CheckPoint
CheckPoint SmartDefense – DCE-RPC Enforcement Violation (Kingdee)
二 7th
问题:
CheckPoint NGX R65 SmartDefense Update以后,会阻止DCE-RPC,导致金蝶(Kingdee)客户端无法连接。
日志:
Attack Name: DCE-RPC Enforcement Violation
Attack Information: UUID is not allowed through the Rule Base
解决:
Solution
In the SmartDefense settings, select the DCOM option found under MS-RPC in Application Intelligence. Check the box that says “Allow DCE-RPC interfaces other than End-Point Mapper (such as DCOM) on port 135″ and then push the policy to the affected module.
参考:
Solution ID: sk41208
https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk41208
CheckPoint Command Line Interface (NGX)
三 20th
CheckPoint Command Line Interface – Download
PDF For NGX R61 / R62 / R65
©2003-2009 Check Point Software Technologies Ltd. All rights reserved.
Download: http://www.box.net/shared/uydftyje3l
[By Box.net Reistlin Shared]
CheckPoint 防火墙安装策略报错的解决方法
三 5th
故障: By REISTLIN [雷斯林]
CheckPoint install policy 报错信息如下:
原因: By REISTLIN [雷斯林]
“C:\WINDOWS\FW1\R61\fw1\lib\base.def” line 383:
ERROR: cannot find <ADP_RPC_OVER_CIFS_MATCH> anywhere“C:\WINDOWS\FW1\R61\fw1\lib\base.def” line 440:
ERROR: unknown macro or function <spii_record_conn_match>“C:\WINDOWS\FW\R61\fw1\libcrypt.def” line 257:
ERROR: unknown macro or function <RECORD_CONN_EX>“C:\WINDOWS\FW\R61\fw1\conf\Standard.pf” line 9370:
ERROR: parse error“C:\WINDOWS\FW\R61\fw1\conf\Standard.pf” line 9371:
function <gtalk_ssl_proto_block_code> undefined
如果在 Windows 平台上安装 SmartCenter 不是使用缺省路径安装.
或者 CheckPoint Gateway 与 SmartCenter 的 SmartDefense 特征库不一致.
就会报错: CheckPoint SmartCenter 无法调用 macro 和 function 错误.
解决: By REISTLIN [雷斯林]
1. 确认 SmartCenter 安装目录为系统默认路径.
Install into default directory: C:\WINDOWS\FW\R61
2. 登录 SmartDashboard 选择 SmartDefense Services 标签. Download Update 升级.
CheckPoint 对象批量迁移到 Netscreen
二 23rd
摘要: 使用JavaScript脚本批量迁移SmartCenter对象到Netscreen防火墙
作者: By REISTLIN [雷斯林] MSN: Rexxxxxx@hotmail.com QQ: 3A984
版权: 原创文章.转载请保留作者信息和原文完整.谢绝任何方式的摘要.
鸣谢: 脚本作者 iwege @ Blueida
某客户需要将CheckPoint替换为Netscreen.环境如下:
原始环境:
Nokia IP560-A + IP560-B (VRRP)
IPSO 4.2 Build 078 + NGX R61 HFA-03
SmartCenter: NGX R61 HFA-03
OS: Windows 2000 Server (SP4)
替换环境:
Juniper Netscreen ISG2000 (Vsys + NSRP)
Hardware Version: 3010(0)-(04)
Software Version: 6.0.0r4.0
难点分析:
原始环境中是使用一台SmartCenter管理2台Nokia IP560-A/B.所有的防火墙对象/网络对象/网段对象/用户对象有接近2000个之多.同时也有接近100个组对象.分别包含上述的不同对象.
目前需要将这2000个对象+100个组迁移到新的Juniper Netscreen ISG2000防火墙中.保证替换设备以后实现无缝的过度.
因为 Juniper Netscreen与CheckPoint防火墙不兼容 的客观原因. 所以目前的常规做法是使用手动迁移和添加.如果手动添加. 则需要打开原始环境中的SmartCenter服务器查看/查询对象超过千次.然后在Netscreen的命令行界面依次添加.工作量庞大.效率低下.
解决方案:
[步骤1] 使用CheckPoint Web Visualization Tool将SmartCenter的所有配置. 包括网络对象/用户全部导出为html文件. [关于 Web Visualization Tool]
## 增加如下代码到输出的html文件. 比如<BODY></BODY>标签内.
<script src=”js.js”></script>
## 查询html文件源文件如下代码段. 添加红色字符串“标签ID”.
<TD class=”title”>Network Objects</TD>
</TR>
<TR>
<TD>
<TABLE cellSpacing=”0″ cellPadding=”0″ width=”100%” borders=”0″ id=”iwege”>
[步骤2] 使用JavaScript脚本.提取html文件关于 “Network Object” 的 <TD><TR> 标签组.写入数组.然后使用正则表达式输出为Juniper Netscreen命令行模式:
## 增加如下代码到输出的html文件. 比如<BODY></BODY>标签内. 红色为虚拟防火墙名称.
<script>
var iwege = $(“#iwege”);
var a = $(“tr”,iwege);
for (i=0;i<a.length;i++ )
{
var b = $(“td”,a[i]);
var name = $(“a”,b[0]).html();
var type = b[1].innerHTML;
var ip = b[2].innerHTML;
var mask = b[3].innerHTML;
var system = “”;
system += type+” set address trust-vsys-ct “+name+” “+ip+”/”+mask+”<br
/>”;
document.write(system);
}
</script>
使用IE/FF打开html文件. 则页面执行完毕后输出如下Netscreen命令行代码:
set address trust-vsys-ct <对象名称> <对象IP>/<对象掩码>
set group address trust-vsys-ct <组名称> add <对象名称>
[步骤3] 将输出的命令行直接粘贴到Juniper Netscreen命令行终端. save 即可.
CheckPoint Web Visualization Tool
一 11th
Web Visualization 可以将 CheckPoint SmartCenter 服务器中的安全策略和安全对象.导出成可读性良好的文本 (Html/Xml) 格式.这是一种基于对 SmartCenter 服务器数据库的快照模式.可以使安全管理/审计员/任何人在任何时间.不需要实时连接到 SmartCenter 服务器来查看安全策略和安全对象.
CheckPoint SmartCenter 备份与迁移
九 20th
1. Smartcenter 备份命令: $FWDIR/bin/upgrade_tools/upgrade_export
在IPSO与Windows平台的Smartcenter服务器上.
均可以使用 upgrade_export 命令将策略导出为.tgz文件.
命令行: $FWDIR/bin/upgrade_tools/upgrade_export smc_backup.tgz
则将此Smartcenter的所有配置备份打包为: smc_backup.tgz 文件.
2. Smartcenter 恢复命令: $FWDIR/bin/upgrade_tools/upgrade_import
使用 upgrade_import 导入配置.在新的Smartcenter服务器上执行如下命令行:
$FWDIR/bin/upgrade_tools/upgrade_import smc_backup.tgz
则将 smc_backup.tgz 的配置覆盖到执行此命令的Smartcenter服务器.
重新启动则生效.
By REISTLIN [雷斯林]
CheckPoint Firewall – Anti 海洋顶端ASP木马
九 20th
测试的防火墙环境: CheckPoint NGX 6.0 (OS: Windows 2003)
受保护应用服务器: Win2003 + ASP + FSO + DATABASE
测试木马: 海洋顶端ASP木马2005 / 2006 (已上传到应用服务器)
测试目标: 防止Webshell脚本的运行.保护服务器应用层安全.
解决方案: 使用CheckPoint WebIntelligence与Resource URI结合.
1. 新建立一个Resource对象,Resources -> New -> URI:
2. 命名为Block_URL,General属性如下图:
选择合适的连接类型,如包含Transparent和Proxy方法,并且追踪到Log日志里。
3.Match方法选择后端服务器环境的方法,如Http,Ftp等。
方法选中GET,POST,HEAD等类型。
研究海洋顶端ASP木马后得到关键Query字段如:FSO,STREAM,WEBSHELL,CMD等。使用合适合理的通配符给予关联,使用正则表达式给予判断。注意,此处设置需要结合防火墙后端应用服务器环境做合理的调整,保证正常应用的运行。
4. 选择动作为剥离高风险的代码Tags,使ASP木马无法正常运行,如SCRIPT,JAVA,APPLET,ACTIVEX等等,并且过滤JAVA CODE,转发地址为:about:blank 空。
5. 新建策略,源为任意地址,目标为Web_Server服务器,服务增加为:“Add whit Resource”
6. 增加Http服务与刚才建立好的名为Block_URL的URI所关联。
实际环境中请选择自己合适的服务与协议关联,此处可按需要灵活设置。
访问FSO木马首页,威胁脚本被剥离后的破碎页面,无法进行木马操作。
尝试使用木马上传文件,无法进行木马操作。
访问FSO控制页面,威胁脚本被剥离后的破碎页面,无法进行木马操作。
尝试编辑和修改磁盘文件,提示JAVASCRIPT破损,网页显示错误,操作失败。
下载地址: [CheckPoint NGX Anti ASP Shell]
[By Box.net Reistlin Shared]
CheckPoint SecureRemote VPN (IP Pool NAT)
四 26th
作者: By REISTLIN [雷斯林] MSN: Rexxxxxx@hotmail.com QQ: 3A984
版权: 原创文章.转载请保留作者信息和原文完整.谢绝任何方式的摘要.
问题:
CheckPoint NGX SecureRemote 远程访问到内部网络. 并且可以访问 DMZ 网段. 在 VPN Gateway 上实现反向 NAT (SecureRemote进入内网后 NAT 成内网 IP 地址段)
环境:
CheckPoint NGX R60 (HFA03) for Nokia IP380 (网络边界/路由模式)
Huawei 60XX Switch (内部网络核心交换机/三层路由)
Net_10.65.35.0 (SecureRemote IP Pool)
Address_10.65.30.1 (Huawei 60XX Gateway IP)
配置:
1, 启动 CheckPoint IP Pool NAT 功能
2, 定义 SecureRemote IP Pool 地址池对象. 并且启动 VPN Client 连接时生效. 这里我建立了一个名为: Remote_Pool. 地址范围为 10.65.35.0/24 的网段.
3, 建立一个 VPN Domain 的加密域. 将需要使用 VPN Tunnel 的地址加入其中. 保证其访问这些地址范围的时候. 控制 SecureRemote 对其数据包进行VNP加密传输.
4, 在 Nokia IP380 上手工定义使用VPN的加密域为网络组 VPN_Domain 的范围.
5, 增加一条 VPN Rule. 定义指定用户或者用户组内的所有用户连接到 VPN Gateway.
6, 成功安装策略以后. 在 SecureRemote PC 上追踪数据包路由. IP Pool NAT已经生效. 确认已经通过正确的 VPN Tunnel 封装到防火墙. 并且可以正常访问DMZ区.
CheckPoint License too many hosts – 超过许可证用户
四 22nd
作者: By REISTLIN [雷斯林] MSN: Rexxxxxx@hotmail.com QQ: 3A984
版权: 原创文章.转载请保留作者信息和原文完整.谢绝任何方式的摘要.
问题: CheckPoint License too many hosts?
环境: CheckPoint NGX R60 HFA03 for Nokia IP380
解决方法:
// 查看Lisence许可用户数
fw lichosts
// 停止防火墙
cpstop
// 进入防火墙安装目录下的 Database 文件夹
cd $FWDIR/database
// 删除 fwd.h 和 fwd.hosts 这两个文件
rm -r fwd.h fwd.hosts
// 启动防火墙
cpstart
// 使用 fw tab 命令.说明附后.
fw tab -t host_table -x
The fw tab command enables you to view kernel table contents and change them. “-t <tables>” Specifies a table for the command. “-x, -a, -e” It is possible to add or remove an entry from an existing dynamic table by using the -a or the -x flags.
参考资料:
use “fw lichosts” to see what you have spent your licenses on.
The comment to rm $FWDIR/database/fwd.h & $FWDIR/database/fwd.hosts was on target if you simply wanted to clear your license count.
That’s probably a good idea to start.then run “fw lichosts” and look for addresses that are not internal to your network. If you have external addresses in that list. you’ve probably got something misconfigured.
智能防火墙的技术亮点
三 10th
摘要: 一篇自己研究Firewall的文章 (未完成),已经发表于《网管员世界》。
作者: By REISTLIN [雷斯林] MSN: Rexxxxxx@hotmail.com QQ: 3A984
版权: 原创文章.转载请保留作者信息和原文完整.谢绝任何方式的摘要.
市场上宣扬防火墙速度快,不会成为网络瓶颈的产品很多。我们并不认为这是对防火墙产品的正确定位与宣传。首先。防火墙是一种网络安全设备,应用领域 主要是对网络通信进行筛选屏蔽以防止未授权的访问进出计算机网络。防火墙扮演的角色是一个边界的访问控制者,虽然对控制检测的速度有着基本的要求,但是重 点在于防火墙能不能有效的屏蔽非法流量,能不能有效的阻挡住攻击和渗透,能不能有效的提供警报和提示信息,延长入侵和威胁的周期,为安全人员在处理安全事 件的时候争取时间和主动权。所以,防火墙最重要的参数应该是产品的综合安全性,而不是所谓的吞吐量和转发速度。无论防火墙如何的快速转发,终究是没有交换 机快的。正因为如此,交换机不是一款安全产品,无法对进出的流量进行智能的安全控制。显而易见,这就是我们为什么在边界部署防火墙而不是交换机原因。
其次,第三层设备,如带路由模块的交换机,或者是路由器,都可以通过定义访问控制列表来过滤指定的流量。通过ACL我们可以对网络的访问进行基本的 设置和过滤,但是对于一个综合应用很多的大型网络,ACL的局限性就很多了。ACL仅仅是在OSI第三层上检测数据包的目标地址,源地址以及协议或者端 口,无法判断该协议状态是否是正常的,无法判断整个会话的状态是否非法的,无法分析其数据包的内容是否有害的。如果仅仅依靠包过滤设备来保护网络,那在面 对如SQL注入,ASP木马,WEB Shell,VBS攻击程序,AX插件攻击等流行而危害性非常非常大的攻击方式面前将无能为力。很有可能,管理人员以为封掉了多余的端口而高枕无忧的时 候,其实服务器已经通过80端口被入侵了很长时间了,数据库已经被重新打包窃取了。
另外,很多网络设备和技术手段都可以对网络提供保护,但是致命的一点是,该系统无法在安全性,可用性和功能上进行权衡和妥协。对此我们提出的方案 是:使用智能的高安全性的防火墙。因为它们只专注做一件事,就是,在已授权和未授权通信之间做出决断。防火墙成为了与不可信任网络进行联络的唯一纽带,我 们通过部署智能防火墙,就可以通过关注防火墙的安全来保护其内部的网络安全。并且所有的通信流量都通过防火墙进行审记和保存,对于网络安全犯罪的调查取证 提供了依据。防火墙减轻了网络和系统被用于非法和恶意目的的风险。
在市场上的各类智能防火墙产品中,CheckPoint公司的NG是非常具有代表性的。我们就CheckPoint公司的Stateful Inspection(状态检测技术) 和Web Intelligence (Web智能技术)来简单介绍下对于防火墙的智能防御与Web安全保护。
简单来说,状态检测技术工作在OSI参考模型的Data Link与Network层之间,数据包在操作系统内核中,在数据链路层和网络层时间被检查。防火墙会生成一个会话的状态表,Inspect Engine检测引擎依照RFC标准维护和检查数据包的上下文关系。该技术是CheckPoint发明的专利技术。对状态和上下文信息的收集使得 CheckPoint防火墙不仅能跟踪TCP会话,也能智能处理无连接协议,如UDP或RPC。这样就保证了在任何来自服务器的数据被接受前,必须有内部 网络的某一台客户端发出了请求,而且如果没有受到响应,端口也不会处于开放的状态。状态检测对流量的控制效率是很高的,同时对于防火墙的负载和网络数据流 增加的延迟也是非常小。可以保证整个防火墙快速,有效的控制数据的进出和做出控制决策。
在Web环境中,威胁来自于多个方面,从端点到传输到边界,最后到达Web服务器和后台数据库。这一系列的数据交换将会引发大量的安全问题。传统的 防火墙的功能对于Web的保护相当有限,比如,无法深入检测HTTP的内容,不能理解 Web 应用的上下文,性能低下,无法提前部署与防御等等。CheckPoint的Web Intelligence,有一种名为Malicious Code Protector (可疑代码防护器)来提供对应用层的保护。比如,Web会话是否符合RFC的标准不能包含二进制数据;协议使用是否为预期或典型的;应 用是否引入了有害的数据或命令;应用是否执行了未授权的操作或引入了有害的可执行代码等。如何去判断上述的一些威胁呢?MCP使用了通过分拆及分析嵌入在 网络传输中的可执行代码,模拟行来判断攻击,将可执行代码放置到一个虚拟的仿真服务器中运行,检测是否对虚拟系统造成威胁,最终来决定是否定义为攻击行 为。该技术最大的优势是可以非常精确的阻止已知和未知攻击,并且误报率相当低。
Nokia IPSO支持路由,透明,NAT等多种模式,支持广泛的协议和广域网物理接口。针对于CheckPoint给予硬件加速功能,提供高可用性和负载均衡。并 且管理界面简单,部署安全高效。Nokia IPSO与CheckPoint产品的结合,是安全业界公认的高安全性与高效率的解决方案。
Nokia给CheckPoint提供了一套安全可靠的运行环境,使用IPSO的命令行界面和Web管理界面,支持SSH和SSL,可以配置路由, 透明桥,防火墙群集。管理和安装CheckPoint的系统组件,以及安装包的管理,系统配置的备份与迁移,网络层信息的收集与硬件性能的监视等。
CheckPoint系统分为三大类,分别为:GUI模块,管理模块与防火墙模块。分布式安装,集中的管理和高效部署正是CheckPoint的优 势,所以这三个模块可以安装在单一设备上,也可以分别部署在独立的系统中。GUI模块提供给用户一个图形管理界面,用户可以通过这个界面与防火墙交互式操 作,包括定义网络结构,安全对象,可视化策略编辑器等;而管理模块则定义和保存了防火墙的规则,策略,以及日志等系统运行信息;防火墙模块是位于整个系统 的前沿,通常又称做执行点。通过后端的规则制定与管理模块的策略下发,在此模块上执行并且应用。一个管理模块可以同时管理多台前端执行点,统一下发安全策 略,集中汇集日志和警报信息,联合多个防火墙共同响应与防御威胁。
与非智能的防火墙相比,比如使用ASIC硬件芯片的防火墙设备,虽然会达到接近线速的吞吐速率,但是防火墙的收缩性差。网络接口、硬件性能已定。无 法升级性能,无法扩充端口。并且防火墙的管理功能很弱。不能集中管理,无法做到从一个中央点监控管理所有的防火墙,在部署策略的时候需要很长的周期和很多 重复性的工作,没有强大的日志功能。对于防御未知的攻击的扩展性非常差,并且升级攻击库和入侵特征困难等。
