point_Endpoint_Connect_R73_For_Windows_B835000022.cab
3. Перемещаем файл в директорию  $CVPNDIR/htdocs/SNX/CSHELL и переименовываем его в TRAC.cab
4. Даем команду chmod 750 TRAC.cab для того чтобы задать необходимые права доступа к файлу
5. Изменяем в файле file trac_ver.txt версию build number, изменив имеющийся на 835000022
6. Устанавливаем политики на портал

Рубрика: Check Point | Ваш отзыв »

Checkpoint Secure Client VPN для 64битных Windows 7

После анонсирования новой системы Windows 7, вскрылась новая проблема, на которую никто не обращал внимания до этого, не смотря на то, что она уже была озвучена применительно еще к системам Vista: на 64-битных системах Windows Vista/7 невозможно использование IPSEC VPN клиента от Checkpoint – Secure Client, с помощью которого удаленный хост может подключаться к шлюзам Connectra, VPN-1, UTM-1 и Power-1 используя протоколы стандарта IPSEC. Это продукт отлично себя зарекомендовал на большинстве систем Microsoft и Mac, но к сожалению, после установки на 64-битную систему, пакет Secure Client не запускается в принципе, так что использование его невозможно.

И вот здесь начинается некоторая непонятка, ибо Checkpoint обещает выпуск обновленного полнофункционального VPN клиента Secure Client, поддерживающего 64битные системы, только в конце второго квартала, и на данный момент предлагает два вида решения: использование облегченного VPN клиента Endpoint Connect (он также интегрирован в продукт Endpoint Security Client R73), входящего в комплект Connectra, но при этом поддерживающего соединение со шлюзами, начиная от NGX R65 HFA40. В данный момент единственная версия клиента  Endpoint Connect, поддерживающая 64битные системы, является  Endpoint Connect R73, который дает возможность подключения к системам выше R65 HFA40 и Connectra R66.

Для использования этой версии клиента также необходимо произвести апгрейд поддержки Endpoint Connect на шлюзах, путем установки установки патча поддержки R73. Последняя актуальная версия клиента Endpoint Connect, а также патч для шлюза VPN-1 и портала Connectra доступны для скачивания на офф.сайте Checkpoint.

Лицензируется использование этого продукта в виде Check Point Endpoint Security – Secure Access license, путем приобретения лицензии на удаленное рабочее место, то есть если два пользователя работают с одной машины, то нужна всего одна лицензия, если же один пользователь предполагает работать с двух разных машин, то две лицензии.

Другим вариантом использования VPN клиента на 64битныхз платформах, является использование продукта SSL Network Extender (SNX) для построения шифрованного туннеля 3го уровня SSL VPN. Версия SNX R71 HFA1 for Windows поддерживает 64битные платформы Windows 7/Vista/XP. Этот клиент скачивается с портала Check Point Security Gateways по запросу пользователя, пытающегося установить шифрованное соединение через протокол HTTPS. Продукт поддерживает шлюзы, начиная с версии NGX R60 и выше. Для использования версии R71, на шлюзах также должен быть установлен патч поддержки этой версии, который можно скачать на офф.сайте Checkpoint.

Лицензируется использование данного продукта путем приобретения лицензии SNX (на определенное количество пользователей: 25, 100, 250 и т.д) или также Check Point Endpoint Security – Secure Access license, которая приобретается по количеству удаленных рабочих мест.

Так что все разговоры о том, что Endpoint Connect поддеривается только VPN порталом Connectra либо развод на лишние, причем не малые, бабуськи, либо просто незнание материала.

Рубрика: Check Point | Ваш отзыв »