Firewall
CheckPoint SmartDefense – DCE-RPC Enforcement Violation (Kingdee)
二 7th
问题:
CheckPoint NGX R65 SmartDefense Update以后,会阻止DCE-RPC,导致金蝶(Kingdee)客户端无法连接。
日志:
Attack Name: DCE-RPC Enforcement Violation
Attack Information: UUID is not allowed through the Rule Base
解决:
Solution
In the SmartDefense settings, select the DCOM option found under MS-RPC in Application Intelligence. Check the box that says “Allow DCE-RPC interfaces other than End-Point Mapper (such as DCOM) on port 135″ and then push the policy to the affected module.
参考:
Solution ID: sk41208
https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk41208
Nokia Command Line Interface (IPSO)
四 10th
Nokia IP Security Platform Command Line Interface – Download
PDF For IPSO 3.x / 4.x
Copyright © 2009 Nokia. All rights reserved
Download: http://www.box.net/shared/7mesm21plf
[By Box.net Reistlin Shared]
CheckPoint Command Line Interface (NGX)
三 20th
CheckPoint Command Line Interface – Download
PDF For NGX R61 / R62 / R65
©2003-2009 Check Point Software Technologies Ltd. All rights reserved.
Download: http://www.box.net/shared/uydftyje3l
[By Box.net Reistlin Shared]
CheckPoint 防火墙安装策略报错的解决方法
三 5th
故障: By REISTLIN [雷斯林]
CheckPoint install policy 报错信息如下:
原因: By REISTLIN [雷斯林]
“C:\WINDOWS\FW1\R61\fw1\lib\base.def” line 383:
ERROR: cannot find <ADP_RPC_OVER_CIFS_MATCH> anywhere“C:\WINDOWS\FW1\R61\fw1\lib\base.def” line 440:
ERROR: unknown macro or function <spii_record_conn_match>“C:\WINDOWS\FW\R61\fw1\libcrypt.def” line 257:
ERROR: unknown macro or function <RECORD_CONN_EX>“C:\WINDOWS\FW\R61\fw1\conf\Standard.pf” line 9370:
ERROR: parse error“C:\WINDOWS\FW\R61\fw1\conf\Standard.pf” line 9371:
function <gtalk_ssl_proto_block_code> undefined
如果在 Windows 平台上安装 SmartCenter 不是使用缺省路径安装.
或者 CheckPoint Gateway 与 SmartCenter 的 SmartDefense 特征库不一致.
就会报错: CheckPoint SmartCenter 无法调用 macro 和 function 错误.
解决: By REISTLIN [雷斯林]
1. 确认 SmartCenter 安装目录为系统默认路径.
Install into default directory: C:\WINDOWS\FW\R61
2. 登录 SmartDashboard 选择 SmartDefense Services 标签. Download Update 升级.
CheckPoint 对象批量迁移到 Netscreen
二 23rd
摘要: 使用JavaScript脚本批量迁移SmartCenter对象到Netscreen防火墙
作者: By REISTLIN [雷斯林] MSN: Rexxxxxx@hotmail.com QQ: 3A984
版权: 原创文章.转载请保留作者信息和原文完整.谢绝任何方式的摘要.
鸣谢: 脚本作者 iwege @ Blueida
某客户需要将CheckPoint替换为Netscreen.环境如下:
原始环境:
Nokia IP560-A + IP560-B (VRRP)
IPSO 4.2 Build 078 + NGX R61 HFA-03
SmartCenter: NGX R61 HFA-03
OS: Windows 2000 Server (SP4)
替换环境:
Juniper Netscreen ISG2000 (Vsys + NSRP)
Hardware Version: 3010(0)-(04)
Software Version: 6.0.0r4.0
难点分析:
原始环境中是使用一台SmartCenter管理2台Nokia IP560-A/B.所有的防火墙对象/网络对象/网段对象/用户对象有接近2000个之多.同时也有接近100个组对象.分别包含上述的不同对象.
目前需要将这2000个对象+100个组迁移到新的Juniper Netscreen ISG2000防火墙中.保证替换设备以后实现无缝的过度.
因为 Juniper Netscreen与CheckPoint防火墙不兼容 的客观原因. 所以目前的常规做法是使用手动迁移和添加.如果手动添加. 则需要打开原始环境中的SmartCenter服务器查看/查询对象超过千次.然后在Netscreen的命令行界面依次添加.工作量庞大.效率低下.
解决方案:
[步骤1] 使用CheckPoint Web Visualization Tool将SmartCenter的所有配置. 包括网络对象/用户全部导出为html文件. [关于 Web Visualization Tool]
## 增加如下代码到输出的html文件. 比如<BODY></BODY>标签内.
<script src=”js.js”></script>
## 查询html文件源文件如下代码段. 添加红色字符串“标签ID”.
<TD class=”title”>Network Objects</TD>
</TR>
<TR>
<TD>
<TABLE cellSpacing=”0″ cellPadding=”0″ width=”100%” borders=”0″ id=”iwege”>
[步骤2] 使用JavaScript脚本.提取html文件关于 “Network Object” 的 <TD><TR> 标签组.写入数组.然后使用正则表达式输出为Juniper Netscreen命令行模式:
## 增加如下代码到输出的html文件. 比如<BODY></BODY>标签内. 红色为虚拟防火墙名称.
<script>
var iwege = $(“#iwege”);
var a = $(“tr”,iwege);
for (i=0;i<a.length;i++ )
{
var b = $(“td”,a[i]);
var name = $(“a”,b[0]).html();
var type = b[1].innerHTML;
var ip = b[2].innerHTML;
var mask = b[3].innerHTML;
var system = “”;
system += type+” set address trust-vsys-ct “+name+” “+ip+”/”+mask+”<br
/>”;
document.write(system);
}
</script>
使用IE/FF打开html文件. 则页面执行完毕后输出如下Netscreen命令行代码:
set address trust-vsys-ct <对象名称> <对象IP>/<对象掩码>
set group address trust-vsys-ct <组名称> add <对象名称>
[步骤3] 将输出的命令行直接粘贴到Juniper Netscreen命令行终端. save 即可.
CheckPoint Web Visualization Tool
一 11th
Web Visualization 可以将 CheckPoint SmartCenter 服务器中的安全策略和安全对象.导出成可读性良好的文本 (Html/Xml) 格式.这是一种基于对 SmartCenter 服务器数据库的快照模式.可以使安全管理/审计员/任何人在任何时间.不需要实时连接到 SmartCenter 服务器来查看安全策略和安全对象.
防火墙命名规则概述
十 23rd
防火墙命名规则概述 [初稿]
谨以此文.纪念我工作了15个月即将离开的公司.
感谢支持和帮助过我的朋友.祝福大家一切顺利.
摘要: 基于 CheckPoint 防火墙 Network Objects 命名规则的建议.
作者: By REISTLIN [雷斯林] MSN: Rexxxxxx@hotmail.com QQ: 3A984
版权: 原创文章.转载请保留作者信息和原文完整.谢绝任何方式的摘要.
CheckPoint 防火墙是一套完整的安全系统.目前最新的 NGX R65 版本包含了 Rules,NAT,VPN,QoS,SmartDenfense,Desktop,Connectra和Content Inspection 等功能模块.提供从边界,内网,Web,桌面,数据各个方面完整的企业级安全解决方案.
为了减小管理风险,提高安全响应速度.通过参考防火墙安全管理的相关标准.结合企业IT运营所面临的实际的问题.整理出关于CheckPoint防火墙命名规则的建议.参考如下.
基本命名原则
1. 命名规则需参考国际标准和规范
2. 命名规则需要标识出对象的基本类型
3. 命名规则需要标识出地向的基本特征
4. 命名规则需要表述出对象的应用范围
5. 命名规则需要表述出对象的应用方法
6. 避免滥用汉语拼音或者汉语拼音缩写
7. 善于完善Comment信息(英文/中文/说明)
8. 善于规范Objcets前缀(区域/特征/范围)
9. 字段类别首写字母需要大写
10. 字段之间使用”_”与”-”连接
1. CheckPoint对象命名
方法1: 按照CheckPoint产品类型.如Firwall,VPN Gateway,VPN Edge来分类命名.字段顺序可适当调整.举例如下:
产品名_区域名_说明 (FW_Gz_VRRP / Edge_Sh_xDSL / Remote_Bj_SecureClient)
Comment信息 (广州防火墙VRRP / 上海分支机构ADSL / 北京VPN客户端)
方法2: 按照CheckPoint硬件类型.如 Nokia IPSO 平台,SecurePlatfrom,x86 PC Server来分类命名.字段顺序可适当调整.举例如下:
硬件类型_区域名_说明 (Nokia390_Gz_Gw / Nokia560_Sz_Fw / Dell_Splat_Bj)
Comment信息 (诺基亚IP390广州防火墙 / 诺基亚IP560深圳防火墙 / 北京DELL服务器)
方法3: 按照CheckPoint部署类型.如Cluster,VRRP,Active/Standby来分类命名.字段顺序可适当调整.举例如下:
硬件类型_部署类型_区域名_说明 (Nokia390_VRRP_Fw / VRRP_Guangzhou / Cluster_Nokia_Fw)
Comment信息 (诺基亚IP390防火墙VRRP双机热备 / 广州防火墙VRRP双机热备 / 诺基亚集群防火墙系统)
By REISTLIN [雷斯林]
2. Nodes对象命名
方法1: 按照Nodes基本类型.如Host,Server,Temp,Other来分类命名.字段顺序可适当调整.举例如下:
基本类型_区域名_IP地址_说明 (Host_Gz_10.0.0.1 / Server_Sh_10.0.0.2 / Temp_10.0.0.3)
Comment信息 (广州客户端IP… / 上海服务器IP… / 临时测试机)
方法2: 按照Nodes应用类型.如Web,DNS,Mail,Proxy来分类命名.字段顺序可适当调整.举例如下:
基本类型_应用类型_IP地址_说明 (Web_10.0.0.1 / DNS_10.0.0.2 / Gz_Proxy_10.0.0.3)
Comment信息 (Web服务器IP… / DNS服务器IP… / 广州代理服务器IP…)
方法3: 按照Nodes应用范围.如Internal,DMZ,Zone来分类命名.字段顺序可适当调整.举例如下:
应用范围_区域名_应用类型_IP_说明 (DMZ_GZ_SMTP_10.0.0.1 / Office_OA_10.0.0.2 / CitrixSTA_Int_10.0.0.3)
Comment信息 (广州非军事化区SMTP服务器IP… / 办公区OA服务器IP… / 内网Citrix服务器IP…)
By REISTLIN [雷斯林]
3. Networks对象命名
方法1: 按照Networks基本类型.如Internal,External,DMZ,VPN Zone,NAT Pool来分类命名.字段顺序可适当调整.举例如下:
基本类型_区域名_Subnet_说明 (Int_Gz_192.168.0.0 / Ext_202.96.128.0 / VPN_172.16.1.0 / NAT_172.16.2.0)
Comment信息 (广州内网网段 / 公网指定网段 / VPN网段 / NAT地址池)
方法2: 按照Networks应用类型.如Local,Remote,分配给设备,产品,应用的网段来分类命名.字段顺序可适当调整.举例如下:
应用类型_区域名_产品_应用_说明 (Local_Cisco_PIX / Remote_SecureClient / Backup_Corporate_Hr / Gz_Administrator)
Comment信息 (本地Cisco PIX网段 / 远端SecureClient网段 / 公司HR备份网段 / 广州网络管理专区)
By REISTLIN [雷斯林]
4. Groups对象命名
方法1: 按照Groups基本类型.如 Server_Group,DMZ_Group,Host_Group,Admin_Group 来分类命名.字段顺序可适当调整.
方法2: 按照Groups应用类型.如 DNS_Gz_Group,Web_Sh_Group,VRRP_Group,Multicast_Group 来分类命名.字段顺序可适当调整.
方法3: 按照Groups设备类型.如 Cisco_PIX_Group,MySQL_Group,BEA_WebLogic_Group 来分类命名.字段顺序可适当调整.
By REISTLIN [雷斯林]
5. TCP/IP协议命名
方法1: 协议类型_端口.如 TCP_10000, UDP_17799, TCP_3306
方法2. 应用类型_端口.如 Webmin_1000, eMule_17799, MySQL_3306
方法3. [重要] 完善Comment信息. 如 ftp-pasv (File Transfer Protocol – PASV mode only) / sqlnet1 (Oracle SQL*Net Version 1)
By REISTLIN [雷斯林]
6. Rule – Section Title
当防火墙策略较多的时候.为了安全性和提高防火墙性能.我们应该将防火墙的策略按照合理的逻辑顺序排序和分类.每类策略均使用Section Title将其归并和整理.所以一个专业的防火墙安全专家应该善于使用Section Title来提高自己安全策略的可读性和逻辑严密性.
后记:
许久没有写文章.当朝阳再次升起的时候.最后.用短歌行来结束吧.
“青青子衿.悠悠我心.但为君故.沉吟至今.” [By REISTLIN 2008.10]
Nokia IPSO Clish Command Line
九 20th
Command Line模式: clish
命令行帮助: TAB
显示网络接口: show interfaces
设置IP地址: add interface eht1 address 192.168.1.1/24
设置接口速率/双工模式:
set interface eht1 duplex full
set interface eht1 speed 100M
删除IP地址: delete interface eht1 address 192.168.1.1/24
设置VLAN: add interface eht2 vlanid 100 address 192.168.2.1/24
设置静态路由:
set static-route 172.16.1.0/16 nexthop gateway address 192.168.1.1 on priority 1
设置默认网关:
set static-route default nexthop gateway address 192.168.1.1 on priority 1
保存配置: save config
退出: exit
CheckPoint SmartCenter 备份与迁移
九 20th
1. Smartcenter 备份命令: $FWDIR/bin/upgrade_tools/upgrade_export
在IPSO与Windows平台的Smartcenter服务器上.
均可以使用 upgrade_export 命令将策略导出为.tgz文件.
命令行: $FWDIR/bin/upgrade_tools/upgrade_export smc_backup.tgz
则将此Smartcenter的所有配置备份打包为: smc_backup.tgz 文件.
2. Smartcenter 恢复命令: $FWDIR/bin/upgrade_tools/upgrade_import
使用 upgrade_import 导入配置.在新的Smartcenter服务器上执行如下命令行:
$FWDIR/bin/upgrade_tools/upgrade_import smc_backup.tgz
则将 smc_backup.tgz 的配置覆盖到执行此命令的Smartcenter服务器.
重新启动则生效.
By REISTLIN [雷斯林]
CheckPoint Firewall – Anti 海洋顶端ASP木马
九 20th
测试的防火墙环境: CheckPoint NGX 6.0 (OS: Windows 2003)
受保护应用服务器: Win2003 + ASP + FSO + DATABASE
测试木马: 海洋顶端ASP木马2005 / 2006 (已上传到应用服务器)
测试目标: 防止Webshell脚本的运行.保护服务器应用层安全.
解决方案: 使用CheckPoint WebIntelligence与Resource URI结合.
1. 新建立一个Resource对象,Resources -> New -> URI:
2. 命名为Block_URL,General属性如下图:
选择合适的连接类型,如包含Transparent和Proxy方法,并且追踪到Log日志里。
3.Match方法选择后端服务器环境的方法,如Http,Ftp等。
方法选中GET,POST,HEAD等类型。
研究海洋顶端ASP木马后得到关键Query字段如:FSO,STREAM,WEBSHELL,CMD等。使用合适合理的通配符给予关联,使用正则表达式给予判断。注意,此处设置需要结合防火墙后端应用服务器环境做合理的调整,保证正常应用的运行。
4. 选择动作为剥离高风险的代码Tags,使ASP木马无法正常运行,如SCRIPT,JAVA,APPLET,ACTIVEX等等,并且过滤JAVA CODE,转发地址为:about:blank 空。
5. 新建策略,源为任意地址,目标为Web_Server服务器,服务增加为:“Add whit Resource”
6. 增加Http服务与刚才建立好的名为Block_URL的URI所关联。
实际环境中请选择自己合适的服务与协议关联,此处可按需要灵活设置。
访问FSO木马首页,威胁脚本被剥离后的破碎页面,无法进行木马操作。
尝试使用木马上传文件,无法进行木马操作。
访问FSO控制页面,威胁脚本被剥离后的破碎页面,无法进行木马操作。
尝试编辑和修改磁盘文件,提示JAVASCRIPT破损,网页显示错误,操作失败。
下载地址: [CheckPoint NGX Anti ASP Shell]
[By Box.net Reistlin Shared]
