GuiguiAbloc

Oui je sais, le titre de ce billet est nul mais j’aurais pu faire pire, genre « Tu veux pas que je te la tienne pour aller PIXer ?… »

Bon d’accord, j’adore les vannes à 2 euros (1)

A la découverte donc du Cisco PIX 515-R.

L’accès à la console se fait comme pour tout Cisco, via un câble série sur le port Console.

Pour ceux qui connaissant déjà l’IOS, ils ne seront pas perdu, c’est quasiment pareil (a part le complétement automatique qui ne marche et ça, c’est très désagréable !).

pix# sh version

Cisco PIX Firewall Version 6.3(5)
Cisco PIX Device Manager Version 2.0(2)

Compiled on Thu 04-Aug-05 21:40 by morlee

pix up 8 mins 30 secs

Hardware: PIX-515, 32 MB RAM, CPU Pentium 200 MHz
Flash i28F640J5 @ 0×300, 16MB
BIOS Flash AT29C257 @ 0xfffd8000, 32KB

0: ethernet0: address is 0003.e300.3e9e, irq 11
1: ethernet1: address is 0003.e300.3e9f, irq 10
2: ethernet2: address is 00d0.b76b.3ab0, irq 9
Licensed Features:
Failover: Disabled
VPN-DES: Enabled
VPN-3DES-AES: Disabled
Maximum Physical Interfaces: 3
Maximum Interfaces: 5
Cut-through Proxy: Enabled
Guards: Enabled
URL-filtering: Enabled
Inside Hosts: Unlimited
Throughput: Unlimited
IKE peers: Unlimited

This PIX has a Restricted (R) license.

La première chose qui m’a « dérangé, c’est le fait d’avoir le 3des/aes désactivé, et effectivement, lors de ma première connexion ssh dessus, le message d’erreur fut sans appel :

ssh 192.168.1.1
Selected cipher type <unknown> not supported by server.

Résolu par un : ssh -c des admin@192.168.1.1 mais bon…

Ensuite, lors de l’accès à l’interface graphique PDM en https, Iceweasel (le Firefox des gens biens ), me jetait gentiment…

Résolu également en autorisant un niveau d’encryptage plus bas :

Taper: about:config dans la barre d’adresse et passer la valeur security.ssl3.rsa_rc4_40_md5 à true.

Cela fonctionnait mais ce niveau de cryptage me dérangeait. Un petit tour sur Google et surtout sur le riche site de Cisco aller me donner la réponse que j’attendais :

Cisco fournit gratuitement une clé d’activation de licence pour les PIX pour ceux qui le demande !!! (lire ici )

Bien sûr il faut s’enregistrer mais nul besoin d’être un client Cisco, un simple compte « Guest » suffit pour obtenir la licence. Ayant déjà un compte chez Cisco, c’était plus simple pour moi.

Une fois enregistré, allez ici : http://www.cisco.com/go/license

Tout en haut, cliquez sur : If you do not have a Product Authorization Key (PAK), please click here for available licenses.

En bas de la liste, vous trouverez le choix : Cisco PIX Security Appliance 3DES/AES License

Remplissez tout les champs (le formulaire est très… pointilleux) avec bien sur le numéro de série de votre PIX et quelques minutes plus tard, oh joie, une clé d’activation dans ma Boite aux Lettres.

Retour sur la console du PIX, passage en mode config :

pix(config)#activation-key 54bf4b80 b7237e20 05022c63 f09e3302
Updating flash...Done.

(ne rêvez pas, c’est pas le vrai numéro hein… On est pas dans le monde des Bisounours non plus…)

Un reload du PIX et :

VPN-3DES-AES: Enabled

Mouah

On reconfigure ses clés :

ca gen rsa key 1024

(si le pix gueule que vous avez déjà des clés, passer la commande : ca zero rsa )

puis : ca save all

reload et voila, du 3DES au lieu d’un pauvre DES (visible par un show ssh session)

PS: Bien sûr, j’ai passé outre dans mes explications le fait de configurer le hostname et le domain du PIX, ainsi que les accès sur l’interface Inside (LAN) du genre : ssh 192.168.1.52 255.255.255.255 inside (pour autoriser la machine 192.168.1.52 a accèder en ssh sur l’interface Inside).

Le PIX a trois interfaces, INSIDE (qui correspond au LAN), OUTSIDE (qui correspond au WAN ou accès au net) et DMZ pour… la DMZ

A chaque interface on définit un niveau définit par une valeur.
Le Pix interdit toute communication émanent d’une interface ayant un niveau de sécurité bas vers une interface de niveau élevé.

Il faut donc attribuer un niveau de sécurité de 0 pour l’interface connectée à Internet et un niveau de 100 pour l’interface connecter au LAN mais seulement dans le cas ou celle-ci se nomme inside.

Dans le cas contraire on est forcer de prendre une valeur de sécurité inférieur, par exemple 99.

Pour la DMZ (zone démilitarisée), on met un niveau de sécurité à 50.

Simple à comprendre et terriblement efficace.

Les ACL ressemblent à celle de l’IOS donc si vous connaissez déjà les Cisco, vous ne serez pas perdu.

Pour les autres, des centaines de tutos existent sur Internet et bien sur, je vous recommande chaudement le site de Cisco qui est une mine d’information.

(commencer la : CISCO PIX )

Une des choses que je voulais voir aussi, c’est le PDM ou Pix Device Manager, une interface web en Java qui permet de tout faire graphiquement.

Je ne suis pas un fan des trucs graphiques et pour moi, rien ne vaut la CLI, mais par curiosité, j’ai essayer.

Mon show version m’indiquait : Cisco PIX Device Manager Version 2.0(2)

J’ai donc regarder si je n’avais pas une version plus récente :

guiguiabloc@monpc:~/$ ls -lrt /mnt/lamule

Cisco Pix 6.3(5) And Pdm 3.0(4)

Parfait

La mise a jour se fait comme pour un IOS, via tftp.

pix#copy tftp flash
Address or name of remote host [127.0.0.1]? 192.168.1.52
Source file name [cdisk]?pdm-304.bin
copying tftp://192.168.1.52/pdm-304.bin to flash
[yes|no|again]?yes

L’accès en https (n’oubliez pas les ACL…) et voici quelques copies d’écrans :

Intéressant non ?

Les possibilités sont très nombreuses et le PDM permet de vérifier vos ACL, voir même de les optimiser.

De plus, tout ce qui est config VPN, remontée de Logs, Monitoring etc… est inclus.

Je pense donc l’utiliser en plus de la CLI pour gérer ce petit bijou qu’est le PIX

Ne me reste plus maintenant à savoir ou le mettre… Oui je sais ICI

(1) C’est l’histoire de deux oeufs sur une poële.
Le premier dit au deuxième : « Tu trouves pas qu’il fait chaud ? »

L’autre se met alors a crier : « AAAAh ! Un oeuf qui parle ! « 

Ok…je –>[]

 

 

Un des moments agréable de la vie d’un Geek, c’est de rencontrer un autre Geek.

On parle de nos passions, nos équipements, celui qui a la plus grosse… connexion etc…

Bref, il y a quelques mois, je faisais la connaissance d’Antoine, un geek aussi allumé que moi (voir même pire, ce type à un VMS a la maison !!! ) et entre passion commune, celle des équipements Cisco.

Et quand il m’annonça qu’il voulait se débarrasser de quelques trucs, un sourire illumina mon visage limite même demi-molle :-p

Un peu d’attente et surtout, un coup de chapeau à Antoine qui a quand même traverser Paris avec 3 Cisco de 1U dans son sac à dos !!! (et après on dit que les geeks ne font pas de sport )…, et me voila ramener à la maison 3 nouveaux équipements :

• 1 Catalyst 2950 (switch 24 ports) qui viendra parfaitement épauler mon Catalyst 2924-XL en spare (reste à savoir si je peux stacker les deux )
• 1 routeur Cisco 2610 (j’ai déjà un 2611 en production, un 2610 et un 2515 en secours)
• 1 firewall PIX 515-R

La je commence à me demander si je devrais pas me recycler en revendeur Cisco ou même mieux, être couvert de cadeaux par cette entreprise pour mon amour pour ses produits

Ce qui bien sûr m’intéressais le plus était le PIX qui est un Firewall professionnel.

Contrairement aux firewall software, gros consommateurs de ressources système, qui appliquent des procédures de sécurité à chaque paquet de données au niveau applicatif, les Pix utilisent un système dédié de sécurisation en temps réel.

Les Pix sont donc très performants. Leurs capacités dépassent de loin celles des autres firewall dédiés ou des pare-feu logiciels (sauf OpenBSD qui n’a pas à rougir devant lui).

Côté performance, je cite :

« Les performances des Cisco Pix Firewall découlent d’un système de protection basé sur l’algorithme ASA (Adaptive Security Algorithm). Cet algorithme assure une très grande protection de l’accès au réseau interne en comparant les paquets entrants et sortants aux entrées d’une table. L’accès n’est autorisé qu’après authentification.

Le Cisco Secure Pix Firewall 515-R supporte jusqu’à 64 000 sessions simultanées, le Pix 515-UR en supporte jusqu’à 128 000 et le Pix 520 jusqu’à 256 000. Avec de telles performances, l’utilisateur final n’aura pas de perte de performance du à l’utilisation du firewall .les pare-feu Pix fonctionnent à des débits plus élevés et supportent un grand nombre de connexions simultanées et peuvent en toute sécurité traiter 6579 connexions par seconde et transférer un trafic FTP et HTTP à 170 Mbits/s, ce qui est suffisant pour gérer des LAN importants. Ces débits sont deux à trois fois plus élevés que ceux des firewall logiciels. »

Que du bonheur non ?

Je me suis empressé tout d’abord de racker le 2950 que je connais parfaitement et qui à trouver sa place parfaite dans la baie :

Le Cisco 2610 faisant un bruit métalique en le bougeant, je l’ai ouvert pour retirer les vis qui se baladaient dedans et malheureusement, il n’avait plus de mémoire, tant pis, mettons le de côté, il peut servir autrement…

(NON malheureux, je ne le jette pas !!!! Rien, ne rien jeter, toujours…. )

Le portable, un câble Cisco KIVABIEN et c’est parti pour l’apprentissage du PIX , ce qui fera le sujet du prochain billet

Merci encore à Antoine pour le cadeau et aussi au Lutin du Père Noël AKA Hervé qui a bien voulu ramener dans sa voiture les Ciscos de Paris à Brest

Comme vous le savez sûrement, Octave Olès le bouillonnant agitateur d’OVH avait annoncé mi-avril une nouvelle offre pour le Kimsufi, le serveur dédié premier prix de la société OVH afin de concurrencer la Dédibox du groupe Iliad/Free (son post ici).

Louant moi-même un Kimsufi, c’était donc une annonce des plus intéressantes et il ne m’en fallait pas plus pour arrêter de payer la location du « vieux » et de commander un Kimsufi Reloaded (comme je paye au mois cette location, c’était une opération facile et rapide, je plains par contre ceux qui ont payer 1 an de location directe… )

En suivant l’activité du forum, je savais que les commandes avaient submergées OVH et qu’un délai de 7 jours en moyenne était nécessaire. Ayant prévu large la fin de mon contrat de location de l’ancien Kimsufi, je n’avais pas d’inquiétude.

D’ailleurs, Octave avait rapidement posté un feed-back ici .

J’ai donc reçu mon nouveau serveur en 7 jour tout rond

un petit comparatif des performances :

Ancien Kimsufi :

kimsufi:~# cat /proc/cpuinfo
processor : 0
vendor_id : GenuineIntel
cpu family : 6
model : 14
model name : Intel(R) Celeron(R) CPU 215 @ 1.33GHz
stepping : 8
cpu MHz : 1333.400
cache size : 512 KB
fdiv_bug : no
hlt_bug : no
f00f_bug : no
coma_bug : no
fpu : yes
fpu_exception : yes
cpuid level : 10
wp : yes
flags : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat clflush dts acpi mmx fxsr sse sse2 ss tm pbe nx constant_tsc up arch_perfmon bts pni monitor tm2 xtpr
bogomips : 2668.52
clflush size : 64
kimsufi :~# cat /proc/meminfo
MemTotal: 217880 kB
MemFree: 189872 kB
Buffers: 3484 kB
Cached: 14104 kB
SwapCached: 0 kB
Active: 12924 kB
Inactive: 7640 kB
HighTotal: 0 kB
HighFree: 0 kB
LowTotal: 217880 kB
LowFree: 189872 kB
SwapTotal: 1052248 kB
SwapFree: 1052248 kB
Dirty: 212 kB
Writeback: 0 kB
AnonPages: 3004 kB
Mapped: 3180 kB
Slab: 5380 kB
SReclaimable: 1964 kB
SUnreclaim: 3416 kB
PageTables: 240 kB
NFS_Unstable: 0 kB
Bounce: 0 kB
CommitLimit: 1161188 kB
Committed_AS: 9332 kB
VmallocTotal: 806904 kB
VmallocUsed: 616 kB
VmallocChunk: 806288 kB
kimsufi:~# hdparm -tT /dev/hda

/dev/hda:
Timing cached reads: 1110 MB in 2.00 seconds = 554.38 MB/sec
Timing buffered disk reads: 218 MB in 3.02 seconds = 72.22 MB/sec

Nouveau Kimsufi Reloaded :

Reloaded :~# cat /proc/cpuinfo
processor : 0
vendor_id : GenuineIntel
cpu family : 15
model : 4
model name : Intel(R) Celeron(R) CPU 2.66GHz
stepping : 9
cpu MHz : 2000.334
cache size : 256 KB
fdiv_bug : no
hlt_bug : no
f00f_bug : no
coma_bug : no
fpu : yes
fpu_exception : yes
cpuid level : 5
wp : yes
flags : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush dts acpi mmx fxsr sse sse2 ss ht tm pbe lm constant_tsc up pebs bts sync_rdtsc pni monitor ds_cpl tm2 cid cx16 xtpr lahf_lm
bogomips : 4004.32
clflush size : 64
Reloaded :~# cat /proc/meminfo
MemTotal: 1015876 kB
MemFree: 26572 kB
Buffers: 111108 kB
Cached: 667376 kB
SwapCached: 0 kB
Active: 244216 kB
Inactive: 683516 kB
HighTotal: 114368 kB
HighFree: 448 kB
LowTotal: 901508 kB
LowFree: 26124 kB
SwapTotal: 3068404 kB
SwapFree: 3068352 kB
Dirty: 20 kB
Writeback: 0 kB
AnonPages: 149284 kB
Mapped: 17256 kB
Slab: 52848 kB
SReclaimable: 44956 kB
SUnreclaim: 7892 kB
PageTables: 1448 kB
NFS_Unstable: 0 kB
Bounce: 0 kB
CommitLimit: 3576340 kB
Committed_AS: 405988 kB
VmallocTotal: 118776 kB
VmallocUsed: 1680 kB
VmallocChunk: 117092 kB
Reloaded:~# hdparm -tT /dev/sda

/dev/sda:
Timing cached reads: 780 MB in 2.00 seconds = 389.83 MB/sec
Timing buffered disk reads: 244 MB in 3.02 seconds = 80.81 MB/sec

Bref tout un bonheur

La réaction d’Iliad a suivie rapidement, en proposant 2Go de RAM au lieu de 1Go sur leur Dédibox.

Bon, ce n’est pas le même prix non plus et en plus, chez Dédibox, il me semble que l’IRC est interdit sur les dédiés…

Qui plus est, OVH propose en plus (compris dans l’offre a 19.99 euros H.T), un espace de sauvegarde FTP de 250Go , une ip virtuelle en plus (appelée IP Failover chez eux ) et bien sur, 250 Go de DD…

Enfin, comme dirais l’autre, c’est vous qui voyez

Bref, dans cette guerre des tarifs de Serveurs Dédiés, c’est nous qui sommes les grands gagnants, et je ne serais pas étonner de voir les prix s’effondrer dans les années, mois, a venir

La sortie récente de la version Beta 2 d’OpenFiler que vous trouverez ICI , et l’arrivée d’un nouveau serveur m’ont poussé à refaire proprement mon SAN.

Comme je l’avais dit dans mon précédent billet, c’était pour l’instant bricolo-bricolette et il fallait revoir cela un peu mieux.

Donc hier soir, c’était tournevis et changement des berceaux des disques durs SCSI Hot-plug afin de les intégrer dans le Netfinity 550.

Impressionnant, non ?

Car bien évidemment, chez IBM, les berceaux des disques ne sont pas les mêmes d’un modèle de serveur à un autre…

20 minutes de tournevis plus tard, les vieux disques de 9Go qui composait le Netfinity sont rangés au placard en attendant une nouvelle utilisation (rappelez vous, ne pas jeter, jamais ) , et les disques 73, 36 et 18 Go Ultra 320 sont pluggés comme il faut.

Avant tout, j’ai désactivé la vieille carte ServeRaid II de l’ibm (jumper J11 de la carte mère a placer sur les cavaliers 2-3 au lieu de 1-2), et à insérer ma carte Adaptec 39320 U320, puis à changer le cable SCSI.

Le boot promet un avenir radieu :

J’ai également réussi, après avoir essayé exactement 18 barettes de mémoire différentes à rajouter 128Mo au Netfinity et à changer le processeur en 550 au lieu de 500.

Une petite carte pci KIVABIEN dont je parlerais plus tard est également venu rejoindre les autres

Ne venez pas me dire que j’ai tout sur le même contrôleur, je SAIS ! Malheureusement, je n’ai qu’un canal sur le fond de panier, donc on fera avec

Me reste aussi à comprendre pourquoi mes 36Go ne sont pas en bus 16 bits