Checkpoint Log Exporter en MCAS

Een klant wilde gebruik gaan maken van Microsoft Defender for Cloud Apps (eerder bekend als Microsoft Cloud App Security en daarvoor moest ervoor gezorgd worden dat de logfiles naar Microsoft gestuurd worden. Na heel veel lezen en veel trial-and-error heb ik het eindelijk werkend gekregen.

We gingen in eerste instantie ervan uit dat we dit in het format Syslog konden versturen, maar dit werkte bij ons niet.

Dit stappenplan gaat voor het grootste gedeelte over de configuratie van de Checkpoint firewall en niet over de Microsoft Defender for Cloud Apps gedeelte. Ik heb geen toegang tot de Azure omgeving van de klant, dus kan dit niet visueel ondersteunen of tot in detail uitleggen. Sowieso zal ik ook links neerzetten voor meer gedetailleerde informatie.

Stap 1.

Als eerste heb ik een firewall rule aangemaakt, zodat de logfiles ook echt doorgelaten worden
Hier staat nog wel syslog bij, maar dit is in principe niet nodig omdat de bestanden over https worden verstuurd.

Stap 2.

Het aanmaken van een Log Exporter rule op de Checkpoint Management Server is vooral belangrijk omdat je hier aangeeft in welk formaat je de logs wil versturen naar de Microsoft Log Collector. In deze link staat een heel uitgebreide informatie over wat je allemaal kunt instellen, wij hebben gekozen om alles te versturen naar de Log Collector. Daarvoor hebben we onderstaand commando gebruikt:
cp_log_export add name FW3-LOG target-server 20.71.xx.xx target-port 443 protocol tcp format cef

Met het commando cp_log_export show kun je je instellingen controleren

Dit maakt de log export meteen actief en worden de logfiles over https naar het opgegeven ip-adres gestuurd.
Ik had hier eerst als format Syslog staan en dit werkte niet goed samen met de Log Collector en de MDCA samen. Nadat we dit hadden aangepast naar het CEF formaat en ook nog de instellingen aan de Azure kant hadden veranderd naar CEF en de dockerinstance van de Log Collector hadden veranderd, zagen we alle relevante informatie binnenkomen, zoals welke cloudapps, (source) ip-adressen gebruikt worden. Dit is de informatie die mijn klant wil zien en die is dus blij.

Stap 3.

In Azure moet je natuurlijk ook een configuratie opgeven. Ik heb helaas geen toegang tot de klantomgeving in Azure, dus kan alleen zeggen dat je hier (Microsoft) meer informatie kunt vinden voor het inrichten van de Azure kant.
Wat je zeker nodig hebt is een Log Collector, daar stuur je de informatie welke komt van de Checkpoint door naar de Microsoft Defender for Cloud Apps omgeving van je bedrijf of klant

Unlocken VM in Proxmox

Vandaag had ik een nieuwe VM gemaakt in Proxmox, maar ik had een foutje gemaakt en ik wilde hem dus een powerdown geven en daarna verwijderen. Dus ik ik geef in de console van de VM het commando: sudo halt
De server geeft aan dat ie naar de halt status gaat en ik wil daarna in de GUI via het Stop commando de server helemaal uitzetten om daarna te verwijderen, maar wat ik ook probeer, niets lukt. In de logging zag ik opeens het onderstaande bericht staan.

trying to acquire lock...
TASK ERROR: can't lock file '/var/lock/qemu-server/lock-103.conf' - got timeout

Dus ik ging op zoek naar waar dit vandaan komt en een reden daarvoor is dat er bijvoorbeeld een backupproces precies op dat moment aan de gang is, waardoor ie geen lock kan verkrijgen en de VM een powerdown kan geven. Dit kun je op de onderstaande manier oplossen.

Inloggen op de CLI van de host server en dan het volgende commando invoeren om het PID van de juiste server te krijgen. Deze kun je trouwens ook zien via de GUI

cat /etc/pve/.vmlist

Als we het juiste PID hebben verkregen van de VM, dan het onderstaande commando uitvoeren en dan is de lock verwijderd

qm unlock <VMID>

Firmware upload on Cisco Nexus

Toen ik bezig was met het uitzoeken van hoe ik de Cisco Nexus switch bij een klant kon upgraden liep ik tegen het probleem aan dat ik de firmware ook nog eens moest uploaden naar de desbetreffende switch(es). Voor tftp was de te uploaden firmware te groot. Ik dacht toen aan WinSCP, maar dat werkt dus niet out-of-the-box. Dus hieronder een uiteenzetting hoe ik het werkend heb gekregen.

  1. Als eerste wil je natuurlijk een backup maken van de huidige firmware en configuratie en daarvoor moet je de onderstaande twee features enablen op de Cisco Nexus switch. Eerst commando is om te controleren welke features al ingeschakeld zijn:
    show feature | sec enabled
    feature bash-shell
    feature scp-server

2. Als deze features ingeschakeld zijn, kun je met WinSCP inloggen op de Nexus switch. Let wel op dat je bij protocol SCP selecteert. Daarna de rest invullen en bewaren of meteen inloggen.

Wake-On-LAN

Om broadcast verkeer vanaf de SCCM-server over verschillende vlans te routeren moet er op de coreswitch (waar de routering plaatsvindt) een access-list worden ingesteld. Dat doe je met onderstaande extended access-list. Geef de access-list een herkenbare naam en stel dan per SCCM-server een entry in. 

  1. Access-list instellen
    Met de access-list geef je aan dat de SCCM-servers een broadcast mogen versturen
    Op plek van de xx vul je het ip-adres in van je eigen SCCM-server
ip access-list extended "<naam acl>"
     10 permit ip xx.xx.xx.xx 0.0.0.0 0.0.0.0 255.255.255.255


ip directed-broadcast access-group "<naam acl>"

Mocht er bij de klant gebruik worden gemaakt van 802.1x dan moet er op de switchpoort ook nog worden ingesteld dat WOL-verkeer op 802.1x poorten doorgelaten wordt. Dit staat standaard dicht.
Maar met onderstaand commando stel je in dat dit wel wordt doorgelaten

aaa port-access <port-list> controlled-direction in

Als laatste moet je ook nog op de firewall instellen dat broadcast verkeer doorgelaten wordt. Op een CheckPoint firewall wordt dit standaard tegengehouden. Maar via de Gaia interface of via clish kun je wel doorlaten. Je kunt dit voor

3. IP broadcast helper op firewall instellen 3

Via de Gaia WebGui kun je dit instellen door de interface te kiezen waar je klanten vlans achterzitten. Bij UDP Port kies je voor 9 en als relay het ip-adres van de vlan interface

Configureren IPv6 op Fortigate

(Alleen Nederlands/Dutch only)

Sinds 1 december is het bij Ziggo mogelijk om IPv6 naar je eigen router te krijgen als je Ziggo modem in bridgemode staat. Omdat je vanuit Ziggo maar een aantal aanwijzingen krijgen over wat je allemaal moet instellen op je router om dit werkend te krijgen. Maar dit is natuurlijk voor veel routers verschillend. Ook binnen firmware versies zijn er verschillen. Bijvoorbeeld voor FortiOS 6.x en 7.x bestaan er verschillen. Hieronder zal ik uit de doeken doen hoe ik dit voor mijn Fortigate 60E heb ingesteld inclusief voor meerdere subnets/vlans

  • Herstart je Ziggo modem, dan weet je zeker dat alles opnieuw wordt ingetraind. Ook al zie al een IPv6-adres op je Fortigate
  • Configureer eerst de WAN interface op je Fortigate, het kan zijn dat deze alleen WAN heet of net zoals mij WAN1 of WAN2 heet. <show system interface> Dan zie je hoe de interface nu ingesteld is, voor leesbaarheid heb ik hier alleen de IPv6 configuratie hier staan. Onthoud hierbij het nummer wat staat onder <config dhcp6-iapd-list> Dit nummer moet je straks bij de configuratie van je LAN-interface(s) noteren
config system interface
    edit "wan1"
        config ipv6
            set ip6-mode dhcp
            set ip6-allowaccess fabric
            set dhcp6-prefix-delegation enable
            config dhcp6-iapd-list
                edit 5
                    set prefix-hint ::/56
                next
            end
        end
    next
  • Herstart na deze configuratie je Fortigate, zo weet je zeker dat de wijzigingen tussen je Ziggo modem en Fortigate op de juiste manier toegepast worden.
  • Na de herstart gaan we verder met de configuratie op de LAN-interface(s)
  • Let op bij <set ip6-delegated-prefix-iaid> hier refereer je aan het nummer wat bij de WAN-interface zag bij <config dhcp6-iapd-list>
  • Let ook op bij het <config ip6-prefix-list> het IPv6-subnet welke hier staat is voor iedereen anders. Kijk hiervoor in de GUI bij de interface en daar zul je jouw toegewezen subnet zien staan. Vul deze hier dan in.
config system interface      
      edit "internal"

        config ipv6
            set ip6-mode delegated
            set ip6-allowaccess ping https ssh snmp
            set ip6-delegated-prefix-iaid 5
            set ip6-send-adv enable
            set ip6-other-flag enable
            set ip6-upstream-interface "wan1"
            set ip6-subnet ::1/64
            config ip6-prefix-list
                edit 2001:1c03:xxxx:xxxx::/64
                next
            end
            config ip6-delegated-prefix-list
                edit 1
                    set upstream-interface "wan1"
                    set subnet ::/64
                next
            end
        end