Aller au contenu | Aller au menu | Aller à la recherche
jeudi 21 avril 2011
Par Prolag le jeudi 21 avril 2011, 15:27
Juste un petit message pour indiquer que j'ai passé la certification
ACMX (Aruba Certified Mobilty Expert) avec succès !
Je suis donc maintenant un Expert WiFi Aruba :D
mercredi 23 mars 2011
Par Prolag le mercredi 23 mars 2011, 12:35
Je ne pense pas que j'ai besoin de vous presenter Shrew VPN...
Juste pour vous indiquez que le logiciel Shrew VPN devrait bientot etre
disponible en français !
En effet, j'ai réalise la traduction de ce logiciel ! et l'integration
est prévu dans la prochaine version ! (2.2.1) d'apres la TODO list
!
Un petit avant gout de la version française :
Le post de
la traduction sur la liste de diffusion VPN-Devel de Shrew
Merci à Eric & Mathieu pour la relecture !
Au passage, plus d'un an et demi apres l'ouverture de demande d'integration
(Bug #518441)
de Shrew à Fedora/Redhat, la demande a été accepté !
Maintenant Shrew est disponible pour Fedora (13/14/15)
dimanche 30 janvier 2011
Par Prolag le dimanche 30 janvier 2011, 15:24
Depuis plusieurs mois, je travail sur l'amélioration du dissector ICMPv6 de
Wireshark.
En effet, lors de travaux sur l'IPv6. j'ai constaté que le dissector n'était
pas parfait...
Et après une étude du code rapide, que le code l'était encore moins !
(utilisation de struct, non utilisation de proto_tree_add_item...)
J'ai donc proposer une série de patch pour améliorer le support d'ICMPv6
dans Wireshark :
Voila ce que ca donne maintenant :
Maintenant Wireshark est pret pour troubleshooter l'IPv6 Day ! (enfin si il y a des
problemes...)
L'ensemble des modifications sont disponibles dans la version de développement (>=1.5.0) de Wireshark
mercredi 1 décembre 2010
Par Prolag le mercredi 1 décembre 2010, 19:53
L'auteur du client VPN Shrew vient d'annoncer sur la liste de diffusion
(Shrew vpn-help), une
version "beta" du client Shrew pour MAC OS X
Elle est basée sur la nouvelle version en developpement (2.2.x).
Il y a 2 prérequis avant d'installer Shrew VPN pour Mac OSX:
Il faut installer avant les applications suivantes :
Le LGPL Qt Framework pour Mac OSX :
http://get.qt.nokia.com/qt/source/qt-mac-opensource-4.7.1.dmg
Le pilote TUN/TAP pour Mac OSX
http://tuntaposx.sourceforge.net/download.xhtml
Apres vous pouvez installer Shrew Soft VPN pour Mac OSX
http://www.shrew.net/download/vpn/vpn-client-install.dmg
Apres l'installation, Le "VPN Acces Manager" est accessible via le dossier
Applications
Plus d'information sur la liste de diffusion
http://lists.shrew.net/pipermail/vpn-help/2010-November/003223.html
Au passage, la version
2.1.7 est aussi disponible pour Windows...
jeudi 19 août 2010
Par Prolag le jeudi 19 août 2010, 12:12
Une nouvelle version du client VPN shrew est disponible !
Petit rappel Shrew est un client VPN IPSec Open Source compatible Windows
(2000/XP/Vista/7! en version 32bits & 64Bits) Unix / Linux (NetBSD,
FreeBSD, Fedora, Ubuntu , Debian)
Au programme de cette version :
il est possible que vous rencontriez des problèmes de connexion de tunnel
suite à la mise à jour en version 2.1.6
il faut pourcela aller dans la configuration de votre connexion
VPN
Dans l'onglet Policy
Pour le champs
Policy Generation Level sélectionner unique
Aussi si vous utilisez le logiciel ! n'oubliez pas de faire un don !!!
c'est grace au don que l'auteur peut faire auditer le pilote par un expert et
le faire signer par Microsoft.
Donc pour les dons c'est en haut de la page de téléchargement
mardi 27 avril 2010
Par Prolag le mardi 27 avril 2010, 19:18
Il y a quelques mois lors d'un troubleshooting sur du VPN IPsec, je me suis
rendu compte que le dissector ISAKMP actuelle de Wireshark était assez
limité.
Par exemple, les attributs du Mode Config étaient affichés en hexa
Après une recherche sur le bugtracker de Wireshark, je suis tombé sur ce bug
#2905 ou
il a été constaté le même probleme !
Ce bug datait de 2008 et n'avais pas bouger..
Après quelques heures de boulot, j'ai proposé un patch qui integre l'ensemble
des attributs mode
Config, Xauth et
quelques attributs proprios.. (Cisco Unity)
C'est quand même beaucoup plus simple pour le troubleshooting...
Lors du developement de ce patch, je me suis rendu compte que le code
n'était pas le plus optimisé et pas vraiment le style de Wireshark et qu'il
manquait beaucoup d'attribut qui n'avait pas
était mise à jour
Par exemple, il y avait beaucoup de proto_tree_add_text qui sont de
simples textes qui ne permettent pas de filtrer sur leur contenu.
J'ai donc proposé un second patch (bug #4546) qui
ameliore grandement le code et met à jour les attributs.
J'ai aussi proposé quelques petits patch
Toutes mes modifications (sauf la partie Attribut Vendor ID) sont
disponibles dans la version de developement 1.3.4 à télécharger à l'adresse
suivante : http://www.wireshark.org/download.html
vendredi 16 avril 2010
Par Prolag le vendredi 16 avril 2010, 12:55
Comme tous les ans, IETF
(l'organisme qui "gère" les RFC) sors une RFC spécial 1er
Avril.
Cette année, la RFC s'appelle TCP Option to Denote Packet Mood (RFC 5841 par
Google).
Cette RFC défini une nouvelle option TCP (25) pour indiquer l'humeur d'un
paquet TCP (Joyeux, Triste...) ...
Apres quelques recherches sur Internet, je n'ai trouvé aucune implémentation
de cette nouvelle norme !
J'ai donc utilisé Scapy
afin de générer des paquets compatibles avec cette nouvelle norme.
Ca a été l'occasion de découvrir la puissance de Scapy et le langage Python
(en effet, il m'a fallu patcher scapy afin de pouvoir supporter l'option
25)
J'ai aussi développé un patch pour Wireshark afin qu'il puisse décoder cette
nouvelle option.
Voila quelques screenshots de Wireshark
La capture est disponible sur pcapr.net
Le patch pour
Scapy
Le patch pour
Wireshark
et un morceau de code en python
(qui s'appuie sur Scapy) qui génère l'ensemble des humeurs de la
norme
mercredi 3 mars 2010
Par Prolag le mercredi 3 mars 2010, 15:12
Quelques news à propos du protocole CAPWAP...
Ca n'avance pas trop !
Fortinet a
sorti (au début du mois de mars) des points d'accès compatible CAPWAP
IETF a diffusé des RFC sur les propositions qui avaient était fait par les
différents contructeurs (qui sont maintenant obsoletes car il faut utiliser le
protocole CAPWAP !)
à bientot pour des nouvelles de CAPWAP....
lundi 22 février 2010
Par Prolag le lundi 22 février 2010, 11:49
Dans un précédent billet, je
vous parlais de mon template Cacti pour monitorer un ReadyNAS !
Depuis NETGEAR a sorti des nouveaux produits ! ReadyNAS Pro, ReadyNAS NVx, ReadyNAS 2100, ReadyNAS 3200... et a
aussi modifier la MIB
SNMP
J'ai donc mis à jour mes templates Cacti pour monitorer un
ReadyNAS
Comme dans l'ancienne version, le template permet d'obtenir la vitesses des
ventilateurs et les températures des disques durs et du boitier (sonde
interne).
Il est compatible :
Quelques images du résultats :
Les ventilateurs !
Les températures
Le plug-in est disponible en téléchargement sur le forum Cacti
jeudi 28 janvier 2010
Par Prolag le jeudi 28 janvier 2010, 17:19
Un nouveau theme sur mon blog... La virtualisation avec VMware (plus
précisement VMware ESXi 4.0)
Pour commencer un retour d'experience sur une conversion d'un Windows 2003
Serveur d'une machine physique à une machine virtuelle grace à l'outil VMWare Converter
Le probleme est que suite à la conversion, impossible de démarrer la machine
virtuelle.
On obtient un écran noir (avec le CPU à 100%) ou un ecran noir avec
l'erreur : Err . Lecture Disque Entrez Ctrl+Alt+Suppr pour
redémarrer
Pour avoir une VM fonctionnelle après la conversion, il faut modifier
l'option suivante lors de la préparation à la conversion
Il faut sélectionner Virtual Machine Version :à Version
4 au lieu de Version 7
Et vous n'aurez plus de probleme !
Après il suffit d'installer les VMware Tools et vous pouvez upgrader vers la
derniere version (afin de disposer de toutes les fonctions)
Pour cela, il faut couper la VM puis
Dans le menu VM => Upgrade Virtual
Hardware
un message vous demande de confirmer l'upgrade
et voila ! c'est terminé
lundi 25 janvier 2010
Par Prolag le lundi 25 janvier 2010, 11:29
Il est possible sur les controleurs WiFi Aruba (ou Alcatel) de mettre en
place du remote Monitoring pour un point d'accès ou un client WiFi.
Voila la procédure pour la mise en place du Remote Monitoring d'un Point
d'Accès.
Dans l'interface d'administration du controleur, Aller dans
Monitoring => Access Points
Selectionner votre point d'accès et cliquer sur Packet
Capture
Dans Target IP, Specifier l'adresse IP de votre machine puis
Start
Les trames arrivent directement sur votre machine. 
Mais les trames ne sont pas
décodés
Aruba fournit une version "speciale " de l'outil Wireshark pour la mise en
place du Remote Monitoring, le probleme est que cette version est très vieille
(basée sur la release 0.99.7) alors qu'on est en 1.2 pour la version stable
!
J'ai donc crée un dissector (Aruba_ERM) qui permet de decoder directements les trames en
provenance du controleur.
Pour cela, il faut au moins la build 1.3.3-SVN 31615 qui est disponible à
l'adresse suivante http://www.wireshark.org/download/automated/win32/
(il suffit de prendre une version superieur à la build 1.3.3-SVN31615).
Aller dans les Preferences de Wireshark (Edit =>
Preferences )
Selectionner le Protocole ARUBA_ERM puis rentrer le port utilisé (par défaut
5555) puis Appliquer
Vous pouvez maintenant utiliser toutes les derniers fonctionnalités de
Wireshark (comme le déchiffrement WEP ou WPA)
mercredi 30 décembre 2009
Par Prolag le mercredi 30 décembre 2009, 10:16
De base, le protocole IPSec n'est pas prévu pour la gestion
d'authentification (par login et mot de passe) d'un utilisateur. Il peut etre
interresant de mettre en place une authentification, par exemple en cas de vol
du portable, il faudrait toujours le login et le mot de passe pour se connecter
au réseau interne.
Ce mode d'authentification est disponible uniquement sur les dernieres
générations de routeur NETGEAR ProSafe (celle qui dispose de l'interface
suivante )
à savoir le FVS338, FVX538, FV336G, FVG318, DGFV338, SRXN3205, UTM10, UTM25 ....
Avant tout, il faut déjà avoir configurer son routeur NETGEAR et son client VPN
Shrew en suivant ce guide
%
J'ai dans mon cas utilisé un FVS336G (il peux avoir quelques petites
differences avec les autres modeles)
Sur routeur, aller dans l'interface d'administration
Dans Users =>Users
Cliquer sur
Add
User Name : Le login de l'utilisateur (user)
User Type : Le type de connexion, dans notre cas (IPsec VPN
User)
Password : Le mot de passe...
Confirm Password : Le mot de passe saisie une deuxieme fois !
Cliquer sur Apply pour ajouter l'utilisateur
Notre utilisateur est ajouté à la liste
Toujours dans l'interface du routeur
Dans VPN => IPSec VPN =>VPN
Policies
Sélectionner votre Politique de VPN puis cliquer sur
disable (il faut désactiver le politique avant de réaliser des
modifications sinon on ne peut pas modifier les parametres)
Aller dans l'onglet IKE Policies
Puis cliquer sur Edit pour modifier votre politique IKE
En bas de la page, dans Extended Authentification
XAuth Configuration Cocher Edge Device
Authentification Type Sélectionner User Database
(base de compte interne au routeur)
Retourner dans l'onglet VPN Policies
Sélectionner votre Politique de VPN puis cliquer sur
enable
La configuration du routeur est terminée, passons à la configuration du
client VPN Shrew
Aller dans le gestionnaire de profil VPN de Shrew
Editer le profil de configuration (rappel : il faut se baser sur ce
guide
avant de mettre en place l'authentification)
Aller dans l'onglet Authentication
Authentification Method Sélectionner Mutual PSK +
XAuth
Sauvegarder votre configuration (Save)
Puis dans l'Access Manager, Sélectionner le profil edité
Cliquer sur Connect
Username Saisir le nom d'utilisateur crée précédement
(user)
Password Saisir le mot de passe....
Cliquer sur Connect pour lancer la connexion
La connexion est lancée & activée !
Je rajoute en piece jointe, les profils VPN (des différents routeurs) pour
le client Shrew.
lundi 21 décembre 2009
Par Prolag le lundi 21 décembre 2009, 20:03
Dans un sujet du forum NETGEAR, un utilisateur n'arrive pas à se connecter avec le client
Shrew sur un routeur VPN FVX538.
En effet, la configuration est un peu différente du FVS336G
Il faut modifier les choses suivantes dans la configuration du client
VPN
Dans l'onglet Authentication
Dans le sous Onglet Local Identity
FQDN String : Saisir le
FQDN distant fvx_remote.com au lieu de
fvs_remote.com
Dans le sous Onglet Remote Identity
FQDN String : Saisir le
FQDN distant fvx_local.com au lieu de
fvs_local.com
Il faut réaliser la même modification pour le SRXN3205 (
srxn_remote.com & srxn_local.com) et les
UTM10, UTM25 ( utm_remote.com &
utm_local.com)
PS : j'ai rajouté les différentes profils VPN en Annexe
et les explications dans mon précédent billet.
samedi 12 décembre 2009
Par Prolag le samedi 12 décembre 2009, 13:27
Depuis la nouvelle version de Shrew (2.1.5), il arrive parfois que le tunnel
VPN n'arrive plus à monter avec votre routeur VPN NETGEAR préféré !
La connexion reste bloqué sur bringing up tunnel
config loaded for site 'NETGEAR.vpn'
configuring client settings ...
attached to key daemon ...
peer configured
iskamp proposal configured
esp proposal configured
client configured
local id configured
remote id configured
pre-shared key configured
bringing up tunnel ...
On obtient les journaux suivant dans le Trace Utility de Shrew quand on active le debug
09/12/12 12:40:44 -> : resend 1 config packet(s) A.B.C.D:4500 -> W.X.Y.Z:4500
09/12/12 12:40:49 -> : resend 1 config packet(s) A.B.C.D:4500 -> W.X.Y.Z:4500
09/12/12 12:40:54 -> : resend 1 config packet(s) A.B.C.D:4500 -> W.X.Y.Z:4500
09/12/12 12:40:59 ii : resend limit exceeded for config exchange
et dans les journaux du routeur (Monitoring => VPN Logs)
2009 Dec 12 12:40:37 [FVS336G] [IKE] Sending Informational Exchange: notify payload [INITIAL-CONTACT] _
2009 Dec 12 12:40:37 [FVS336G] [IKE] Received mode config from W.X.Y.Z[4500], but local configuration does not have mode config or xauth._
Pour cela, il faut modifier le parametre suivant dans le client Shrew
Dans l'onglet General
Auto Configuration : Sélectionner
disabled
Onglet Phase 2
PFS Exchange : Sélectionner auto
Cela permet de se connecter à certain ancien modele de routeur NETGEAR
(comme le FVS318 ou le FVS114...)
Vous pouvez maintenant vous connectez à votre routeur !
PS : j'ai modifié le profil VPN en Annexe
et les explications dans mon précédent billet.
dimanche 6 décembre 2009
Par Prolag le dimanche 6 décembre 2009, 16:22
Hello !
Une nouvelle version du client VPN Shrew est disponible ! au programme :
Pour le téléchargement, ca se passe par la !
Il y a aussi une nouvelle version beta disponible (2.1.6beta1), elle apporte un
nouveau pilote VPN. Ce pilote a été audité par un expert afin de passer la
certification Microsoft (afin d'avoir un piloté certifié).
Aussi si vous utilisez le logiciel ! n'oubliez pas de faire un don !!!
c'est grace au don que l'auteur peut faire auditer le pilote par un expert et
le faire signer par Microsoft.
Donc pour les dons c'est en haut de la page de téléchargement
samedi 31 octobre 2009
Par Prolag le samedi 31 octobre 2009, 13:29
Encore quelques nouvelles concernant le protocole CAPWAP...
Dans mon dernier billet, je disais que Cisco utilisait le protocole CAPWAP pour la gestion
des points d'accès. Depuis j'ai appris que c'était une version brouillon (draft
8) de la norme
Aussi Zyxel vient d'annoncer un nouveau
point d'accès/controleur (Hybrid AP NWA-3166) qui
utilise CAPWAP comme protocole de gestion !
J'ai aussi continué à bosser sur mon dissector CAPWAP, le premier patch a
été accepté et vous pouvez le tester de developement de wireshark
(1.3.1).
Mais depuis on m'a fournit des traces du protocole CAPWAP avec du materiel
Cisco, j'ai donc déveloper un second patch qui corrige quelques bugs et
rajouter le support de la fragmentation (au niveau CAPWAP) et de nouveau
Message Element Type analysé
J'ai rajouté en piece jointe, la derniere version stable de Wireshark avec
mes derniers modifications de mon dissector CAPWAP.
Sinon je recherche un projet Open Source qui permettrait la gestion
centralisée des points d'accès ( en se basant bien sur CAPWAP).
dimanche 26 juillet 2009
Par Prolag le dimanche 26 juillet 2009, 12:17
Quelques nouvelles concernant le protocole CAPWAP...
PS : Mon dissector étant encore dans la branche developement de Wireshark, je vous met en piece jointe la derniere version de Wireshark (1.2.1) avec le support du protocole CAPWAP.
vendredi 6 mars 2009
Par Prolag le vendredi 6 mars 2009, 09:51
C'est tombé cette nuit !
Le protocole CAPWAP est finalisé et standartisé !
CAPWAP ca veut dire quoi ?
C'est l'abréviation de Control And Provisioning of Wireless Access
Points, c'est à dire Controle et gestion des Points d'Acces sans
fils . C'est le protocole de communication entre les points d'accès et
leur controleur, actuellement chacun constructeur à son protocole "Maison" et
proprietaire , PAPI chez Aruba, LWAPP chez Cisco...
Avec ce protocole, un controleur de marque Y pourra controler un point
d'accès de marque X !, il est prévu aussi pour controler tous les types de
points d'accès, c'est à dire les points d'accès WiFi ou Wimax... ou la
prochaine technologie sans fils !
Actuellement, aucon contructeur supporte officiellement CAPWAP. Mais un
projet open-source est disponible pour le support du protocole CAPWAP, il est
actuellement basé sur une vieille version de la norme CAPWAP, mais une mise à
jour devrait bientôt etre disponible.
Un peu de lecture avec les differentes RFC
samedi 7 février 2009
Par Prolag le samedi 7 février 2009, 19:57
Shrew est un client VPN IPSec open source
et gratuit.
Il est compatible
Il est rare de trouver un client IPSec compatible à la fois pour Windows
& Linux ! et surtout gratuit
Voila un guide pour la configuration du client Shrew avec un routeur NETGEAR
FVX336G (ca doit aussi marcher pour les autres routeurs VPN de la gamme :
FVS338, FVX538, SRXN3205...)
Sur routeur, aller dans l'interface d'administration
Dans VPN => IPsec VPN => VPN
Wizard
This VPN tunnel will connect to the following peers: Cocher
VPN Client
What is the new Connection Name? : Le nom de la politique VPN
(Client_Shrew)
What is the pre-shared key? : La clé partagé entre le client et
le routeur (mypresharedkey)
Apply : Appliquer la configuration
La configuration du routeur est terminée.
Sur le client VPN Shrew
Dans l'Access Manager
Cliquer sur Add pour ajouter une nouvelle configuration
Onglet General
Host Name or IP Address : Adresse IP publique du routeur
Auto Configuration : Sélectionner disabled
Address Method : Sélectionner Use an existing adapter and
current address
Onglet Name Resolution
Décocher Enable WINS
Décocher Enable DNS
Onglet Authentication
Authentication Method :
Sélectionner Mutual PSK
Dans le sous Onglet Local Identity
Identification Type : Sélectionner Fully Qualified Domain
Name (FQDN)
FQDN String : Saisir le FQDN local
fvs_remote.com
Note : Pour le FVX538 il faut saisir fvx_remote.com, pour
le SRXN3205 srxn_remote.com et pour les UTM (UTM10 et UTM25)
utm_remote.com
Dans le sous Onglet Remote Identity
Identification Type :
Sélectionner Fully Qualified Domain Name (FQDN)
FQDN String : Saisir le FQDN distant
fvs_local.com
Note : Pour le FVX538 il faut saisir fvx_local.com, pour
le SRXN3205 srxn_local.com et pour les UTM (UTM10 et UTM25)
utm_local.com
Dans le sous Onglet Credentials
Pre Shared key: Saisir la
clé partagée mypresharedkey
Onglet Phase 2
PFS Exchange : Sélectionner auto
Onglet Policy
Décocher
"Obtain Topology Automatically or Tunnel All"
Pour le champs Policy Generation Level sélectionner
unique
Ajouter la plage IP du réseau distant (192.168.1.0/255.255.255.0 par
défaut)
Puis dans l'Access Manager, Sélectionner le profil crée
Cliquer sur Connect
Cliquer sur Connect pour
lancer la connexion
La connexion est lancée & activée
!
Je rajoute en piece jointe, les profils VPN (des différents routeurs) pour
le client Shrew.
vendredi 6 février 2009
Par Prolag le vendredi 6 février 2009, 17:15
Suite à mon billet sur
le decodage des trames GRE dans Wireshark.
J'ai crée un nouveau patch qui permet de decoder les attributs RADIUS.
Ces modifications ne sont pas encore disponibles dans la derniere version
stable de Wireshark, mais elles sont disponibles dans la version de
développement (lien vers le dev).
J'ai aussi travaillé sur le decodage du protocole Aruba PAPI, c'est le
protocole utilisé pour le controle et la gestion des points d'accès depuis les
controleurs WiFi (en attendant CAPWAP ...)
Ce protocole est un protocole proprietaire à Aruba, il y a donc aucune
documentation disponible.
Pour la réalisation de "dissector" (Décodeur de trames), j'ai réalisé une
analyse des trames capturés entre le controleur WiFi et une borne.
Le protocole se base sur de l'UDP en port 8211 en source et destination.
(surement pour passer plus facilement les firewalls...)
Il encapsule un protocole maison de gestion de connexion (type TCP) avec des
numeros de sequences, des ports src & dst, un checksum...
et en fonction des ports src & dst une couche "data" (données) differences
(Pour la configuration, le Monitoring, le debug...)
Voila quelques screenshots
Je joins aussi mon patch sur le
protocole PAPI et une version portable pour Windows (basé sur la version 1.1.2)
qui integre ce patch.
« billets précédents - page 1 de 3