lunedì 9 giugno 2014

Formattare il codice per blogspot

Per poter formattare il codice da inserire nel vostro blog Blogspot usate il formattatore online all'indirizzo

openssl: generare in casa certificati per VPN

Attenzione, a partire dalla release 5.15 RouterOS supporta il formato di chiavi pkcs8.
Se utilizzate una release precedente e volete importare le chiavi pkcs8 lanciate il comando:

 openssl rsa -in myKey.key -text  

poi copiate l´output in un file e lo uploadate sul vostro router.

Cominciamo preparando una coppia chiave/certificato per la nostra CA (Certificate Authority):

 openssl genrsa -des3 -out ca.key 4096  
 openssl req -new -x509 -days 3650 -key ca.key -out ca.crt  

Durante il processo dovrete inserire alcune voci (Common Name (CN), Organization, State or province .. etc). La coppia chiave/certificato generata avra' una validita' di 10 anni (3650 giorni).

Ora passiamo a generare una coppia chiave/certificato per il nostro server (ad esempio il router Mikrotik a cui ci vogliamo collegare in VPN)

 openssl genrsa -des3 -out server.key 4096  
 openssl req -new -key server.key -out server.csr  
 openssl x509 -req -days 3650 -in server.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out server.crt  

Di nuovo, durante il processo dovrete inserire alcune voci.Al momento di inserire CN ricordate che deve essere diverso da quello del certificato della CA e da quello del client (che andremo a generare tra poco) per evitare collisioni nei nomi.

Attenzione: Il Common Name (CN) nel certificato del server dovrebbe corrispondere all'IP address del server altrimenti verra' generato un messaggio di warning al momento della connessione.
Se il client saranno solo macchine Windows il CN puo'tranquillamente essere un nome DNS.

La generazione del paio chiave/certificato per il client e'mlto simile a quella per il server, ricordatevi di usare un CN univoco.

 openssl genrsa -des3 -out client.key 4096  
 openssl req -new -key client.key -out client.csr  
 openssl x509 -req -days 3650 -in client.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out client.crt  

Per esaminare e verificare il certificato usate il comando seguente:

 openssl x509 -noout -text -in server.crt -purpose  

mikrotik: usare il nome delle interfacce VPN nelle regole del firewall

Se usate un'interfaccia VPN dinamica il suo nome sara', ad esempio:
[SIMBOLO DI MINORE]ovpn-nome_utente[SIMBOLO DI MAGGIORE] 
 e non vi sara' permesse utilizzarla nelle regole del firewall.
Il segreto per ovviare a questo inconveniente e' creare un'interfaccia dedicata a quell'utente:

/interface ovpn-server add name=ovpn-nome_utente user=nome_utente
Cosi' facendo il nome dell'interfaccia sara':
ovpn-nome_utente
e potra' essere usato nelle regole del firewall.

mercoledì 4 giugno 2014

Analisi log: cercare tutte le ricorrenze di un parametro

Ipotizziamo un log che contenga linee del tipo:

DATA ORA CODICE I=dfjhsdf U=root O=eruyer
DATA ORA CODICE I=dfjhsdf U=utente O=eruyer
DATA ORA CODICE S=hdhgfgd I=dfjhsdf U=utente O=eruyer
DATA ORA CODICE S=hdhgfgd I=dfjhsdf U=mario O=eruyer

Vogliamo estrarre la lista degli utenti (nell'esempio il parametro U), possiamo usare questo comando:

grep -o "\ U=.*\ " FILE_DI_LOG | cut -f 2 -d\