Metaphorical Dream

<   2007年 04月 ( 22 )   > この月の画像一覧

FreeRADIUS

Condition:もうすぐ三十路の一歩手前

radtestによる動作確認は完了=CofigurationはOK!ってこと。

あとは、APとClientPCを用意して、無線LAN接続でEAP-TLS認証が実施されるか?の検証を行えば完了かなぁ。

まとめはまた後でアップしまぁす。

#WinXPでのdebugLogの見方
netsh ras set tracing eapol enable
netsh ras show tracing eapol
%windir%\tracing\EAPOL.log

%windir%=c:\Windows(XPの場合)

#################################

FreeRADIUS+OpenSSLを使用して、WPA2&EAP-TLSでの接続に成功した!

これであとは、電波サーベイをしつつAP設置位置を決定すれば、「千鳥拠点の無線LANインフラ feat. WPA2-EAP(実験場w)」が構築できる。
そうすれば、実運用でのデータ(クレーム)採取が可能となり、しいてはEnterprise無線LANの礎(いしずえ)となってくれるだろう(笑)

さぁ~てと、電波サーベイの準備をしよ♪
千鳥拠点は2階と3階に別れているから、上下階での電波漏洩チェック(パッシブサーベイ)も入念にやらなくてはならん。

嬉しい点は、電波サーベイをやるに当たって、千鳥拠点では"変態"だと思われないことw
だって、屋上で釜戸作って飯盒炊爨したり、夜中に防毒マスク被ってキーボード弾いたりetcしてもノープロブレムだったからさ(笑)

[PR]
by mdesign21 | 2007-04-15 03:21 | IT系

OpenSSLでCA設立2

Condition:こんなに早く予想通りの展開が訪れるとは。。。

似たようなカキコでごめん。
けど、カテゴリはIT系なので許してね。

っつ~か、こんなん覚えられるわけね~だろ?聖徳太子じゃねぇんだから(笑)

これ↓熟読するのは長野行き新幹線の中だ~ね。
http://www.ipa.go.jp/security/rfc/RFC2459JA.html

###重要###
この文書における次の各キーワード「しなければならない( MUST )」、 「してはならない( MUST NOT )」、「要求されている( REQUIRED )」、 「することになる( SHALL )」、「することはない( SHALL NOT )」、 「する必要がある( SHOULD )」、「しないほうがよい( SHOULD NOT )」、 「推奨される( RECOMMENDED )」、「してもよい( MAY )」、 「選択できる( OPTIONAL )」は、RFC 2119 で述べられているように 解釈されるべきものです。
#########

#preparation1 OpenSSL config

"/etc/pki/tls/openssl.cnf"の以下を変更。
(変更箇所には、"⇒ ")

注)あくまでも検証用かつオレのメモ書きです。
なので、F/Wで言うところのオールAccept状態です。
間違っても本番環境で使おう!なんて思わないでください。


####################################################################
[ CA_default ]

⇒ dir= ./CA

#試してみるけど、"~"ディレクトリから"openssl"を実行した場合は
#デフォルトのまま"../../CA"でもいいのかもしれない。。。


[ req_distinguished_name ]
countryName= Country Name (2 letter code)
⇒ countryName_default= 国コード 日本なら"JP"
countryName_min= 2
countryName_max= 2

stateOrProvinceName= State or Province Name (full name)
⇒ stateOrProvinceName_default= 都道府県名かな。東京なら"Tokyo"

localityName= Locality Name (eg, city)
⇒ localityName_default= 市町村&区かな。品川区なら"Shinagawa"

0.organizationName= Organization Name (eg, company)
⇒ 0.organizationName_default= 会社名かな。

# we can do this but it is not needed normally :-)
#1.organizationName= Second Organization Name (eg, company)
#1.organizationName_default= World Wide Web Pty Ltd

organizationalUnitName= Organizational Unit Name (eg, section)
⇒ organizationalUnitName_default= 部署名かな。

commonName= Common Name (eg, your name or your server\'s hostname)
commonName_max= 64

emailAddress= Email Address
emailAddress_max= 64

# SET-ex3= SET extension number 3

[ req_attributes ]
challengePassword= A challenge password
challengePassword_min= 4
challengePassword_max= 20
⇒ challengePassword_default= あなたの好きなパスワード4文字以上。入れなくてもいいかな。


[ usr_cert ]

# These extensions are added when 'ca' signs a request.

# This goes against PKIX guidelines but some CAs do it and some software
# requires this to avoid interpreting an end user certificate as a CA.

#basicConstraints=CA:FALSE
⇒ basicConstraints=CA:TRUE


[ v3_req ]

# Extensions to add to a certificate request

#basicConstraints= CA:FALSE
⇒ basicConstraints= CA:TRUE


[ proxy_cert_ext ]
# These extensions should be added when creating a proxy certificate

# This goes against PKIX guidelines but some CAs do it and some software
# requires this to avoid interpreting an end user certificate as a CA.

#basicConstraints=CA:FALSE
⇒ basicConstraints=CA:TRUE

####################################################################

#preparation2
#"/etc/pki/xpextensions"というファイル名でファイルを作成
#拡張キーに対応したOIDを追加。

[ xpclient_ext ]
extendedKeyUsage = 1.3.6.1.5.5.7.3.2

[ xpserver_ext ]
extendedKeyUsage = 1.3.6.1.5.5.7.3.1

####################################################################

#Create CA

rm -rf /etc/pki/CA
#事前に消しておいた方が不安にならずに済む

cd /etc/pki/tls/misc
./CA -newca
cd /etc/pki
openssl x509 -inform PEM -outform DER -in CA/cacert.pem -out root.der

####################################################################

#Create Srv

openssl req -new -keyout srv-key.pem -out srv-csr.pem -days 730
openssl ca -policy policy_anything -extensions xpserver_ext -extfile xpextensions -in srv-csr.pem -out srv-cert.pem
#Win鯖に取り込むなら、これで変換する。
openssl pkcs12 -export -in srv-cert.pem -inkey srv-key.pem -certfile CA/cacert.pem -out srv.p12

####################################################################

#Create Clt
#
#template
openssl req -new -keyout ${user}-key.pem -out ${user}-csr.pem -days 730
openssl ca -policy policy_anything -extensions xpclient_ext -extfile xpextensions -in ${user}-csr.pem -out ${user}-cert.pem
openssl pkcs12 -export -in ${user}-cert.pem -inkey ${user}-key.pem -certfile CA/cacert.pem -out ${user}.p12

[PR]
by mdesign21 | 2007-04-14 02:22 | IT系

OpenSSLでCA設立

Condition:そういえばアニキの誕生日かぁ。。。って、ジェイソンですな。

ごめん、...ψ(。。 )メモメモ
FC5でのCA設立。
CA・Srv・Cltの証明書発行

眠い、死ぬ、寝る。

#Create CA

cd /etc/pki/tls/misc
./CA -newca

cd /etc/pki

openssl x509 -inform PEM -outform DER -in CA/cacert.pem -out root.der



#Create Srv

openssl req -new -keyout srv.pem -out srv-csr.pem -days 730

openssl ca -policy policy_anything -extensions xpserver_ext -extfile xpextensions -in srv-csr.pem -out srv-cert.pem

#Win鯖に取り込むなら、これで変換する。
openssl pkcs12 -export -in srv-cert.pem -inkey srv.pem -certfile CA/cacert.pem -out srv.p12



#Create Clt
#
#template
openssl req -new -keyout ${user}.pem -out ${user}-csr.pem -days 730
openssl ca -policy policy_anything -extensions xpclient_ext -extfile xpextensions -in ${user}-csr.pem -out ${user}-cert.pem
openssl pkcs12 -export -in ${user}-cert.pem -inkey ${user}.pem -certfile CA/cacert.pem -out ${user}.p12

あ、そうだ。
"/etc/pki/tls/openssl.cnf"ファイルの
"dir="変数がデフォルトのままだと、
"/etc/pki/CA/private/cakey.pem"ファイルを読み込んでくれない。
path指定の問題なんだけど、ちょいと調べてみようかなぁ。。。
でも、ダリィ~。


#"/etc/pki/xpextensions"というファイル名でファイルを作成
#拡張キーに対応したOIDを追加。

[ xpclient_ext ]
extendedKeyUsage = 1.3.6.1.5.5.7.3.2

[ xpserver_ext ]
extendedKeyUsage = 1.3.6.1.5.5.7.3.1



[PR]
by mdesign21 | 2007-04-13 01:44

OpenSSL MPLS

Condition:うそ~んな状況だけど、やるきゃない。。。

今、オレの中で瞬間的にホットなキーワード=OpenSSL

# OpenSSL Install方法

cd /usr/local/src/
wget http://www.openssl.org/source/openssl-0.9.8e.tar.gz
tar zvxf openssl-0.9.8e.tar.gz
cd openssl-0.9.8e
./config shared --prefix=/usr/local/openssl
make
make install

# end

警告でちゃうけど、気にしない(笑)
NGだったら、無線LANのEAP-TLS認証で引っ掛かると思うから。 

Configと新規CA、Srv&Clt用CSRと署名⇒証明書発行用シェルは、後日まとめます。
拡張キーの指定方法で意図した通りになるか?が課題だね。

ここに来て、半べそかきながら動作確認してた認証局の知識が引っ張りダコで炸裂してるw
NACでも無線LANでも認証局を使うEAPが絡んでくるからねぇ。

それに加えて、Dynamipsを使ったMPLSの仮想WAN構築の話がスタートしちゃったよぉ。
教育係の方にこんな話を振ってみた。
オレ「今度WLCを借りたら、MPLSの中をLWAPPが通るか?すぐに検証できますよ!」
教育係「じゃあ、仮想WANを構築しておいてください!(嬉)」
・・・だそうな。

うそ~ん。

あぁ!VPN3000の動作確認もしなきゃ~(涙)
確か、ここでも証明書を使ったリモアクVPNで接続できるか?ってことが、お題になってたと思う。。。

この状況を打破するには、まず認証局のことを掘り下げて、証明書関連のことで立ち止まらないようにするのが、急がば回れな気がしてる。

なので、オレは認証局になる! ←だんだん壊れてる(^^;

PS
あぁ!液晶モニタ用のアームを発注しなきゃ。

[PR]
by mdesign21 | 2007-04-12 00:47 | IT系

FWSMで

Condition:腹八分

Cat65に搭載する、FWSMで"no access-list~"を打つときは気をつけよう。
まとめて流し込もうとすると、ターミナルのレスポンスが極端に遅くなる。
けど、"sh cpu all"や"sh cpu context"で、CPU使用率を調べても全然負荷が掛かっていない状態となっている。

・・・っていうことは、やらかしてしまったんだよ。。。トホホッ
障害にはならなかったけど、本番環境ですから、そりゃあハラハラドキドキしちゃいますわ!っつ~もんです。

ちなみに、"access-list~"に関しては、200行くらい一気に流し込んでも、ノープロブレムでした。

[PR]
by mdesign21 | 2007-04-11 00:07 | IT系

リソースが、、、

Condition:オレというより、環境が絶好調!

足りない。

ここに来て急にやること&やりたいことが増えたたためリソース不足になってる。

1.FWSMのコンフィグ作成作業が山積み。
2.VPN3000で遊べ!との命令が下る。
3.NACの有償サプリカント検証
4.Dynamipsのインストに成功
5.あるツールのクラックに成功

1.は、期待していた通りになった。
テキストエディタでコンフィグを書いていると、
「オレ、生きて(活きて)いるんだなぁ~」と実感できて心地良い。

2.は、ボスのお弟子さんがフラ~ッとオレの席にやってきて、
「今から持ってくるから、これ使って遊んでみてね~♪」とのこと。
遊んでみてね~♪って、オレを安楽死させる気ですかい?と思う。
これは寝る間を惜しんでも、遊ぶしかないじゃんw

3.は、無線にも対応しているらしい。
ってことは、オレの出番だろ?

4.は、1.をやりながらちょいと調べてみた。

Dynamips(Cisco7200エミュレータ)関連リンク

http://www.itbook.info/study/cisco1.html
 #まぁまぁ

http://7200sim.blog57.fc2.com/
 #詳しいっすねぇpart1

http://www.open-sip.org/wiki.cgi/dynamips
 #dynaguiのことが書かれてる

http://ccstudy.org/simurator/simurator.html
 #詳しいっすねぇpart2

http://blog.goo.ne.jp/kazemukai_hat/c/7b21b6f45570cf0add54e23286bb291e
 #part2の作者ブログ

ザックリ読んだところ、Windowsでも簡単に軽快に動くっぽいことが判明。
POSIX環境もcygwin1.dllのみでOKっぽい。

ってことで、FWSMのコンフィグを書きながらインストしてみたw
Cel2.0GHz、Mem640MBで、C7200を2台起動させてもCPU稼働率は10~20%前後だった。
使用感としては、"サクサク"といってもいいかな。

とりあえず、詳しいっすねぇpart1or2の通りにやれば、普通に動く!

さらにいろいろなトポロジを考えよう!と思ったんだけど、オレのリソースは不足している。。。
何か良い手はないものか?と考えた。。。
「職場にばら撒けばいいんだ!」という結論になりつつある(笑)
「各自でトポロジを考えて、みんなで交換し合おうぜ!」と呼びかければ、
オレがわざわざトポロジを考える必要はない。
運が良ければ、CCIEな方々が作成したトポロジをゴリゴリいじれるだろ。

んまぁでもオレ的には、MPLSのWANをシミュレートできればそれでいい。

5.は、ここじゃ書けない。
公にはできんけど、オレは電波になる!(笑)

その他
来週頭には、長野まで電波サーベイしに行ってこよ♪
来週中盤は、いよいよWLC、AD、認証関連の
客先レビュー&ディスカッションなため、ボスから出撃命令が下った!
サンドバックにならないよう、上手くかわしてこなくっちゃね。

[PR]
by mdesign21 | 2007-04-10 00:09 | Diary

Subnet Calc

Condition:眠いのに眠れない

職場で"先生"と崇めている鯖屋さんから、こんなん↓もらったw

http://bosondownload.com/utils/bos_sub.exe

FWSMのコンフィグ書いてて、ネットワークで切るかか?ホストを並べるか?で迷うときは、大抵マスクの計算が厄介だったりする。
レビューすると、大抵間違っていたりするw

それに、遊び感覚でも仕事(=責任があること)には変わりないから、自分の脳がフル稼動しているか?を試すよりも、確実性を取らねばならないときもある。

なので、これ。
Subnet Calc

・・・う~ん、微妙な結論の導き方だな。

[PR]
by mdesign21 | 2007-04-09 23:23 | IT系

Fedora5にVMWare鯖をインスト!

Condition:Core2Duoマジで悩む。。。

Fedora5にVMWare鯖をインスト。
母体(ホストOS)は、ずっと安定して使えた方がいいので。
ちなみに、Fedora3の場合、2-2-1~2-2-3は不要。

あぁ、オレ何でこんなに頑張ってるんだろ?って考えた。
それは己が泣かなくて済むようにするため(笑)

1. 事前準備

1-0. /root/vmwareへ必要なものをアップ

compat-db-4.1.25-6.i386.rpm
kernel-devel-2.6.15-1.2054_FC5.i586.rpm
kernel-devel-2.6.15-1.2054_FC5.i686.rpm
vmware-any-any-update108.tar.gz
VMware-mui-1.0.2-39867.tar.gz
VMware-server-1.0.2-39867.i386.rpm
xinetd-2.3.13-6.2.1.i386.rpm

1-1. カーネルのVerとアーキテクチャを確認

[root@Fedora5 ~]# uname -a
Linux Fedora5 2.6.15-1.2054_FC5 #1 Tue Mar 14 15:48:33 EST 2006 i686 i686 i386 GNU/Linux

1-2. xinetdのインスト

[root@Fedora5 ~]# rpm -Uhv vmware/xinetd-2.3.13-6.2.1.i386.rpm

1-3. httpdをon

[root@Fedora5 ~]# chkconfig httpd on


2. 鯖のインスト

2-1. 鯖本隊のインスト

[root@Fedora5 ~]# rpm -Uhv vmware/VMware-server-1.0.2-39867.i386.rpm

2-2. インスト後に設定perlを実行

[root@Fedora5 ~]# /usr/bin/vmware-config.pl

2-2-1. perl実行時の注釈

こんなん↓聞いて来られる場合がある。。。

What is the location of the directory of C header files that match your running
kernel? [/usr/src/linux/include]
そんなときは2-2-2.を実行

2-2-2. kernel-develのインスト

[root@Fedora5 ~]# rpm -Uhv vmware/kernel-devel-2.6.15-1.2054_FC5.i586.rpm
もしくは
[root@Fedora5 ~]# rpm -Uhv vmware/kernel-devel-2.6.15-1.2054_FC5.i686.rpm

それでもダメな場合は2-2-3.を実行

2-2-3. パッチ当て

[root@Fedora5 ~]# tar xvzf vmware-any-any-update108.tar.gz
[root@Fedora5 ~]# cd vmware-any-any-update108
[root@Fedora5 ~]# vmware-any-any-update108]# runme.pl

2-3. 気を取り直して再度perlを実行

[root@Fedora5 ~]# /usr/bin/vmware-config.pl

シリアルNoまで聞いてくればOKかなぁ。


3. 管理画面のインスト

3-1. 管理Intの準備

[root@Fedora5 ~]# rpm -Uhv compat-db-4.1.25-6.i386.rpm

3-2. 管理Intのインスト

[root@Fedora5 ~]# tar xvzf VMware-mui-1.0.2-39867.tar.gz
[root@Fedora5 ~]# cd vmware-mui-distrib
[root@Fedora5 ~]# vmware-mui-distrib]# vmware-install.pl

3-3. 鯖ConsoleをWindowsのGUIに引っ張りたければ。。。

"VMware-server-win32-client-1.0.2-39867.zip"を解凍して、
VixSDK以外のexeをインストしてあげれば、概ねOKかなと。

[PR]
by mdesign21 | 2007-04-08 23:27 | IT系

いいなぁ。。。

Condition:えぇ、そこそこです。

とりあえず、これ↓
http://www.shobi-u.ac.jp/news/2005/news_1050.html

いいなぁ~。
羨ましいなぁ~。
ヨダレ出ちゃうなぁ~。
オレも10歳若かったら、ドンピシャ!で講義受けられたのになぁ~。
けど、今ならオレの力で何とか聴講生くらいなら。

・・・と思いつつ、そんなヒマがあったら、セキュリティやら認証&暗号化についての講義を受けている方が、愉しい!って感じる気がする。。。

それが、、、「今のオレなんだ」と改めて自覚したよ。

同じ時間を費やすなら、上記URLの講義を受けるより、WiSMのレクチャーを受けたいと思ってしまう。

[PR]
by mdesign21 | 2007-04-05 00:10 | Diary

Fedora Core 3でのパスワードポリシー変更方法

<対象ファイル>
/etc/pam.d/system-auth

<変更箇所>
password requisite /lib/security/$ISA/pam_cracklib.so retry=3

この行に下記オプションを加えます。minlenの指定だけではないのがポイント。

dcredit=0 ucredit=0 ocredit=0 lcredit=0 minlen=8

この設定では何でもいいから8文字という意。

dcredit(数字)
ucredit(大文字)
ocredit(記号)
lcredit(小文字)
を必ず含ませたい場合は-nで指定します。

数字を必ず1つは入れるようにするには以下となる。

password requisite /lib/security/$ISA/pam_cracklib.so retry=3 dcredit=-1 ucredit=0 ocredit=0 lcredit=0 minlen=8

検証用鯖であれば、Passwordは1文字で充分なので。

[PR]
by mdesign21 | 2007-04-04 11:15 | IT系