InterMapper: SSL Alert / votre certificat a expiré

Ce matin, vous rentrez de vacance, vous ouvrez votre client InterMapper RemoteAccess et un message d'alerte vous apporte une alerte SSL:

Explication: le certificat SSL qui chiffre la connexion entre votre client IM RemoteAccess et le serveur InterMapper a expiré (ici: depuis le 18 décembre 2013).
Pas de panique bien évidement, vous avez la possibilité de cliquer sur "Trust Server".

Quoi qu'il en soit: voici la procédure afin de renouveler ce certificat.

Tout d'abord, accédez au serveur InterMapper en cliquant sur "Trust Server".
Si un nouveau message s'affiche indiquant que la connexion a été réinitialisée: c'est normal; double cliquez à nouveau, comme à l'accoutumé, sur votre serveur InterMapper.

Allez dans Server Settings > SSL Certificate:

... et cliquez sur le bouton "Create CSR...".
Remplissez votre formulaire afin de générer le CSR souhaité:

... et validez en cliquant sur le bouton "OK".

Un CSR a été généré:

Il vous a été demandé de l'enregistrer sur votre poste mais celui-ci se trouve également dans le répertoire <répertoire InterMapper Settings>/Certificates:

root@monServeur:<répertoire InterMapper Settings>/Certificates# ls -lt
total 28
-rwxr-xr-x 1 intermapper intermapper 1045 30 déc.  09:07 Pending.csr
-rw-r--r-- 1 intermapper intermapper 1679 30 déc.  09:07 Pending.key

En plus du CSR, la clé SSL a également été créée.
Vous avez le choix d'auto-signer votre CSR ou de le signer par une organisme de certification.
Pour la plupart des besoins, l'auto-signature est parfaitement adequat.

Pour effectuer cela, utilisez la commande openssl avec les options suivantes:

root@monServeur:<répertoire InterMapper Settings>/Certificates# openssl x509 -req -days 730 -in Pending.csr -signkey Pending.key -out 2013-12-30_certificat
Signature ok
subject=/C=xxxx/ST=xxxx/L=xxxx/O=xxxx/OU=xxxx/CN=xxxx
Getting Private key

Le certificat généré est lisible:

root@monServeur:<répertoire InterMapper Settings>/Certificates# cat 2013-12-30_certificat
-----BEGIN CERTIFICATE-----
123456789jusqua64
123456789jusqua64
123456789jusqua64
123456789jusqua64
123456789jusqua64
(...)

-----END CERTIFICATE-----

Copiez ce certificat, retournez sur IM RemoteAccess, accédez à nouveau à la partie Server Settings > SSL Certificate et cliquez sur le bouton "Upload Certificate...":

... collez le certificat généré et validez en cliquant sur le bouton "OK".

Fermez à présent la fenêtre de paramétrage d'InterMapper car la connexion a été réinitialisée.
Double-cliquez à nouveau sur le serveur InterMapper et voilà:

• Si vous avez choisi de faire signer votre certificat par un organisme de certification et que leurs certificats racines (et intermédiaires) se trouvent dans le magasin de certificats de votre poste: vous n'aurez plus ce type de message d'alerte.
• Si vous avez auto-signé le certificat, vous aurez un message indiquant qu'il est impossible de faire confiance au certificat transmis par le serveur:
  
  Cliquez alors sur le bouton "Trust Server" et vous n'aurez plus ce message d'alerte par la suite.

Et voilà ;)

How To - InterMapper Charts

Analyse de performance sur vos Security Gateway Check Point

Si vos Security Gateway Check Point font l'objet d'une baisse de performance et si cela met en péril l'exploitation, vous trouverez dans cet article quelques éléments vous permettant d'en diminuer l'impact.

Tout d'abord: que se passe-t-il ?
Pour trouver ce qui cloche, un SecureKnowledge est mis à jour depuis près de 6 ans maintenant: sk33781 "Performance analysis for Security Gateway NGX R65 / R7x"
Ce SK pourrait vous être donc très utile puisqu'il s'articule autour des quatre axes d'analyse principaux suivants:

• Problème de CPU sur la Security Gateway
  • Charge (load)
  • Activité du noyau GNU/Linux (softirq)
  • Interruptions logicielles (interrupts)
• Problème de mémoire sur la Security Gateway:
  • Mémoire (memory)
  • Fichier d'échange (swap)
• Problème lié au trafic transitant au travers de la Security Gateway:
  • Paquets non traités (drops)
  • Débit réseau (rate)
  • Volumétrie réseau (throughput)
  • Latence réseau (latency)
  • Mémoire tampon des interfaces réseau (NIC receiving buffer)
  • Mémoire tampon des interfaces réseau (NIC sending buffer)
  • Mémoire tampon des interfaces réseau (NIC RX buffer)
  • Mémoire tampon des interfaces réseau (NIC TX buffer)
  • Paquets reçus non traités (RX-DRP)
  • Taille des buffers (ring size)
  • Proportion entre les flux TCP, UDP et ICMP (traffic blend)
• Problème lié à l'accélération sur la Security Gateway:
  • Indicateurs de performance de la fonctionnalité SecureXL (acceleration)
  • Gestion des paquets par SecureXL (acceleration path)
  • Gestion des paquets par SecureXL jusqu'à l'IPS (medium path)
  • Paquets non accélérés par SecureXL mais transmis à CoreXL (Firewall path)
  • Paquets non accélérés par SecureXL (forwarded traffic)

Vous y trouverez un grand nombre de commandes utiles et fonction de leur résultat: d'autres SK ;)

Après, il est bon aussi de rappeler certaines choses essentielles afin de récupérer quelques SPU...
Les thématiques sont les suivantes:

• Et le SecureXL Performance Pack ?
• Vos règles de sécurité sont-elles optimisées ?
• Qu'en est-il de l'évolution des ressources de votre Security Gateway ?

Zscaler Research: Aurora exploit still floating ...

Zscaler Research: Aurora exploit still floating ...: It's been around two years since Microsoft released a patch for the IE 0day famously known as the Aurora exploit ( CVE-2010-0249 ). We...

[PGI] Changements importants Rejoindre une réunion WebEx avec les navigateurs Firefox et Chrome

Mozilla et Google ont récemment annoncé que leurs navigateurs bloqueraient automatiquement l'interface de programmation d'application plug-in de Netscape (NPAPI) en février 2014, pour Mozilla Firefox et en janvier 2014 pour Google Chrome. Ces changements de politiques concernent tous les systèmes d'exploitation pris en charge par Mozilla Firefox and Google Chrome.

La suite à l'URL: http://eu.pgi.com/campaigns/2013/12/webex/french.html

Comment exporter un clé privée et un certificat SSL en archive PFX

Pour certains besoins (sur des environnements Microsoft ADFS, IIS, ...) vous aurez besoin de gérer des archives PFX et non pas les certificats ou les clés associés.

Voici comment, à parti de ces derniers, obtenir une archive au format .pfx:

Sous GNU/linux: openssl pkcs12 -export -in monCertificat.crt -inkey monCertificat.key -name monCertificat -passout pass:monMotDePasse -out monCertificat.pfx

et voilà ;)

InterMapper / rafraîchir le répertoire InterMapper Settings

Voilà mes quelques trucs et astuces pour rafraîchir le répertoire InterMapper Settings.

InterMapper de Dartware (Help/Systems depuis le début de l'année) n'intègre pas pour le moment un processus de nettoyage qui lui permettrait de diminuer la taille de certains répertoires en y supprimant les données obsolètes.

Je pense particulièrement au répertoire Charts.
Ce dernier est constitué de la sorte (en prenant exemple d'un système GNU/Linux):
/<répertoire>/InterMapper\ Settings/Charts\ Data/<id MAP>/<id Charts>

<id MAP> est l'identifiant d'une MAP; il est de la forme g57485798.
<id Charts> est formé de la sorte:

• Une lettre identifiant le type d'élément sur lequel le Chart a été fait (L pour une interface et R pour objet)
• ... puis une séquence sur quelques chiffres/lettres qui s'incrémente au fur et à mesure que vous créez des Charts d'un même type (L ou R)
• un 'tiret' et le code en quatre lettres permettant d'identifier le type de donnée (ex.: BytR pour le taux d'octets par seconde en entrée - Byt pour Bytes/s et R pour Received; ou encore: RPkL pour les Short-term packet loss)

Si vous souhaitez connaître exactement la signification d'un de ces codes: accédez à la table 'dataset' d'InterMapper DataBase, la colonne name référence ce code, le label l’explication.

Vous l'aurez donc compris: si des objets au sein d'une MAP - ou à fortiori si une MAP - étaient supprimés - les Charts resteront sur le répertoire.
Ces Charts peuvent prendre de la place... plusieurs dizaines de Go.

Pour les supprimer: c'est à la mimine !
Supprimer par exemple les répertoires dans lesquels les fichiers n'auraient pas été modifiés depuis longtemps.:
Commencez par lister les fichiers qui n'auraient pas été modifiés depuis plus de 30 jours:
find /<répertoire>/<InterMapper Settings>/Chart\ Data/* -maxdepth 1 -type f -mtime +30 -ctime +1 -exec ls -la {} \;
Si cela vous convient: modifiez "ls -la" par "rm".
Vous pouvez y aller à taton: lister les fichiers modifiés depuis plus de 100j, ou 50j, ...

Une fois le ménage fait, un certain nombre de répertoires seront vides, la commande suivante vous permettra de les lister:
find /<répertoire>/<InterMapper Settings>/Chart\ Data/* -type d -empty
... et puis de les supprimer:
find /<répertoire>/<InterMapper Settings>/Chart\ Data/* -type d -empty -exec rm {} \;

Debug Check Point avec les commandes fw monitor plutot que tcpdump

Check Point propose, avec la commande fw monitor, un ensemble d'option permettant d'effectuer un debug efficace.
Pourquoi utiliser fw monitor et non pas tcpdump ?
Parceque Check Point a doté cette commande d'un ensemble d'options permettant d'effectuer un debug efficace.
Il est capable d'effectuer une capture aux différentes positions dans la chaîne de fonctionnement du firewall.
... c'est pas clair hein ? le schéma ci-dessous vous éclairera certainement (ou pas ?!):

Si vous souhaitez donc en savoir plus sur cette fonctionnalité:

 * What is FW Monitor? est une sk accessible ici: sk30583.

 * How to use FW Monitor est un document .pdf qui date de 2003 mais qui reste très utile !