Mai 28

Centralisation des logs

Avec l’ajout de nouveaux serveurs, pc, équipements dans votre réseau, la centralisation des logs sur une seule machine devient une évidence.

Passer 1 heure a se connecter en ssh, minicom ou autre sur chaque bestiole pour vérifier les logs devient vite fastidieux et la mise en place d’un « Syslog Host » (terme que j’emploierai pour désigner le serveur de récupération des logs) coule de source.

Heureusement, ce genre de déploiement est assez simple car déjà inclus nativement sur nos Linux / *BSD préféré.

Le choix du serveur de logs n’est pas non plus à prendre a la légère. Outre le volume de données a stocker/traiter, la criticité d’une telle machine ne doit pas être oubliée.

  1. Vous vous exposez à une « attaque » de type Syslog Bombing
  2. Certains logs peuvent être sensible et ne pas être donné en pature a n’importe quel lecteur

Prévoyez donc une partition dédiée (type /var/log) suffisamment dimensionnée et réservée aux logs.

Côté sécurité réseau, les flux Syslog utilisent le protocole UDP sur le port 514, a vous donc de positionner vos ACL et/ou règles Firewall en conséquences et bien entendu à ne pas l’exposer au réseau Internet.

L’idéal étant bien évidemment de positionner le SyslogHost dans un VLAN dédié ou vous n’autoriserez que l’UDP port 514 et le SSH depuis le poste de management.

(Petite parenthèse d’humour paranoïaque :
La sécurité ultime étant justement d’utiliser la particularité du protocole UDP qui travaille en mode non-connecté pour couper physiquement le fil TX du câble réseau côté carte du SyslogHost 😀

RJ45 Cablage

Bon OK, là c’est vraiment Parano 😉

fin de la parenthèse qui sert à rien)

Activation du démon Syslogd

Sur votre Pingouin, il suffit de rajouter l’option « -r » a Syslog.

Debian Like : /etc/default/syslogd

RedHat Like : /etc/sysconfig/syslog

Relancer syslog.

Sur le Poisson qui pique, ajouter le flag -u dans votre /etc/rc.conf :

syslogd_flags= »-u »

Killer le process Syslogd et relancer le en mode -u : syslogd -u

Un netstat -an | grep 514 vous confirmera l’écoute :

udp 0 0 *.514 *.*

Sur les clients, il suffit maintenant de modifier le fichier /etc/syslog.conf pour lui demander de tout envoyer au Syslog Host :

Ex: *.* @192.168.0.1

Bien sur vous pouvez peaufiner ce que vous voulez envoyer comme logs. (lire cet article par exemple).

N’oubliez surtout pas de configurer la rotation automatique des logs !!!

Avec logrotate.d sur Linux et Newsyslog sur OpenBSD (MAN est votre ami)…

Remontée les logs Cisco

Les Ciscos savent envoyer leurs logs ves un Syslog host.

Sur un routeur :

logging 192.168.0.1

Sur un Pix :

logging host inside 192.168.0.1

Par défaut, les Ciscos envoient leurs logs avec le niveau local.7

Il peut être intéressant de peaufiner le traitement des logs et de séparer les logs « syslog » des machines, des logs équipements.

Pour un Pix par exemple, nous pouvons utiliser le tableau suivant :

Facility

Logging Facility

Command Value

local 0

16

local 1

17

local 2

18

local 3

19

local 4

20

local 5

21

local 6

22

local 7

23

 

  1. Préparons le SyslogHost a recevoir les logs : local3.debug /var/log/cisco.log (dans le syslog.conf)
  2. Sur le Pix ou le routeur Cisco :

logging trap informational
logging facility 19

Car facility 19 = local 3

NB : Il s’agit simplement d’une traduction du binaire :-p

  • 16 = 00010000 = local0
  • 17 = 00010001 = local1
  • 18 = 00010010 = local2
  • 19 = 00010011 = local3
  • 20 = 00010100 = local4
  • 21 = 00010101 = local5
  • 22 = 00010110 = local6
  • 23 = 00010111 = local7

On utilise les 4 derniers bits, exemple 22 = 00010110, les 4 derniers =0110 = en décimal 6, c’est du local 6.

Le flag Trap est le niveau de log voulu :

alerts Immediate action needed (severity=1)
critical Critical conditions (severity=2)
debugging Debugging messages (severity=7)
emergencies System is unusable (severity=0)
errors Error conditions (severity=3)
informational Informational messages (severity=6)
notifications Normal but significant conditions (severity=5)
warnings Warning conditions (severity=4)

Les commandes suivantes ne sont pas négligeables à rajouter :

service timestamps log datetime localtime (Cisco routeur)

logging timestamp (Cisco PIX)

Si cela vous amuse 🙂 vous pouvez également coloriser vos logs qui s’afficheront (voir l’article ICI ).

Traitement des logs

Se coltiner des flux continus de logs qui défilent n’est pas des plus agréables et une information Critique peut vous échapper si vous ne lisez pas vos logs ou ne les traiter pas automatiquement.

Il existe des multitudes de script vous permettant de parser vos logs et d’en extraire les informations essentielles, je vous laisse avec Google pour faire le plein de bonne solution.

Personnellement, comme je l’avais expliqué dans un billet précédent, j’utilise Prelude comme centralisateur d’informations et en installant un module Prelude-LML (LML : Log Monitoring Lackey) sur le SyslogHost, je remonte tout cela sur le Prelude Manager et une bonne moulinette maison me permet d’être alerté en temps réel en cas d’incident.

J’espère que vous prendrez conscience de l’utilité et de l’importance de la centralisation des logs qui n’a été que rapidement approchée dans ce billet mais que vous pourrez étendre beaucoup plus loin (remontée des logs applicatives par exemple (qui a dit Log4j ??? 😉 ) etc..

Bon courage

Classé dans cisco, linux, OpenBSD, réseau | Taggé , | 2 Commentaires
Mai 25

Ne quittez pas, un opérateur va prendre en charge votre appel…

Plus que quelques jours donc avant la fameuse application de l’article 16 de la Loi Chatel (Loi que vous retrouvez en intégralité ICI ).

Mais c’est quoi cette Loi et cette date du 1er juin ?

Et bien, en application de cette loi, l’ARCEP, l’autorité de régulation des Télécoms à demandé gentiment aux FAI de fournir un numéro non surtaxé pour ses clients.

Je cite :

 »

L’Autorité a publié sa décision identifiant, au sein du plan national de numérotation téléphonique, la liste des numéros ou blocs de numéros pouvant être surtaxés. Cette décision permet de faire apparaître explicitement la segmentation, implicite jusqu’alors, entre numéros surtaxés et numéros non surtaxés.

Elle s’inscrit dans le cadre de l’article 16 de la « loi Chatel » du 3 janvier 2008 pour le développement de la concurrence au bénéfice des consommateurs. Cet article dispose que les services après-vente, d’assistance technique ou tout autre service chargée du traitement des réclamations des opérateurs de télécommunications doivent être joignable par un « numéro non-géographique, fixe et non-surtaxé ». Il s’agit d’une mesure de transparence sur la facturation des prestations de service après-vente. Cette disposition rentre en vigueur le 1er juin prochain.

A compter de cette date, les services après-vente des opérateurs et des FAI devront donc utiliser l’un des numéros suivants :

– les numéros à dix chiffres commençant par 09

– les numéros à dix chiffres commençant par 080

– les numéros à quatre chiffres commençant par 30 ou 31

– les numéros à quatre chiffres commençant par 10, 32, 36 ou 39 dans la mesure où ils suivent une tarification libre-appel ou non-surtaxée »

Chouette vous dites vous, oui mais attention, la « gratuité » toute relative de l’appel (tarification locale) ne concerne que le temps d’attente, pas le temps de traitement de l’incident.

« Lorsque le consommateur appelle depuis les territoires énumérés au deuxième alinéa les services mentionnés au premier alinéa en ayant recours au service téléphonique au public du fournisseur de services de communications électroniques auprès duquel il a souscrit ce contrat, aucune somme ne peut, à quelque titre que ce soit, lui être facturée tant qu’il n’a pas été mis en relation avec un interlocuteur prenant en charge le traitement effectif de sa demande. »

Connaissant la subtilité avec laquelle les FAI jouent avec la loi, il est peut-être à redouter que si le temps d’attente sera gratuit à compter du 1er juin, le coût de l’appel effectif avec le conseiller risque de faire un saut tarifaire important.

Après tout, rien ne les interdit de facturer à 1,34 euros la minute avec le conseiller 🙁

Attendons donc de voir quelle position vont prendre les FAI dans la gestion de ce service plutôt important pour ses clients.

Classé dans geekerie | Taggé | Commentaires fermés sur Ne quittez pas, un opérateur va prendre en charge votre appel…
Mai 19

J’ai envie de PIXer…

Oui je sais, le titre de ce billet est nul 😀 mais j’aurais pu faire pire, genre « Tu veux pas que je te la tienne pour aller PIXer ?… » 🙂

Bon d’accord, j’adore les vannes à 2 euros 😉 (1)

A la découverte donc du Cisco PIX 515-R.

L’accès à la console se fait comme pour tout Cisco, via un câble série sur le port Console.

Pour ceux qui connaissant déjà l’IOS, ils ne seront pas perdu, c’est quasiment pareil (a part le complétement automatique qui ne marche 🙁 et ça, c’est très désagréable !).

pix# sh version

Cisco PIX Firewall Version 6.3(5)
Cisco PIX Device Manager Version 2.0(2)

Compiled on Thu 04-Aug-05 21:40 by morlee

pix up 8 mins 30 secs

Hardware: PIX-515, 32 MB RAM, CPU Pentium 200 MHz
Flash i28F640J5 @ 0x300, 16MB
BIOS Flash AT29C257 @ 0xfffd8000, 32KB

0: ethernet0: address is 0003.e300.3e9e, irq 11
1: ethernet1: address is 0003.e300.3e9f, irq 10
2: ethernet2: address is 00d0.b76b.3ab0, irq 9
Licensed Features:
Failover: Disabled
VPN-DES: Enabled
VPN-3DES-AES: Disabled
Maximum Physical Interfaces: 3
Maximum Interfaces: 5
Cut-through Proxy: Enabled
Guards: Enabled
URL-filtering: Enabled
Inside Hosts: Unlimited
Throughput: Unlimited
IKE peers: Unlimited

This PIX has a Restricted (R) license.

La première chose qui m’a « dérangé, c’est le fait d’avoir le 3des/aes désactivé, et effectivement, lors de ma première connexion ssh dessus, le message d’erreur fut sans appel :

ssh 192.168.1.1
Selected cipher type <unknown> not supported by server.

Résolu par un : ssh -c des admin@192.168.1.1 mais bon…

Ensuite, lors de l’accès à l’interface graphique PDM en https, Iceweasel (le Firefox des gens biens 😉 ), me jetait gentiment…

Résolu également en autorisant un niveau d’encryptage plus bas :

Taper: about:config dans la barre d’adresse et passer la valeur security.ssl3.rsa_rc4_40_md5 à true.

Cela fonctionnait mais ce niveau de cryptage me dérangeait. Un petit tour sur Google et surtout sur le riche site de Cisco aller me donner la réponse que j’attendais :

Cisco fournit gratuitement une clé d’activation de licence pour les PIX pour ceux qui le demande !!! (lire ici )

Bien sûr il faut s’enregistrer mais nul besoin d’être un client Cisco, un simple compte « Guest » suffit pour obtenir la licence. Ayant déjà un compte chez Cisco, c’était plus simple pour moi.

Une fois enregistré, allez ici : http://www.cisco.com/go/license

Tout en haut, cliquez sur : If you do not have a Product Authorization Key (PAK), please click here for available licenses.

En bas de la liste, vous trouverez le choix : Cisco PIX Security Appliance 3DES/AES License

Remplissez tout les champs (le formulaire est très… pointilleux) avec bien sur le numéro de série de votre PIX et quelques minutes plus tard, oh joie, une clé d’activation dans ma Boite aux Lettres.

Retour sur la console du PIX, passage en mode config :

pix(config)#activation-key 54bf4b80 b7237e20 05022c63 f09e3302
Updating flash...Done.

(ne rêvez pas, c’est pas le vrai numéro hein… On est pas dans le monde des Bisounours non plus…)

Un reload du PIX et :

VPN-3DES-AES: Enabled

Mouah 😀 😀

On reconfigure ses clés :

ca gen rsa key 1024

(si le pix gueule que vous avez déjà des clés, passer la commande : ca zero rsa )

puis : ca save all

reload et voila, du 3DES au lieu d’un pauvre DES 🙂 (visible par un show ssh session)

PS: Bien sûr, j’ai passé outre dans mes explications le fait de configurer le hostname et le domain du PIX, ainsi que les accès sur l’interface Inside (LAN) du genre : ssh 192.168.1.52 255.255.255.255 inside (pour autoriser la machine 192.168.1.52 a accèder en ssh sur l’interface Inside).

Le PIX a trois interfaces, INSIDE (qui correspond au LAN), OUTSIDE (qui correspond au WAN ou accès au net) et DMZ pour… la DMZ 😉

A chaque interface on définit un niveau définit par une valeur.
Le Pix interdit toute communication émanent d’une interface ayant un niveau de sécurité bas vers une interface de niveau élevé.

Il faut donc attribuer un niveau de sécurité de 0 pour l’interface connectée à Internet et un niveau de 100 pour l’interface connecter au LAN mais seulement dans le cas ou celle-ci se nomme inside.

Dans le cas contraire on est forcer de prendre une valeur de sécurité inférieur, par exemple 99.

Pour la DMZ (zone démilitarisée), on met un niveau de sécurité à 50.

Simple à comprendre et terriblement efficace.

Les ACL ressemblent à celle de l’IOS donc si vous connaissez déjà les Cisco, vous ne serez pas perdu.

Pour les autres, des centaines de tutos existent sur Internet et bien sur, je vous recommande chaudement le site de Cisco qui est une mine d’information.

(commencer la : CISCO PIX )

Une des choses que je voulais voir aussi, c’est le PDM ou Pix Device Manager, une interface web en Java qui permet de tout faire graphiquement.

Je ne suis pas un fan des trucs graphiques et pour moi, rien ne vaut la CLI, mais par curiosité, j’ai essayer.

Mon show version m’indiquait : Cisco PIX Device Manager Version 2.0(2)

J’ai donc regarder si je n’avais pas une version plus récente :

guiguiabloc@monpc:~/$ ls -lrt /mnt/lamule

Cisco Pix 6.3(5) And Pdm 3.0(4)

Parfait 😀

La mise a jour se fait comme pour un IOS, via tftp.

pix#copy tftp flash
Address or name of remote host [127.0.0.1]? 192.168.1.52
Source file name [cdisk]?pdm-304.bin
copying tftp://192.168.1.52/pdm-304.bin to flash
[yes|no|again]?yes

L’accès en https (n’oubliez pas les ACL…) et voici quelques copies d’écrans :

PDM1

PDM2

PDM3

PDM4

PDM5

PDM6

Intéressant non ?

Les possibilités sont très nombreuses et le PDM permet de vérifier vos ACL, voir même de les optimiser.

De plus, tout ce qui est config VPN, remontée de Logs, Monitoring etc… est inclus.

Je pense donc l’utiliser en plus de la CLI pour gérer ce petit bijou qu’est le PIX 😀

Ne me reste plus maintenant à savoir ou le mettre… Oui je sais ICI

(1) C’est l’histoire de deux oeufs sur une poële.
Le premier dit au deuxième : « Tu trouves pas qu’il fait chaud ? »

L’autre se met alors a crier : « AAAAh ! Un oeuf qui parle ! « 

Ok…je –>[]

 

 

Classé dans cisco, matériel | Taggé , , | 6 Commentaires
Mai 17

Cisco@home et Pix c’est tout…

Un des moments agréable de la vie d’un Geek, c’est de rencontrer un autre Geek.

On parle de nos passions, nos équipements, celui qui a la plus grosse… connexion etc…

Bref, il y a quelques mois, je faisais la connaissance d’Antoine, un geek aussi allumé que moi (voir même pire, ce type à un VMS a la maison 😮 !!! ) et entre passion commune, celle des équipements Cisco.

Et quand il m’annonça qu’il voulait se débarrasser de quelques trucs, un sourire illumina mon visage 🙂 limite même demi-molle :-p

Un peu d’attente et surtout, un coup de chapeau à Antoine qui a quand même traverser Paris avec 3 Cisco de 1U dans son sac à dos !!! (et après on dit que les geeks ne font pas de sport 😀 )…, et me voila ramener à la maison 3 nouveaux équipements :

Ciscos

  • 1 Catalyst 2950 (switch 24 ports) qui viendra parfaitement épauler mon Catalyst 2924-XL en spare (reste à savoir si je peux stacker les deux 😀 )
  • 1 routeur Cisco 2610 (j’ai déjà un 2611 en production, un 2610 et un 2515 en secours)
  • 1 firewall PIX 515-R

La je commence à me demander si je devrais pas me recycler en revendeur Cisco ou même mieux, être couvert de cadeaux par cette entreprise pour mon amour pour ses produits 🙂

Souk de cisco

Ce qui bien sûr m’intéressais le plus était le PIX qui est un Firewall professionnel.

Contrairement aux firewall software, gros consommateurs de ressources système, qui appliquent des procédures de sécurité à chaque paquet de données au niveau applicatif, les Pix utilisent un système dédié de sécurisation en temps réel.

Les Pix sont donc très performants. Leurs capacités dépassent de loin celles des autres firewall dédiés ou des pare-feu logiciels (sauf OpenBSD qui n’a pas à rougir devant lui).

Côté performance, je cite :

« Les performances des Cisco Pix Firewall découlent d’un système de protection basé sur l’algorithme ASA (Adaptive Security Algorithm). Cet algorithme assure une très grande protection de l’accès au réseau interne en comparant les paquets entrants et sortants aux entrées d’une table. L’accès n’est autorisé qu’après authentification.

Le Cisco Secure Pix Firewall 515-R supporte jusqu’à 64 000 sessions simultanées, le Pix 515-UR en supporte jusqu’à 128 000 et le Pix 520 jusqu’à 256 000. Avec de telles performances, l’utilisateur final n’aura pas de perte de performance du à l’utilisation du firewall .les pare-feu Pix fonctionnent à des débits plus élevés et supportent un grand nombre de connexions simultanées et peuvent en toute sécurité traiter 6579 connexions par seconde et transférer un trafic FTP et HTTP à 170 Mbits/s, ce qui est suffisant pour gérer des LAN importants. Ces débits sont deux à trois fois plus élevés que ceux des firewall logiciels. »

Que du bonheur non 😀 ?

Je me suis empressé tout d’abord de racker le 2950 que je connais parfaitement et qui à trouver sa place parfaite dans la baie :

Baie au 17 mai

Le Cisco 2610 faisant un bruit métalique en le bougeant, je l’ai ouvert pour retirer les vis qui se baladaient dedans et malheureusement, il n’avait plus de mémoire, tant pis, mettons le de côté, il peut servir autrement…

(NON malheureux, je ne le jette pas !!!! Rien, ne rien jeter, toujours…. 😉 )

Le portable, un câble Cisco KIVABIEN et c’est parti pour l’apprentissage du PIX , ce qui fera le sujet du prochain billet 🙂

Merci encore à Antoine pour le cadeau et aussi au Lutin du Père Noël AKA Hervé qui a bien voulu ramener dans sa voiture les Ciscos de Paris à Brest 🙂

Classé dans cisco, matériel | 1 Comment