Como evitar o IPS/Web Intelligence para hosts específicos

Publicado em 5 de dezembro de 2011 por tdmsilvino

Baseado na solução: sk31918
Aplicável à: R70, NGX R65, R71, R75

Sintomas

Mensagem de erro “Invalid lf-cr combination in the http header” no SmartView Tracker.
Tráfego para a porta 80 é bloqueado com a mensagem de erro mostrada acima quando o Worm Catcher está habilitado.
Esse erro aparece para tráfego HTTP normal e para tráfego que não é HTTP e está usando a porta 80.

Causa

O módulo Web Intelligence traz algumas proteções, tais como o Worm Catcher e cabeçalhos de resposta ASCII-only, e isso implica que o tráfego precisa estar em conformidade com as RFCs do protocolo HTTP. Há verificações adicionais de segurança habilitados que não são explicitamente mencionados nas opções do IPS/Web Intelligence.

Solução

Cuidado: Se você aplicar a solução descrita a seguir, os endereços IP especificados, as portas e protocolos não serão inspecionados pelo IPS/Web Intelligence.

Continuar lendo →

Como migrar a tabela de roteamento de um firewall SPLAT ou Linux com iproute2

Publicado em 18 de novembro de 2011 por tdmsilvino

Comentar

No sistema antigo siga os seguintes passos:

Execute o comando: ip route show | grep via

Copie a saída do comando para um arquivo ou redirecione-a para um arquivo adicionando “> rotas.txt” ao comando anterior

Revise a lista e verifique se ela contem todas as rotas que você precisa. Caso haja rotas desnecessárias você pode deletá-las removendo a linha inteira.

Adicione “ip route add” no começo de cada linha usando um editor de texto da sua escolha ou usando esse comando a seguir:
cat rotas.txt |awk ‘{ print “ip route add “$0 ; }’ > rotas_para_importar

As linhas no arquivo rotas_para_importar devem se parecer com essas:
ip route add 10.1.1.1 via 192.168.10.1 dev eth0
ip route add default via 192.168.10.102 dev eth0

Execute o arquivo (sh rotas_para_importar) no sistema de destino. As rotas serão adicionadas à tabela de roteamento.

Para fazer as rotas sobreviverem a um reboot use esses comandos no SPLAT:

save_route –save ou cpnetconf store

Em um sistema Linux comum você deve executar o arquivo rotas_para_importar no final da inicialização do sistema. Por exemplo no Slackware você deve adicionar essa linha “/caminho/para/rotas_para_importar” no arquivo /etc/rc.d/rc.local, já no Ubuntu essa linha pode ser adicionada em /etc/rc.local. Esse arquivo varia em cada distribuição.

Guia de referência fw monitor

Publicado em 11 de novembro de 2011 por talmeida

Comentar

Este comando permite que você monitore o tráfego de rede passando através do modulo de Kernel do Firewall. Também mostra a você como o tráfego deve parecer na perspectiva de várias partes de um Firewall e pode monitorar todas as interfaces simultaneamente. É muito importante salientar que o comando fw monitor não funciona na camada 2, ou seja, não é possível capturar endereços MAC com o fw monitor. O fw monitor funciona em qualquer plataforma onde o software Check Point estiver instalado.

Uso:

fw monitor [-d] [-D] -e inspect-filter -f filter-file [-l len] [-m mask] [-x offset[,len]] [-o file]

Nota: SecureClient contém o comando srfw dentro de C:\Program Files\CheckPoint\SecuRemote que também funciona como fw monitor (e.g. srfw monitor).

Existem quatro “pontos de inspeção” quando um pacote passa através de um firewall Check Point (Security Gateway). Nós escolhemos onde queremos ver os pacotes com a opção -m:

Antes que o firewall processe o pacote na direção de entrada (i ou PREIN)

Depois que o firewall processe o pacote na direção de entrada (I ou POSTIN)

Antes que o firewall processe o pacote na direção de saída (o ou PREOUT)

Depois que o firewall processe o pacote na direção de saída (O ou POSTOUT)

Continuar lendo →

Adicionando rotas estáticas no SPLAT usando sysconfig

Publicado em 6 de novembro de 2011 por tdmsilvino

Comentar

Para adicionar rotas estáticas no SPLAT – SecurePlataform siga esses passos:

Apartir do console no SPLAT ou em uma janela de terminal, execute o comando: sysconfig.

1. Escolha a opção ‘Routing’.

2. Escolha se você quer adicionar uma nova rota de rede (Add new network route) ou uma nova rota de host (Add new host route).

3. Preencha essas informações:
a. Endereço IP da rede ou do host. Máscara de rede (não se aplica a rotas de host).
b. Endereço IP do gateway.
c. Interface de saída (essa é a interface do firewall para onde os pacotes serão roteados, isto é, a interface usada para chegar no gateway dessa rota).

As rotas serão salvas automáticamente assim que forem adicionadas.

4. Escolha a opção ‘Exibir a Configuração de Roteamento’ (Show Routing Configuration) para verificar se as rotas foram realmente adicionadas.

5. Escolha ‘Done’ e então ‘Exit’ para sair do sysconfig.

Baseado na solução sk21474.
Se aplica à NG, NGX R60, NGX R61, NG AI.

Como adicionar e salvar rotas no SPLAT sem usar as ferramentas ‘sysconfig’ ou ‘webui’

Publicado em 6 de novembro de 2011 por tdmsilvino

Comentar

A sintaxe para adicionar rotas em um firewall CheckPoint rodando SPLAT pela linha de comando (CLI) é a seguinte:

ip route add <IP/SUBNET> via GW

Obs: Esse comando funciona em qualquer distribuição Linux que tenha o pacote iproute2 instalado. O pacote iproute2 deve subistituir as ferramentas clássicas “ifconfig”, “route” e “arp”.
Continuar lendo →

CST – Configuration Summary Tool

Publicado em 4 de novembro de 2011 por tdmsilvino

Comentar

A ferramenta de sumário de configuração (CST – Configuration Summary Tool) do IPSO é um script localizado no diretório /etc, ela cria um arquivo de sumário da configuração atual do seu sistema operacional IPSO no formato HTML.

O CST está incluído no IPSO 3.8 build 20 e em todos as versões e atualizações subsequentes do IPSO. Se você está executando uma versão do IPSO que seja inferior à IPSO 3.8 build 20, você pode fazer o download do CST nesse link: CST Versão 02-24-04g para IPSO 3.5 até IPSO 3.8.

O IPSO 6.1 e versões superiores inclue uma ferramenta chamada ECST, que é uma versão melhorada desta ferramenta. Essa ferramenta também está disponível separadamente para o IPSO 4.1 e 4.2. Veja o artigo em inglês sk39913 – Enhanced Configuration Summary Tool (ECST) para mais informações.
Continuar lendo →

Proxy-Arp: O que é e como funciona

Publicado em 25 de outubro de 2011 por tdmsilvino

Comentar

O Proxy-arp é um método onde um determinado host, que pode ser um router ou firewall por exemplo, responde um arp request em nome de outro host. Este protocolo (RFC-1027 http://www.ietf.org/rfc/rfc1027.txt) foi desenvolvido no final dos anos 80 pelo Departamento de Ciências da Computação da Universidade do Texas em Austin por necessidade deste em segmentar sua rede de computadores. Porém, naquela época, nem todos os devices de rede podiam ter seus endereços de redes subnetados, ou seja, um endereço classe A não poderia ser dividido em duas, três, doze, etc … redes diferentes pois o dispositivo somente reconhecia a classe de seu IP.
Continuar lendo →

Removendo uma entrada específica da tabela de conexões

Publicado em 21 de outubro de 2011 por tdmsilvino

Comentar

Toda vez que uma conexão é aceita por um firewall CheckPoint essa conexão é colocada em uma tabela de conexões.

Você pode verificar o estado e alterar da tabela de conexões do seu firewall CheckPoint usando as várias opções do comando “fw tab -t connections”.

Vamos supor que você tenha uma conexão TCP como essa mostrada abaixo e você quer remover essa entrada específica da tabela de conexões do seu firewall CheckPoint:

Origem: 192.168.10.15
Porta de origem:52379

Destino: 10.20.30.40
Porta de destino: 22

Continuar lendo →

Por que o firewall muda a flag de alguns pacotes de SYN para ACK?

Publicado em 18 de outubro de 2011 por tdmsilvino

Sintoma:

Um pacote com a flag SYN enviado para o firewall tem a flag alterada para ACK ao sair do firewall

Causa:

Quando um cliente tenta estabelecer uma nova conexão para um servidor usando a mesma porta de uma conexão que foi estabelicida anteriormente, que o cliente/servidor acha que a conexão foi terminada, mas o firewall acha que a conexão não foi terminada (ou seja, o firewall não viu um pacote as flags FIN ou RsT para aquela conexão), o firewall vai tentar determinar qual é o estado real da conexão.

Isso é feito usando a mecanismo fwconn_smart_conn_reuse (Reutilização inteligente de conexões) Continuar lendo →

Guia de Referência Rápida IPSO (Comandos mais utilizados)

Publicado em 18 de outubro de 2011 por tdmsilvino

Comentar

Este é um guia de referência rápida para ser utilizado em Firewalls que rodam IPSO formalmente denominados de Nokia appliances. Você pode gerenciar o firewall CheckPoint IP appliance (Nokia), tanto a partir de linha de comando (CLISH) ou a partir do Voyager (Web GUI). Os comandos a seguir são utilizados via CLI CLISH:
Nokia# clish
Nokia>
—Configurando default gateway
set static-route default nexthop gateway address 192.168.29.2 priority 1 on
Continuar lendo →

Parede de Fogo

O ponto de encontro dos profissionais de segurança da informação

Como evitar o IPS/Web Intelligence para hosts específicos

Como migrar a tabela de roteamento de um firewall SPLAT ou Linux com iproute2

Guia de referência fw monitor

Adicionando rotas estáticas no SPLAT usando sysconfig

Como adicionar e salvar rotas no SPLAT sem usar as ferramentas ‘sysconfig’ ou ‘webui’

CST – Configuration Summary Tool

Proxy-Arp: O que é e como funciona

Removendo uma entrada específica da tabela de conexões

Por que o firewall muda a flag de alguns pacotes de SYN para ACK?

Guia de Referência Rápida IPSO (Comandos mais utilizados)