четверг, 7 мая 2020 г.

Avaya Device Services и старые телефоны 1600

С 1608 вот какая история, со старым 6 утилити сервером все работает, с Device Services (и установленом на нем Utility Services) телефон забирает только 16xxupgrade.txt ито только по HTTP и все.....
Есть три проблемы:
1. TLS 1.0 на телефоне
2. Сертификат на сервере подписанный корневым SMGR
3. И самая главная, нужно изменить настройки файрвола в файле

/opt/Avaya/DeviceServices/xxxxxxx/CAS/xxxxxxx/os/security/firewall.config

Внизу
redirect_tcp_ports=443-8443,80-8080

Так как если файл отдает Nginx - телефону это не нравится, а если Apache то все хорошо.
Ну и запустить ./firewall.pl

И да, 1600 не понимает параметр в DHCP опции 242 HTTPPORT так что только 80

суббота, 18 апреля 2020 г.

Этот материал я опубликовал так же тут:
https://community.cisco.com/t5/%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D1%8C-%D0%B4%D0%BE%D0%BA%D1%83%D0%BC%D0%B5%D0%BD%D1%82%D1%8B-security/cisco-asa-anyconnect-%D1%81%D1%82%D0%B0%D1%82%D0%B8%D1%81%D1%82%D0%B8%D0%BA%D0%B0-%D0%BF%D0%BE%D0%B4%D0%BA%D0%BB%D1%8E%D1%87%D0%B5%D0%BD%D0%B8%D0%B9-%D1%82%D1%80%D0%B8-%D0%B4%D0%BE%D0%BA%D0%B5%D1%80-%D0%BA%D0%BE%D0%BD%D1%82%D0%B5%D0%B9%D0%BD%D0%B5%D1%80%D0%B0/ta-p/4065673
 
В связи с общемировой бедой, многие ушли в удаленку.
Многие хотят видеть статистику по подключенным и уже отключенным пользователям.
Можно конечно использовать много всякого но мы пошли своим путем.
Сбор данных производится не без помощи сислога - но сами сообщения нам не нужны, нужно только само событие.
Данные же получаем через call-home.
Во первых это TCP и гарантирована доставка.
Во вторых сислог сообщения сложно сопоставлять - подключился/отключился - там есть неожиданности.
Splunk по сислог умеет чтото собирать но он нам не нужен :-)
Ну и в третьих - это хороший опыт.
Мы уже начали соединять это с NetFlow - но то будет уже коммерческий продукт.
Качайте ставьте если надо, пишите замечания.
https://github.com/OlegPowerC/anyconnectusers
Для запуска нужен сервер с докером и docker-compose - хотя можно и без него, если сделать в ручную шелл скрипт.
Вот примерно так это выглядит пока:

 Если что то не будет понятно - звоните/пишите.
Ну и заходите к нам на сообщество Cisco :-)

Avaya SMGR 8.1 deploy (vmware)

через ovftool:

.\ovftool.exe -ds=<имя сторейджа> -n=<имя VM> --net:"Out of Band Management"="<VLAN управления>" --net:"Public"="<VLAN основной сети>" --prop:smgrbackupclass.smgr.BackupDefinition="True" --prop:smgrbackupclass.backupserverip="<IP адрес backup сервера>" --prop:smgrbackupclass.backupserver.loginid="<логин на backup сервер>" --prop:smgrbackupclass.backupserver.loginpassword="<пароль>" --prop:smgrbackupclass.RemoteBkupDestPath="<путь>" --prop:smgrbackupclass.TransportProtocol="SFTP" --prop:smgrbackupclass.RepeatType="Weekly" --prop:smgrbackupclass.RepeatFrequency="1" --prop:smgrbackupclass.Year="0" --prop:smgrbackupclass.Month="May" --prop:smgrbackupclass.Day="1" --prop:smgrbackupclass.Hour="0" --prop:smgrbackupclass.Minutes="0" --prop:smgrbackupclass.Seconds="0" --prop:smgreasgclass.EASG_enable="1" --prop:smgrnetworkclass.ntpservers="<IP адрес NTP сервера>" --prop:smgrnetworkclass.timezone="Europe/Moscow" --prop:smgrcliuserclass.custuser="<CLI пользователь>" --prop:smgrcliuserclass.custpasswd="<пароль>" --prop:smgrsnmpclass.username.prefix="<SNMP v3 пользователь>" --prop:smgrsnmpclass.authprotocol.password="<пароль>" --prop:smgrsnmpclass.privprotocol.password="<пароль>" --prop:smgrnetworkclass.ip0="<IP интерфейса управления>" --prop:smgrnetworkclass.netmask="<Маска подсети>" --prop:smgrnetworkclass.gateway="<Шлюз по умолчанию>" --prop:smgrnetworkclass.hostname="<имя машины>" --prop:smgrvfqdnclass.smgrVFQDNHostname="<Virtual Hostname>" --prop:smgrvfqdnclass.smgrVFQDNDomain="<домен>" --prop:smgrnetworkclass.dns="<DNS серверы>" C:\Distr\SMGR-8.1.0.0.733078-e65-48.ova vi://<Vcenter логин>:<Vcenter пароль>@<Vcenter сервер>/<Имя датацентра>/host/<Имя кластера или хоста>




Затем сразу ставим патчи.

вторник, 31 марта 2020 г.

Деплой ASAv 921 на VMWARE

ovftool.exe -ds=<Имя DS> -n=ASAvPrimary --deploymentOption=Primary_1vCPU --net:"Management0-0"="<Порт группа MGMT>" --net:"GigabitEthernet0-0"="<Порт группа>" --net:"GigabitEthernet0-1"="<Порт группа>" --net:"GigabitEthernet0-2"="<Порт группа>" --net:"GigabitEthernet0-3"="<Порт группа>" --net:"GigabitEthernet0-4"="<Порт группа>" --net:"GigabitEthernet0-5"="<Порт группа>" --net:"GigabitEthernet0-6"="<Порт группа>" --net:"GigabitEthernet0-7"="<Порт группа>" --net:"GigabitEthernet0-8"="<Порт группа>" C:\<путь>\asav921.ovf vi://<имя пользователя для vCenter>:<пароль>@<FQDN или IP vCenter>/<Имя датацентра>/host/<Имя хоста>

Обаз должен быть не ova а ovf

пятница, 31 мая 2019 г.

Дешифрование трафика SSL от браузера в Wireshark

В Windows установить переменную среды SSLKEYLOGFILE как путь к какой либо директории на диске имени файла, например дириктория C:\ssltools\sessionkeys
тогда переменная среды SSLKEYLOGFILE будет равна например C:\ssltools\sessionkeys\mykey.
В настройках Wireshark (ctrl+shift+p) в настройках протокола SSL установить путь к этому файлу в поле (pre)-Master-Secret log filename.

понедельник, 26 ноября 2018 г.

ManageEngine Password Manager Pro установка на Linux

Ставим как описано но! в папку /opt/ManageEngine/PMP/
Тогда проблем не будет.
Далее:
/opt/ManageEngine/PMP/bin/pmp.sh install
Далее генерируем сертификат подписанный вашим CA с ASN с FQDN и IP:

cd /opt/ManageEngine/PMP/jre/bin

Закрытый ключ:
./keytool -genkey -alias pmp -keyalg RSA -keysize 2048 -sigalg SHA256withRSA -keypass <какой нибудь пароль> -storepass <какой нибудь пароль> -validity 365 -ext SAN=DNS:pmp.yourdomain.local,DNS:pmp,IP:XX.XX.XX.XX -keystore pmp.keystore

Запрос - отдаем CA:
./keytool -certreq -keyalg RSA -alias pmp -keypass <какой нибудь пароль> -storepass  <какой нибудь пароль> -file pmp.csr -ext SAN=DNS:pmp.yourdomain.local,DNS:pmp,IP:XX.XX.XX.XX -keystore pmp.keystore

Импортируем корневой сертификат:
keytool -import -alias pmp -keypass <какой нибудь пароль>-storepass <какой нибудь пароль> -keystore pmp.keystore -trustcacerts -file <выш корневой сертификат.pem>

Копируем pmp.keystore в например /opt/ManageEngine/PMP/conf
И прописываем это хранилище в двух файлах:
/opt/ManageEngine/PMP/conf/server.xml
и
/opt/ManageEngine/PMP/conf/gateway.conf

В  /opt/ManageEngine/PMP/conf/server.xml
ищем строки наподобие:
<Connector SSLEnabled="true" URIEncoding="UTF-8" acceptCount="100" ciphers="<тут всякие протоколы>" clientAuth="false" debug="0" disableUploadTimeout="true" enableLookups="false" keystoreFile="<тут пишем наш keystore - например conf/pmp.keystore>" keystorePass="<тут пишем наш пароль>" keystorePassEncrypted="false" keystoreType="JKS" maxHttpHeaderSize="32768" maxSpareThreads="75" maxThreads="150" minSpareThreads="25" port="7272" protocol="com.adventnet.passtrix.security.PMPHttp11Nio2Protocol" scheme="https" secure="true" server="PMP" sslProtocol="TLS" truststoreFile="jre/lib/security/cacerts" truststorePass="changeit" truststoreType="JKS" useBodyEncodingForURI="true"/>

И вторая строчка такая же только порт другой - 7070.

А в файле
/opt/ManageEngine/PMP/conf/gateway.conf
Ищем:
keyStore=<тут пишем наш keystore - conf/pmp.keystore>
keyStorePassword="<тут пишем наш пароль>"


Готово.

среда, 31 октября 2018 г.

OpenSSL готовим сертификат и закрытый ключ для импорта на Cisco ASA

Допустим у нас есть сертификат и закрытый ключ, оба в формате PEM
Нам нужен PCKS12 в BASE64

Но у меня тестовый уже в pfx (mycertandkey.pfx) но без промежуточного внутри, так что сначала получим из pfx - pem:

openssl pkcs12 -in mycertandkey.pfx -nocerts -out mycert.key

Вводим пароль на pfx, потом вводим пароль  на новый файл
Получаем файл с ключом но зашифрованный

openssl pkcs12 -in mycertandkey.pfx  -clcerts -nokeys -out mycert.pem
Получаем наш сертификат без корневого и промежуточного

openssl rsa -in mycert.key -out mycert.npkey 
Делаем закрытый сертификат без пароля (не зашифрованный).

Проверка соответствия закрытого ключа сертификату:

openssl rsa -noout -modulus -in mycert.npk | openssl md5

openssl x509 -noout -modulus -in mycert.pem | openssl md5

Хэши должны совпадать.

Далее нам нужен сертификат + промежуточный + корневой + закрытый ключ в base64

Сначала собираем все в pfx (потребуется создать пароль)
openssl pkcs12 -export -out certandinterandcaandkey.pfx -inkey mycert.npkey -in mycert.pem -certfile CaAndIntermediate.pem

CaAndIntermediate.pem - этофайл где лежат один за одним промежуточный сверху и корневой снизу (просто в notepad копируем в один файл эти два сертификата в формате pem)

И теперь получаем это все в Base64:
openssl base64 -in certandinterandcaandkey.pfx -out certandinterandcaandkey.base64

Теперь на Cisco ASA можно его импортировать:

crypto ca trustpoint TESTCAT
  enrollment terminal
  exit

crypto ca  import  TESTCAT pkcs12 и тут пароль на тот самый base64 файл
Вставляем сюда текст из файла
потом набираем quit


понедельник, 3 сентября 2018 г.

ACTi ACD-2100 multicast sdp файл

При настройках:
RTP over multicast
Порт Multicast Video 5000
IP вещания 239.10.6.10
И MPEG4 видео,
SDP файл выглядит примерно так (делается путем сначала включения режима RTP over UDP в unicast режиме, открытия потока через rtsp и выдергивания SDP данных WireShark'ом):

v=0
c=IN IP4 239.10.6.10
m=video 5000 RTP/AVP 96
a=rtpmap:96 MP4V-ES/90000
a=fmtp:96 profile-level-id=245;config=000001B003000001B50900000100000001200086C400670C5A1120518F