Sicurezza: Configurazione della porta di servizio del PDS 2110 Intrusion.com in una porta console funzionante

Uno degli appliance attualmente disponibili sul mercato, dimostra di avere alcuni indiscutibili vantaggi tra i quali la possibilita di installare sulla macchina la versione Small Office di Check Point completa delle sue funzionalita di VPN nonche di avere un ottimo rapporto prestazioni ed equipaggiamento / costo. LòIntrusion.COM PDS 2100 series (a partire dal 21xx a due porte e il 211x a 3 prote) pecca pero di un rilevante problema per quanto riguarda lòaccessibilita ò al sistema stesso in caso di problemi alle interfacce di rete. Infatti la installazione e la configurazione di tale appliance avviene inizialmente ed esclusivamente tramite la porta ethernet E1 che e l'unica ad ogni fase di boot ad avere una configurazione ”permanente… (a meno che non la si cambia una volta avuto accesso completo alla GUI del PDS). Questo rappresentando indubbiamente un vantaggio per la semplicita con cui si puo configurare ogni aspetto del nostro appliance attraverso al semplice ed intuitiva GUI completamente in HTML e JAVAscript (quindi accessibile da ogni browser web), crea infatti un problema: ”allo stato attuale, tutti i PDS che escono dallo stabilimento di produzione della Intrusion.COM non danno la possibilita di accedere al sistema in
altro modo…. Ovvero, a parte utilizzare la Web GUI, al momento della accensione e della configurazione ”standard… della macchina non esistono altri sistemi per accedere al sistema operativo della macchina e quindi controllare e configurare lòappliance come avviene su altri hardware dedicati (vedi NokiaIP ndr.). Questo significa che se un amministratore sbaglia (e succede anche ai migliori) per caso a settare lòanti-spoofing delle interfacce oppure con qualche regola chiude e blocca la comunicazione delle GUI di Check Point (quella che permette la creazione e lòinstallazione delle regole sul FW), non vi eò altro modo per accedere al PDS che non ”resettare la configurazione alla FACTORY DEFAULT ” e quindi necessariamente rifare tutto il lavoro di configurazione appena svolto e che ha richiesto in alcuni casi giorni se non settimane di lavoro e testing (resettare la machina al Factory default significa cancellare la configurazione delle interfacce, dei NAT, delle routeì insomma di tutto). Ovviamente in molti si sono chiesti?? Ma a cosa serve quella porta seriale che còeò dietro il pannello frontale dellòIntrusion? Beh francamente da quello che ho capito hanno settato quella porta per rispondere a particolari configurazione di connessione seriale, per dare un servizio di interconnessione tra 2 PDS e mostrare per pochissimi secondi (2 secondi per esattezza) attraverso un cavo NULL-MODEM la console di comandi LiLo e poter inserire il comando di reset software del sistema.
Allora, visto che il PDS 2110 si basa su un sistema Linux RedHat con una versione migliorata e proprietaria della Intrusion.COM del kernel e dello stack TCP/IP, abbiamo cominciato a smanettare e a cercare un modo su come far diventare quella porta una seriale standard e accedere cosý alla console del PDS come si accede ad una comune macchina Linux.
Allora per fare questa operazione dobbiamo necessariamente fare dei passi intermedi:

Passo 1
Innanzitutto dobbiamo fare un upgrade del sistema operativo di Intrusion che di default viene consegnato dalla fabbrica con la versione 2.1.1, quindi la necessita di scaricare dal sito di Intrusion.COM lòaggiornamento alle versione 2.1.2 .
Quando scaricate il pacchetto siate sicuri di scaricare il file che spiega il processo di upgrade e il file contenente la chiave di validita del pacchetto stesso, senza la quale, il SO rifiuta di eseguire lòaggiornamento. Ricordo a tutti che il pacchetto eò un .TGZ e che per nessun motivo deve essere aperto con WINZIP, pena lòautomatica invalidazione della chiave (non mi chiedete esattamente il perche, ma credo che WinZIP faccia porcate nel momento in cui chiude il file)

Passo 2
Attivare il servizio SSH che viene implementato appunto nella versione 2.1.2. Questo servizio viene trovato nella Web GUI alla voce:
PDS System Commands -> Advanced Ed infine clikkare su ” star SSH ”
A questo punto eò possibile entrare sempre via Ethernet sulla console del PDS usando il protocollo SSH e un client in grado di gestire questo tipo di connessioni. Se non ne avete uno il TeraTermPRO 2.3 con la sua estensione SSH va benissimo, e cosa molto importante, e completamente gratis e scaricabile dal web. Vi consiglio di scaricare i due pacchetti dal sito:
www.vector.co.jp/authors/VA002416/teraterm.html

Passo 3
Accedere alla console del PDS attraverso il servizio SSH
Quando avvierete il client e questo vi chiedera lòautentificazione dovrete inserire i dati in questo modo:
la userid che viene usata per accedere alla Web GUI del PDS eò in tutti gli effetti un alias dell'utente ” root ”, quindi dovremo fare
LOGIN: root
PASSWORD: [ inserire la password che usiamo per autorizzare lòutente della web GUI ]
Fwpds bash: #

Passo 4
Una volta connessi con il servizio, dobbiamo andare a editare il file nella cartella:
/etc
ed editare il file
inittab con il comando: vi inittab
magari prima assicurandoci di farcene una copia di backup

Passo 5
Aggiungere alla fine di questo file le seguenti righe:
S0:23:respawn:/sbin/getty ttyS0 DT9600 vt102
Questo ci permette di avviare ogni volta il PDS con la porta seriale configurata in maniera corretta per essere una console port. Volendo eò possibile modificare il valore di Baud Rate con uno di nostra scelta tipo 38400 o 19200 e modificando lòimpostazione del tipo di terminale.
Questo eò tutto ragazzi. Finalmente non sara piu necessario dover ” incrociare le dita… quando lavoriamo con un PDS perche il reset si aggira in agguato dietro il primo FWSTAR o dietro il primo aggiornamento delle policy di Check Point.

Seeya raga!!!
Luca ” Prophecy ” Astori
Testo tratto da www.itvirtualcommunity.net

www.itvirtualcommunity.net