К сожалению, это не самый безопасный путь резервирования, так как любой другой пользователь, просмотрев список процессов, легко сможет увидеть рутовый пароль. Чем это чревато, думаю, объяснять не нужно.

Сегодня на одном из форумов наткнулся на более безопасный вариант — использование опции --defaults-extra-file, которая позволяет вынести параметры, в том числе и пароль, во внешний файлик. Таким образом можно легко обезопаситься от подглядывания.

Формат файла следующий:

host:~ # cat client.cnf
[client]
host     = localhost
user     = root
password = xxxxxxxxxxx
socket   = /path/to/mysqld/mysqld.sock

Единственный ньюанс при использовании опции --default-extra-file — она должна использоватся в качестве первого аргумента команды:

To work properly, each of these options must immediately follow the command name, with the exception that --print-defaults may be used immediately after --defaults-file or --defaults-extra-file. Also, when specifying file names, you should avoid the use of the “~” shell metacharacter because it might not be interpreted as you expect.

В противном случае возникает малоинформативная ошибка, попытка решить которую, собственно, и сподвигла написать меня этот пост:

host:~ # mysqldump  -uroot --defaults-extra-file=client.cnf mydatabase
mysqldump: unknown variable 'defaults-extra-file=client.cnf'

Нет похожих заметок.

Ну и, естественно, как и к любому другому интерфейсу управления, доступ к iLO очень желательно ограничить пакетным фильтром. Вот таблица используемых для работы TCP-портов, которые необходимо открыть для доверенных хостов.

Заметки по теме:

1. lsof для сетевого администратора
2. Привязка MAC-адресов к портам в Catalyst
3. Восстановление доступа к коммутаторам Cisco Catalyst (2900—3700 серии)

Для проведения процедуры необходимо подключиться к коммутатору терминальным клиентом (например putty) при помощи консольного кабеля. Скорость подключения, если кто не помнит, должна быть 9600 bps.

Для начала нужно загрузить железяку в режим «switch:». Для этого выключаем устройство, затем включаем и смотрим в терминал. Как только появились первые строчки, свидетельствующие о начале загрузки, жмем кнопку «mode», которая находится слева на передней панели коммутатора.

!--- ждем начала загрузки
Boot Sector Filesystem (bs) installed, fsid: 2
Base ethernet MAC Address: 00:19:06:f9:7e:80
Xmodem file system is available.
The password-recovery mechanism is enabled.
Initializing Flash...
!--- здесь нажали кнопку mode
flashfs[0]: filesystem check interrupted!
...done Initializing Flash.

The system has been interrupted, or encountered an error
during initializion of the flash filesystem.  The following
commands will initialize the flash filesystem, and finish
loading the operating system software:

    flash_init
    boot
switch:

Дальше нужно выполнить предложенную команду flash_init.

switch: flash_init
Initializing Flash...
flashfs[0]: 6 files, 1 directories
flashfs[0]: 0 orphaned files, 0 orphaned directories
flashfs[0]: Total bytes: 32514048
flashfs[0]: Bytes used: 8490496
flashfs[0]: Bytes available: 24023552
flashfs[0]: flashfs fsck took 10 seconds.
...done Initializing Flash.

switch:

Теперь убеждаемся, что мы имеем доступ к карте памяти — dir flash:

switch: dir flash:
Directory of flash:/

    2  -rwx  5144                     multiple-fs
    3  -rwx  3016                     vlan.dat
    5  -rwx  6393                     config.text
    6  -rwx  8471143                  c2960-lanbasek9-mz.122-52.SE.bin
    7  -rwx  1912                     private-config.text
  549  -rwx  107                      info

24023552 bytes available (8490496 bytes used)
switch:

Теперь переименовываем файл конфигурации коммутатора flash:config.text во что нибудь другое:

switch: rename flash:config.text flash:config.old
switch:

Теперь нужно загрузить коммутатор при помощи команды boot:

switch: boot
Loading "flash:/c2960-lanbasek9-mz.122-52.SE.bin"...@@@@@@@@@@@@@@@@@@@@@
...
File "flash:/c2960-lanbasek9-mz.122-52.SE.bin" uncompressed and installed, entry point: 0x3000
executing...

Поскольку коммутатор загрузился без файла конфигурации, он предложит провести начальную настройку. Нам это не нужно, отказываемся.

         --- System Configuration Dialog ---
Enable secret warning
----------------------------------
In order to access the device manager, an enable secret is required
If you enter the initial configuration dialog, you will be prompted for the enable secret
If you choose not to enter the intial configuration dialog, or if you exit setup without setting the enable secret,
please set an enable secret using the following CLI in configuration mode-
enable secret 0 
----------------------------------
Would you like to enter the initial configuration dialog? [yes/no]: no
Switch>

Переходим в enable-режим, при помощи одноименной команды enable и исправляем то, что мы натворили.

Переименовываем сохраненную конфигурацию обратно:

Switch>en
Switch#
Switch#rename flash:config.old flash:config.text
Destination filename [config.text]?
Switch#

Подгружаем файл конфигурации:

Switch#copy flash:config.text running-config
Destination filename [running-config]?

% Generating 1024 bit RSA keys, keys will be non-exportable...
00:05:26: %SYS-6-CLOCKUPDATE: System clock has been updated from 00:05:26 UTC Mon Mar 1 1993 to 02:05:26 IEE Mon Mar 1 1993, configured from console by console.[OK]
00:05:30: %LINK-5-CHANGED: Interface FastEthernet0/24, changed state to administratively down
00:05:31: %SSH-5-ENABLED: SSH 1.99 has been enabled
6393 bytes copied in 7.718 secs (828 bytes/sec)
с2960-rack01#

Теперь осталось сделать то, ради чего мы и проделали все эти манипуляции: подправить конфигурацию, изменить пароль пользователя/enable и т.д. и т.п. Конфигурируем, сохраняемся и перезагружаемся.

Заметки по теме:

1. Как правильно обновить IOS в формате tar на коммутаторах Cisco Catalyst
2. Архивация конфигурации средствами Cisco IOS
3. Какие TCP/IP порты открыть для доступа к iLO

• Configuring Security with Passwords, Privilege Levels, and Login Usernames for CLI Sessions on Networking Devices
• How to Assign Privilege Levels with TACACS+ and RADIUS

Только в таком подходе есть один недостаток — необходимость определить набор команд, разрешенных для некого уровня привилегий, на каждом устройстве. И когда вам необходимо предоставить доступ на добрую сотню маршрутизаторов, то этот подход потеряет всякий смысл.

Выход — ограничить пользователя средствами AAA сервера, используя авторизацию команд. Поскольку я использую бесплатный tacacs+, то решение приводится для него.

Разрешенные к выполнению команды необходимо описать в секциях:

cmd = _имя_команды_ {}

.

Набор разрешенных аргументов команды задется при помощи шаблона и действия «deny» или «permit», которое применится к шаблону.

user = someuser {
  member = only_show_cmd
  password = des xxxxxxxxxx
}
group = only_show_cmd {
  default service = deny
  service = exec {
    priv-lvl = 15
    idletime = 10
  }
  cmd = show {
    permit "running-config.*"
    permit "ip int.*"
    permit "controllers.*"
  }
}

Дополнительно необходимо запретить выполнение явно не определенных команд при помощи параметра default service = deny.

Заметки по теме:

1. Как мониторить изменения конфигурации Cisco средствами IOS
2. Вывод некоторых команд Cisco IOS
3. Cisco: QOS для туннельных интерфейсов

Делается это следующим образом. Для начала нужно явно перевести порт в режим access и включить на порту port-security. Далее, для того, чтобы не прописывать руками на каждом порту MAC-адреса (фу какая гадость), нужно заставить коммутатор самому их изучить командой port-security mac-address sticky.

Приблизительно так:

interface FastEthernet0/14
 switchport mode access
 switchport access vlan XX
 switchport port-security
 switchport port-security violation protect
 switchport port-security mac-address sticky

После того, как каталиста увидит MAC-адрес сетевого устройства за портом, на интрефейсе появится дополнительная команда с этим маком:

switchport port-security mac-address sticky 0007.e9a7.125e

Изменить приклеенный MAC можно двумя путями: либо просто убрать эту строку из конфигурации порта, либо выполнить команду clear port-security.

Состояние сконфигурированного порта:

cat230#sh port-security interface fa0/14
Port Security              : Enabled
Port Status                : Secure-up
Violation Mode             : Protect
Aging Time                 : 0 mins
Aging Type                 : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses      : 1
Total MAC Addresses        : 1
Configured MAC Addresses   : 0
Sticky MAC Addresses       : 1
Last Source Address:Vlan   : 0007.e9a7.125e:1
Security Violation Count   : 0

Ещё пара моментов. Как видно из вышеприведенного конфига, на порту присутствует команда:

switchport port-security violation protect

Она заставляет коммутатор просто отбрасывать пакеты с несоответствующим маком. Если её не указать явно, то сработает команда по умолчанию:

switchport port-security violation shutdown

При этом, при подключении устройства c другим MAC, порт уйдет в shutdown и его нужно будет потом поднимать руками. Это конечно безопаснее, но немного неудобно, особенно, если сеть большая.

Если в порт может подключаться несколько устройств, то можно увеличить количество запоминаемых адресов можно командой:

switchport port-security maximum  {1-4097}

Дополнительные команды можно посмотреть в Cisco IOS Security Command Reference.

Заметки по теме:

1. Восстановление доступа к коммутаторам Cisco Catalyst (2900—3700 серии)
2. Как правильно обновить IOS в формате tar на коммутаторах Cisco Catalyst
3. Использование протокола SNMP v3 в сетевых устройствах Cisco

Часть настроек остается без изменений. Определение политики isakmp для фазы 1:

crypto isakmp policy 10
 encr 3des
 authentication rsa-sig
 group 2

Далее, нам нужет transform-set:

crypto ipsec transform-set SET1 esp-3des esp-sha-hmac
 mode transport

Ну и, если используется аутентификация по ключам (PSK), то нужно определить для удаленного хоста ключик:

crypto isakmp key somekey address xxx.xxx.xxx.xxx

Создаем профиль:

crypto ipsec profile TUNNEL
 set transform-set SET1

Осталось на туннельном интерфейсе указать этот профиль:

interface Tunnel0
 ip address 192.168.1.1 255.255.255.252
 …
 tunnel protection ipsec profile TUNNEL

Пингуем удаленный конец туннеля и видим как поднимается ipsec.

Если посмотреть show crypto ipsec sa, то можно увидеть, что криптуется весь GRE-траффик между tunnel source и tunnel destination. Пиром является tunnel destination.

Если у вас много туннелей, то использование профилей может немного облегчить вам жизнь.

Заметки по теме:

1. Избитая тема. IPSec между Cisco и D-Link
2. CheckPoint Edge: IPSec по PPP
3. Использование протокола SNMP v3 в сетевых устройствах Cisco

Опробовав схему Squid и LDAP-аутентификация из Active Directory обнаружила некоторые неудобства. (см. комментарии от Аnna)

Вариант с NTLM мне не подходит т.к. для него нужно членство в домене и использование Samba, что меня не устраивает.

Т.о. приходим к идее проверять пользователя через Kerberos.

Преимущество в том, что пользователь даже не знает что его credentials проверяют, ему не нужно вводить логин пароль. Все берется из его текущей Windows сессии.

Если есть желание подковаться в теории, то читаем вот это
http://technet.microsoft.com/ru-ru/library/bb742431 (en-us,printer).aspx.

До манипуляций рабочая машина у меня:

Debian Etch 2.6.5-6etch1
Squid Cache: Version 2.6.STABLE5
в стабильной версии —
libkrb53 1.4.4-7etch5
krb5-user 1.4.4-7etch4
ldap сервер не нужен.

Для аутентификации пользователя в Kerberos необходима схема auth_param negotiate с хелпером squid_auth_kerb.

В стандартной сборке сквида этой схемы нет (см. squid -v).
Данная схема появилась только начиная с версии сквида 2.6.14

Судя по списку файлов squid3 для дебиана, схемы negotiate здесь тоже нет.

Поэтому — смотрим на source файлы для следующей сборки Debian — Lenny, где в версии 2.7 керберос уже поддерживается, а сам сквид уже в стадии Stable. Lenny обещают в сентябре, думаю там уже не придется что то подкручивать.

Маленькое отступление — тестировалось все на виртуальной машине с Ubuntu Server 8.04, т.к. она основана на debian packages и версии нужных пакетов в ней выше чем в Etch. Как сделать это на Etch Debian расскажу ниже.

Версии пакетов на убунту:

krb5-config — 1.17
krb5-user — 1.6.dfsg.3~beta1-2ubuntu1
libkrb5-dev — 1.6.dfsg.3~beta1-2ubuntu1
libkrb53 — 1.6.dfsg.3~beta1-2ubuntu1
squid — 2.6.18

1. Сборка сквида с необходимыми параметрами

Отступление: по началу я пробовала собрать пакеты из src для текущей версии 2.6.18, но там нужно было править файл rules, потому что по умолчанию не собиралась схема negotiate, и делать какие то ручные компиляции.

Скачиваем и распаковываем source (3 файла должны лежать в одной директории) из lenny репозитария.

dpkg-source -x squid_2.7.STABLE3-1.dsc

В файле debian/rules который dpkg использует для сборки пакета, видно, что собираться сквид будет с нужными нам параметрами, а именно

 --enable-auth="basic,digest,ntlm,negotiate" \
 --enable-negotiate-auth-helpers=squid_kerb_auth \
 --enable-external-acl-helpers="ldap_group" \

Поскольку digest,ntlm не нужны — их можно не собирать. Естественно, в системе должны быть установлены все пакеты необходимы для сборки .deb из src. (dpkg-dev, debconf-utils, dpatch, build-essential, libdb-dev, libgss-dev, libgss0, libldap2-dev, libpam0g-dev, sharutils, po-debconf, libkrb5-dev, libgssglue-dev, и пр.)

На самом деле, при попытке собрать командой dpkg-buildpackage-rfakeroot -b (если вы хотите собрать пакет не будучи рутом, это можно сделать с использованием -rfakeroot.

Пакет fakeroot должен быть установлен) система скажет каких пакетов ей не хватает для сборки, поэтому заранее ставить все подряд не обязательно.

Если у вас что то не получится с таким способом сборки, то русский мануал по дебиану говорит что можно собирать через

debian/rules build
debian/rules binary

После сборки пакета имеем 3 файла

squid_2.7.STABLE3-1_i386.deb
squid-common_2.7.STABLE3-1_all.deb
squid-cgi_2.7.STABLE3-1_i386.deb

Ставим squid-common и squid.

Теперь надо собрать хелпер. Дело в том, что в исходниках дебиана предусмотрена возможность использования как MIT kerberos так и Heimdal, поэтому сам хелпер собрался под нечто неопределенное(без поддержки SPNEGO), и при тестировании полностью сконфигурированных(пп 1-4) squid+kerb давал ошибку.

2008/08/04 18:33:48| squid_kerb_auth: parseNegTokenInit failed with rc=101
2008/08/04 18:33:48| squid_kerb_auth: received type 1 NTLM token
(squid_kerb_auth): ../../../../src/lib/gssapi/generic/util_validate.c:162: g_validate:Assertion `(&(&_m->os)->n)->initialized ==
K5_MUTEX_DEBUG_INITIALIZED' failed.

Поэтому в исходниках из файла ./helpers/negotiate_auth/squid_kerb_auth/readme.txt копируем кусок

#!/bin/sh
DEFINE_SPNEGO=-DHAVE_SPNEGO
#MIT
  DEFINE="$DEFINE_SPNEGO -D__LITTLE_ENDIAN__"
  INCLUDE=-Ispnegohelp
  LIBS="-lgssapi_krb5 -lkrb5 -lcom_err"
#
SPNEGO="spnegohelp/derparse.c spnegohelp/spnego.c  spnegohelp/spnegohelp.c spnegohelp/spnegoparse.c"
SOURCE="squid_kerb_auth.c base64.c"
gcc -o squid_kerb_auth $DEFINE $INCLUDE $SOURCE $SPNEGO $LIBS

В файл и запускаем его. Полученный после перекомпиляции файл squid_kerb_auth кладем в /usr/lib/squid (или ту директорию куда ваш сквид сложил все хелперы).

2. Windows AD DC

Теперь надо создать на АД тикет(кейтаб) для пользователя, под которым будет проверяться валидность win-пользователя собравшегося в интернет.

В АД создаем пользователя у которого будет никогда не кончающийся пароль и никогда не блокирующийся аккаунт(напр. AD=mydomain.lan;user=krbldap; пароль=krbldappassword; )
В AD DNS вносим записи про наш squid сервер напр. vm-ubuntu.mydomain.lan(A) & (PTR) (если у вас самба, и линукс введен(join) в домен, то эти записи там есть)

C:\Program Files\Support Tools>ktpass -princ HTTP/vm-ubuntu.mydomain.lan@MYDOMAIN.LAN -mapuser krbldap -crypto des-cbc-md5 -pass "krbldappassword" -ptype KRB5_NT_SRV_HST -out krbldap.mydomain.lan.keytab

Важно указать принципалом именно hostname (в данном примере — vm-ubuntu) потому что, в свойствах ФФ и ИЕ прописываем vm-ubuntu.mydomain.lan а не IP. Если все таки необходимо указывать иное имя , а не то, что отдает дебиан по hostname -a, его нужно указать сквиду в параметре visible_hostname conf файла.

Копируем созданный файл krbldap.mydomain.lan.keytab в /etc/squid .

3. Kerberos. Настройка krb5.conf

[libdefaults]
        default_realm = MYDOMAIN.LAN
        dns_lookup_realm = true
        dns_lookup_kdc = true
        kdc_timesync = 1
        ccache_type = 4
        forwardable = true
        proxiable = true

[realms]
        MYDOMAIN.LAN = {
                kdc = ad_server.mydomain.lan:88
                admin_server = ad_server.mydomain.lan
                default_domain = mydomain.lan
        }
[domain_realm]
        .mydomain.lan = ad_server.mydomain.lan
        mydomain.lan = ad_server.mydomain.lan

Проверяем, сможет ли сквид зарузить созданный тикет.

!!! NB разница во времени между линуксом и АД должна быть не больше 5 минут.

kinit -V -k -t /etc/squid/krbldap.mydomain.lan.keytab HTTP/vm-ubuntu.mydomain.lan

Если все удачно, вы получите ответ «Authenticated to Kerberos v5»

Проверить список тикетов в кэше можно командой klist.

На сам тикет ставим права

chmod 400 /etc/squid/krbldap.mydomain.lan.keytab
сhown nobody /etc/squid/krbldap.mydomain.lan.keytab

4. Настройка сквида

В файл /etc/init.d/squid добавляем строки

KRB5_KTNAME=/etc/squi/krbldap.mydomain.lan.keytab
export KRB5_KTNAME

Для того чтобы аутентифицировать пользователя, в файл squd.conf добавляем схему negotiate и хелпер squid_kerb_auth (никакой другой схемы у меня не указано, т.к. я раздаю инет только пользователям членам домена АД. Для других пользователей можно включить basic (см. статью Dormestmass'a про аутентификацию через LDAP))

(здесь, и далее все добавления делаются в соответствии с контекстным хелпом squid.conf файла, не забывайте что порядок появления строк в файле имеет значение)

auth_param negotiate program /usr/lib/squid/squid_kerb_auth -d -s HTTP/vm-debian.mydomain.lan@MYDOMAIN.LAN
auth_param negotiate children 5
auth_param negotiate keep_alive on

Опция -d (debug) позволит в протоколе видеть ошибки — потом можно отключить. Без нее на этапе тестирования может просто тихо не работать, не сообщая даже ошибки.

Теперь нужно авторизовать аутентифицированного пользователя. И делаем мы это с помощью squid_ldap_group.

Привожу пример просто для группы пользователей, которым можно ходить в интернет. если нужно разбивать на группы с урезанием ширины пропускания — настройки аналогичные. Настройки групп см. опять же в статье Dormestmass'a .

В примере:
группа INTERNET_ALLOWED создана в OU spb.mydomain.lan — туда добавлены пользователи которым разрешено ходить в интернет.(напр any_ad_user)
IP.OF.AD.DC = IP адрес AD сервера указанного в
krb5.conf (хотя можно писать и имя).

Проверяем в sh сможет ли сквид проверить права пользователя

#/usr/lib/squid/squid_ldap_group -R -b "dc=mydomain,dc=lan" -f "(&(objectclass=user)(sAMAccountName=%v)(memberof=cn=%a,ou=spb,dc=mydomain,dc=lan))" -D "krbldap@mydomain.lan" -w "krbldappassword" -K -d IP.OF.AD.DC
any_ad_user INTERNET_ALLOWED
OK
other_user INTERNET_ALLOWED
ERR

Если вводя данные в формате «ADuser ADgroup» вы получаете ожидаемое — значит работает. проверять можно и на любых других группах АД, не обязательно связанных со сквидом.

Если проверка работает , добавляем в squid.conf

external_acl_type ldap_check ttl=1200 %LOGIN /usr/lib/squid/squid_ldap_group -R -b "dc=mydomain,dc=lan" -f "(&(objectclass=user)(sAMAccountName=%v (memberof=cn=%a,ou=spb,dc=mydomain,dc=lan))" -D "krbldap@mydomain.lan" -w "krbldappassword" -K -d IP.OF.AD.DC

acl inet_access external ldap_check INTERNET_ALLOWED
http_access allow inet_access
http_access deny all

ttl в данном случае — время в секундах проверки выданных пользователям credentials т.е. если вы выведете пользователя any_ad_user из AD группы «INTERNET_ALLOWED» то его права на хождение в веб проверятся в течении 20 минут. по умолчанию ttl=3600s.

Хотя здесь опция -d это --debug, без нее мне запустить не удалось.

А вот самая интересная здесь как раз опция -K которая отвечает за parse username. Грубо говоря, она отделяет имя пользователя от @REALM получая на входе %LOGIN.

Перезапускаем сквид и вуаля!

Кстати, по истечении времени keytab, команда klist ничего не показывает, но видно что тикет получает renew в кэше

 Kerberos 4 ticket cache: /tmp/tkt0

Видимо действительно после загрузки в кеш его можно сразу kdestroy.

5. Проверка. Особенности работы пользовательского браузера.

Сразу говорю в IE версии < 7 не работает. Это связанно с отсутствием поддержки proxy_auth в более ранних версиях IE.

Почитать можно здесь http://support.microsoft.com/kb/321728/.

У меня в сети IE 6.0; в IE7 все сделанное не проверяла — т.к. у меня ее нет, и IE 7 не имеет дистрибутивов под 2000, дистриб от ХП — не ставится, ему не хватает cryptography service который в вин2000 отсутствует. никакие махинации (пол дня) не помогли.

Оперу тоже не проверяла.

(Если протестируете — не поленитесь — отпишите результаты в комментарии).

В ФФ работает без проблем. (тестировалось на версии 3.0.0.)

В моем случае пришлось поступить так:
т.к. пара сервисов, используемых в работе сотрудников требуют работы ActiveX с проверкой CA, что работает только в IE, то я через iptables открыла доступ к этому сайту на порты 80, 443 мимо сквида. (остальные обращения на 80,443 напрямую — закрыть).

В Group Policy на AD выставила всем пользователям No proxy в настройках IE.

Поскольку авторизующий сквид не может быть быть transparent, то всем пользователям в FF Выставлен прокси руками. (наверно мой следующий исследовательский шаг — это WPAD)

Т.о. мимо сквида будет работать только этот сайт через IE (вне зависимости от версии). Все остальное заработает только в ФФ.

Более того, чтобы у пользователей была полная иллюзия работы только в FireFox туда поставлен IE Tab add-on, с занесением в фильтр адреса того самого сайта. И набирая в ФФ адресной строке адрес или открывая из bookmarks — ФФ автоматически открывает iexplore.exe внутри своего таба.

6. debian. «пока не пришел Lenny»

Проблема дебиана в том, что все пакеты, затрагиваемые данной схемой работы у него староваты. В частности, даже собранный образом сквид не может обработать ответ АД на запрос об аутентификации, потому что krb5 его выдает неправильно(староват — шепелявит ).

И тем, кто не боится брать пакеты testing- можно делать следующее...

В /etc/apt/source.list прописать взятие как stable так и testing.

Сделать apt-update

Мой apt, будучи не в силах обработать такой огромный список пакетов выпадал с ошибкой.

E: Dynamic MMap ran out of room

Для решения проблемы, цитирую

Put this in /etc/apt/apt.conf and the problem goes away, at least it did for me today:
APT::Cache-Limit 12582912;

И после апдейта обновляйте пакет

apt-get -t testing install krb5-user

Он потянет за собой кучу libc и прочих. Но после этого — все заработает.

rem: для Etch собирать сквид пришлось не через dpkg-buildpackage, а через запуск debian/rules (build \ binary)

Желаю всем успехов во внедрении решения.

Спасибо Роману Шрамко (Dormestmass) за предоставленное место для размещения этого howto и Станиславу В. за всякого рода подсказки.

anna.skorokhodova@gmail.com

Заметки по теме:

1. Squid и LDAP-аутентификация из Active Directory
2. Squid: привязка имени пользователя к IP
3. Аутентификация в Apache из LDAP

Кроме плагина потребуется получить ещё и сам сертификат. Не знаю как кому, а я мне жаль выкинуть деньги на него, тем более для бесплатной веб-почты. Поэтому лучше найти шаровое решение этого вопроса. Можно конечно сгенерировать self-signed certificate (при этом на него будут ругаться почтовые клиенты получателей), а можно и заиметь его бесплатно . Вот есть документик как раз по этой теме Sources of Free SMIME Certificates.

Я получил для себя сертификатик на год от Comodo SSL. Правда в самом сертификате указали, что «PERSONA NOT VALIDATED», но меня это особо не волнует.

После втягивания полученного сертификата в браузер все готово для работы.

Заметить работу плагина можно при составлении нового сообщения, где появились две кнопки на панели инструментов для цифровой подписи и шифрования.

При получении подписанного или зашифрованного письма плагин автоматически произведет все необходимые действия.

Если письмо было подписанно невалидным сертификатом то, как и в любом «большом» почтовом клиенте, выдается предупреждение. В данном случае, я отправил письмо, подписанное нашим внутренним центром сертификации.

К сожалению, как видно из скриншота, проверка цифровых подписей не предусмотрена, хотя шифрование работает почти нормально.

Редко что обходится без ложки дегтя, вот такая ложка и в случае с плагином обнаружилась. Она касается кириллицы (я даже не удивлен) в зашифрованных сообщениях. Если кодировка полученного закриптованного письма отлична от UTF-8, то мы получим чудестные крокозяблы в теле письма. Хотя, IMHO, это больше похоже на проблему браузера, чем плагина.

Но, в принципе, на этот маленький недостаток можно закрыть глаза, попросив своих адресатов писать в кодировке UTF-8, особенно если учесть, что мы имеем возможность защищать без особых усилий свою корреспонденцию на бесплатном почтовом сервере.

Заметки по теме:

1. Защита служб, которые не поддерживают работу с SSL
2. sendmail и копирование почты

Как правило, в варианте подключения, который я использую, присутствует два маршрутизатора cisco, между которыми поднят GRE-туннель. Ну и в настройках IPSec интересным трафиком (ну который нам надо закриптовать) является именно этот GRE-трафик. Все логично, легко и просто.

Вот сегодня столкнулся с ситуацией, когда надо закриптовать трафик между нашей сеткой и сетью, находящейся за D-Link-ом. В этих устройствах отсутствует возможность построения GRE-туннелей, поэтому в начале этот вариант показался тупиковым.

Но, всё оказалось не так плохо. Явный туннель строить не пришлось

Итак, есть две сети, которые нужно объединить посредством IPSec, скажем 132.132.132.0/30 со стороны циски и 192.192.192.0/30 со стороны длинка. Внешний интерфейс на cisco имеет адрес xxx.xxx.xxx.xxx, а на d-link — yyy.yyy.yyy.yyy.

Ну и схема:

+==============+----    cisco    ---------------------   d-link   ---+==============+
 132.132.132/30        xxx.xxx.xxx.xxx                 yyy.yyy.yyy.yyy      192.192.192/30

Настройки на D-Link-e:

Local subnet: 192.192.192.0
Local netmask: 255.255.255.252
Remote subnet: 132.132.132.0
Remote netmask: 255.255.255.252
Remote gateway: xxx.xxx.xxx.xxx
Preshared key: mycryptokey

Настройки IKE proposal:

DH group: Group2
Encryption algorithm: 3DES
Auth algorithm: md5

Настройки IPSec proposal:

DH group: Group2
Encap protocol: ESP
Encryption algorithm: 3DES
Auth algorithm: sha
Life time: 28800

Маршрут на удаленную сеть, как оказалось прописывать не надо, D-Link берет его из настроек (как не удивительно .

Настройки циски с другой стороны. Политика для фазы 1 (которая в d-link-e описана в параметрах IKE proposal):

!
crypto isakmp policy 10
 encr 3des
 hash md5
 authentication pre-share
 group 2
!

Собственно, сам pre-shared ключик:

crypto isakmp key mycryptokey address yyy.yyy.yyy.yyy

Настройки для фазы 2:

!
crypto ipsec transform-set unodostres esp-3des esp-sha-hmac
!
crypto map remotenet 10 ipsec-isakmp
 set peer yyy.yyy.yyy.yyy
 set security-association lifetime seconds 28800
 set transform-set unodostres
 set pfs group2
 match address 110
!

Параметры transform-set + map естессно должны соответствовать длинковским IPSec proposal.

Интересный трафик, который нужно закриптовать, описан через АЦЛ (а в длинке это выглядит как Local Network — Remote Network):

!
access-list 110 permit ip 192.192.192.0 0.0.0.3 132.132.132.0 0.0.0.3
access-list 110 permit ip 132.132.132.0 0.0.0.3 192.192.192.0 0.0.0.3
!

Ну и необходимо применить наш crypto map на интерфейсе с внешним IP:

interface Serial4/0.41 point-to-point
 …
 ip address xxx.xxx.xxx.xxx 255.255.255.252
 crypto map remotenet
 …
!

Для того, чтобы это все работало, на cisco необходимо явно указать маршрут на удаленную сеть.

ip route 192.192.192.0 255.255.255.252 Serial 4/0.41

Основная сложность заключалась в подборе соответствующих друг-другу параметров IKE, IPSec и интересного трафика в ACL. При правильных настройках IPSec поднимается практически моментально.

Для проверки работоспособности схемы проще всего всунуть какой-нить промежуточный маршрутизатор между cisco и d-link и запустить на нем tcpdump. Особо желающие могут поиграться с debug ip packets на циске .

Заметки по теме:

1. Использование IPSec profiles для защиты GRE туннелей
2. Маршрутизаторы cisco: Неравнозначная балансировка нагрузки при помощи статических маршрутов
3. CheckPoint Edge: IPSec по PPP

К счастью, не всё так плохо. Существует ряд программ для упорядочненного хранения паролей и другой конфиденциальной информации в зашифрованном виде. Как правило, эти программы имеют древовидную структуру хранилища данных, что позволяет эффективно группировать и классифицировать хранимую информацию. При иcпользовании данного ПО пользователю достаточно помнить лишь один пароль — для доступа к базе, да и то не во всех случаях. Некоторые хранилки паролей позволяют сгенерировать ключик для доступа, который можно носить на флешке, дискете etc.

В данном посте я попытался сделать обзор некоторых представителей этого подмножества ПО. Критериями отбора программ были использование криптостойких алгоритмов шифрования, удобство использования и, что немаловажно, кросплатформенность. Последний, в моем случае, имел решающее значение, ибо на работе у меня FreeBSD, дома — Windows XP, а в кармане — PocketPC. А файл паролей хочется иметь один.

Итак…

MyPasswordSafe

Данный менеджер не совсем кросплатформенный, однако его база паролей совместима с Password Safe, который я долгое время использовал на платформе Win32. Домашняя страница проекта — http://www.semanticgap.com/myps/.

Файл паролей шифруется при помощи алгоритма Blowfish. Как хвалятся разработчики Password Safe, первая версия этой программы была написана Брюсом Шнайером (автором Blowfish). Наверное это «преимущество» можно перенести и на MyPasswordSafe, раз уж они используют одинаковый формат этого файла? Кстати, поддерживаемый формат файла — 2 (на данный момент в Password Safe используется третья версия формата с алгоритмом криптования Twofish).

Программа является довольно простенькой, что является скорее плюсом, чем минусом, и имеет незатейливый интерфейс. По двойному клику на записи содержимое пароля копируется в буфер. Из дополнительных фич присутствует автогенерация «безопасного» пароля, блокировка при минимизации приложения, блокировка программы и очистка буфера обмена по тайм-ауту.

Gorilla

В отличие от предыдущего кандидата на установку, данное приложение является кросплатформенным в полном смысле этого слова. Домашняя страница проекта — http://www.fpx.de/fp/Software/Gorilla/.

Приложение написано на TCL/TK, чем и объясняется его работа практически на любой платформе, где имеется интерпретатор данного языка. Доступны версии для Windows, Mac OS X, Linux, Solaris, *BSD, а также инструкции по установке на других платформах. Ведется работа над поддержкой на платформе Pocket PC. Версия для Windows статически слинкована с Тиклом и не требует его дополнительной установки.

Как в случае с MyPasswordSafe, разработчики Гориллы клянутся в любви к Password Safe и обещают совместимость формата файлов. Для шифрования базы паролей используется алгоритм Twofish. Поддерживается формат Password Safe 3.

Данное приложение похоже на своего Windows-брата как две капли воды. Определенно не понравились шрифты, которые использутся Тиклом по умолчанию, но, думаю, что это дело быстро поправимо. Несмотря на использование интерпретируемого языка, программа работает довольно шустро. Фичи у программы один в один с Password Safe и MyPasswordSafe.

KeePassX

Данный менеджер паролей отличается от двух предыдущих тем, что он не пытается быть совместимым с PasswordSafe У него есть свой большой брат на платформе Windows — KeePass. Домашняя страница проекта — http://keepassx.sourceforge.net/.

Программа портирована на платформы Linux/Unix/MacOS X, Pocket PC, Symbian, J2ME, BlackBerry и PalmOS.

Для шифрования баз паролей доступны алгоритмы AES и Twofish. Для хеширования мастер-пароля используется SHA-256 и именно этот хеш является ключом шифрования базы. Также реализована работа с ключевыми файлами. Программа может импортировать данные из PwManager и KWallet.

В программе реализована автоочистка буфера обмена, автогенерация паролей, оценка качества паролей. База паролей имеет больше полей, чем у Password Safe, ну и больше возможностей. Например, к записям можно цеплять файлики. Каждой записи или группе можно присвоить иконку, коих всего 62 штуки. Блокировка программы отсутствует. В целом, данная программа выглядит наиболее симпатично.

К слову, автор блога использует именно эту программу для хранения своих конфиденциальных данных.

Для чистоты эксперимента проверил совместимость между Гориллой,Password Safe и MyPasswordSafe. Программы действительно полностью совместимы, при условии использования формата файла паролей Password Safe 2. Если используется формат 3, то MyPasswordSafe отпадает по понятной причине.

Нет похожих заметок.