Metaphorical Dream

<   2007年 04月 ( 22 )   > この月の画像一覧

IPSec over TCP

Condition:あともうちょい。。。

何でもかんでも、"○○over××"にすりゃあいいってもんでもないが、パケットキャプチャしてみて、「なるほど面白い」と思ってしまった。

4へぇ、くらいかな(笑)

3ウェイハンドシェイクのあと、Src側は任意、Dst側はTCPの決められたポートにパケットを投げちゃうんだけど、家庭用のBBルータに搭載されてる、IPSecパススルー機能を使わなくても、IPSecが張れてしまった。

んまぁ、独自機能らしいので深入りは禁物だけど、こういったこともできんだなぁ~っと関心してしまった。

NAT検証も完了したから、これで安心してGW(ゲートウェイではない)を迎えられそうだよ。

ip nat inside source static "insideLocalIP" "Virtual-insideGlobalIP"
ip nat inside source list "ACL-No" interface "insideGlobal-Interface" overload

access-list ACL-No deny "insideGlobalIP" 0.0.0.0
access-list ACL-No permit "insideNetwork" "Wildcardmask"

"Virtual-insideGlobalIP"は、"insideGlobal-Interface"に設定されたIPアドレスとは別アドレスを指定する。

BSCIを本気でやり直せ!ってなコマンド君たちでした。

あぁ、そうだ。
MPLSのコマンドリーディングもやらなくては。。。
某キャリアにツッコミを入れるべく。。。

[PR]
by mdesign21 | 2007-04-26 23:47 | IT系

wildpackets

Condition:VPN3KとFWSMの作業。んでもって、帰ってきたらNATの検証と。

ごめん、これ↓だけ。

http://www.wildpackets.com/products/omni/omnipeek_personal/overview

wildpacketsが無償で、無線LANキャプチャ用アプリのDL開始!
けどね、aitcrack-ngと同様に802.11aには対応してないっぽい(涙)
けど、ユーザインターフェースはカッコイイかもしれん(笑)

[PR]
by mdesign21 | 2007-04-25 01:49 | IT系

DynamipsでMPLS

Condition:やっぱりTwiceNATの実装は、ルータ一台ではムリっぽい。

参考にしたMPLS設定は、Ciscoページのこれ↓
http://www.cisco.com/japanese/warp/public/3/jp/service/tac/105/mpls_vpn_basic-j.shtml

上記のページから、さらにオレなりのアレンジを加えた形になってます。

っつ~ことで、Dynagen用のコンフィグ(.net)ファイルを、よいしょっと!

[localhost]

[[7200]]
image = \Program Files\Dynamips\images\**********.bin
npe = npe-400
ram = 128
idlepc= 0x********
confreg= 0x2102

[[router Pauillac]]
f0/0 = NIO_gen_eth:\Device\NPF_{**************}
s1/0 = FR1 1

[[router Pulligny]]
s1/0 = FR1 2

[[router Pomerol]]
s1/0 = FR1 3

[[router Pescara]]
s1/0 = FR1 4

[[router Pesaro]]
s1/0 = FR1 5

[[FRSW FR1]]
1:101= 2:202
1:105= 3:306
1:113= 4:414
2:210= 3:309
3:321= 5:522


起動は余裕なんだけど、コンフィグを流し込んで、BGPやらvrfやら動かしちゃうから、idlepcを設定しても、CPU使用率がほぼ100%で張り付いちゃうんだよね(^^;

PCスペック
CPU:Cel2.6GHz
Mem:1.5GB
HDD:SATA160GB

これはやっぱり、Core2Duoしかないかもしれん。。。

んまぁ、でも、仮想MPLS網の箱庭環境はできたから、これを実際のアドレス体系に直しつつ、"Pescara"~"Pesaro"をPEにしてやればOKかな?と。
CEには実機を繋げて、そこにLWAPPを通して、EAP-TLS認証をやってみる!と。

[PR]
by mdesign21 | 2007-04-24 00:47 | IT系

クラクション

Condition:いっぱい寝れたw

車に乗ってて思うこと。

クラクションを鳴らす(鳴らしてくる)車ってのは、ぶつからない&ぶつかってこない。

なぜなら、クラクションを鳴らす余裕があるからさ。

危ねぇ~な!&ムカつくな!っていう気持ちからクラクションを鳴らすわけで、本当に危険なときは、クラクションを鳴らす余裕なんてあるわけね~じゃん。

クラクション鳴らす余裕があるなら、ブレーキ踏むだろ?

自分の安全がある程度確保できたという認識をしているから、クラクションを鳴らす余裕があるんだろ?

そう思うと、クラクションを鳴らされても焦る必要はなく、もし揉め事になっても手を上げられたら、救急車呼んで警察沙汰にしてしまえば、慰謝料と治療費をゲットできるでしょ。

そんなことを思いながら時刻は16:30を過ぎた頃、福山雅治のスズキTalkingFMで"まさこ"が登場したから、ちょっと寄り道したw

[PR]
by mdesign21 | 2007-04-22 02:15 | Diary

NAT

Condition:Dynamipsしたいです(笑)

http://ccstudy.org/index.html

↑おぉ!オレにピッタリのサイトと思ったのでリンク。日記タイトルとあんまり関係ないけど(^^;

某メディア企業でのACS再インストをサクッと完了させたのに、さらなるお題が出てしまった。

NATのお題なんだけどさぁ、ルータ一台でやるには、少々要件が厳し過ぎやしませんか?ってな感じw
BCRANの本で登場する"重複するアドレス用のNAT設定"に、概ね近いんだけど、、、自宅で検証したらムリだった(^^;
いわゆる双方向NATって呼ばれてるもので、こいつを使うには
DNSからの応答パケットが必要 かつ DNS正引き結果と自端末アドレスが一致
という条件を満たしたときにoutside側をNATしてくれる。らしい。

けどね、そんなに甘っちょろい要件ではなく、RFC2663に登場する「4.3. Twice NAT」ってのをぶちかまさないとダメっぽい。
半べそかきながら試行錯誤するってのはいつものことだけど、少々しんどいです(苦笑)

[PR]
by mdesign21 | 2007-04-21 02:53 | IT系

してやったり

Condition:週末ですなぁ

客先会議はかる~くすり抜けて、お土産にお客さんへ宿題を出して差し上げた。

っつ~かさぁ、お前ら本当でやる気があるんだったら、MSのサイトからWin鯖2003R2をDLしつつ、20000~25000円くらいで、WPA2&EAP-TLS対応のAPとSTA(クライアント無線LANカード)をゲットして、実際にやってみろよ!

っていう思うのは、クライアントとベンダという関係を超えた、"いちエンジニア"としての意見。

けど、金を払わない&払いそうもないのは、クライアントじゃないから、重要なところは、オブラートに包む、お抱えのAD担当ベンダさんとやらに「ご確認ください。ご相談ください。」で、突っぱねるのもアリだと思うようになってきた。

それはさておき、某メディア企業の方が慌しくなってきたので、そっちへ行ってエンジニアしよ~っと。

[PR]
by mdesign21 | 2007-04-20 02:20 | Diary

VPN3000

Condition:気を取り直して

VPN3000の動作検証は完了。

やはり認証局でつまずいた(涙)
Win鯖の証明機関ならOKなんだけど、OpenSSLだとNGなんだよね。

概ね、理由はわかったから、ちょこちょこいじってみたいところなんだけど、
その他いろいろ盛りだくさん=検証があるので一旦保留。
お弟子さんからの要件はクリアしたから。
だって、"ASN.1"関連の話が絡んでくるし。。。

ただ、WinとLinux環境をパパっと切替ながら、ときには新規に構築してみたり、一旦保留&コピーして2つの動作を検証etcをするとき、やっぱりVMServerの威力は絶大。
もうこれがないと仕事になりませんです(笑)

この事実を真摯に受け止め、せめて1~2GBメモリのマシンを導入してくれ←L3企業よ!
正直、NW機器(といってもL3程度)が揃えば、自宅の方が検証は捗るんだぞ!

NWと認証周りは、この先というかもう既に切っても切り離せない関係にあるのだから。

明日は客先ガチンコ勝負ですが、断言せずにお茶を濁して宿題作らないようにサラッと流したい。
お前らのやり方は見え見えなんですわ。

PS
やはり検証用PCのInternet向けNICに、DGWは不要だ。
必要なRoute(metaphorica.mine.nuとか)だけ、Staticで書けばいい。

[PR]
by mdesign21 | 2007-04-19 00:24 | Diary

FreeRADIUS設定

Condition:お誕生日おめでとう!の連絡、有り難いです。

単刀直入に以下となります。

####################################################################

#/etc/raddb/radiusd.conf

デフォルトのまま。
特に変更箇所なし。

EAP関連設定は【radiusd.conf】内の
$INCLUDE ${confdir}/eap.conf
により、
/etc/raddb/eap.conf
という別ファイルを参照する形式となっているため。

####################################################################

#/etc/raddb/eap.conf

以下を設定変更

#default_eap_type = md5
#
#defaultではMD5なためTLSに変更。

default_eap_type = tls



### EAP-TLS
#
# To generate ctest certificates, run the script
#
#../scripts/certs.sh
#
# The documents on http://www.freeradius.org/doc
# are old, but may be helpful.
#
# See also:
#
# http://www.dslreports.com/forum/remark,9286052~mode=flat
#
⇒1  tls {
⇒2  private_key_password = whatever
⇒3  private_key_file = ${raddbdir}/certs/cert-srv.pem

# If Private key & Certificate are located in
# the same file, then private_key_file &
# certificate_file must contain the same file
# name.
⇒4  certificate_file = ${raddbdir}/certs/cert-srv.pem

# Trusted Root CA list
⇒5  CA_file = ${raddbdir}/certs/demoCA/cacert.pem

⇒6  dh_file = ${raddbdir}/certs/dh
⇒7  random_file = ${raddbdir}/certs/random

#
# This can never exceed the size of a RADIUS
# packet (4096 bytes), and is preferably half
# that, to accomodate other attributes in
# RADIUS packet. On most APs the MAX packet
# length is configured between 1500 - 1600
# In these cases, fragment size should be
# 1024 or less.
#
#fragment_size = 1024

# include_length is a flag which is
# by default set to yes If set to
# yes, Total Length of the message is
# included in EVERY packet we send.
# If set to no, Total Length of the
# message is included ONLY in the
# First packet of a fragment series.
#
#include_length = yes

# Check the Certificate Revocation List
#
# 1) Copy CA certificates and CRLs to same directory.
# 2) Execute 'c_rehash '.
# 'c_rehash' is OpenSSL's command.
# 3) Add 'CA_path='
# to radiusd.conf's tls section.
# 4) uncomment the line below.
# 5) Restart radiusd
#check_crl = yes

#
# If check_cert_cn is set, the value will
# be xlat'ed and checked against the CN
# in the client certificate. If the values
# do not match, the certificate verification
# will fail rejecting the user.
#
#check_cert_cn = %{User-Name}
⇒8  }

####################################################################
⇒1
ここのコメントを外さないと始まりません。

⇒2
"#Create Srv"にて、サーバ証明書発行時に入力したKeyパスワードです。

⇒3
サーバ証明書のパスです。

⇒4
サーバ証明書にKeyファイルを含んでいるのであれば、"⇒3"と同じパスです。

⇒5
CAのroot証明書のパスです。

⇒6
コメントアウトを解除しただけにしました。
defaultでサンプルの"dh"ファイルが存在するため。
実際は"dh2048.pem"or"dh1024.pem"のパスを指定すればいいかなと。

⇒7
コメントアウトを解除しただけにしました。
別途ランダムファイルを作成したのであれば、そのパスを指定。
ランダムファイルの作成コマンドがすぐに出てこなかったため。

⇒8
ここのコメントアウトを解除し忘れることがあるので要注意。
####################################################################

#/etc/raddb/clients.conf

#以下のように記載
#APやWLCなどAuthenticaterを登録する。
#ようするに、RADIUS鯖へのアクセス可否をここで登録できる。
#ここに登録がなければ、STA(=Client)の証明書が正式なものであっても、
#APやWLCがRADIUS鯖へアクセスできないため認証自体が行われない。
#
#書式にはいくつかのパターンがあり、個別、NW、ホスト名で指定できる。
#ただし、個別とNWは排他利用となっている。らしい。。。
#「じゃあ、ホスト名はどうなの?」という問いについては・・・わからんです(笑)
#実際に試してくださいませ。
#
#
#個別の場合

client 192.168.1.100 {
  secret= testAP1
  shortname= testAP

#NWの場合

client 192.168.1.0/24 {
  secret= testAPs1
  shortname= testAPs

#ホスト名の場合

client hoge.fuga.jp {
  secret= test.hoge
  shortname= testAP_HostName

#"secret"はAuthenticater側と同一のパスワード
#"shortname"は、descriptionだと思ってください。
#
#個別を使うか?NWを使うか?については、設計・運用・セキュリティ指針など、
#それぞれでの落としどころを見つけてください。
#運用指針的にはNW指定の方が良いけど、セキュリティ的には個別指定の方がいいなど。
#
####################################################################

#/etc/raddb/users
#
#Local認証する際には以下のように記載
#(主にテスト目的で)
#

"test"Auth-Type := Local, User-Password == "test"

#EAPにて認証させる場合には以下のように記載
#
#

"clt1@hoge.jp"Auth-Type := EAP

"usr1@hoge.jp"Auth-Type := EAP

#証明書のCNに記載した文字列を" "内に記載する。
#上記の例で言えば、clt1@hoge.jpやusr1@hoge.jpのこと。
#
#Auth-Typeは、EAPにする。
#チャレンジャーでなければ、コロンやスペースはいじらない方が無難です。
#
#ユーザDBは「LDAPやADのDBを参照させたいんだけど。」っていうのは、
#至極当然ですが、そこまで検証できておりません。
#オレも必要に迫られたら、頑張れるかも。。。

[PR]
by mdesign21 | 2007-04-18 09:39 | IT系

29歳ってことで

Condition:居酒屋あさま550号で、長野からの帰りはドンチャン騒ぎw

車内販売のワゴンをひく兄ちゃんをとっ捕まえて、「おい、ビールねぇ~のかよ?」と絡みまくって帰宅(笑)
んまぁ、それはその辺のリーマンと一緒なのでいいとして。

今、4つの課題がある。

某製造業では、、、
・無線LAN周りの認証
・CSSで使用しているSSL証明書周りの認証
某メディア企業では、、、
・NAC周りの認証
・リモアクVPN周りの認証

そして、それら全てに共通することは、CAすなわち認証局のことが絡んでくる。
先週、「この先、認証局を制する者は、これらの案件を制する」と思い立ち、必至でOpenSSLと格闘したことが、これほど早く実を結ぼうとしているってことに驚いている。

それと同時に「IT業界は7倍の速度で進化している。」ってことを肌で実感してしまったよ。

オレにもし動く理由が必要だとしたら、「やりたい!」と思う気持ちだけで充分だ。
その気持ちさえあれば、「できない。」と思っていることでさえ、実現できるんじゃないか?っていう希望が持てる。

そういう年&歳になるんじゃないか?と、オレは思ってる。

「お前はできるヤツだ。けど、奢るなよ!」っていう言葉を励みに、
あと一年半ちょいは、死力を尽くして頑張らなくっちゃね。
足元をすくわれないように、地固めをしていかなくっちゃね。

誰にも邪魔はさせないし、邪魔するヤツは許さない。

[PR]
by mdesign21 | 2007-04-17 01:15 | Diary

長野

Condition:思ったより寒みぃがな

電波サーベイをしに長野へ行った。
パッシブサーベイは心が折れそうになるくらい、ダルイっすねぇ。

もうあと2~3回で充分かなぁって思うんだけど、5~6月には九州全域に渡って、電波サーベイを実施する可能性もあり、概ね2~3週間は九州に滞在することになるかもしれんです。。

目指せ!名瀬!(←奄美大島)

名瀬行きの切符をゲットするべく、GW明けくらいに実施されるドイツ人との打ち合わせに照準を絞ろう!

はっきり言って、やつらはCA周りのことになるとしょぼい。
国籍を問わず、CA関連のことを深く掘り下げて話ができるヤツはそれほど多くない。

ガチンコ勝負をしてみたら、実は「オレ強ぇかも?」ってことに気付くのかもしれない。(希望的観測だけど。。。)

[PR]
by mdesign21 | 2007-04-16 00:39 | Diary