Check Point E80.32 und neues Solid State Drive

Fragestellung

Auf einem Windows-7-Rechner ist Check Point E80.32 mit Festplattenverschlüsselung (FDE)  installiert. Nun soll eine Solid Stae Disk (SSD)-Festplatte eingebaut werden, um die Systemgeschwindigkeit zu verbessern.

Das Szenario ist vergleichbar mit dem Verlust des Rechners oder einem Festplattendefekt.

Umsetzung

Voraussetzung für die problemlose Migration ist eine vollständige Datensicherung inklusive Windows-Daten und Programmen der "alten" Festplatte. In diesem Fall wird dazu Acronis TrueImage verwendet.

Sofern ausreichend Zeit zur Verfügung steht, kann das alte Laufwerk zunächst entschlüsselt werden. Dies ist aber eigentlich nicht notwendig.

Nach Einbau des neuen Laufwerks wird die Boot-CD von Acronis dazu verwendet, sämtliche Daten des alten Laufwerks wiederherzustellen. In diesem Fall entspricht die Größe des alten Laufwerks der des neuen. Acronis ist jedoch wohl in der Lage, mit sich unterscheidenden Datenträgergrößen umzugehen.

Der erste Start mit dem neuen Laufwerk erfolgt ohne die PreBoot-Authentifizierung. Die Windows-Anmeldung sollte bereits wieder domänenintegriert sein, da sich keine Änderungen an der Domänenzugehörigkeit ergeben (SID bleibt gleich, Computer ist quasi derselbe).
Die Endpoint-Client wird nun feststellen, dass das FDE-Blade nicht ausgeführt wird. Um diesen erwarteten Status wieder zurückzusetzen, muss der Rechner im Endpoint-Management zurückgesetzt werden, wobei sämtliche im Management gespeicherten Daten verlorengehen. Das alte Laufwerk kann daher nicht mehr entschlüsselt werden.
Weiterhin sollte der Endpoint-Client nun zunächst deinstalliert und dann wieder neu installiert werden. Dies kann über die erprobten Methoden erfolgen; also entweder Initial Client oder vollständige Installation gemäß Policy aus einer MSI-Datei.

Nach dem Neustart, der der Installation folgt, wird die FDE wie gewohnt starten und die SSD wieder verschlüsseln.

Fazit

Die Umstellung eines mit E80.32 und FDE abgesicherten Rechners ist im Regelfall problemlos möglich. Die Einbindung eines neuen Rechners mit denselben Einstellungen, also beispielsweise nach einem Verlust oder Defekt, ist somit ebenfalls problemlos möglich.



Sofern Sie weitere Informationen oder Unterstützung benötigen, finden Sie alle Kontaktdaten auf http://www.seculonia.net.

Ihr SECULONIA-Team

Check Point: Gaia+ und PPPoE

Problemstellung

Check Point hat mit dem Release des Betriebsystems "Gaia" die besten Merkmale aus Secure Platform (SPLAT) und Nokias IPSO zusammengeführt. Seit Check Points Release R75.40 kann man Gaia installieren.

Einige Features sind im ersten General-Availabilty-Wurf nicht enthalten, daher ist Ende Mai ein Feature Pack namens Gaia+ erschienen. Details und Downloads hierzu sind im sk-Artikel 75260 abrufbar.

Ein in unserer Laborumgebung erforderliches Merkmal ist die Einwahl per PPPoE, die mit Gaia+ möglich sein soll. Nach einigen Tests stellte sich heraus, dass dieses Merkmal leider noch nicht so funktionierte wie gewünscht, denn es kam keine PPP-Verbindung zustande.

Fehleranalyse

Mittels tcpdump auf der ausgehenden Netzwerkschnittstelle findet man heraus, dass die Check Point sehr wohl mit dem Access Concentrator des Providers Daten austauscht. Im LCP-Protokollablauf finden sich allerdings einige "Conf-Requests" aus Richtung Access Concentrator, die jeweils mit "Conf-NAK" von der Check Point abgewiesen werden.

Blickt man mit Wireshark oder ähnlichen Tools tiefer in die Pakete hinein, findet man heraus, dass all diese Conf-Requests die Authentifizierungsmethode "Password Authentication Protocol" (PAP, Hex 0xC023) anbieten. Die Check Point verlangt aber stattdessen stur das "Challenge Handshake Response Protocol" (CHAP, Hex 0xC227), woraufhin der Verbindungsaufbau nach einigen Versuchen vom Access Concentrator mit einem Termination Request beendet wird.

Lösung

Offenbar ist die Check Point schon so konfiguriert, dass sie bei Vorhandensein der entsprechenden Zugangsdaten sowohl CHAP als auch PAP nutzt. Daher ist die Lösung (oder möglicherweise der Workaround, siehe unten) das Eintragen der Zugangsdaten in der Datei /etc/ppp/pap-secrets. Man kann dazu die entsprechende Zeile aus der /etc/ppp/chap-secrets kopieren.

Ob dies nun tatsächlich die Lösung oder nur ein Workaround ist, wird sich in den folgenden Tagen zeigen, wenn einige Policy Installations durchgeführt wurden oder Parameter innerhalb Gaias geändert werden. Schlimmstenfalls muss die Zeile regelmäßig per Cronjob eingefügt werden...



Sofern Sie weitere Informationen oder Unterstützung benötigen, finden Sie alle Kontaktdaten auf http://www.seculonia.net.

Ihr SECULONIA-Team