lundi 3 mars 2014

Check Point MIB chkpnt.mib et CHECKPOINT-MIB

Comment trouver la bonne MIB pour vos produits Check Point ?
Quelle version choisir parmi tous les fichiers CHECKPOINT-MIB accessibles sur Internet ?

Et bien la meilleur MIB est celle qui est fournie avec votre produit !
Elle se trouve dans le répertoire
/opt/CPshrd-R<VERSION>/lib/snmp/
et s'appelle chkpnt.mib.

Où <VERSION> équivaut à:
version de votre Check Point<VERSION>
R65 HFA_xxR65
R70.xR70
R71.xR71
R75 GA / R75.10R75
R75.20 / R75.30R75.20
R75.40 / R75.45 / R75.46R75.40
R75.40VSR75.40VS
R76R76

Par exemple, sur une R75.40, les fichiers suivants s'y trouvent:
# ls -la /opt/CPshrd-R75.40/lib/snmp/
total 876
drwxrwx---    2 root     root         4096 Nov 14  2012 .
drwxrwx--x    3 root     root        12288 Nov 14  2012 ..
-rwxrwx---    1 root     root        25184 Nov 14  2012 chkpnt-trap.mib
-rwxrwx---    1 root     root       295284 Nov 14  2012 chkpnt.mib
-rwxrwx---    1 root     root       542821 Nov 14  2012 mib.txt

 
Si vous avez la possibilité, avec votre version actuelle, d'utiliser telle ou telle autre nouvelle fonctionnalité, la MIB que vous trouverez vous permettra de la monitorer.

lundi 20 janvier 2014

Nortel Networks CLI Command Of The Day (NNCLI COTD)

Le forum Network Infrastructure référence un grand nombre d'éléments pouvant vous aider quant à l'administration des switchs N2/N3 Nortel/Avaya.
Il est accessible à l'URL http://forums.networkinfrastructure.info/nortel-ethernet-switching/ et propose même un chapitre dédié à des des trucs et astuces: Nortel Networks CLI Command Of The Day (NNCLI COTD).

Michael McNamara est le fondateur et principal contributeur de ce forum; cela me permet de rappeler l'URL de son Blog: http://blog.michaelfmcnamara.com/.

Debian/Ubuntu - Installation du serveur tftpd-hpa

Un serveur GNU/Linux est un véritable outil de travail.
Un daemon tftp (Trivial File Transfer Protocole) l'est tout autant: aujourd'hui, un grand nombre d'équipements ne peuvent être sauvegardés que via ce protocole.

Ce billet pour préciser l'installation et la configuration du daemon tftpd-hpa.

Tout d'abord: un grand nombre d'articles consacre les lignes nécessaires à l'installation, la configuration et le teste de pareil daemon.
Pour ma part, je me suis basé sur ceux-ci:
C'est d'ailleurs sur la base de ce dernier article que je me suis décidé à installer ce daemon et non pas pour un autre:
# apt-cache search tftpd
libnet-tftpd-perl - Perl extension for Trivial File Transfer Protocol Server
tftpd - Trivial file transfer protocol server
tftpd-hpa - HPA's tftp server
atftpd - Serveur TFTP avancé
Par contre: aucun de ces articles ne précisait L'OPTION à utiliser pour vraiment utiliser le daemon en tant que serveur tftp (et donc: recevant des fichiers de sauvegardes).
Tous parlent de droits à mettre pou le répertoire /<quelquechose>/tftp mais personne ne stipulait cette commande.

Sans plus attendre: un bon "man in.tftpd" et on peut lire dans la partie "Options" (également accessible ici):
--create, -c
Allow new files to be created. By default, tftpd will only allow upload of files that already exist. Files are created with default permissions allowing anyone to read or write them, unless the --permissive or --umask options are specified.
Et voilà ce qui manquait !

Donc pour rappel:
la ligne TFTP_OPTIONS doit être du type: TFTP_OPTIONS="-c -v --secure"

N.B.: l'option -v permet d'être plus verbeux (mais c'est pas transcendant) dans le fichier de log:
--verbose, -v
Increase the logging verbosity of tftpd. This flag can be specified multiple times for even higher verbosity.
et les logs seront accessible sur vos fichiers /var/log/messages ou /var/log/syslog.

vendredi 10 janvier 2014

Riverbed NPM - Network Performance Management for Dummies

Riverbed et John Wiley & Sons proposent une édition e-book gratuite dédiée au monitoring et au debug réseau orienté vers la solution NPM (Network Performance Management) Riverbed Cascade:
Network Performance Management for Dummies - Riverbed Cascade Special Edition


Pour le télécharger gratuitement, accédez à la page "Network Performance Management" du site du constructeur et cliquez sur le lien "Discover the best practices for proactive network monitoring and fast troubleshooting".

Cette édition n'est disponible que par ce biais: le site For Dummies ne le propose pas en édition papier.

mardi 7 janvier 2014

mitre.org : changement de syntaxe des alertes CVE



Due to the ever increasing volume of public vulnerability reports, the CVE Editorial Board and MITRE determined that the Common Vulnerabilities and Exposures (CVE®) project should change the syntax of its standard vulnerability identifiers so that CVE can track more than 10,000 vulnerabilities in a single year. The old CVE Identifier (CVE-ID) syntax used since the inception of CVE in 1999, CVE-YYYY-NNNN, only supported a maximum of 9,999 unique identifiers per year, requiring the change. The new CVE-ID syntax was determined in a vote by the CVE Editorial Board, details of which are available in the CVE Editorial Board Discussion List Archives.


lundi 30 décembre 2013

InterMapper: SSL Alert / votre certificat a expiré

Ce matin, vous rentrez de vacance, vous ouvrez votre client InterMapper RemoteAccess et un message d'alerte vous apporte une alerte SSL:
Explication: le certificat SSL qui chiffre la connexion entre votre client IM RemoteAccess et le serveur InterMapper a expiré (ici: depuis le 18 décembre 2013).
Pas de panique bien évidement, vous avez la possibilité de cliquer sur "Trust Server".

Quoi qu'il en soit: voici la procédure afin de renouveler ce certificat.

Tout d'abord, accédez au serveur InterMapper en cliquant sur "Trust Server".
Si un nouveau message s'affiche indiquant que la connexion a été réinitialisée: c'est normal; double cliquez à nouveau, comme à l'accoutumé, sur votre serveur InterMapper.

Allez dans Server Settings > SSL Certificate:

... et cliquez sur le bouton "Create CSR...".
Remplissez votre formulaire afin de générer le CSR souhaité:
... et validez en cliquant sur le bouton "OK".

Un CSR a été généré:

Il vous a été demandé de l'enregistrer sur votre poste mais celui-ci se trouve également dans le répertoire <répertoire InterMapper Settings>/Certificates:
root@monServeur:<répertoire InterMapper Settings>/Certificates# ls -lt
total 28
-rwxr-xr-x 1 intermapper intermapper 1045 30 déc.  09:07 Pending.csr
-rw-r--r-- 1 intermapper intermapper 1679 30 déc.  09:07 Pending.key

En plus du CSR, la clé SSL a également été créée.
Vous avez le choix d'auto-signer votre CSR ou de le signer par une organisme de certification.
Pour la plupart des besoins, l'auto-signature est parfaitement adequat.

Pour effectuer cela, utilisez la commande openssl avec les options suivantes:
root@monServeur:<répertoire InterMapper Settings>/Certificates# openssl x509 -req -days 730 -in Pending.csr -signkey Pending.key -out 2013-12-30_certificat
Signature ok
subject=/C=xxxx/ST=xxxx/L=xxxx/O=xxxx/OU=xxxx/CN=xxxx
Getting Private key

Le certificat généré est lisible:
root@monServeur:<répertoire InterMapper Settings>/Certificates# cat 2013-12-30_certificat
-----BEGIN CERTIFICATE-----
123456789jusqua64
123456789jusqua64
123456789jusqua64
123456789jusqua64
123456789jusqua64
(...)

-----END CERTIFICATE-----

Copiez ce certificat, retournez sur IM RemoteAccess, accédez à nouveau à la partie Server Settings > SSL Certificate et cliquez sur le bouton "Upload Certificate...":
... collez le certificat généré et validez en cliquant sur le bouton "OK".

Fermez à présent la fenêtre de paramétrage d'InterMapper car la connexion a été réinitialisée.
Double-cliquez à nouveau sur le serveur InterMapper et voilà:
  • Si vous avez choisi de faire signer votre certificat par un organisme de certification et que leurs certificats racines (et intermédiaires) se trouvent dans le magasin de certificats de votre poste: vous n'aurez plus ce type de message d'alerte.
  • Si vous avez auto-signé le certificat, vous aurez un message indiquant qu'il est impossible de faire confiance au certificat transmis par le serveur:
    Cliquez alors sur le bouton "Trust Server" et vous n'aurez plus ce message d'alerte par la suite.

Et voilà ;)