понедельник, 26 октября 2020 г.

Прием SNMPv3 трапов

 


ASA 5505 и PPPoE провайдеры

 

Провайдер ТТК

 interface Vlan2
 nameif outside
 security-level 0
 pppoe client vpdn group TTK
 ip address pppoe setroute
 
 
vpdn group TTK request dialout pppoe
vpdn group TTK ppp authentication chap
vpdn username <Ваш пользователь> password <Ваш пароль>
vpdn group TTK localname <Ваш пользователь>

Провайдер Ростелеком

interface Vlan2
 nameif outside
 security-level 0
 pppoe client vpdn group PTN
 ip address pppoe setroute

vpdn group PTN request dialout pppoe
vpdn group PTN localname szt
vpdn group PTN ppp authentication pap
vpdn username szt password szt

PowerTools

 

 Господа, посмотрите и видео и пишите комментарии,

Это начало большого пути по созданию ПО для автоматизации нашего с вами труда.

Замечу - никаких ИИ, инженер нужен! но ему с ними станет просто удобнее.

четверг, 7 мая 2020 г.

Avaya Device Services и старые телефоны 1600

С 1608 вот какая история, со старым 6 утилити сервером все работает, с Device Services (и установленом на нем Utility Services) телефон забирает только 16xxupgrade.txt ито только по HTTP и все.....
Есть три проблемы:
1. TLS 1.0 на телефоне
2. Сертификат на сервере подписанный корневым SMGR
3. И самая главная, нужно изменить настройки файрвола в файле

/opt/Avaya/DeviceServices/xxxxxxx/CAS/xxxxxxx/os/security/firewall.config

Внизу
redirect_tcp_ports=443-8443,80-8080

Так как если файл отдает Nginx - телефону это не нравится, а если Apache то все хорошо.
Ну и запустить ./firewall.pl

И да, 1600 не понимает параметр в DHCP опции 242 HTTPPORT так что только 80

суббота, 18 апреля 2020 г.

Этот материал я опубликовал так же тут:
https://community.cisco.com/t5/%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D1%8C-%D0%B4%D0%BE%D0%BA%D1%83%D0%BC%D0%B5%D0%BD%D1%82%D1%8B-security/cisco-asa-anyconnect-%D1%81%D1%82%D0%B0%D1%82%D0%B8%D1%81%D1%82%D0%B8%D0%BA%D0%B0-%D0%BF%D0%BE%D0%B4%D0%BA%D0%BB%D1%8E%D1%87%D0%B5%D0%BD%D0%B8%D0%B9-%D1%82%D1%80%D0%B8-%D0%B4%D0%BE%D0%BA%D0%B5%D1%80-%D0%BA%D0%BE%D0%BD%D1%82%D0%B5%D0%B9%D0%BD%D0%B5%D1%80%D0%B0/ta-p/4065673
 
В связи с общемировой бедой, многие ушли в удаленку.
Многие хотят видеть статистику по подключенным и уже отключенным пользователям.
Можно конечно использовать много всякого но мы пошли своим путем.
Сбор данных производится не без помощи сислога - но сами сообщения нам не нужны, нужно только само событие.
Данные же получаем через call-home.
Во первых это TCP и гарантирована доставка.
Во вторых сислог сообщения сложно сопоставлять - подключился/отключился - там есть неожиданности.
Splunk по сислог умеет чтото собирать но он нам не нужен :-)
Ну и в третьих - это хороший опыт.
Мы уже начали соединять это с NetFlow - но то будет уже коммерческий продукт.
Качайте ставьте если надо, пишите замечания.
https://github.com/OlegPowerC/anyconnectusers
Для запуска нужен сервер с докером и docker-compose - хотя можно и без него, если сделать в ручную шелл скрипт.
Вот примерно так это выглядит пока:

 Если что то не будет понятно - звоните/пишите.
Ну и заходите к нам на сообщество Cisco :-)

Avaya SMGR 8.1 deploy (vmware)

через ovftool:

.\ovftool.exe -ds=<имя сторейджа> -n=<имя VM> --net:"Out of Band Management"="<VLAN управления>" --net:"Public"="<VLAN основной сети>" --prop:smgrbackupclass.smgr.BackupDefinition="True" --prop:smgrbackupclass.backupserverip="<IP адрес backup сервера>" --prop:smgrbackupclass.backupserver.loginid="<логин на backup сервер>" --prop:smgrbackupclass.backupserver.loginpassword="<пароль>" --prop:smgrbackupclass.RemoteBkupDestPath="<путь>" --prop:smgrbackupclass.TransportProtocol="SFTP" --prop:smgrbackupclass.RepeatType="Weekly" --prop:smgrbackupclass.RepeatFrequency="1" --prop:smgrbackupclass.Year="0" --prop:smgrbackupclass.Month="May" --prop:smgrbackupclass.Day="1" --prop:smgrbackupclass.Hour="0" --prop:smgrbackupclass.Minutes="0" --prop:smgrbackupclass.Seconds="0" --prop:smgreasgclass.EASG_enable="1" --prop:smgrnetworkclass.ntpservers="<IP адрес NTP сервера>" --prop:smgrnetworkclass.timezone="Europe/Moscow" --prop:smgrcliuserclass.custuser="<CLI пользователь>" --prop:smgrcliuserclass.custpasswd="<пароль>" --prop:smgrsnmpclass.username.prefix="<SNMP v3 пользователь>" --prop:smgrsnmpclass.authprotocol.password="<пароль>" --prop:smgrsnmpclass.privprotocol.password="<пароль>" --prop:smgrnetworkclass.ip0="<IP интерфейса управления>" --prop:smgrnetworkclass.netmask="<Маска подсети>" --prop:smgrnetworkclass.gateway="<Шлюз по умолчанию>" --prop:smgrnetworkclass.hostname="<имя машины>" --prop:smgrvfqdnclass.smgrVFQDNHostname="<Virtual Hostname>" --prop:smgrvfqdnclass.smgrVFQDNDomain="<домен>" --prop:smgrnetworkclass.dns="<DNS серверы>" C:\Distr\SMGR-8.1.0.0.733078-e65-48.ova vi://<Vcenter логин>:<Vcenter пароль>@<Vcenter сервер>/<Имя датацентра>/host/<Имя кластера или хоста>




Затем сразу ставим патчи.

вторник, 31 марта 2020 г.

Деплой ASAv 921 на VMWARE

ovftool.exe -ds=<Имя DS> -n=ASAvPrimary --deploymentOption=Primary_1vCPU --net:"Management0-0"="<Порт группа MGMT>" --net:"GigabitEthernet0-0"="<Порт группа>" --net:"GigabitEthernet0-1"="<Порт группа>" --net:"GigabitEthernet0-2"="<Порт группа>" --net:"GigabitEthernet0-3"="<Порт группа>" --net:"GigabitEthernet0-4"="<Порт группа>" --net:"GigabitEthernet0-5"="<Порт группа>" --net:"GigabitEthernet0-6"="<Порт группа>" --net:"GigabitEthernet0-7"="<Порт группа>" --net:"GigabitEthernet0-8"="<Порт группа>" C:\<путь>\asav921.ovf vi://<имя пользователя для vCenter>:<пароль>@<FQDN или IP vCenter>/<Имя датацентра>/host/<Имя хоста>

Обаз должен быть не ova а ovf

пятница, 31 мая 2019 г.

Дешифрование трафика SSL от браузера в Wireshark

В Windows установить переменную среды SSLKEYLOGFILE как путь к какой либо директории на диске имени файла, например дириктория C:\ssltools\sessionkeys
тогда переменная среды SSLKEYLOGFILE будет равна например C:\ssltools\sessionkeys\mykey.
В настройках Wireshark (ctrl+shift+p) в настройках протокола SSL установить путь к этому файлу в поле (pre)-Master-Secret log filename.

понедельник, 26 ноября 2018 г.

ManageEngine Password Manager Pro установка на Linux

Ставим как описано но! в папку /opt/ManageEngine/PMP/
Тогда проблем не будет.
Далее:
/opt/ManageEngine/PMP/bin/pmp.sh install
Далее генерируем сертификат подписанный вашим CA с ASN с FQDN и IP:

cd /opt/ManageEngine/PMP/jre/bin

Закрытый ключ:
./keytool -genkey -alias pmp -keyalg RSA -keysize 2048 -sigalg SHA256withRSA -keypass <какой нибудь пароль> -storepass <какой нибудь пароль> -validity 365 -ext SAN=DNS:pmp.yourdomain.local,DNS:pmp,IP:XX.XX.XX.XX -keystore pmp.keystore

Запрос - отдаем CA:
./keytool -certreq -keyalg RSA -alias pmp -keypass <какой нибудь пароль> -storepass  <какой нибудь пароль> -file pmp.csr -ext SAN=DNS:pmp.yourdomain.local,DNS:pmp,IP:XX.XX.XX.XX -keystore pmp.keystore

Импортируем корневой сертификат:
keytool -import -alias pmp -keypass <какой нибудь пароль>-storepass <какой нибудь пароль> -keystore pmp.keystore -trustcacerts -file <выш корневой сертификат.pem>

Копируем pmp.keystore в например /opt/ManageEngine/PMP/conf
И прописываем это хранилище в двух файлах:
/opt/ManageEngine/PMP/conf/server.xml
и
/opt/ManageEngine/PMP/conf/gateway.conf

В  /opt/ManageEngine/PMP/conf/server.xml
ищем строки наподобие:
<Connector SSLEnabled="true" URIEncoding="UTF-8" acceptCount="100" ciphers="<тут всякие протоколы>" clientAuth="false" debug="0" disableUploadTimeout="true" enableLookups="false" keystoreFile="<тут пишем наш keystore - например conf/pmp.keystore>" keystorePass="<тут пишем наш пароль>" keystorePassEncrypted="false" keystoreType="JKS" maxHttpHeaderSize="32768" maxSpareThreads="75" maxThreads="150" minSpareThreads="25" port="7272" protocol="com.adventnet.passtrix.security.PMPHttp11Nio2Protocol" scheme="https" secure="true" server="PMP" sslProtocol="TLS" truststoreFile="jre/lib/security/cacerts" truststorePass="changeit" truststoreType="JKS" useBodyEncodingForURI="true"/>

И вторая строчка такая же только порт другой - 7070.

А в файле
/opt/ManageEngine/PMP/conf/gateway.conf
Ищем:
keyStore=<тут пишем наш keystore - conf/pmp.keystore>
keyStorePassword="<тут пишем наш пароль>"


Готово.

среда, 31 октября 2018 г.

OpenSSL готовим сертификат и закрытый ключ для импорта на Cisco ASA

Допустим у нас есть сертификат и закрытый ключ, оба в формате PEM
Нам нужен PCKS12 в BASE64

Но у меня тестовый уже в pfx (mycertandkey.pfx) но без промежуточного внутри, так что сначала получим из pfx - pem:

openssl pkcs12 -in mycertandkey.pfx -nocerts -out mycert.key

Вводим пароль на pfx, потом вводим пароль  на новый файл
Получаем файл с ключом но зашифрованный

openssl pkcs12 -in mycertandkey.pfx  -clcerts -nokeys -out mycert.pem
Получаем наш сертификат без корневого и промежуточного

openssl rsa -in mycert.key -out mycert.npkey 
Делаем закрытый сертификат без пароля (не зашифрованный).

Проверка соответствия закрытого ключа сертификату:

openssl rsa -noout -modulus -in mycert.npk | openssl md5

openssl x509 -noout -modulus -in mycert.pem | openssl md5

Хэши должны совпадать.

Далее нам нужен сертификат + промежуточный + корневой + закрытый ключ в base64

Сначала собираем все в pfx (потребуется создать пароль)
openssl pkcs12 -export -out certandinterandcaandkey.pfx -inkey mycert.npkey -in mycert.pem -certfile CaAndIntermediate.pem

CaAndIntermediate.pem - этофайл где лежат один за одним промежуточный сверху и корневой снизу (просто в notepad копируем в один файл эти два сертификата в формате pem)

И теперь получаем это все в Base64:
openssl base64 -in certandinterandcaandkey.pfx -out certandinterandcaandkey.base64

Теперь на Cisco ASA можно его импортировать:

crypto ca trustpoint TESTCAT
  enrollment terminal
  exit

crypto ca  import  TESTCAT pkcs12 и тут пароль на тот самый base64 файл
Вставляем сюда текст из файла
потом набираем quit