Con las SMC de los Stonegate, a veces ocurre que es necesario borrar algún objeto, pero la consola no nos deja debido a que el objeto está en uso en alguna de sus políticas. Al intentar el borrado, la SMC se interpone indicándonos el nombre de las políticas a las que afectaría. Sin embargo, no nos indica el ID de la regla que provoca el conflicto en cada política, con lo que hay que irse allí y buscarla (dependiendo de cada política, esta búsqueda puede resultar una pesadilla).Stonegate explica indirectamente como abordar esta cuestión, en el apartado "Finding Rules Based on Values" (Creating and Managing Policies) en su StoneGate Administrators Guide
Conociendo la policy donde está el objeto implicado (host, network, etc), nos vamos a la política en cuestión y entramos (edición o consulta). En la botonera de la Policy Toolbar encontramos un icono que viene a ser algo así como unos prismáticos encima de una lista (el manual lo llama Rule Search Tool). Al presionarlo, nos aparece abajo una nueva fila que permite introducir un origen y un destino (entre otros campos). Si en uno de estos dos campos introducimos la IP del objeto que buscamos, con los botones de desplazamiento (next/previous) podemos navegar entre aquellas reglas que coinciden con nuestro criterio.
Añadir que las coincidencias (en el caso de origen/destino) no son sólo en cuanto a IP, sino también en lo que se refiere a objetos en general que sean coincidentes con esa IP (rangos, grupos de objetos, redes, etc).
Inglés a castellano 
Anglès a català
11 Comentarios:
Pere,
Muchas gracias por tu contestación pero tengo otra duda.
Esto vale para versiones posteriores a la 4. Para versiones anteriores a la 4 no hay la opción para buscar reglas, simplemente es "buscar".
Alguna idea?
Un saludo.
Si no tienes la posibilidad de actualizarte a la 4 (que creo que sería lo mejor), lo primero que se me ocurre es lo siguiente:
- Exporta la política (creo que la versión 3 deja hacer esto).
- Crea una licencia de evaluación en la web de Stonesoft y bájate la última versión de la SMC.
- Instala el programa en una máquina "tonta" que tengas (imagino que en una VM debería funcionar).
- Importas la política y, si la nueva SMC lo requiere, cargas la licencia de evaluación. Sigues los pasos del artículo a partir de ahí.
Solución cutre, pero igual te saca del apuro.
Suerte, ya me dirás.
Una forma más limpia sin salirnos de la versión 3 de la SMC: Prepara un filtro con src o dst igual a la IP del objeto que buscas. Después intentas acceder a ese host con ping o lo que sea. En el log de la SMC deberías ver accesos permitidos o denegados con una columna haciendo referencia al ID de la regla que ha hecho "match". Esa regla es la primera de la política que coincide con el objeto. Podría haber más a continuación, pero añadiendo condiciones al filtro llegarás a dar con la regla que te interese.
Se sobreentiende que además de añadir condiciones al filtro, deberás cambiar la forma de aceder a la IP que buscas, para que no haga "match" con reglas precedentes a la que buscas. Por ejemplo atacanado otro puerto, o desde otro origen...
Impresionante Pere...
Muchas gracias de nuevo.
Gracias a ti por animar de nuevo los comentarios.
Saludos.
Hola Pere,
Tengo un problema e igual me puedes ayudar.
En un Stonegate, tengo configurados 2 interfaces y una regla que permite el paso. La cosa no funciona y en el log veo que me deniega el acceso con la siguiente información:
spoofed packet (NIC index changed)
El paquete debería entrar por un interfaz y salir por el otro según están configuradas las rutas.
Alguna idea de porqué da esto?
Muchas gracias.
Seguramente ya lo debes haber comprobado, pero primero asegurate que el paquete (petición) entra por el interface esperado. Es muy posible que de lo que se queje es de las respuestas, así que comprueba también que esos paquetes-respuesta (al paquete-petición de antes) entran por el interface correcto. Este interface debería ser el mismo por donde ha salido el paquete-petición. En el log deberías comprobar la columna "Src IF" (interface por donde entra el paquete), que en combinación con "Src Addr" y "Dst Adrr" te permiten deducir sin es una petición o una respuesta, y si está entrando o no por donde debería (spoof). Si el problema está en las respuestas, entonces es muy posible que en la máquina que envía esas respuestas (Destination) tengas mal definida la ruta hacia la máquina que le envió la petición (Source).
Si no das con el problema, puedes añadir excepciones en la vista de antispoofing, aunque antes de recurrir a esto (chapuza) yo le dedicaría un rato a lo que comentaba como primera opción.
Ya me dirás, felices fiestas.
Pere,
Si, todo eso lo he visto y parece que está correcto aunque hay algunas cosas que no me terminan de convencer. Seguiré investigando y te contaré.
De nuevo muchas gracias por tu ayuda y felices fiestas.
Hola Pere,
Podrías decirme qué diferencia hay entre poner un nodo en "online" o ponerlo en "locked online"?
Si yo reinicio el nodo, hay alguna forma de que se ponga online sólo o lo tengo que hacer yo "a mano"?
Muchas gracias.
Para la primera pregunta: Tendría que mirarme la documentación, pero creo que en las propiedades de firewall, en la pestaña "Tester settings", defines comprobaciones con las que la consola de gestión lleva online/offline lo que tú definas en los testers. Supongo que determinando "Lock-online", provocas que no se lleven a cabo las acciones que son capaces de desencadenar esas comprobaciones.
La segunda pregunta: Me hablas de un caso con el que no me he encontrado (¿No será que el cluster de firewalls no tiene ninguna política aplicada? En ese caso creo que todos los nodos se quedan offline...). O bien algún nodo no forma parte del cluster... Tanto en Balancing como en Standby, y en condiciones normales, cuando reinicias un nodo, si no hay ningún otro nodo trabajando, el nodo reiniciado debería ponerse online él sólo. Si ya hay un nodo online y quieres que el otro que estás rebotando prevalezca cuando éste suba (aquí ya sería activo/pasivo), entonces tendría que mirar cómo se hace. No es mi caso (mis nodos tienen el mismo peso todos ellos) y por lo tanto no estoy seguro, pero yo creo que también se puede hacer.