Possibile baco in ChekPoint Firewall-1

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Gennaio 2003 ml@sikurezza.org
Soggetto: Possibile baco in ChekPoint Firewall-1
Mittente: Andrea Gelpi - Liste
Data: 29 Jan 2003 13:19:26 -0000

Salve,
  credo di aver trovato un modo di creare un DOS su Firewall-1. 

Configurazione: 

ChekPoint Firewall-1 NG-FP3 su Nokia con IPSO 3.5 FCS6
RAM 320MB e SWAP space di 256MB
Feature di Content Security attivata per fare l'anti-relay sulla posta in 
arrivo. 

Che cosa succede: 

Ogni qualche settimana, apparentemente senza motivo, il firewall esegue 
automaticamente un reboot e poi per un po' di tempo (anche alcune ore) tutte 
le sessioni sono molto lente. 

Analisi del problema: 

Ho un secondo firewall su cui la feature di content security non è usata e 
questo non incorre nel problema desritto. 

Ho trovato che ad un certo momento il processo Mail-Dequeuer (legato alla 
Content security) viene killato per problemi di memoria. Trovo infatti sul 
Nokia moltissimi messaggi del tipo: 

kernel: Process nnnn killed by vm-fault -- out of swap 

dove nnnn è l'ID del processo 

Inoltre dopo il reboot la CPU che di norma è a meno del 35% sale a oltre il 
90% e vi rimane per un certo tempo (causando il rallentamento osservato). 

La mia ipotesi è che la feature di content security o IPSO non rilascino in 
maniera corretta la memoria allocata dai singoli processi di Content 
security.
Ciò porta alla saturazione dell'area di swap con conseguente kill del 
processo di mail-dequeuer. Da questo momento in poi le mail in arrivo 
vengono processate dal processo mail-server, ma non essendoci più il 
processo mail-dequeuer queste restano accodate sul Nokia. Quando l'hard disk 
del Nokia è pieno il sistema crasha e forza il reboot.
Dopo la ripartenza la memoria è libera e il processo mail-dequeuer inizia a 
processare le mail accodate caricando la CPU, e rendendo molto lente tutte 
le altre attività, finchè smaltita la coda il tutto torna alla normalità. 

Analizzando la memoria del Nokia si nota che la memoria in uso è di circa 
80MB su 320MB mentre lo swap file è all'85% su 256MB. C'è quindi un utilizzo 
elevato dello swap. 

Se non sbaglio in UNIX lo swap space dovrebbe essere almeno uguale alla 
memoria se non maggiore, per cui ho consigliato di sistemare le cose in 
questo senso, anche se ho il sospetto che tale manovra porterà solo ad 
allungare i tempi fra un crash e il successivo. 

C'è qualcuno che è incappato in problemi simili?
Grazie,
 --
Gelpi ing. Andrea
 --------------------------------
Landmines must be stopped. (CRI)
 -------------------------------- 


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Messaggi successivi:
- Re: Possibile baco in ChekPoint Firewall-1, Filo
- Re: Possibile baco in ChekPoint Firewall-1, Riccardo Baldanzi

Data:
- precedente: Re: Alimentazioni Ridondanti e Case Rack, Ing. S. Centineo - AMAP S.p.A.
- successivo: relazione di trust, jclark
- indice

Argomento:
- precedente: RE: A quale porta e' collegata la mia macchina?, Mimmus
- successivo: Re: Possibile baco in ChekPoint Firewall-1, Riccardo Baldanzi
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005