Passwörter von Checkpoint Gateways zurücksetzen, ohne physischen Zugang zum Gerät

Manchmal vergisst (oder verlegt) man doch mal ein Passwort. Das ist recht ärgerlich, da man dann physischen Zugang zu den Geräten braucht.

Im Falle von Checkpoint Firewalls ist das zurücksetzen von Passwörtern aller Gateways aber ein leichtes, solang die Gateways noch einem zentralen Management unterstehen.
Von diesem aus ist es möglich, Befehle direkt auf den Gateways auszuführen, ohne sich an denen nochmal extra authentifizieren zu müssen - man hat ja die SIC (secure internal comunication).

Bei Gaia Plattformen erfolgt der Reset wie folgt:

1. Zuerst generieren wir uns den Hash eines neuen Passworts. Das Tool fragt nach einem Passwort, und liefert genau diesen Hash

[ Expert@HostName]# /sbin/grub-md5-crypt

2. Dann stellen wir sicher, das die Konfigurationsdatenbank schreibbar ist.

[Expert@HostName]# $CPDIR/bin/cprid_util -server -verbose rexec -rcmd /bin/clish -s -c ‘set config-lock on override’

3. Zum Schluss ändern wir das admin Passwort mit folgendem Befehl:

[Expert@HostName]# $CPDIR/bin/cprid_util -server -verbose rexec -rcmd /bin/clish -s -c ‘set user admin password-hash [Password_Hash_aus _Schritt_1]’

4. Das Ganze geht auch für den Expert Modus

[Expert@HostName]# $CPDIR/bin/cprid_util -server -verbose rexec -rcmd /bin/clish -s -c ‘set expert-password-hash [Password_Hash_aus _Schritt_1]’

Bei den 1100 Appliances mit GAIA Embedded funktioniert das zurücksetzen etwas anders, Hier wird bei vorhandenem Expert Mode Passwort eine Datei angelegt, die sich mit dem Remote Befehl weglöschen lässt:

$CPDIR/bin/cprid_util -server 80.153.57.248 -verbose rexec -rcmd /bin/bash -c 'rm /pfrm2.0/config1/expert_pass_'

Danach kann das Expert Mode Passwort neu gesetzt werden.

SimpliVity Omnicube - Auf welchem Knoten liegt die Maschine?

Sobald man mehr als zwei OmniCube Knoten in einem Cluster hat stellt sich die Frage, auf welchem der Knoten eine virtuelle Maschine physisch liegt. Es gibt immer zwei OmniCubes, auf denen die virtuelle Maschine abgelegt ist.

Welche das sind, findet man über die Kommandozeile eines beliebigen Omnicubes raus:

svt-vm-show --output xml | xmlstarlet sel -T -t -m /CommandResult/VM -s A:T:U "name" -v "concat (platformName,'|',owner,'|',replicaSet)" -n |awk 'BEGIN {FS = "|"} ; {printf "%s\n Owner:  %s\n   Replicas: %s\n",$1,$2,$3; }' | sed `svt-federation-show --output xml |xmlstarlet sel -T -t -m /CommandResult/Node -s A:T:U "hostName" -v "concat ('s/',id,'/',hostName,'/g;')"` | grep -A 2 [VM Name]

Beziehungsweise, wenn von Interesse ist welcher Host welche VM's beinhaltet:

svt-vm-show --output xml | xmlstarlet sel -T -t -m /CommandResult/VM -s A:T:U "name" -v "concat (platformName,'|',owner,'|',replicaSet)" -n |awk 'BEGIN {FS = "|"} ; {printf "%s\n Owner:  %s\n   Replicas: %s\n",$1,$2,$3; }' | sed `svt-federation-show --output xml |xmlstarlet sel -T -t -m /CommandResult/Node -s A:T:U "hostName" -v "concat ('s/',id,'/',hostName,'/g;')"` | grep -B 2 [Hostname]

Checkpoint Smart Event bekommt keine Events mehr

Manchmal kommt es vor, das Smart Event keine neuen Events mehr bekommt. Logfiles erreichen den Smart Event Server, kommunikation geht, alle Dienste laufen, aber Smart Event bleibt leer.

Dann ist manchmal die Event Queue voll:

# ls -l $RTDIR/distrib/* | wc -l

Wenn dort mehr als 10 - 15 Files drin sind, dann hilft es diesen Ordner zu leeren.

# evstop

# cd $RTDIR/distrib/ (Starts with "{" ) # rm --r * # evstart

Horizon View Composer offline Update

Wichtiger KB:
http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=2081888

VMware Horizon View 6 Upgrade - View Manager nicht erreichbar

Es gibt derzeit einen Bug beim Upgrade auf VMware Horizon View 6 in Umgebungen in welchen "vCenter Operations for View" verwendet wird.

In diesen Umgebungen läuft auf den View Connection Servern der Dienst "vCenter Operations for View Broker Agent"

Der Dienst ist vor Beginn des Upgrades zwingend zu beenden, da er Dateien im Zugriff hat die andernfalls nicht aktualisiert werden.

Vergisst man dies, quitiert der View Manager das nach dem Upgrade mit Logeinträgen wie:

2014-03-25T20:06:36.074-04:00 ERROR (0EDC-0C38) [ws_java_bridgeDLL] Java Bridge Managed failed on serviceClass = jniEnv->FindClass(serviceClassName._mstr())

vCenter Operations - Max Number of Supported Resources

vCenter Operations kann in der Standardkonfiguration max. 10.000 Objekte verwalten. In hoch dynamischen Umgebungen, etwa mit virtuellen Desktops, in denen ständig neue VM's ausgerollt werden, entstehen leicht deutlich mehr Objekte.

Der Grund: vCenter Operations 'vergisst' nichts, und schleppt diese nicht existenten Objekte ewig mit.

Das Verhalten lässt sich leicht abschalten:

In der Analytics VM als root die Datei /usr/lib/vmware-vcops/user/conf/controller/controller.properties editieren. und die folgenden Eigenschaften anpasssen:

#Die automatische Löschung ungenutzter Objekte aktivieren
deleteNotExisting = true

#Dauer in Stunden die ein gelöschtes Objekt aufgehoben wird
deletionPeriodInHours=168

#In welchem Abstand in Stunden läuft der Müllsammler
deletionSchedulePeriod = 24

Checkpoint Experience CPX 2012 Berlin - Tag 2

Wie üblich gibt's an Tag zwei die Roadmap Präsentation, ich bin gespannt.

In 30 Minuten geht's los, Updates gibt's hier.

#1: Automatische Checks gegen diverse Compliancekriterien, inklusive Handlungsempfehlungen.
Produkt: easy2comply

#2: Identity Awareness bekommt noch mehr Quellen, Agents und Clients. Auch hier wird Compliance zunehmend zum Thema.

#3Threatcloud & Sensornet verteiltes Netzwerk zur Angriffsfrüherkennung, Ausbau der Erkennungsvektoren.

#4: AntiBot wird auf den Endpoint ausgedehnt.

#5: Trennung der Policys (IPS, AppControl, DLP) Policys lassen sich unabhängig voneinander installieren.

#6: Ausbau der Reportingfunktionen, SmartEvent etc..

#7: IPS wird es als ManagedService geben.

#8: DocumentSecurity: die "Dropbox for the Enterprise" Geschichte nun auch hier...

#9 Management: weiteres Zusammenwachsen vom neuen SmartLog & Smartevent.

Naja, alles in allem war das Ganze recht schwammig, wir werden sehen wie sich das das Gesagte in der Praxis niederschlägt.