Hervé SCHLECHT Blog's

Thursday, March 02, 2017

[CHECKPOINT] Gestion des contrats et mise à jour des packages ABot et AVirus
Article crée le 02 Mars 2017

Gestion des contrats.

Les contrats sont consultables à l'aide des commandes directement à partir des passerelles

cplic print -x ou cplic print

La mise à jour des contrats peut se faire directement à partir du SmartUpdate en téléchargeant au préalable le fichier de contrat à partir du SmartCenter, puis en le plaçant sur la passerelle via scp.

En cas de problème, il est possible d’exécuter diverses opérations en ligne de commandes

- Tout d'abord en allant rechercher les contrats directement sur le SmartCenter - contract_util mgmt

- Ou en chargeant les contrats en ligne de commande - cplic contract put (service contract file name).xml

Gestion des mises à jour de pattern ABot et Avirus

Il est possible à tout moment de vérifier si les mises à jour se font convenablement à l'aide de la commande - cpstat -f subscription_status antimalware

De vérifier que les mise sà jour se font correctement - cpstat antimalware -f update_status

Dans le cas ou les mises à jour ne peuvent se faire il existe diverses pistes à explorer

- Vérifier que le boitier puisse faire des résolutions dns de cws.checkpoint.com, updates.checkpoint.com, ... La liste complète de sites Internet employés par le SC ou les EM est indiquée dans la sk83520 - How to verify that Security Gateway and/or Security Management Server can access Check Point servers ?

- Vérifier la connexion aux serveurs de mise à jour - "curl_cli -vk https://secureupdates.checkpoint.com/appi/v2_0_0/gw/Version"

- Vérifier également par le lien suivant pour être certain que le flux ne se fasse pas intercepter - "curl_cli -vk https://secureupdates.checkpoint.com/appi/v2_0_0/gw/Version"

Dans le cas ou nous sommes face à un cluster, il peut survenir que ce soit le noeud de spare qui ne sache accéder à Internet. Dans ce cas il est nécessaire d'appliquer la sk34180 - Outgoing connections from cluster members are sent with cluster Virtual IP address instead of member's Physical IP address

Dans le cas ou les contrats sont à jour, mais que la mise à jour n'est toujours pas effective, il est possible de suivre la procédure - sk83520 - Update failure of Anti-Virus and Anti-Bot blade, en forcant la mise à jour sans attendre le delai habituel de 1h.

Monday, August 13, 2007

TrendMicro ERS - Email Reputation Services

ERS is the first line of defense in mail system that allow stopping SPAM before it can flood your network, overload mail gateway security, and burden system resources.

The ERS family includes TrendMicro ERS Standard and Advanced. The Advanced combines the services of Standard Reputation database with dynamic real-time anti-spam technology.

ERS Standard is DNS query-based service. When an incomming mail message is received from an unknown host, ERS query the standard reputation database server. If the host is listed in the standard reputation database, you chooses the appropriate action to be taken with that email.

ERS Advanced is a dynamic real-time solution that identifies and stops sources of SPAM while they are in the process of sending millions of messages. The TrendMicro team continuoulsy monitorsnetwork end traffic patterns and immediately updates the reputationdatabase as new SPAM sources emerge, often within minutes of the first sign of trouble. ERS Advanced is a DNS query-based service like ERS Standard, but they use a distinct database who have distinct entries and there is no overlap if the IP address.

How ERS Work

The actual implementation of ERS involves up to two DNS look-ups per IP address. The Standard ERS query are the first one. Any positive answer from this database should result in your mail server returning a '550' error, or rejection of the requested connection.

For the Advanced ERS, if the first query to standard ARE database does not return a positive answer then a second query is made to the dynamic reputation database. A positive answer from this database should result in your mail server returning a '450' error, or temporary failure of the requested connection. Listing is this database are occasionally legitimate mail servers that have compriomised hosts behind them that are temporarily sending SPAM. If the connection request is from a legitimate mail server it will re-queue and try again later, causing a delay in mail delivery until the listing expires but not blocking the mail.

Friday, August 10, 2007

ISA 2006 Web Publishing News

Secure Web Publishing

ISA 2006 includes a number of improvements in providing secure remote access to Web servers and services on the corporate network. Some of these include:

- New SharePoint Portal Server Publishing Wizard
- Improved Outlook Web Access (OWA), Outlook Mobile Access (OMA), Exchange ActiveSync (EAS) and Outlook 2003+ RPC/HTTP Web Publishing Wizard
Increased options for two factor authentication, including SecureID and RADIUS One-time passwords
- New Kerberos constrained delegation enables remote users with laptops and Windows mobile-enable devices to use secure user certificates to authenticate to the ISA firewall
- New LDAP authentication allows ISA 2006 to be placed in a high security DMZ and leverage Active Directory users/groups
- Web farm load balancing. This new feature enables you to publish a collection of Web servers that perform the same function or contain the same content and have the ISA 2006 firewall automatically load balance the connections. ISA Server is about to do this without requiring NLB or an hardware load balancer, with great increases the simplicity of deployment and greatly reduces the cost by removing the hardware load balancer

Single License VRRP

With the Single License VRRP feature introduced in the IPSO 4.2, you can create an inexpensive high availability configuration using a single CheckPoint Firewall license.

This a low-cost solution because you only need to purchase one firewall license.

Limitations

You should be aware of the following constraints before you implement this configuration :
- You cannot include more than two platform in the VRRP group.
- You must use an active-passive configuration. You cannot use an active-active setup.
- You must configure monitored-circuit VRRP.
- You cannot use firewall synchronisation, so the existing connections are not maintained in the event of a failover.
- When failover occurs, a relatively long time elapses between the failure on the original master and service beginning on the new master.
- Once a failover has occured, failback does not happen in the same way as with other VRRP configurations. With single VRRP, failback occurs only if you fix the problem that caused the failover from the original master the reboot the new master.
- You must use NOKIA Network Voyager to configure singme license VRRP: there is no IPSO CLI command for the feature.

Monday, February 26, 2007

Les règles d'usage de la biométrie en entreprise

Données personnelles

Parmi les dispositifs utilisant l'empreinte digitale, le contour de la main ou a reconnaissance de la rétine, on distingue les systèmes "sans trace" et "à trace" , aux conditionsd'emploi strictement encadrées.

Les conditions de mise en oeuvre.

D'une manière générale, la Cnil n'autorise que les dispositifs selon lesquels les données biométriques, telles que les empreientes digitalesn sont enregistrées uniquement sur un support individuel (carte à puçe, clé USB), et non dans une base de données centralisée. La Cnil distingue trois cas particuliers : lorsque les dispositifs de recinnaissance du contour de la main servent au contrôle d'accès ainsi qu'à la gestion des horaires et de la restauration sur les lieux de travail; lorsque ces dispositifs constituent un moyen d'accès aux restaurants scolaires; et lorsque les supports individuels sur lesquels sont conservés les données restent sous le contrôle exclusif de la personne consernée. Dans ces trois cas de figure, la Cnil a prévu des formalités allégées, baptisées "autorisations uniques", sortes de décisions cadres autorisant les responsables des traitements à opérer une déclaration de conformité. Mais il faut que les traitements répondent en tout point aux finalités, caractéristiques techniques, données taitées, durées de conservation des données, moyens de sécurité et droits des personnes consernées définies par la Cnil.

L'importance des techniques utilisées

La Cnil a toujours considéré que les dispositifs dits sans traces qui reposent essentiellementn sur l'utilisation de techniques de reconnaissance de rétine ou du contour de la main ne permettent pas d'idetifier un individu à son insu, en collectant ses données biométriques sans qu'il s'en aperçoive. Et comme il ne s'agit pas pour la commission de données biométriques dangeureux, elle autorise en général leur mise en oeuvre. A l'opposé, elle juge que les dispositifs dit à trace, en particulier ceux utilisant la reconnaissance par empreinte digitale, s'avèrent dangeureux, car ils donnent la possibilité de collecter les données biométriques d'une personne à son insu. La Cnil autorise ces derniers lorsqu'il existe un impératif fort de sécurité (le contrôle aux frontières, par exemple) mais également dans le cas comme l'accès à des locaux sécurisés. Enfin elle les autorise lorsque les données sont stockées sur un support individuel (de type carte à puce).

Sunday, February 11, 2007

FTP Passif / Actif

Une connexion FTP se compose de deux connexions :

a) Une connexion bidirectionnelle qui permet la transmission des commandes appelée Connexion de contrôle.
b) Une seconde connexion pour permettre la transmission des données. Cette connexion des négociée dans la connexion de contrôle, elle est appelée "Data Connexion"

Le serveur FTP dispose d'un couple de ports { L, L-1}.

Le port L est utilisé pour la connexion de contrôle, traditionnellement le port 21
Le port L-1 est utilisé pour la Data Connexion, traditionnellement le port 20

Le client dispose d'un port U (dynamique) pour la connexion de contrôle. Par défaut ce port est également utilisé pour la Data Connexion, mail il peut être changé par la commande PORT.

PORT h1, h2, h3, h4, p1, p2

Attention : seul le client peut changer le PORT-DATA par la commande PORT.

La Data Connexion est toujours fermée par le serveur et ce dans les cas suivants :

- Demande de terminaison après le caractère de FIN de fichier et après que l'envoi des données ne soit fini.
- Le serveur à reçu la commande ABORT du client.
- Le port Data a été changé par le client.
- La connexion de contrôle est fermée de façon normale ou non.
- Sur une erreur irrécupérable.

FTP Actif

Chaque élément dispose de rôles bien définis :

Client - Envoi les commandes au serveur, interprète les réponses du serveur
Serveur - Interprète les commandes du client, envoi les réponses, ordonne au processus de transfeert d'ouvrir unr data cinnexion, transfère les données.

FTP Passif

Le FTP passif était utilisé à l'origine pour permetttre le transfert des fichiers entre deux serveurs à la demande d'un client.

L'avantage d'une connexion passive réside dans le fait que le serveur passif n'initie aucune connexion. Dans le cas des clients FTP sur un intranet voulant consulter un serveur FTP sur un Internet et devant traverser un pare-feu, le mode FTP passif permettra de n'avoir que des flux sortants vers Internet, alors qu'avec le FTP actif nous aurions le flux de données qui serait entrant venant d'Internet vers le réseau interne.

Dans le cas d'un client, se dernier demande au serveur de se mettre en mode passif. Le serveur FTP indique au client sur quel port et adresse le client doit se connecter. Le client n'a plus qu'à initier une connexion avec la commande CONNECT.

FTP PASSV

Normal FTP uses a "command" connection for sending commands from client to server. When a client downloads a file, the server opens a TCP connection back to the client in order to transfer the data.
In a normal firewall environment, the firewall allows all outgoing TCP connections from clients to servers, and blocks all incoming connections (that might be hackers trying to break into machines). This FTP mode of creating an inbound connection causes problems. One solution is to use smarter firewalls. Another solution has been to use an alternate mode in FTP called "PASV", where the client initiates the data connection.
Many FTP clients do not support PASV transfers. For example, the standard FTP.EXE built into Windows does not support this feature. The user can still do a "quote PASV", which will tell the server to enter PASV mode, but the client still will not work in this mode. (This is a common problem, users enter "quote PASV" but things still don't work).

Friday, December 22, 2006

CISCO (IOS) NAT / VPN Order of Operation

Traceroute

The Microsoft traceroute command (which relies on Internet Control Message Protocol [ICMP])

The Cisco IOS or UNIX traceroute command (which relies on a combination of User Datagram Protocol (UDP) and ICMP)

PIX Policy NAT / Outside NAT

Policy NAT lets you identify local traffic for address translation by specifying the source and destination address (and ports) in a access list. regular NAT use source address/ports anly, whereas policy NAT uses both source and destination address/ports.

With Policy NAT, you can create multiple NAT or static statements that identity the same local address as long as he source/port and destination/port combinaison is unique in each statement. You can match different global addresses to each source/port and destination/port pair.

P.J. For the host on the 10.1.2.0/24 network accessing the two different servers, we have two ways to define the coonfiguration.

The syntax for using global translations follows:

access-list NET1 permit ip 10.1.2.0 255.255.255.0 209.165.201.0 255.255.255.224
access-list NET2 permit ip 10.1.2.0 255.255.255.0 209.165.200.224 255.255.255.224
nat (inside) 1 access-list NET1
global (outside) 1 209.165.202.129 255.255.255.255
nat (inside) 2 access-list NET2
global (outside) 2 209.165.202.130 255.255.255.255

The syntax for using static translations follows:

access-list NET1 permit ip host 10.1.2.27 209.165.201.0 255.255.255.224
access-list NET2 permit ip host 10.1.2.27 209.165.200.224 255.255.255.224
static (inside,outside) 209.165.202.129 access-list NET1
static (inside,outside) 209.165.202.130 access-list NET2

Limitations :

The following configuration limitations apply to policy NAT:
•Access lists must contain permit statements only. Access lists for policy NAT cannot contain deny statements.
•An access list must be used only once with the nat command. For example, the following configuration would produce an error:

nat (inside) 1 access-list mylist-A
nat (inside) 2 access-list mylist-A

Whereas, the following configuration would not produce an error:
nat (inside) 1 access-list mylist-A
nat (inside) 2 access-list mylist-B

•Use an access list only once between the nat and static commands.
•A global address cannot be used concurrently for NAT and PAT.
•static commands are matched and executed before nat commands.
•Policy NAT does not support SQL*Net, which is supported by regular NAT.

Thursday, December 21, 2006

IMSS tokens used in notification

Tokens enable users to add supplementary information on the body of the IMSS filter action notification messages.