Journaux d’événements sur clé USB

Il était une fois le monde merveilleux des pare-feux français:

Les boitiers du début de la gamme U de NetASQ n’ont pas de disque dur (simplement une carte flash de 512 Mo). Ils n’ont donc pas la capacité de stocker les journaux de façon persistente.

Dès lors que l’on se retrouve confronté à un bug du boitier (et cela arrive plus souvent qu’on le pense), ce manque de traces est problèmatique pour notre investigation. Il existe bien la possibilité d’envoyer les logs vers un serveur syslog, mais encore faut-il que le plantage du boitier ne coupe pas le trafic réseau…

Heureusement les ingénieurs de R&D de NetASQ sont des gens intelligents et ont prévu le coup. En effet, il est possible de stocker ces logs sur un media amovible, pour cela il suffit simplement de :

  1. Connecter une clé USB au boitier malade ;
  2. Editer le programme formatusb avec le code ci-dessous ;
  3. Lancer la commande formatusb (qui peut prendre un certain temps suivant la taille de la clé)
  4. Redémarrer le boitier
  5. Vérifier que la partition /log est montée.

L’utilisation de ce code se fait sous votre responsabilité.

8 partitions:
#       size   offset    fstype   [fsize bsize bps/cpg]
a:   10000 0              4.2BSD        0     0     0
c:   $SIZEDISK 0             unused        0     0     0
g:   $((SIZEDISK - 10000)) 10000  4.2BSD   0     0     0 " > /tmp/proto-auto-disklabel

# Creating slices
echo " - Labeling <${DISK}>"
disklabel -R /dev/${DISK}s1 /tmp/proto-auto-disklabel  > /dev/null 2>&1
if [ $? != 0 ]; then
echo " => Error during creating slices!"
exit 1
fi

# Making filesystems
echo " - Creating file system on <${DISK}s1${part}>"
newfs /dev/${DISK}s1a > /dev/null 2>&1
if [ $? != 0 ]; then
echo " => Error during creating file system!"
exit 1
fi

newfs /dev/${DISK}s1g > /dev/null 2>&1
if [ $? != 0 ]; then
echo " => Error during creating file system!"
exit 1
fi

Cela fonctionne sur les version 9.0.x de NetASQ (Nous ne l’avons pas tester sur les versions précédentes).

Bien sur, il s’agit là d’une manipulation à effectuer en cas de debug, en production l’usage de la clef n’est pas recommandé.

Publicités

A propos JoMendes

Amateur de mathématiques et d'hexadécimal. Je m'intéresse de près ou de loin suivant mon niveau à tous les sujets de sécurité de l'information.
Cet article, publié dans Uncategorized, est tagué , , , , , . Ajoutez ce permalien à vos favoris.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s