dimanche 9 octobre 2011

Check Point / Et si vous perdiez la communication entre le SmartCenter et vos Security Gateways

Un cas concret cette fois-ci...
Vous travailler sur l'harmonisation de règles de sécurité Check Point... Vous appliquez des règles impactant la communication entre les Security Gateway et le SmartCenter pour un cluster donné. Cela fonctionne, vous souhaitez appliquer les mêmes règles sur votre autre cluster... vous faites un simple copier/coller.

Avant tout: Check Point propose différent mode d'application (push) de règles de sécurité:
 . Un fichier de règles de sécurité (Policy Package) par cluster
 . Un fichier de règles que vous allez appliquer à l'ensemble des cluster ou des Security Gateway.

Dans le premier cas, dans la colonne "INSTALL ON" de chacune des règles, vous avez la possibilité de laisser le champ à la valeur par défaut: "Policy Targets"... vous n'appliquerez ces règles qu'au cluster prévu (cf. Menu 'Policy' -> 'Policy Installation Target').
Dans le deuxième cas, il faudra préciser si la règle s'applique à l'ensemble des clusters gérés ou à l'un ou l'autre.

Revenons à présent à notre cas concret.
Nous utilisons le premier mode d'application des règles mais certaines d'entre-elles stipulent tout de même le cluster cible.
Vous copiez les règles dédiées au cluster 1... et vous les collez dans celui dédié au cluster 2...
A la compilation, le SmartCenter n'installera pas la règle qui autorise les Security Gateway et le SmartCenter à communiquer (puisqu'elle est dédiée à l'autre cluster)... vous venez de perdre la communication entre votre SmartCenter et les membres de votre cluster 2.

En fonction des autorisations qui n'auront pas été installées sur les membres de ce cluster 2, les comportement peuvent varier...


Vous vous dites donc:
 . Où sont mes sauvegardes et de quand datent-elles ?
 . En réinjectant la dernière sauvegarde, module par module, ceux-ci vont redémarrer... le HA va-t-il fonctionner ?

... en fait, une action rapide et surtout efficace peut être réaliser.
Son principe: enlever toute politique de sécurité sur chacune des Security Gateways puis leur demander de récupérer le fichier de règles (Policy Package) corrigé.

Ce mode opératoire est identique à celui que vous devez appliquer lors de la mise en place de nouveaux équipements:
 . Corrigez les règles de sécurité...
 . Vous devez les 'compiler'... il vous faut donc accéder au menu 'Policy' et choisir 'Install Database'.
 . Vous vous connectez tour à tour sur les membres du cluster et, en CLI, vous effectuez les deux actions explicitées ci-dessus:
    - fw unloadlocal
    - fw fetch <adresse IP du SmartCenter>

Le résultat et de ce type:
[Expert@<nom de la Security Gateway>]# fw fetch <adresse IP du SmartCenter>

Fetching Security Policy From:
<adresse IP du SmartCenter>


Installing Security Policy <nom du fichier de règles Policy Package> on all.all@
<nom de la Security Gateway>

Vous venez de reprendre la main sur vos Security Gateways ... il est même inutile de compiler ;)

Aucun commentaire:

Publier un commentaire