Passwörter von Checkpoint Gateways zurücksetzen, ohne physischen Zugang zum Gerät

Manchmal vergisst (oder verlegt) man doch mal ein Passwort. Das ist recht ärgerlich, da man dann physischen Zugang zu den Geräten braucht.

Im Falle von Checkpoint Firewalls ist das zurücksetzen von Passwörtern aller Gateways aber ein leichtes, solang die Gateways noch einem zentralen Management unterstehen.
Von diesem aus ist es möglich, Befehle direkt auf den Gateways auszuführen, ohne sich an denen nochmal extra authentifizieren zu müssen - man hat ja die SIC (secure internal comunication).

Bei Gaia Plattformen erfolgt der Reset wie folgt:

1. Zuerst generieren wir uns den Hash eines neuen Passworts. Das Tool fragt nach einem Passwort, und liefert genau diesen Hash

[ Expert@HostName]# /sbin/grub-md5-crypt

2. Dann stellen wir sicher, das die Konfigurationsdatenbank schreibbar ist.

[Expert@HostName]# $CPDIR/bin/cprid_util -server -verbose rexec -rcmd /bin/clish -s -c ‘set config-lock on override’

3. Zum Schluss ändern wir das admin Passwort mit folgendem Befehl:

[Expert@HostName]# $CPDIR/bin/cprid_util -server -verbose rexec -rcmd /bin/clish -s -c ‘set user admin password-hash [Password_Hash_aus _Schritt_1]’

4. Das Ganze geht auch für den Expert Modus

[Expert@HostName]# $CPDIR/bin/cprid_util -server -verbose rexec -rcmd /bin/clish -s -c ‘set expert-password-hash [Password_Hash_aus _Schritt_1]’

Bei den 1100 Appliances mit GAIA Embedded funktioniert das zurücksetzen etwas anders, Hier wird bei vorhandenem Expert Mode Passwort eine Datei angelegt, die sich mit dem Remote Befehl weglöschen lässt:

$CPDIR/bin/cprid_util -server 80.153.57.248 -verbose rexec -rcmd /bin/bash -c 'rm /pfrm2.0/config1/expert_pass_'

Danach kann das Expert Mode Passwort neu gesetzt werden.