Questi appunti mostrano come sia facile intercettare le password che passano attraverso la propria rete locale. Per farlo utilizziamo uno dei programmi distribuiti con Backtrack versione 3 o 4, Ettercap.

Per funzionare è necessario che l’utente che lancia ettercap sia connesso alla rete tramite cavo LAN , collegato sia trmite switch o hub.

La prova è stata fatta sulla mia rete locale, tra due computer che utilizzo esclusivamente io e le password intercettate sono quelle che uso per connettermi ad un servizio di posta elettronica ed ad un sito web di telefonia. L’utilizzo di ettercap per intercettare password o più in generale dati di altri utenti è illegale. Ogni abuso è responsabilità vostra ed è punibile dalla legge. Questi appunti personali sono stati ricavati da guide più complete che si possono trovare su internet. Continuando a leggere vi assumete ogni responsabilità per l’utilizzo che potete fare di queste informazioni.

Questi sono i passi che ho seguito per intercettare le mie  password digitate su un altro computer connesso alla mia rete locale:

nnadalca Documenti Tecnici, Tips Linux e Microsoft, Tutorial backtrack, sniffing

SNORT, il re degli IDS liberi

SNORT è un Network based IDS real-time, leggero, con risposta passiva alle intrusioni e con un’elevata accuratezza nel rilevamento delle intrusioni. Questo IDS ha caratteristiche real-time, in quanto è in continuo ascolto sul segmento di rete a cui è stato assegnato ed è in grado di contattare l’amministratore di sistema attraverso molteplici meccanismi come Syslog. La leggerezza di SNORT dipende da due fattori:

1. L’efficienza nella scansione dei pacchetti, dal momento che usa poche risorse di sistema;
2. Le dimensioni dei sorgenti del NIDS.

La semplicità del tool e la sua struttura modulare hanno fatto in modo che non dovesse mai essere reimplementato o modificato per poter identificare nuove tipologie di attacco. Inoltre, la linearità di scrittura delle regole ed il basso livello di rete in cui opera lo rendono uno strumento particolarmente duttile, anche come tool di analisi per attacchi sconosciuti.

SNORT può esaminare i protocolli più diffusi, può individuare una varietà di attacchi e di probes, così come buffer overflow, port scanning, attacchi CGI e probes SMB. Guardando i file di log si riesce a determinare a quale tipo di attacco si è stati soggetti. Ricordate, un uso efficace di meccanismi di logging è fondamentale per la sicurezza del vostro sistema, con o senza IDS.

Altra caratteristica importante di questo NIDS è la portabilità; i sistemi operativi su cui si può installare SNORT sono: Linux, OpenBSD, FreeBSD, NetBSD, Solaris, SunOS 4.1.X, HP-UX, AIX, IRIX, Tru64 (tutti sistemi Unix like), MacOS (su sistemi Macintosh), Win32 (Win9x/NT/XP e 2000). Una volta installato SNORT, si possono scaricare ed installare gratuitamente i file di regole aggiornati regolarmente.

Questi file comprendono tutte le regole per riconoscere una serie di attacchi già noti, ma nessuno vieta di crearvi un proprio file di regole se avete esigenze specifiche. Ultima particolarità, non marginale, di questo IDS è il suo rilascio sotto licenza GNU/GPL, che ha permesso, e permette, ad un nutrito gruppo di sviluppatori di contribuire al suo perfezionamento.

Le regole di SNORT

Una regola è una precisa sequenza di istruzioni che permette di istruire l’IDS, consentendogli così di riconoscere attacchi ed anomalie nella rete. Ogni regola è scritta in un’unica riga, infatti, il parser (cioè il componente che interpreta le regole) di SNORT non è in grado di riconoscere le regole scritte su più righe. Ogni regola è composta da due sezioni distinte:

1. Header (intestazione);
2. Options (opzioni).

La prima sezione comprende le azioni delle regole: protocollo, indirizzo IP (di origine e di destinazione) e le informazioni relative alle porte. La seconda sezione, options, contiene invece i messaggi di alert e le informazioni su quali parti dei pacchetti devono essere analizzate per determinare se le regole di azione devono essere eseguite. Esempio di una tipica regola per SNORT è il seguente:

alert tcp any any -> 192.168.61.190/23 (content: "Last login"; msg: "Attenzione: tentativo di connessione via telnet alla macchina!";)

questa regola indica a SNORT di mostrare un messaggio di avvertimento se viene individuato del traffico TCP, proveniente da qualsiasi porta e da qualsiasi IP, che tenti di stabilire una connessione sulla porta 23 all’indirizzo 192.168.61.190. Non è scopo di questo articolo analizzare dettagliatamente la sintassi delle regole di SNORT, ma da questo piccolo esempio si può comprendere la facilità e la flessibilità usata nella creazione delle regole. La genialità di SNORT, quindi, sta proprio nella semplicità della sintassi delle regole; in pochi secondi potete creare regole ad hoc e renderle operative, senza spendere un solo euro.

Modalità operative di SNORT

SNORT è un programma dalla mille risorse, non funziona solo ed esclusivamente come NIDS, può operare in tre diverse modalità:

1. SNORT come IDS: SNORT può essere posizionato tra il firewall, che controlla una rete, e la linea Internet non sicura, analizzando in questo modo sia il traffico diretto al firewall, sia il traffico nella rete controllata. Il piccolo sistema di firme, di cui è dotato, offre un tool di alerting per gli amministratori quando vengono individuate delle attività sospette;
2. SNORT come packet sniffer: il programma è capace di ispezionare il carico dei pacchetti sulla rete, decodificando il livello di applicazione di un pacchetto e catalogando il traffico basato su un determinato contenuto di dati;
3. SNORT come packet logger: SNORT può anche effettuare il log dei pacchetti, da linea di comando, indirizzati ad una specifica macchina inviando direttamente alert a video. Uno dei più grandi vantaggi è che SNORT effettua il logging in formato leggibile.

Installazione di SNORT

Passiamo adesso all’installazione di SNORT. Scaricate l’archivio compresso, dell’ultima versione di SNORT, dal sito del progetto; al momento della stesura dell’articolo è la 2.6.1.5. Assumete l’identità di root e decomprime il pacchetto usando i comandi gzip e tar da linea di comando:

# gzip -d -c snort-2.6.1.5.tar.gz | tar xf -

successivamente, spostatevi nella directory appena creata dalla decompressione del pacchetto:

# cd snort-2.6

ed avviate il comando configure con:

# ./configure

L’operazione eseguita dall’utility configure sarà quella di determinare tutte le caratteristiche e gli attributi del vostro sistema per generare un appropriato Makefile. Una volta terminata la configurazione bisogna compilare i file partendo dalle informazioni raccolte precedentemente con il comando configure; per far questo digitiamo il comando:

# make

infine, per installare i file binari e le guide del programma eseguiamo:

# make install

Tutto qui, come avete visto non c’è nulla di difficile nell’installazione di SNORT. Un ultimo consiglio, anche se lo spazio occupato dall’eseguibile è di pochi bytes, è preferibile installare SNORT su una macchina ad esso dedicata, con nessun altro servizio attivo.

Uso di SNORT

SNORT non è difficile da usare, tuttavia l’uso non è sempre tanto immediato. Il tutto sta nello scegliere, in maniera appropriata, quali parametri dare in input a SNORT per renderlo efficiente.

Leggendo la guida del NIDS potrete conoscere le tantissime opzioni offerte dal programma (figura 1), ma per comodità riporto un breve elenco delle opzioni più importanti ed usate:

• -A alert-mode effettua un alert usando uno specifico alert-mode (fast, full, none, unsock). Fast scrive gli alert sul file di alert di default in una singola linea; full scrive gli alert sul file di alert decodificando completamente l’header; none disabilita gli alert; unsock è una modalità che manda gli alert su socket UNIX;
• -a mostra i pacchetti arp quando vengono decodificati;
• -b effettua il log dei pacchetti in formato tcpdump;
• -c “rules-file” usa il file di regole nel percorso indicato in rules-file;
• -C stampa solamente i caratteri del payload del pacchetto;
• -d visualizza il livello applicazione dei dati quando mostra i pacchetti;
• -D esegue SNORT in daemon mode (cioè come demone);
• -e visualizza l’header dei pacchetti ethernet;
• -h “home-net” setta la “home network” al valore home-net. Il formato di questo indirizzo è un prefisso di rete più un blocco cidr, come ad es: 192.168.2.0/24;
• -i “interface” mette in ascolto SNORT sull’interfaccia specificata;
• -l “log-dir” indirizza i log di SNORT in una directory specifica. Per default è impostato il valore /var/log/snort;
• -n “packet-count” processa solo un numero di pacchetti pari al valore packet-count ed esce;
• -N smette di loggare i pacchetti. Il programma continua normalmente a generare gli alert;
• -o cambia l’ordine in cui le regole sono applicate ai pacchetti. Invece dell’ordine d’inizio applicato nello standard Alert-> Pass-> Log, le regole verranno applicate nell’ordine Pass-> Alert -> Log;
• -p termina la modalità promiscua di sniffing;
• -q non visualizza i messaggi e le informazioni di inizializzazione;
• -r “tcpdump-file” mostra il file tcpdump-file formattato;
• -s manda messaggi di alert al Syslog;
• -S “n=v” setta la variabile “n” al valore “v”. Utile per settare il valore di una variabile definita nel file di regole di SNORT con un valore specificato nella linea di comando;
• -v stampa i pacchetti;
• -V mostra la versione dell’applicazione ed esce.

SNORT come IDS

Abbiamo parlato di SNORT e visto come installarlo in una Linux box. Ora mettiamoci all’opera.

Per prima cosa (figura 2) avviamo SNORT con le opzioni:

# snort -i -lo -v -d -l log -c /etc/snort.conf

Ora SNORT è attivo e pronto. Dopo aver creato la nostra regola testiamone l’efficienza. Proviamo ad accedere alla macchina, indicata nella nostra regola, usando telnet. Dalla console aperta potrete visualizzare sia il rilevamento dei pacchetti, sia i risultati. In questa occasione abbiamo usato SNORT come IDS passandogli (con l’opzione -c), da linea di comando, il file contenente le regole.

Considerazioni su SNORT

I vantaggi di SNORT sono tanti. Ha una struttura modulare, richiede poco tempo per l’installazione, se ci sono nuovi attacchi l’amministratore può facilmente sviluppare nuove regole per rilevarli ed è estendibile usando i plug-in. Gli svantaggi di SNORT, ovviamente, sono quelli comuni agli IDS basati sul pattern matching. Se volete usare una GUI, per lavorare più agevolmente con SNORT, potete installare http://sguil.sourceforge.net/. Sebbene ancora giovane come progetto questo frontend è davvero molto promettente.

nnadalca Documenti Tecnici, Tips Linux e Microsoft, Tutorial snort

Per chi come me ha dovuto mettere in piedi  il logserver per il DPS (Documento programmatico sicurezza) ho deciso di mettere in rete questa guida sommaria su come implementare attraverso software opensource il log server con Ubuntu Server  8.04 e comunque funzionante anche con Ubuntu Server 9.10 ed il software  logzilla che attraverso il database mysql registra ogni collegamento come amministratore ai server Microsoft e/o Linux.

About

This page will help guide you through a standard installation process.

For this demo, I will be using version (v2.9.9o) located at The Google code site

If you’re looking for an install guide for v3.0, go to the Install Guide for LogZilla v3.0.

Name Change

You may have noticed that I’ve started using the name LogZilla.

Moving forward, the php-syslog-ng application will be changing it’s name to LogZilla in order to facilitate future plans of moving to an Ajax front-end.

Obtaining LogZilla

Sudo to root and then change directories to your web root(we’ll want to do most of this as root, so su first):

sudo su -
cd /var/www

Download: Grab the latest package from The Google code site and use wget to download it to your local system:

wget http://php-syslog-ng.googlecode.com/files/logzilla_v2.9.9n.tgz

Extract:

 tar xzvf logzilla_v2.9.9n.tgz

Rename the php-syslog-ng directory to logzilla (see #Name_Change)

mv php-syslog-ng logzilla

Make sure you have your log directory created for system logs:

mkdir -p /var/log/logzilla

Requirements

Please note that you should have a decent understanding of Linux, Apache, Mysql and PHP before attempting to use this software. I’ve made every attempt to make it as easy as possible, but due to the nature of this stuff, it does require a decent skill base to implement and operate properly.

The following tools/software must be installed in order to use Php-Syslog-NG:

Syslog-ng

This logging system is based on data collected from a program called Syslog-NG which is “is an open source implementation of the Syslog protocol for UNIX and UNIX-like systems. It extends the original syslogd model with content-based filtering, rich filtering capabilities, flexible configuration options and adds important features to syslog, like using TCP for transport.”

In the case of LogZilla, we’re going to use it to collect syslog messages from our network and store the information into a MySQL database for reporting capabilities.

Here’s a simple diagram of how these pieces fit together:

Installing syslog-ng

This section covers syslog-ng using Ubuntu, if you use a different distro you’re on your own…

From a console, type:

sudo aptitude install syslog-ng

You will likely see an error in ubuntu like this:

Remove the following packages:
ubuntu-minimal

It’s a bug in Ubuntu and it’s safe to continue.

Once the syslog-ng installation completes, modify /etc/syslog-ng/syslog-ng.conf and add the following lines to the bottom:

NOTE: a copy of this config file is located under scripts/contrib/system_configs

#
# http://nms.gdd.net/index.php/LogZilla_Installation_Guide#Installing_syslog-ng
# This config works with v2.x of syslog-ng, you will need to make a few changes to make it work with v3.x
# for v3.x - change the following entries in your syslog-ng config:
# Change:
# source(s_all);
# to:
# source(s_local);
# source(s_net);
# destination(d_logzilla);
#
# http://www.syslog.org/syslog-ng/v2/
# modify /etc/syslog-ng/syslog-ng.conf and add the following lines to the bottom:
###########################################################################################
# Clay's LogZilla config below
###########################################################################################
# July 20, 2009 Added by cdukes for LogZilla
###########################################################################################
options {
      long_hostnames(off);
      # doesn't actually help on Solaris, log(3) truncates at 1024 chars
      log_msg_size(8192);
      # buffer just a little for performance
      # sync(1); <- Deprecated - use flush_lines() instead
      flush_lines(1);
      # memory is cheap, buffer messages unable to write (like to loghost)
      log_fifo_size(16384);
      # Hosts we don't want syslog from
      #bad_hostname("^(ctld.|cmd|tmd|last)$");
      # The time to wait before a dead connection is reestablished (seconds)
      time_reopen(60);
      #Use DNS so that our good names are used, not hostnames
      use_dns(yes);
      dns_cache(yes);
      #Use the whole DNS name
      use_fqdn(yes);
      keep_hostname(yes);
      chain_hostnames(no);
      #Read permission for everyone
      perm(0644);
      # The default action of syslog-ng 1.6.0 is to log a STATS line
      # to the file every 10 minutes.  That's pretty ugly after a while.
      # Change it to every 12 hours so you get a nice daily update of
      # # how many messages syslog-ng missed (0).
      # stats(43200);
  };
# Create destination to LogZilla
destination d_logzilla {
  program("/var/www/logzilla/scripts/db_insert.pl"
  template("$HOST\t$FACILITY\t$PRIORITY\t$LEVEL\t$TAG\t$YEAR-$MONTH-$DAY\t$HOUR:$MIN:$SEC\t$PROGRAM\t$MSG\n")
  );
};

# Tell syslog-ng to log to our new destination
log {
  source(s_all);
  destination(d_logzilla);
};
# Clay's LogZilla config above
###########################################################################################

Also, the default syslog-ng installation on Ubuntu has UDP disabled by default, so be sure to change this:

# udp();

To this:

udp();

Somewhere around line 93 of the file…

Note: Change the paths above to reflect your actual installation path!

Installing All Prerequisites

We’ll need to install:

• Apache
• PHP
• MySQL
• php-gd (for graphs)
• php-cli for (for command line scripts)
• php5-mysql
• msttcorefonts (for graph fonts)
• build-essential (you’ll need this later for building perl modules and other system stuff)

so type:

sudo aptitude install apache2 php5 php5-gd php5-cli php5-mysql mysql-server msttcorefonts build-essential

From the command line to install everything at once.

(Yes, it’s that easy – see why I like Ubuntu?)

You will also need to install the LevenshteinXS perl module in order to use this version.

To install LevenshteinXS from the CPAN archive, simply type:

sudo cpan Text::LevenshteinXS

Apache

Naturally, if we’re going to use a web interface, we’ll need a web server :-)
First, edit the /etc/apache2/apache2.conf file and add a ServerName directive

sudo vi /etc/apache2/apache2.conf

When you’re done, it should look like this (replace logzilla with your server’s name):

ServerRoot "/etc/apache2" <<- Existing line
ServerName logzilla

Replace 'logzilla' with your actual server name

Note: You can skip the following section if you are installing to the root web server.

Not all systems will need to use the following config. This is only provided as an example.
Next, create a file in /etc/apache2/sites-available called “logzilla” and add the following to it:

# LogZilla
   Alias /logs "/var/www/logzilla/html/"
   <Directory "/var/www/logzilla/html/">
       Options Indexes MultiViews FollowSymLinks
       AllowOverride All
   Order allow,deny
   Allow from all
   </Directory>

Note: AllowOverride should be set to “All” so we can modify php variables using a .htaccess file (more on that later)
Now save this file in the appropriate location. For Ubuntu users, it would be saved as:

/etc/apache2/sites-available/logzilla

Then, for Ubuntu, you would type:

a2ensite logzilla

If you are on a distro other than Ubuntu, you’ll have to look up the documentation to see how to implement this (you might be able to simply add it to the default config file)

Now restart Apache and make sure you don’t see any errors.

 sudo /etc/init.d/apache2 restart
* Restarting web server apache2                                                                               [ OK ]

Finally, go browse to http://<ipaddress>/<directory> and see if it’s working…

MySQL

LogZilla is designed to work with Mysql v5.x

It may work fine with older versions, but I’m not sure so stick with 5.x when possible.

You shouldn’t have to do anything from the command line for installing MySQL other than what we did in the prerequisites section.

All table modifications will be made for you during the LogZilla install.

PHP

This section covers PHP using Ubuntu, if you use a different distro you’re on your own…

LogZilla is designed to work with PHPv5.x

If you are using PHP v4, and plan to use the CEMDB (Cisco Error Message Database), then you will need to convert the CEMDB.class file to an older format as noted in the issues list on the code site:

http://code.google.com/p/php-syslog-ng/issues/detail?id=13&can=1&q=cemdb

If you don’t, you will get errors like this:

Parse error: syntax error, unexpected T_STRING, expecting T_OLD_FUNCTION or
T_FUNCTION or T_VAR or '}' in
/var/www/php-syslog-ng/includes/CEMDB.class.php on line 11

After you’ve installed everything as noted in the prerequisites section above, edit the /etc/php5/apache2/php.ini file and change a few settings that we’ll need during the web portion:

sudo vi /etc/php5/apache2/php.ini

Change:

memory_limit = 16M

to:

memory_limit = 128M

Change:

max_execution_time = 30

to:

max_execution_time = 300

You should also do the same for /etc/php5/cli/php.ini
Don’t forget to restart apache to start using PHP

 sudo /etc/init.d/apache2 restart
* Restarting web server apache2                                                                               [ OK ]

PERL

Perl is used for some backend functions – most of these files are located in the scripts/ directory.

It’s important that you have a working copy of perl installed.

If you’re using a minimal Ubuntu system and you want to run the dbgen.pl script (to populate the database with some sample data), you might need to add Digest::SHA1 and Net::MySQL PERL modules to the default installation.

See the DBGen section for more details.

Permissions

Make sure you set the html/ directory to the apache web owner.

For example, in Ubuntu you would do:

chown -R www-data:www-data /var/www/logzilla/html

Misc Requirements

While not absolutely necessary to have a working system, the following tools/programs should be added for maintaining your operating system:

Logrotate

A sample logrotate.d script is included in the scripts/contrib/system_configs/ directory which should (depending in your distro) be placed in /etc/logrotate.d

The file contents should be similar to:

# http://nms.gdd.net/index.php/LogZilla_Installation_Guide#Logrotate
# LogZilla logrotate snippet for Ubuntu Linux
# contributed by Clayton Dukes
#
/var/log/logzilla/*.log {
  missingok
  compress
  rotate 5
  daily
  postrotate
  /etc/init.d/syslog-ng reload > /dev/null 2>&1 || true
  endscript
}

Note, again, that you will want to be sure you’ve created the directories used to store log data:

(you can skip this step if you already did it before)

mkdir -p /var/log/logzilla

Cron

Cron is used for regular data maintenance, the following entries should be made in root’s crontab by typing

crontab -e

as the root user on your system

# http://nms.gdd.net/index.php/LogZilla_Installation_Guide#Cron
# LogZilla
@daily php /var/www/logzilla/scripts/logrotate.php >> /var/log/logzilla/logrotate.log
@daily find /var/www/logzilla/html/jpcache/ -atime 1 -exec rm -f '{}' ';'
0,5,10,15,20,25,30,35,40,45,50,55 * * * * php /var/www/logzilla/scripts/reloadcache.php >> /var/log/logzilla/reloadcache.log
# Demo LogZilla
# CHANGE TO MATCH YOUR DIRECTORY PATHS
# @hourly /var/www/logzilla/scripts/dbgen.pl >> /var/log/logzilla/dbgen.log

Advanced Features

This section covers advanced options for implementation

Authentication Methods

Some alternate authentication methods are available which include:

LDAP

To enable LDAP, simply edit the config.php file located in config/ after the install is complete and set the following variables:

define('LDAP_ENABLE', "NO");
define('LDAP_SRV', "ldap.company.com");
define('LDAP_BASE_DN', "ou=active, ou=employees, ou=people, o=company.com");
define('LDAP_CN', "uid");

MS AD

To enable MS Active Directory, simply edit the config.php file located in config/ after the install is complete and set the following variables:

define('LDAP_MSAD', "NO");
define('LDAP_DOMAIN', "mydomain.com");

Web Basic Auth (htaccess)

To enable htaccess support using mod_auth_krb5, simply edit the config.php file located in config/ after the install is complete and set the following variables:

define('WEBBASIC_ENABLE', FALSE);

Note that you will still need to add the appropriate user to the MySQL database before this will work.

For assistance with setting up apache .htaccess, please visit http://home.golden.net/htaccess.html

For more information on this feature, please visit http://code.google.com/p/php-syslog-ng/issues/detail?id=62

Squeeze

Squeeze is a de-duplication feature of LogZilla. It works great, but has some caveats that you should be aware of prior to using it.

Squeeze uses an algorithm similar to Levenshtein’s and is used to compare the number

of “edits” it would take to make each of the compared strings become the same.

The result is displayed as a “distance” (a variable you can alter in the config.php file)

This allows LogZilla to compare incoming messages to those stored in the database.

When a message arrives, SQZ will check the incoming message and compare that to messages in the database that are from the same:

• host
• facility
• priority
• level
• tag
• within the last X minutes (this window is configurable in config.php)

If rows in the database are found to match the incoming message, the Squeeze function will update the original row

with a new “First Occurrence”, “Last Occurrence” and “Count” to reflect the new information and will discard

the incoming message and any other duplicates in the database it finds (within the specified time range).

Caveats

1. If your company has to comply to PCI standards, then de-duplication is not for you (you may, however, consider

splitting up messages to two separate servers, one for analyzing and reporting, and one for storing ALL messages for PCI records)

1. If you are getting a lot of messages per day (millions), de-duplication may actualy be too slow for you to use since it

has to do table lookups for each incoming message.

I would encourage you to at least test it though as it does provide some major advantages.

Advantages

Enabling the Squeeze feature allows you to save important DB storage space to allow for much faster analyzation and reporting.

For example, a recent analysis of a customer of mine had the following in just 5 days worth of logs:

• There were 675 Hosts with a total of 675109 messages.
• Of the 675109 messages, 99.84% were duplicates
• Their Top 10 reporting devices had more than 25,000 single messages repeated – the top device had almost 60,000.

This means that if they were de-duplicating events before they got stored into the Syslog server’s database,

then only 2846 rows would be used in that database instead of 675109 individual rows.

The benefits here should be obvious…searching across 3,000 rows is a lot faster then searching through 700,000…
Before implementing this feature, please be aware of the potential damage you can do (i.e. deleted rows).

I encourage you to read more about it here

DBGen

The dbgen.pl file located in the scripts/contrib/dbgen/ directory is used to generate random fake events for testing.

This file can be used to test whether or not LogZilla is working without having syslog-ng installed. It’s written in PERL and you may need to install a couple of modules in order for it to work properly.

Generate a few fake events to verify that the LogZilla part works:

sudo perl /var/www/logzilla/scripts/contrib/dbgen/dbgen.pl

I got an error on my system:

Can't locate Net/MySQL.pm in @INC (@INC contains: /etc/perl /usr/local/lib/perl/5.8.8 /usr/local/share/perl/5.8.8 /usr/lib
/perl5 /usr/share/perl5 /usr/lib/perl/5.8 /usr/share/perl/5.8 /usr/local/lib/site_perl .) at /var/www/logzilla/scripts/contrib/dbgen/dbgen.pl line 22.
BEGIN failed--compilation aborted at /var/www/logzilla/scripts/contrib/dbgen/dbgen.pl line 22.

Which means I don’t have the proper perl libraries installed, so I used cpan:

cpan -i Digest::SHA1 (required to install Net::MySQL)
cpan -i Net::MySQL

NOTE: If you get a make error, you probably have a new system and haven’t installed the Ubuntu build-essentials package.

sudo apt-get install build-essential

Now try dbgen.pl again:

sudo perl /var/www/logzilla/scripts/contrib/dbgen/dbgen.pl

And viola’

Debug off, showing only inserted data...
Host: server-5
Facility: authpriv
Priority: debug
Level: alert
Tag: Tag
YMDHMS: 2008-05-10 21:42:38
Program: DBGen
Message: DBGen: %FABRIC-5-FABRIC_MODULE_ACTIVE: Module 3 is online
Affected row: 1

Now check your url to see the entries:

http://<url>

Logreplay

I’ve included a new in script in version 2.9.9 that will allow you to “replay” a log file taken from another server. The script is located in:

• /var/www/logzilla/scripts/contrib/logreplay/logreplay.pl

To use the sample logs included simply un-gzip it:

gzip -d syslog.sample.gz

And run the logreplay script:

./logreplay.pl -h

Which will give you help on the script:

This program is used to replay a standard *Cisco* syslog dumpfile into the local syslog receiver (syslog-ng)
       usage: ./logreplay.pl [-hvfs]
       -h        : this (help) message
       -v        : verbose output
       -f        : Filename to import (required)
       -s        : path to the spoof program (required)
       example: ./logreplay.pl -v -f ./syslog.sample -s ./spoof

So, to run it, you would do:

./logreplay.pl -v -f ./syslog.sample -s ./spoof

The “spoof” program that I’ve included will rewrite the outgoing syslog packet and insert the hostnames

from the syslog.sample file so that when syslog-ng receives the messages they appear to come from that host instead of your local machine.

I did not include the source code for “spoof” in the distribution because it could be used maliciously by bad people to insert fake events into other systems.

If you want a copy of the source, please email me and explain why you’d like to have it and I’ll be happy to send it to you.

Installation Process

This section will guide you through a step-by-step installation process, the end of the section includes screencasts so that you can get an idea of how it should work if things go wrong :-)

NOTE: Before starting this process, be sure you’ve completed the items listed in the #Requirements section.

Web-based Install

Make sure everything on the pre-installation check screen is green, if not, fix it before continuing!

Screen 1: Click Next at the top right to begin install

Screen 2: Accept the license agreement and click next

Screen 3: Enter the mysql ROOT user’s password Leave everything else as default unless you really need to change something. (You may want to uncheck the “install sample data” box) Click Next to continue:

Click ok to accept the notice and continue…

Screen 4: Enter a site name, eg: “My Syslog Server” and click Next

Screen 5: Leave the default fields as is unless necessary. You may need to change the ‘Site URL to something like /logs/ Enter email address into email field Enter a password for the local admin acount or leave the random one there (but write it down so you can get into the site later!) When you’re done, click next

Screen 6: If you opted to install the CEMDB, then you will be presented with the following screen:

click Install CEMDB to continue…

special note for Internet Explorer users: 2 people have reported that this button (Install CEMDB) does not work for them. You will need to use Firefox in order to make it work, or manually import the sql data from the command line. Sorry, maybe someday MS will decide to make a standards-based browser, or someone will fix this incompatibility :-)

If you need to, installing the CEMDB data from the command line is very easy.

Once you’ve completed the steps above, if clicking on the Install CEMDB button doesn’t work:

mysql -usyslogadmin -psyslogadmin syslog < /var/www/logzilla/html/install/sql/cemdb.sql

Be sure to replace “syslogadmin” and “syslog” with your username, password and database name.
Assuming the button works as expected, you should now see a page that looks like the following: Click the “Start Import” link to begin inserting CEMDB data into the database.

Once it completes, click on “Continue” near the bottom.

Once you click continue, you should be at the main login screen:

Main Site: Login using admin and the password you selected on screen 5

If you installed the sample data there will be a couple of entries, if not, you’ll get an error message like this:

Not to worry, that error just means that log messages have yet to arrive in the database.

This concludes the Web based portion of the install, hooray!

Console Portion (part 2)

After the web-based install is completed, you will need to modify the paths set in some of the scripts in the scripts/ directory, so run the following script:

cd /var/www/logzilla/scripts
./fixpaths.sh

This script will automatically update all paths for files located in your logzilla directory.

Screencasts

This screencast walks through a normal installation of the Web-based portion of the install:

http://www.youtube.com/watch?v=Q99ovrHWzsE

Caveats

If you get an error running logrotate.php that looks like this:

Query failed: DROP,ALTER command denied to user 'syslogadmin'@'localhost'

Then try running this in mysql:

USE mysql;
update user set Drop_priv='Y',Alter_priv='Y' where User='syslogadmin';
FLUSH PRIVILEGES;

Please note, that because there are many changes in this release, I would highly recommend that you start with a fresh install. If you need to leave your old server running in parallel, please do that rather than trying to upgrade if you can.

Upgrade Procedures

If I *had* to, here’s the method I use to upgrade my servers:
1. Rename the current directory to .old

mv logzilla logzilla.old

2. Untar the new one

tar xzvf php-syslog-ng.<ver>.tgz

3. Get a backup of your whole syslog DB in case something goes wrong:

mysqldump syslog > syslog.sql

5. Get a text listing of all your current log tables

echo "show tables" | mysql syslog | grep "^logs" > list

6. Dump a sql file for each log table in the “list” file created in step 5

for table in `cat list`; do mysqldump syslog $table > $table.sql; done

7. Do a fresh install and tell it to drop the old database

8. Verify that new install works properly

9. Import old data

for t in `ls logs*.sql`; do mysql syslog < $t ; done

Verify everything works as expected. If something blows up, you can always just import your original syslog.sql file :-)

Special note:

Some versions are incompatible with old releases so this method may not work for you.

This is the case with v2.9.9 – I’ve made several changes to the table structures in this version so following the method outlined above will not work.

I would highly recommend you just install the new version and leave the old one running until you no longer require the data in it.

Appendix/FAQ

If you ever need to reset the admin password, you can do it from a mysql shell:

update users set pwhash=md5('MYNEWPASSWORD') where username='admin';

nnadalca Documenti Tecnici, Tips Linux e Microsoft, Tutorial DPS, logzilla

pfSense è una distribuzione firewall basata su FreeBSD (pfSense deriva da m0n0wall, che è basato su FreeBSD).

Rispetto a IpCop, che consentiva anche a persone senza nozioni di configurazioni di rete di creare un firewall, pfSense richiede un minimo di conoscenza sull’argomento configurazione reti.

Caratteristiche tecniche di pfSense

Come si può evincere dal nome, pfSense usa l’ottima implementazione firewall pf (importata da OpenBSD[3]). Tra le sue principali caratteristiche, ha la possibilità di agire da captive portal, ossia da un sistema di monitoraggio degli accessi Wi-Fi in luoghi pubblici o come server DHCP, DNS e PPPoE, di effettuare limitazione di banda e di essere di supporto a numerosi tipi di VPN, come PPTP, IPSEC e per ultima, ma non meno importante, a OpenVPN. Tra le caratteristiche più importanti che si possono evidenziare, ci sono il supporto a CARP e pfSync, che consentono di creare cluster di firewall e inoltre che pfSense supporta più di una connessione ad internet, con la possibilità quindi di bilanciare il carico.

Tutto questo però ha un prezzo: pfSense infatti necessita di almeno 128 MB di RAM per rendere al meglio le proprie potenzialità.

Cosa faremo

In seguito vedremo come configurare il nostro firewall per fare NAT verso internet dei client LAN e per rendere pubblici dei servizi disponibili in alcuni server posizionati in DMZ.

Per realizzare il firewall sarà quindi necessario un elaboratore con tre interfacce di rete: una per il lato WAN, una per la LAN e una per la DMZ.

La nostra rete

Immaginiamo che la nostra rete sia così composta:



Sottoreti:

• router-firewall: 195.135.12.0/30 (IP disponibili: 195.135.12.1 e 195.135.12.2. Ipotizziamo il primo per il router e il secondo per l’interfaccia internet del nostro firewall)
• DMZ: 138.122.45.8/29 (IP disponibili: 138.122.45.9 e 138.122.45.14. Ipotizziamo che l’ultimo IP sia disponibile per l’interfaccia DMZ del firewall)
• LAN: classe privata 192.168.1.0/24 (IP disponibili: 192.168.1.1 e 192.168.1.254, ipotizziamo il primo IP disponibile sia per l’interfaccia LAN del firewall)

Installazione

Prima di procedere con l’installazione, assicuriamoci che il disco che vogliamo utilizzare non contenga dati importanti, poiché in seguito dovrà essere formattato.

Sul sito di pfSense cerchiamo l’immagine ISO del CD. Dopo averla trovata e masterizzata saremo pronti per iniziare l’installazione.

Avvio del CD

Assicuriamoci innanzitutto di aver abilitato il boot con avvio da CD. A questo punto inseriamo nel computer il CD che fungerà da firewall. Comparirà una schermata simile alla seguente:

Possiamo attendere il timeout del timer o premere il tasto “1″. Dopo il caricamento del kernel FreeBSD verrà fatta partire un’istanza di pfSense da CD.

Sta per iniziare la prima configurazione del nostro firewall.

Viene mostrato un elenco delle schede di rete disponibili, e ci viene chiesto se si vuole eseguire la configurazione delle VLAN adesso (“Do you want to setup VLAN now?”). Questo perché è possibile fare in modo che un interfaccia del nostro firewall sia disponile su più VLAN, ovviamente previa opportuna configurazione di switch con supporto VLAN. Se si dovesse decidere di non utilizzare VLAN digitare n, a seguire INVIO (opzione valida nella maggior parte dei casi).

Essendo pfSense basata su FreeBSD, la nomenclatura delle interfacce di rete è un po’ diversa rispetto ai sistemi GNU/Linux. Mentre su Linux le interfacce di rete vengono nominate come eth0, eth1, ethX qualsiasi sia il tipo di scheda, sui sistemi *BSD il nome di un’interfaccia di rete dipende dal driver utilizzato.

Ad esempio: nella schermata catturata durante l’installazione si notano le interfacce di rete ed0, ed1, ed2 che utilizzano il driver “ed”, per schede di rete NE2000, SMC Ultra, 3c503, DS8390 .

È possibile trovare tutte le interfacce supportate (ed i loro nomi) nel FreeBSD Handbook[3] all’indirizzo web http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/index.html.

A questo punto ci verrà chiesto quale tra le interfacce di rete precedentemente visualizzate dovrà essere usata per collegare la rete LAN. Digitare quindi il nome dell’interfaccia (in questo caso “ed0″) e a seguire INVIO.

Successivamente verrà chiesto quale dovrà essere l’interfaccia per il collegamento a internet (collegamento al router/modem ethernet) (WAN), nel nostro esempio “ed1″. Digitiamo il nome dell’interfaccia e a seguire INVIO.

Nella prossima schermata la richiesta sarà se si desidera configurare delle ulteriori interfacce di rete. Si vuole configurare anche l’interfaccia per la DMZ? Inseriamo quindi il nome dell’interfaccia (ed2) e a seguire, INVIO. Se non si dispone di ulteriori interfacce di rete è sufficiente premere INVIO alla successiva domanda “Enter the optional interface name…”.

A questo punto verrà presentato un riassunto delle associazioni delle schede di rete. Se il tutto soddisfa le vostre esigenze è necessario digitare “y”, seguito da INVIO.

Verrà completata l’inizializzazione del sistema. Se il vostro router non utilizza le indicazioni da server DHCP, la configurazione dell’interfaccia WAN potrebbe richiedere un po’ di tempo, questo perché lo stesso cercherà le informazioni necessarie di un indirizzo IP dinamico.

Nota bene: se disponete di una serie di IP statici (come si presuppone in questo articolo) dovrete configurare il vostro router perché conduca le richieste per la sottorete della DMZ verso il firewall.

Installazione su hard disk

Al termine dell’inizializzazione del sistema verrà prospettato un menù. Per installare il sistema su hard disk digitare “99″.

Verrà avviata la procedura di installazione. ATTENZIONE: con il percorso qui descritto, l’intero contenuto del disco verrà formattato e quindi tutti i dati cancellati.

Comparirà una schermata simile a questa.

Posizioniamoci con l’utilizzo del tasto tab su <Accept these Settings>, a seguire INVIO. Sulla successiva schermata selezioniamo <Install pfSense> e premiamo il tasto INVIO.

Ci verrà ora chiesto su quale hard disk installare pfSense. Selezioniamo il disco sul quale vogliamo installare il sistema e a seguire digitiamo INVIO.

La schermata che apparirà sarà la seguente.

Se il disco non è mai stato utilizzato per un firewall pfSense, scegliamo <Format this Disk>, e a seguire digitiamo INVIO.

Verrà presentata la geometria del disco rilevata.

Se è corretta posizioniamoci su <Use this Geometry> e a seguire premiamo INVIO.

Ci verrà ora chiesta l’ultima conferma per la formattazione del disco. Selezioniamo <Format …> e digitiamo il tasto INVIO.

Il sistema ci chiederà se vogliamo partizionare il disco. Se desideriamo che tutto il disco del nostro firewall sia dedicato a pfSense, scegliamo <Skip this Step>, a seguire INVIO.

Ci verrà chiesto di installare il blocco di boot:

selezioniamo <Accept and Install Bootblocks> e a seguire premiamo INVIO.

La schermata successiva riguarderà la creazione di alcune sottopartizioni (root e swap):

Possiamo accettare le scelte di default selezionando <Accept and Create> (a seguire di nuovo INVIO).

Ora tutti i file verranno copiati. Al termine del processo di copia possiamo effettuare il reboot del computer. Al riavvio assicuriamoci che il CD non sia più nel lettore.

Primo avvio

Dopo aver effettuato l’avvio senza CD-ROM verrà avviata un’istanza di pfSense dal disco fisso. Quando vedremo comparire il menù di configurazione testuale significherà che il sistema è stato avviato.

Come possiamo vedere all’interfaccia LAN è stato assegnato di default l’indirizzo 192.168.1.1

Configurazione del firewall

pfSense mette a disposizione un’ottima interfaccia web per la sua configurazione. È possibile raggiungere l’interfaccia di configurazione andando a visionare il sito web all’indirizzo http://192.168.1.1 e inserendo come nome utente admin e come password pfsense.

Dai vari menù sarà ora possibile configurare tutte le impostazioni del vostro nuovo firewall.

Iniziamo subito, cambiando le impostazioni di base del firewall. Posizioniamoci sul menù alla voce “System -> General Setup”.

Cambiamo ora l’hostname del firewall, il dominio e il server DNS da utilizzare. Possiamo anche decidere di mettere in ascolto l’interfaccia di amministrazione web solo su https, in modo che lo scambio di informazioni avvenga in modo cifrato.

Sarebbe meglio anche cambiare la password per l’accesso all’interfaccia di amministrazione, scegliendone una più sicura di quella di default.

A questo punto clicchiamo quindi su save per salvare le informazioni inserite.

Procediamo ora ad assegnare gli indirizzi IP alle schede della WAN e della DMZ. Cominciamo con la WAN, quindi posizioniamoci sul menù fino a raggiungere la voce “Interfaces->WAN”.

Come “Type” selezionare “Static”. Inseriamo ora l’indirizzo IP, bit della maschera di rete e gateway di default (in questo esempio: 195.135.12.2, 30, 195.135.12.1).

Clicchiamo quindi su save per salvare le impostazioni.

Procediamo quindi a configurare l’interfaccia DMZ, andando su “Interfaces->OPT1″.

Selezioniamo “Enable Optional 1 interface” per abilitare l’interfaccia e gli assegnamogli un nome più user-friendly, ad esempio DMZ. Possiamo ora inserire l’indirizzo IP e maschera di rete, in questo esempio 138.122.45.14 e 29 (255.255.255.248).

Prima di impostare le opportune regole di firewalling configuriamo qualche servizio per la rete LAN.

Possiamo impostare il nostro firewall perché funga da piccolo server DNS/DNS forwarder, semplicemente andando su “Services->DNS”. Sarà anche possibile configurare il servizio DHCP per la LAN andando su “Services->DHCP Server”.

Possiamo procedere ora a configurare le nostre regole di filtraggio di base. Andiamo su “Firewall->Rules” (il NAT per la LAN e’ abilitato di default).

NOTA: Una sicurezza in più per gli host presenti in DMZ può consistere nell’abilitare in uscita dalla DMZ stessa solo i servizi necessari, ad esempio porta 25 verso qualsiasi host e porta 80 solo verso server per gli aggiornamenti dei pacchetti; tutto dovrà risultare bloccato. Questo per evitare che un attaccante possa sfruttare una vulnerabilità dei nostri server per scaricare qualcosa da internet ed eseguirlo.

Procediamo quindi ricordandoci la nota precedente. Clicchiamo sulla tab DMZ per gestire i pacchetti in ingresso da quell’interfaccia, ed aggiungiamo quindi la regola che consenta al nostro server di posta (138.122.45.10) di connettersi alla porta 25 di qualsiasi host. Successivamente consentiamo ai nostri server di connettersi via http all’host 62.90.12.193 (ipotizziamo che sia l’host per gli aggiornamenti dei pacchetti dei nostri server).

Per applicare le modifiche dalla pagina che elenca tutte le regole clicchiamo su “Apply changes”.

Decidiamo ora quali servizi debbano essere disponibili nella nostra DMZ: portiamoci nella tab WAN per gestire i servizi accessibili dalla WAN (utilizzare la tab LAN per gestire i servizi visibili dalla LAN)

Consentiamo l’accesso alla porta SMTP del nostro server di posta, dopodiché configuriamo tutti i servizi sull’esempio di questo.

Ricordiamoci sempre di applicare le modifiche al termine della configurazione.

Ecco fatto, il nostro firewall e’ pronto e servito.

nnadalca Documenti Tecnici, Tips Linux e Microsoft, Tutorial PfSense

All’interno di Windows 2000 e Windows XP c’è un utilità molto comoda, si tratta di netsh.exe.
Con netsh.exe potete fare molte cose una di queste è appunto configurare le interfacce di rete.
Se prova a lanciare netsh.exe vedrete apparire un prompt particolare netsh>.
Il funzionamento è simile alla configurazione di un router, cioè ci sono vari “Contesti” e “Sottocontesti” a cui potete accedere come per esempio “Routing” o “Interface” e così via, a cui poi corrispondono varie funzionalità.

Utilizzeremo netsh.exe con uno script di configurazione. Chiaramente per ogni rete o ufficio che visitate avrete un diverso file di script. Per lanciare netsh usando uno script dovete usare questa sintassi:

netsh exec script.txt

ed ora vediamo due esempi di script:

Assegnamento automatico dei parametri alla scheda di rete tramite DHCP

interface
ip
set address name=”Connessione alla rete locale (LAN)” source=dhcp
set dns name=”Connessione alla rete locale (LAN)” source=dhcp
quit

Questo è il codice che dovete inserire nel vostro file script.txt. Come vedete viene assegnato il source=dhcp sia al gruppo address (IP,Netmask,Gateway) sia al gruppo dns (DNS primario e secondario). Naturalmente “Connessione alla rete locale (LAN)” dev’essere sostituito con il nome della vostra connessione.

Assegnamento manuale dei parametri alla scheda di rete

interface
ip
set address name=”Connessione alla rete locale (LAN)” source=static addr=192.168.1.2 gateway=192.168.1.1 mask=255.255.255.0 gwmetric=0
set dns name=”Connessione alla rete locale (LAN)” source=static addr=212.31.224.5 register=primary
add dns name=”Connessione alla rete locale (LAN)” addr=81.88.224.130
quit

Anche in questo caso è molto semplice, come vedete c’è il nome della connessione e i vari parametri che naturalmente dovete modificare in base alle vostre esigenze.
C’è anche l’impostazione del DNS primario e l’aggiunta di un DNS secondario.

nnadalca Documenti Tecnici, Tips Linux e Microsoft, Tutorial netsh

Una VPN (acronimo di Virtual Private Network) può essere considerata come un’estensione di una rete privata che si occupa di instaurare dei “collegamenti” tra due o più sistemi che debbono scambiarsi dati in modo sicuro, utilizzando una rete condivisa o comunque pubblica qual è Internet.
Una rete VPN permette di scambiare dati in modo simile a quanto accade in una connessione privata punto-punto. L’approccio utilizzato dà modo di rendere il computer remoto parte di una rete privata interna alla struttura aziendale creando un “tunnel” virtuale attraverso la rete Internet.
Per simulare un collegamento punto-punto, i dati vengono incapsulati con l’aggiunta di un’intestazione che fornisce le informazioni di routing e cifrati in modo da renderne possibile la lettura da parte di eventuali aggressori, sprovvisti delle necessarie chiavi crittografiche.

Tutti i sistemi Windows integrano il supporto per le reti VPN: lo stesso Windows XP può operare sia in modalità client che fungere da server VPN. Purtroppo, però, configurato in questa seconda modalità, Windows XP non accetta più di una connessione in ingresso.

OpenVPN è una valida soluzione opensource, disponibile per svariati sistemi operativi, che consente di implementare una VPN a costo zero senza quindi doversi necessariamente rivolgere a Windows Server. Precisiamo subito che la configurazione di OpenVPN non è per nulla intuitiva ed è da considerarsi esclusivamente appannaggio degli utenti più esperti che dispongano già di un buon bagaglio di conoscenze informatiche.

Configurazione lato server

La procedura di installazione della versione di OpenVPN per Windows si occupa di caricare sul sistema tre componenti: il software opensource OpenVPN vero e proprio, un’interfaccia grafica sviluppata appositamente per il sistema operativo Microsoft (OpenVPN GUI) e My Certificate Wizard, strumento che consente di gestire i certificati. Per installare quest’ultimo componente è indispensabile spuntare la casella My Certificate Wizard.

Innanzi tutto, per tradurre in italiano l’interfaccia di OpenVPN, è necessario fare clic con il tasto destro del mouse sull’icona del programma visualizzata nell’area della traybar, generalmente in basso a destra quindi selezionare Exit.
A questo punto, è necessario accedere alla cartella c:\programmi\openvpn\bin e cancellare il file openvpn-gui.exe. Dopo aver scaricato questo file, si dovrà memorizzarlo sempre nella cartella c:\programmi\openvpn\bin rinominandolo in openvpn-gui.exe.

Per riavviare OpenVPN basterà fare nuovamente doppio clic sul file eseguibile openvpn-gui.exe oppure cliccare su Start, Tutti i programmi, OpenVPN, OpenVPN GUI.

I passi da compiere sono i seguenti:

- fare doppio clic su init-config.bat. Tale file provvederà a creare due file (openssl.cnf e vars.bat) a partire dagli analoghi file con estensione .sample, memorizzati nella stessa directory.
- aprire il file vars.bat (non vi si faccia doppio clic) con un qualunque editor di testo. E’ possibile utilizzare, ad esempio, un programma come TextPad.
- in calce al file vars.bat, sono riportate alcune variabili precedute dal comando SET. Tale comando, ben noto a coloro che anni fa utilizzavano il DOS, consente di visualizzare, impostare o rimuovere le cosiddette “variabili di ambiente”, utilizzate dal sistema per attingere a delle informazioni di validità generale. Le variabili KEY_COUNTRY, KEY_PROVINCE, KEY_CITY, KEY_ORG e KEY_EMAIL verranno impiegate da OpenVPN per generare un certificato digitale. E’ necessario impostare correttamente ciascuna delle cinque variabili facendo attenzione a non lasciarne alcuna bianca. Ecco un esempio:

set KEY_COUNTRY=IT
set KEY_PROVINCE=IT
set KEY_CITY=Milano
set KEY_ORG=MiaAzienda
set KEY_EMAIL=miaemail@miaazienda.it

A questo punto, è possibile fare doppio clic sul file batch vars.bat per configurare tutte le variabili d’ambiente necessarie quindi avviare il file clean-all.bat.
Queste due operazioni servono per inizializzare l’ambiente di lavoro utilizzato da OpenVPN.

Il passo successivo consiste nell’aprire il prompt dei comandi (ad esempio digitando cmd in Start, Esegui…) quindi portarsi all’interno della cartella easy-rsa (cd\programmi\openvpn\easy-rsa). Qui, basterà digitare build-ca e premere Invio per avviare la procedura di creazione di una coppia di chiavi crittografiche, l’una pubblica (mostrata nel certificato in corso di creazione), l’altra privata da mantenere sempre segreta.
Per procedere, è sufficiente premere Invio più volte in modo tale da confermare tutte le impostazioni di default (country name, state or province, locality name, organization name, organizational unit name, email address). Non appena comparirà la voce Common name, è invece bene indicare un nome facile da ricordare che servirà per la configurazione dei client VPN, ad esempio cert-openvpn.

A conclusione di questa fase, è possibile notare come il file batch abbia creato una sottocartella denominata keys.

Digitando build-key-server server al prompt dei comandi, verrà avviata una procedura analoga a quella appena vista con la differenza che, in questo caso, saranno prodotte chiave pubblica e privata per il server VPN. Alla comparsa della stringa Common name si dovrà aver cura di introdurre esattamente lo stesso nome specificato in precedenza (nel nostro caso, cert-openvpn).
Più avanti, l’indicazione Sign the certificate richiederà se il certificato digitale debba essere firmato impiegando le informazioni “master” prodotte in precedenza. Per rispondere affermativamente, è sufficiente digitare il tasto “y” e premere Invio. Successivamente si dovrà rispondere ancora “y”.

All’interno della sottocartella keys saranno così aggiunte anche le informazioni relative alle chiavi utilizzate dal server VPN.

Per la generazione delle chiavi da impiegare sui client, è necessario usare il comando build-key client1 ove client1 è il nome del sistema client. Tale appellativo può essere scelto liberamente senza però utilizzare spazi o caratteri speciali. In corrispondenza della stringa Common name introduciamo, questa volta, la stringa client1 richiedendo successivamente, al solito, la l’apposizione della firma.

Come ultimo passo, è necessario digitare build-dh e premere il tasto Invio. “DH” è l’acronimo di Diffie-Hellman, un protocollo crittografico che permette a due “interlocutori” di accordarsi sull’utilizzo di una chiave condivisa e segreta utilizzando un canale di comunicazione pubblico e quindi da considerarsi potenzialmente insicuro (rete Internet).

Per fidare su un livello di protezione aggiuntivo, è possibile generare una chiave OpenVPN statica cliccando su Start, Tutti i programmi…, OpenVPN, Generate a static OpenVPN key. Questa procedura produrrà una chiave a 2048 bit che verrà conservata nel file key.txt (cartella \Programmi\OpenVPN\config).

Da ultimo, si dovranno copiare i file ca.crt, dh1024.pem, server.crt e server.key dalla sottocartella \easy-rsa\keys nella sottocartella \config di OpenVPN. Così facendo si indicheranno al programma il certificato master, il certificato server e la chiave privata del server da utilizzare.

Dalla sottocartella \sample-config è necessario copiare il file server.ovpn posizionandolo, anch’esso, all’interno della sottodirectory \config.

Ora è possibile avviare l’interfaccia grafica di OpenVPN (Start, Tutti i programmi…, OpenVPN, OpenVPN GUI) in modo da concludere l’ultima parte della configurazione del programma. Cliccando con il tasto destro del mouse sull’icona di OpenVPN mostrata nella traybar quindi selezionando la voce Modifica configurazione, verrà mostrato il contenuto del file server.ovpn.

Per prima cosa è bene optare per dev tap togliendo il punto e virgola posto per default dinanzi all’impostazione. Il punto e virgola (che viene impiegato per trasformare qualsiasi riga in un commento rendendola di fatto inefficace) va invece posto innanzi al parametro dev tun.
In corrispondenza di dev-node è poi necessario specificare il nome dell’interfaccia di rete per la connessione VPN: si digiti OpenVPN. Anche in questo caso deve essere rimosso il punto e virgola posta all’inizio dell’indicazione dev-node.
Davanti alla direttiva server è bene porre un punto e virgola in modo tale da renderla un commento.
Va invece abilitato il parametro server-bridge togliendo il punto e virgola quindi specificando, al posto degli indirizzi IP specificati, rispettivamente, l’indirizzo del server VPN, la relativa netmask, l’indirizzo IP assegnato al primo client ed, infine, l’IP che verrà attribuito al client attraverso il protocollo DHCP.

Da ultimo, è bene togliere il commento dalla voce client-to-client: essa permette ai client di riconoscersi tra di essi e di avere la possibilità di accedere alle risorse condivise dai vari sistemi.
E’ consigliabile anche decommentare la direttiva tls-auth in modo tale da sfruttare la chiave statica di OpenVPN generata precedentemente così da aumentare il livello di sicurezza della rete. La riga deve essere modificata in tls-auth key.txt 0.
L’impostazione max-clients consente invece di definire il numero massimo di sistemi client che possono connettersi al server VPN.
Alla fine dell’intervento, si dovrà salvare il file di testo server.ovpn.

In ultima istanza, è necessario creare un “bridge” tra la connessione di rete locale e l’interfaccia di rete virtuale aggiunta in Windows da parte di OpenVPN.
E’ bene accertarsi di quale sia la connessione aggiunta all’atto dell’installazione di OpenVPN (spesso è indicata come Connessione alla rete locale (LAN) 2 o con dizioni simili): per averne la certezza, è possibile fare clic con il tasto destro del mouse sulle varie connessioni di rete in lista, selezionare Proprietà, quindi verificare che il nome del dispositivo correlato sia TAP-Win32 Adapter V8. Una volta individuata la connessione associata ad OpenVPN, è necessario rinominarla in OpenVPN.

Dopo aver selezionato entrambe le connessioni dalla finestra Connessioni di rete di Windows, facendo clic con il tasto destro del mouse si dovrà scegliere Connessioni con bridging. Dopo la comparsa del messaggio Realizzazione del ponte sulle connessioni in corso, si troverà in elenco una nuova voce, battezzata Bridge di rete che dovrà essere rinominata in OpenVPN Bridge.
Nelle proprietà TCP/IP di OpenVPN Bridge, è bene indicare le stesse impostazioni definite nella finestra delle proprietà TCP/IP relativa alla connessione di rete “fisica”.

Facendo clic con il tasto destro del mouse sull’icona di OpenVPN nella traybar quindi cliccando su Connetti, il programma – dopo una manciata di secondi di attesa – dovrebbe mostrare il messaggio Server è ora connesso.

Configurazione lato client

Conclusa la configurazione del server, si può passare all’impostazione dei sistemi client che dovranno successivamente connettersi alla rete VPN.
Come primo passo, si dovrà installare OpenVPN sul client utilizzando il medesimo file impiegato per il server.

Poi, è necessario copiare i file client1.crt, client1.key e ca.crt dalla cartella \OpenVPN\easy-rsa\keys del server nella cartella \OpenVPN\config del client. Sempre nella directory \OpenVPN\config del client dovrà essere posizionato il file key.txt proveniente dalla cartella \OpenVPN\config del sistema server.
Infine, si dovrà copiare il file client.ovpn dalla cartella \OpenVPN\sample-config del client in \OpenVPN\config, sempre sul client.
Il file di configurazione \OpenVPN\config\client.ovpn deve essere aperto con un editor di testo e modificato attivando – come nel server – solo la direttiva dev tap; abilitando dev-node inserendo OpenVPN quale denominazione dell’interfaccia di rete.

In corrispondenza della voce remote, va indicato l’IP del server VPN. Se al server è associato un IP statico, nella direttiva remote deve essere specificato tale indirizzo. Nel caso in cui il provider Internet assegni al server un indirizzo IP in modo dinamico, si potrà ricorrere a servizi quali DynDNS.

Più sotto, in luogo delle impostazioni di default, vanno specificate le seguenti direttive:

ca ca.crt
cert client1.crt
key client1.key

Ancora più sotto, va abilitata la voce ne-cert-type server e tls-auth. In corrispondenza di quest’ultima l’indicazione del file ta.key va sostituita con key.txt.

Finalmente, dopo aver effettuato il “bridging” tra la scheda di rete “fisica” e l’interfaccia di rete virtuale aggiunta sul client da OpenVPN (quest’ultima dovrà essere rinominata in OpenVPN, così come già fatto in precedenza lato server), sarà possibile instaurare una connessione sicura con il sistema server remoto.

Per gli altri client dovranno essere copiati i file client2.crt, client2.key, ca.crt dal server, creati con il comando build-key client2, build-key client3 e così via.

Dopo aver cliccato con il tasto destro del mouse sull’icona di OpenVPN quindi su Connetti, il client tenterà la connessione al server VPN remoto, specificato in precedenza mediante l’uso della direttiva remote.

A questo punto, dovrebbe essere possibile accedere alle risorse condivise del server e degli altri computer così come se il sistema client remoto facesse parte della medesima rete locale. Cliccando, quindi, sull’icona Risorse di rete si dovrebbe ottenere l’elenco delle risorse condivise ed accessibili.

Nel caso in cui il sistema server fosse collegato alla rete Internet mediante un router, sarà necessario effettuare il forwarding dei dati in transito sulla porta UDP 1194 verso l’IP locale associato alla macchina che fungerà da server VPN.
Va altresì sottolineato che nella modalità “bridged” (dev tap) sia il server che il client devono appartenere alla stessa sottorete (ad esempio, 192.168.0.0). Nel caso in cui fossero attestati su reti con IP differenti, dovrà essere necessariamente attivata la modalità “routed” di OpenVPN (dev tun).

nnadalca Tutorial OpenVPN

Sysprep – Presentazione di SysPrep e preparazione del sistema con SysPrep

In ambito aziendale molto spesso i sistemi hanno una configurazione simile: sulle varie workstation sono installati software similiari, vengono impiegate le medesime impostazioni di rete, gli stessi programmi per la sicurezza e così via.
Per l’amministratore non è pensabile dover reinstallare da zero il sistema operativo su ciascuna nuova macchina che venga aggiunta alla rete LAN o che sostituisca un’altra workstation. In questo modo si sarebbe infatti costretti a riconfigurare il sistema ed applicare tutte le impostazioni utilizzate all’interno della realtà aziendale.

SysPrep, acronimo di System Preparation è un’utility Microsoft che offre la possibilità di rendere possibile una clonazione “indolore” della configurazione di un sistema già in uso e perfettamente configurato secondo le proprie esigenze.
Utilizzando Microsoft SysPrep ed un software di disk imaging, avviando il nuovo personal computer Windows effettuerà alcune regolazioni di base mantenendo comunque inalterate tutte le altre impostazioni, i programmi presenti, le preferenze dell’utente.

La procedura che porta, di fatto, alla clonazione del contenuto di un personal computer su di una nuova macchina può essere riassunta in quattro passaggi:
1) preparazione del sistema da clonare con SysPrep
2) creazione di un file d’immagine del sistema o clonazione del contenuto del disco fisso
3) ripristino del contenuto del file d’immagine sul disco fisso della nuova macchina
4) avvio del nuovo personal computer e configurazione delle impostazioni base del sistema

Il primo passo da compiere consiste ovviamente nell’accertarsi che il sistema di partenza, a partire dal quale saranno generati altri personal computer “cloni”, sia correttamente configurato. Più accuratamente sarà assolta questa prima fase e meno operazioni si dovranno compiere una volta copiata la stessa configurazione sugli altri personal computer.
E’ quindi bene installare tutti i programmi necessari abitualmente, configurare la connessione di rete, installare stampanti di rete, installare gli aggiornamenti di Windows disponibili ed i software di protezione come antivirus e firewall. Particolare cura va riposta nella configurazione delle preferenze del sistema operativo, del browser e delle altre applicazioni installate.

La preparazione del sistema con SysPrep è il passo cruciale. Applicando i suggerimenti illustrati di seguito sarà possibile replicare la configurazione di Windows anche su sistemi hardware differenti. Diversamente, saltando qualche passaggio oppure non effettuandolo così come indicato, l’immagine SysPrep risulterà utilizzabile solo su personal computer dotati degli stessi componenti hardware del sistema di origine.

Sul sistema di partenza ossia quello avente la configurazione da replicare sugli altri personal computer, è necessario accedere alla finestra Gestione periferiche (Pannello di controllo, Sistema, Hardware, Gestione periferiche) ed espandere il contenuto della sezione Controller IDE ATA/ATAPI. A questo punto, bisogna assicurarsi che tutti i controller dei dischi fissi siano indicati come “standard”. Qualora si avesse in elenco un controller non-standard (ad esempio Controller IDE Intel … Bus Master, Via Bus Master IDE Controller e così via), è bene farvi doppio clic, selezionare la scheda Driver quindi cliccare sul pulsante Aggiorna driver.

Alla comparsa della finestra Aggiornamento guidato hardware, è necessario attivare l’opzione No, non ora per evitare che Windows effettui una ricerca in Rete del driver aggiornato e premere Avanti.
Nella finestra seguente, va selezionata la voce Installa da un elenco o percorso specifico (per utenti esperti) quindi optare per Non effettuare la ricerca. La scelta del driver da installare verrà effettuata manualmente.
A questo punto, dalla finestra recante il titolo Selezionare il driver di periferica da installare per l’hardware, si scelga il controller contenente l’indicazione “standard”. Ecco un esempio in figura:

Cliccando su Avanti, Windows sostituirà il driver correntemente in uso con quello selezionato manualmente. Dopo aver premuto Fine e cliccato su Chiudi, il sistema operativo richiederà il riavvio: si risponda in modo affermativo cliccando su Sì.
L’operazione va ripetuta per tutti i controller non-standard.

Conclusa questa seconda fase, è possibile passare alla preparazione del sistema con SysPrep.
Si abbia a portata di mano il CD di installazione di Windows XP. E’ bene accertarsi che tale CD ROM sia aggiornato allo stesso Service Pack installato sul sistema in uso. Diversamente, si provveda ad effettuare un’operazione di “slipstreaming” ossia l’integrazione del Service Pack nel CD d’installazione del sistema operativo (ved., in proposito, questo articolo).
Se sul sistema è installato Windows XP aggiornato al Service Pack 3, il CD d’installazione di Windows XP deve essere necessariamente aggiornato anch’esso al Service Pack 3.

Dalla finestra Risorse del computer di Windows XP, si faccia clic sul menù Strumenti, Opzioni cartella… quindi sulla scheda Visualizzazione. Nell’area Impostazioni avanzate, è necessario controllare che l’opzione Visualizza cartelle e file nascosti sia attivata.

Nella cartella \Support\Tools del CD ROM d’installazione di Windows XP, si troverà un file denominato deploy.cab. Si estragga il suo contenuto nella cartella c:\sysprep, sul disco fisso.
Dopo aver aperto la cartella c:\sysprep, è necessario fare doppio clic sul file setupmgr.exe, cliccare sul pulsante Avanti, selezionare Crea un file di risposta, optare per Installazione SysPrep, Windows XP Professional, No, non rendere l’installazione totalmente automatica. A questo punto, vanno introdotte le impostazioni di default da assegnare a tutti i nuovi computer. E’ possibile non compilare alcune finestre: si tenga però presente che, in questo caso, una volta clonato ed avviato il sistema operativo, le informazioni non introdotte in questa fase saranno poi richieste.

Si consiglia di regolare subito anche le impostazioni internazionali, scegliendo Specifica le impostazioni internazionali nel file di risposta.

Nella sezione Stringa duplicazione OEM è bene ricordarsi di inserire un riferimento all’interno della casella Information SysPrep, ad esempio “Sistema base NOMEAZIENDA XP SP3 con ELENCO APPLICAZIONI…“.

Cliccando sul pulsante Fine, SysPrep indicherà la cartella ove sarà salvato il file .inf contenente le preferenze impostate: è sufficiente confermare la scelta premendo OK. Dopo qualche secondo di attesa si potrà chiudere SysPrep dal menù File, Esci.

Il passo seguente consiste nel fare doppio clic sul file sysprep.exe, anch’esso presente nella cartella c:\sysprep; apparirà la finestra seguente:

Dopo aver cliccato sul pulsante OK, si dovrà spuntare la casella MiniSetup e premere Fabbrica.

A questo punto si dovrà attendere pazientemente che SysPrep termini la preparazione del sistema in uso. Al termine di tutte le operazioni necessario, il personal computer verrà automaticamente spento.

A questo punto, è possibile creare l’immagine del disco fisso od effettuarne la clonazione del contenuto su un altro hard disk collegato al personal computer (da installare poi su una macchina differente).
Per la creazione del file d’immagine o la clonazione, è possibile ricorrere a software come Norton Ghost od Acronis TrueImage (ci si assicuri di avere a disposizione un CD di boot dal quale avviare il sistema).

Dopo aver ripristino il contenuto del file d’immagine generato sul sistema di partenza oppure dopo avere clonato il contenuto del disco fisso di origine sul nuovo personal computer, è possibile avviarlo normalmente: Windows provvederà a rilevare ed a configurare il nuovo hardware.

Una volta al desktop di Windows verrà nuovamente mostrata la finestra di SysPrep: cliccate su MiniSetup quindi sul pulsante Sigilla.

Cliccando OK alla comparsa del successivo messaggio (Si è scelto di rigenerare gli ID di protezione (SID) al prossimo avvio…), il personal computer – dopo qualche istante – verrà nuovamente spento.

Si riavvii il sistema quindi si attenda qualche minuto: Windows richiederà l’inserimento di tutti quei dati che non sono stati specificati al momento della preparazione del sistema di origine con SysPrep.

Come ultimo passo, è necessario accedere di nuovo alla finestra Gestione periferiche ed eliminare gli “standard” controller per le unità disco inseriti in precedenza: in questo modo, al successivo reboot di Windows, il sistema operativo caricherà il driver corretto e quindi più performante rispetto a quello “standard”.

Al termine della procedura, dopo uno o due riavvii aggiuntivi, si disporrà di un sistema pronto all’uso, perfettamente funzionante e già completamente configurato secondo le proprie esigenze.

nnadalca Tutorial sysprep

Talvolta può risultare impossibile avviare un pc che usa Windows XP a causa d un messaggio di errore del genere: ”impossibile avviare windows poichè manca o è rovinato il file \WINDOWS\SYSTEM32\CONFIG\SYSTEM” (o SOFTWARE).’System” e ”Sofware” fanno parte dei registri di sistema e il loro danneggiamento impedisce il funzionamento di Windows XP.

In questo caso il primo tentativo da fare è cercare (premendo F8 in fase di boot) di riavviare l’ultima configurazione funzionante.

Qualora nemmeno questo tentativo vada a buon fine si può ricorrere alla Console di ripristino di Windows XP (info alla pagina http://support.microsoft.com/?kbid=314058) e procedere come segue

PARTE 1
Dal bios impostare il lettore cd-rom come prima unità della sequenza di boot, quindi avviare il pc con il cd di installazione di xp inserito e procedere all’avvio da del sistema da cd.
Nella videata delle scelte selezionare R per avviare la CONSOLE DI RIPRISTINO (qualcosa per certi versi simile al dos, anche se con funzioni limitate).

Per prima cosa av creata una cartella che verrà chiamata TMP con il seguente comando:

MD TMP

Ora in questa cartella vanno copiati 5 files con i seguenti comandi:

copy c:\windows\system32\config\system c:\windows\tmp\system.bak
copy c:\windows\system32\config\software c:\windows\tmp\software.bak
copy c:\windows\system32\config\sam c:\windows\tmp\sam.bak
copy c:\windows\system32\config\security c:\windows\tmp\security.bak
copy c:\windows\system32\config\default c:\windows\tmp\default.bak

Una volta copiati si procede alla loro cancellazione nella cartella in cui risiedono con i seguenti comandi:

delete c:\windows\system32\config\system
delete c:\windows\system32\config\software
delete c:\windows\system32\config\sam
delete c:\windows\system32\config\security
delete c:\windows\system32\config\default

Ora al loro posto si copiano altri 5 files presi da un’ altra cartella con i seguenti comandi:

copy c:\windows\repair\system c:\windows\system32\config\system
copy c:\windows\repair\software c:\windows\system32\config\software
copy c:\windows\repair\sam c:\windows\system32\config\sam
copy c:\windows\repair\security c:\windows\system32\config\security
copy c:\windows\repair\default c:\windows\system32\config\default

In questo modo la prima parte è conclusa. Ora, tolto il cd di installazione dal lettore, basta riavviare il computer impartendo il comando EXIT.
Il sistema, se si sono rispettate alla lettera queste indicazioni, dovrebbe essere in grado di avviarsi.

PARTE 2
Una volta entrati (si entrerà comme amministratori, quindi va ricordata la password data durante l’installazione) aprire ESPLORA RISORSE, scegliere STRUMENTI e quindi OPZIONI CARTELLA.
Cliccare ora su VISUALIZZAZIONE e selezionare VISUALIZZA CARTELLE E FILE NASCOSTI, diselezionare NASCONDI I FILE PROTETTI DI SISTEMA e cliccare su OK per confermare la scelta.
Ora bisogna selezionare il disco in cui è installato il sistema operativo. La cartella di nostro interesse in questa fase è ”SYSTEM VOLUME INFORMATION”.
Bisogna aprirla per visualizzare l’elenco delle cartelle in essa contenuta.
In caso di errore o meglio impossibilità a vederne il contenuto occorre fare riferimento all’articolo http://support.microsoft.com/default.aspx?scid=kb;it;309531 per arrivare a visualizzarne il contenuto.

Al suo interno dovrebbero trovarsi cartelle tipo ”restore{codice_alfa_numerico}”.

Bisogna, se possibile, selezionarne una che non abbia la data e l’ora di quel momento (altrimenti procedere con quella che si ha a disposizione).
Al suo interno ci sono una o piu’ cartelle che iniziano con RP. Questi sono i ”punti di ripristino” creati in precedenza durante l’uso di Windows XP.

La guida ora dice di aprirne una qualsiasi, ma è consigliabile utilizzare quella creata più di recente.
Aprirla ed individuare la cartella chiamata SNAPSHOT.
Da questa cartella vanno copiati nella cartella TMP i seguenti files :
_REGISTRY_USER_.DEFAULT
_REGISTRY_MACHINE_SECURITY
_REGISTRY_MACHINE_SOFTWARE
_REGISTRY_MACHINE_SYSTEM
_REGISTRY_MACHINE_SAM

Ora possiamo chiudere tutte le cartelle e riavviare il computer. Avendo bisogno ancora della CONSOLE DI RIPRISTINO, bisognerà avviare di nuovo da cd di installazione.

PARTE 3
Cancelliamo i seguenti files con i seguenti comandi:

del c:\windows\system32\config\sam
del c:\windows\system32\config\security
del c:\windows\system32\config\software
del c:\windows\system32\config\default
del c:\windows\system32\config\system

e copiamo questi altri con questi comandi:

copy c:\windows\tmp\_registry_machine_software c:\windows\system32\config\software
copy c:\windows\tmp\_registry_machine_system c:\windows\system32\config\system
copy c:\windows\tmp\_registry_machine_sam c:\windows\system32\config\sam
copy c:\windows\tmp\_registry_machine_security c:\windows\system32\config\security
copy c:\windows\tmp\_registry_user_.default c:\windows\system32\config\default

Fatto ciò, tolto il cd di installazione dal lettore, basta riavviare il computer impartendo il comando EXIT.

PARTE 4
Clicchiamo su START, TUTTI I PROGRAMMI , ACCESSORI , UTILITA’ DI SISTEMA e quindi su RIPRISTINO CONFIGURAZIONE DI SISTEMA. Richiamare l’ultima configurazione funzionante e tutto dovrebbe riprendere a funzionare come prima che il problema si manifestasse.

Per sicurezza conviene ricontrollare ogni impostazione relativa al pc (periferiche installate, connessioni ecc.) per essere sicuri che il ripristino abbia portato la macchina alla piena efficienza.

Una volta terminato il controllo e sicuri che tutto sia tornato alla normalità, conviene subito ricreare un punto di ripristino relativo a questo momento.

nnadalca Tutorial Ripristino Windows XP