Categoria: Tecnica

Hai una coppia di Sonicwall ad alta affidabilità e un giorno trovi che l’unità secondaria è attiva mentre la primaria è deceduta. Qui elenco gli step da seguire per sostituire l’unità primaria. E’ da capire bene che le unità sono primaria e secondaria e mai si scambieranno questi ‘ruoli’. Quello che invece cambia è l’unità attiva e l’unità in standby. Questo occorre che te lo metti bene in testa. La secondaria nasce secondaria e muore secondaria anche se resta attiva per 6 anni, uguale la primaria, nasce e muore primaria.

Il problema principale è che non si può ‘promuovere’ a primaria una unitò secondaria. Il secondo problema è che l’unità secondaria non ha la possibilità di cambiare il serial number della primaria; se ti logghi sulla tua unità secondaria che ora è attiva noterai che non puoi cambiare il serial number della primaria. Se segui questi passi avrai un minimo disservizio ma pianificato da te e quindi di poco impatto sulla tua struttura.

Ora hai la nuova unità che diventerà la tua unità primaria, nuova appena arrivata dal supporto Sonicwall. Segnati tutti i cavi esattamente su che interfaccia devono essere connessi, delle bandierine fatte con il nastro di carta con sopra scritte le interfaccie aiutano molto.

1. Fai partire la tua nuova unità e registrala su mysonicwall.
2. Aggiorna il firmware della nuova unità, dovresti aver l’ultimo firmware sulla tua unità secondaria attiva, fai in modo che il firmware della nuova unità sia di versione uguale o più aggiornata della tua unità secondaria.
3. Esporta i settings della secondaria attiva e importali sulla primaria senza collegarla alla tua rete di produzione, questo lo puoi fare attraverso l’interfaccia di management con ip 192.168.1.254 oppure attraverso la X0 che se l’unità è in default settings ha ip 192.168.168.168
4. Dovresti controllare che le interfacce ora hanno gli ip come hai sull’unità secondaria attiva e magari le VPN, se tutto ok come dovrebbe, significa che l’import dei settings è andato a buon fine.
5. Ora vai nella gestione dell’alta affidabilita settings e metti ‘none’ anzichè ‘active/passive’ questo significa che la tua unità opera in modalità stand-alone e non è più un primario.
6. E’ arrivato il momento che dovrai dare del disservizio alla tua rete, ma come vedi, è pianificato da te quindi lo potrai fare quando più ti aggrada, non aver fretta, la tua unità primaria è andata avanti per anni, lo stesso molto probabilmente potrebbe fare la secondaria: non c’e’ fretta. Ora connetti tutti i cavi che erano connessi alla tua vecchia unità primaria alla tua nuova unità primaria mantenendola spenta. I cavi erano stati segnati con delle bandierine con scritto X0 X1 X2 non puoi sbagliarti. Prenditi il tuo tempo.
7. Ora spegni la tua unità secondaria attiva, la tua rete subirà un disservizio ora.
8. Accendi la tua nuova unità primaria, che dovrà effettuare il bootstrap questo tempo è importante, in quanto tutti i tuoi switch devono ‘dimenticare’ il mac address della tua unità secondaria. Lascia che la tua rete stia down per il tempo necessario al bootstrap della tua nuova unità primaria, è importante questo tempo.
9. Dopo circa 5 minuti la tua nuova unità deve essere raggiungibile e puoi fare il login al portale di management SoniOS della tua nuova unità primaria. Ora la tua nuova unità sta operando come unità stand-alone.
10. Controlla che tutto stia funzionando correttamente con la nuova unità e quando sei sicuro vai al prossimo step. Ovviamente se qualcosa non dovesse andare puoi spegnere la macchina nuova e riaccendere la vecchia e in altri 5 minuti tutto è nuovamente attivi sulla macchina secondaria.
11. Da qui in poi non c’e’ più la possibilità di tornare indietro, devi essere sicuro che la tua nuova unità funzioni perfettamente.
12. Ora è il momento di ripristinare il cluster ad alta affidabilità. Per far questo sconnetti la il firewall secondario dalla rete di produzione. Collegalo al tuo pc accendilo esegui il login e fallo ripartire in factory default. Deve essere pulito della configurazione esattamente come se fosse nuovo e quindi occorre inserirgli il ‘registration code che trovi in mysonicwall.
13. Ora collega solo interfaccia che hai destinato alla alta affidabilità e accendi il firewall che tra poco diventerà nuovamente secondario del tuo nuovo firewall primario. Prendi nota del seriale del firewall secondario che dovrai inserirlo nel settings di alta affidabilità del primario.
14. Fai login sul primario e imposta nel settings dell’alta affidabilità, l’interfaccia dedicata e il seriale. Sul firewall secondario deve esserci solo l’interfaccia HA connessa all’altro firewall. Dovresti vedere che lo stato del HA ora ha un primario in active e un secondario che subito dovrebbe essere in ‘none’ ma dopo qualche decina di minuti, dovrebbe andare in ‘standby’. Noterai che l’unità secondaria effettua alcuni reboot, non preoccuparti è normale.
15. Quando lo stato del HA mostra primario ‘active’ e secondario ‘standby’ puoi collegare tutti i cavi a secondario. Abbiamo terminato la configurazione del nuovo primario.
16. Ora dovresti testare il cluster, prova a fare un “Forse Active/Standby failover” da settings HA – Devi resettare il flag “Enable Preempt Mode” se fosse attivo.
17. Non dimenticare aggiornare la registrazione su mysonicwall del nuovo primario che dovrà avere un secondario con il seriale del tuo vecchio secondario.

In caso non trovi il bundle ovvero la catena di certificati da inserire DOPO il vero certificato, puoi risalerci attraverso questo sito:

https://tools.keycdn.com/certificate-chain

How to access the popcorn hour from your webbrowser

Popcorn hour startpage
http://popcorn:8883/start.cgi?list

Network setup
http://xx.xx.xx.xx:8883/network.html

Audio / Video settings
http://xx.xx.xx.xx:8883/display.html

Preferences
http://xx.xx.xx.xx:8883/preferences.htm

Network share
http://xx.xx.xx.xx:8883/network_share.html

Network Media Tank applications
http://xx.xx.xx.xx:8883/media_server.html

DVD / Audio CD
http://xx.xx.xx.xx:8883/dvd.html

Maintenance
http://xx.xx.xx.xx:8883/maintenance.html

BTPD Bit Torrent client
http://xx.xx.xx.xx:8883/torrent/bt.cgi

player
http://xx.xx.xx.xx:8088/app/player/webdir/action/webdirlist.php

start page
http://xx.xx.xx.xx:8088/app/player/welcome/action/welcome.php

attraverso una macchina linux è un compito facilissimo:

Prima creiamo la chiave privata:

openssl genrsa -out mariorossi.key 2048

Poi possiamo creare la “Certificate Request” con questo comando:

openssl req -new -key mariorossi.key -out mariorossi.csr

Una volta che abbiamo il file .csr, possiamo richiesdere “pagando s’intende” il certificato ad un provider di certificati.

Attenzione che occorre prevedere il metodo di autentica da parte del provider: di solito invia una mail ad un particolare email address del dominio da certificare ed possibile scegliere l’email address solo tra un piccolo set di email address. Di solito (nel nostro caso che stiamo certificando il dominio mariorossi.it per esempio) si puo’ scegliere tra postmaster@mariorossi.it oppure hostmaster@mariorossi.it oppure admin@mariorossi.it C’e’ anche la possibilità di inserire un file nel sito web ma lo sconsiglio.. con la mail è veramente più rapido.

PFX – A volte ti serve questo formato.. come fare per ottenerlo?

Quando ti serve creare il PFX? Si tratta soprattutto delle seguenti situazioni:
Vuoi installare il certificato su Windows Server (l’IIS), ma la richiesta della CSR non è stata creata nell’IIS oppure il certificato ti serve per Windows Server ma non hai a disposizione l’IIS per generare la CSR o ancora, hai creato la CSR nell’SSLmarket e hai salvato la chiave privata. Adesso vuoi installare il certificato su Windows Server oppure hai il certificato Code Signing e ti serve il PFX per apporre la firma.

openssl pkcs12 -export -in linux_cert+ca.pem -inkey privatekey.key -out output.pfx

Inserita la password che protegge il certificato, nella directory (in cui ti trovi) sarà creato il file output.pfx (nel comando sopraindicato hai scelto il nome del file).

Potresti avere bisogno di aumentare lo spazio disco di una VM CentOS8 per svariate ragioni. Con LVM è abbastanza semplice da fare. Divido in punti cosa bisogna fare raggiungere lo scopo.

Prima di tutto ferma la VM e aumenta di un po’ lo spazio disco, io su una VM da 100GB ho aumentato di 50GB. Se non te lo lascia fare è perchè hai degli snapshot.. se vuoi provare che effetto fa senza farlo su una VM di produzione devi prima clonare la VM… comunque se la cloni sarebbe meglio che la VM fosse spenta.. specialmente se hai un DB sopra.

Fai partire la VM e controlla con il comando “fdisk -l” come è partizionato: dovrebbe farti vedere una cosa del genere:

Dispositivo Avvio Start Fine Settori Size Id Tipo
/dev/sda1 * 2048 2099199 2097152 1G 83 Linux
/dev/sda2 2099200 209715199 207616000 99G 8e Linux LVM

Ora dovresti creare una nuova partizione, con il comando “fdisk /dev/sda” e segui questi passi:

Premi p per vedere come è partizionato dovresti vedere sda1 e sda2 – Ora premi ‘n’ per creare una nuova partizione e premi ‘p’ per farla ‘primaria’ – Ora premi 3 che dovrebbe essere il numero della partizione (prima ne avevi solo due la nuova è numerata tre) poi premi ENTER due volte (ti chiede l’inizio e la fine dei settori da allocare alla nuova partizione) Ora premi ‘t’ per modificare il tipo di partizione, premi ‘3’ per selezionare la partizione alla quale vuoi cambiare il tipo e dopo inserisci ‘8e’ (oppure 31 in caso di GPT) che sarebbe il tipo di partizione linux LVM. Ora puoi scrivere il tutto su disco premendo ‘w’.

Fai un reboot della VM e controlla con “fdisk -l” dovresti vedere un output del genere:

/dev/sda1 * 2048 2099199 2097152 1G 83 Linux
/dev/sda2 2099200 209715199 207616000 99G 8e Linux LVM
/dev/sda3 209715200 314572799 104857600 50G 8e Linux LVM

Ora puoi creare una partizione LVM con “pvcreate /dev/sda3”

Ora prendi nota del nome del “VG Group” con il comando “vgdisplay”, dovresti vedere qualcosa del genere: (nel mio sistema il VG Group è ‘cl’ ma potrebbe essere ‘rl’)

[root@marisa-bella ~]# vgdisplay
— Volume group —
VG Name cl
System ID
Format lvm2
Metadata Areas 2
Metadata Sequence No 5
VG Access read/write
VG Status resizable
MAX LV 0
Cur LV 2
Open LV 2
Max PV 0
Cur PV 2
Act PV 2
VG Size 148,99 GiB
PE Size 4,00 MiB
Total PE 38142
Alloc PE / Size 37887 / <148,00 GiB
Free PE / Size 255 / 1020,00 MiB
VG UUID EI4muD-wf7f-ORTQ-baYB-Wmcg-n6c0-vK3uOf

Ora puoi estendere il volume fisico con “vgextend cl /dev/sda3”

Ora lanciando il comando “vgdisplay cl | grep Free” dovrebbe farti vedere che c’e spazio libero.

Ora puoi estendere il volume logico con “lvextend -L+49G /dev/cl/root” .

Potresti (se sei un genovese) anche estendere includendo i decimali che hai visto sul comando precedente “vgdisplay cl | grep Free”

Ora non ti resta che estendere il file system del tuo linux, dipende da che FS hai.. di solito sui CentOS hai XFS dunque il comando è “xfs_growfs /dev/cl/root” oppure se non hai una VM CentOS based il comando è “ext2online /dev/VolGroup00/LogVol00”

Ora se guardi con il comando “DF -h /” dovresti vedere lo spazio nuovo a disposizione:

[root@marisa-bella ~]# df -h /
File system Dim. Usati Dispon. Uso% Montato su
/dev/mapper/cl-root 140G 77G 64G 55% /

Fonte in lingua inglese: https://kb.vmware.com/s/article/1006371

Versione scaricabile del testo in formato PDF Aumentare spazio su disco Linux

Vdev, Dataset, pool, disk, volume.. si resta un pochino spiazzati dalla descrizione dei vari termini su questo file system (che è di piu’ di un semplice file system se paragonato a EXT4, BTRFS, ecc..) Se, come me sei rimasto un po’ sbigottito ti faccio subito vedere un’immagine che chiarisce il 90% dei tuoi dubbi:

..mancano solo i volumi per avere chiaro la struttura di ZFS, che vado subito a spiegarti: i volumi sono come i dataset, solo che vengono gestiti da ZFS come ‘pezzi di disco’ ben delimitati dimensionalmente parlando e normalmente si usano quando hai da pubblicare una partizione iScsi… se chiedi a ZFS di farti un volute da 100GB, lui alloca uno spazio dentro al pool in modo che tu possa pubblicarlo come credi. Certo che in ZFS se fai un volume dovrebbe essere chiaro che ti serve per pubblicarlo in iScsi… altrimenti sono molto più flessibili i dataset. Se vuoi fare qualche test con ZFS a costo quasi zero, puoi usare XigmaNAS che gira anche sotto virtualizzatore VirtualBOX.

Approfondimenti:

https://xigmanas.com/xnaswp/ http://kflu.github.io/2017/07/17/2017-07-17-freebsd-zfs/ https://www.xigmanas.com/wiki/doku.php?id=zfs:volume https://arstechnica.com/information-technology/2020/05/zfs-101-understanding-zfs-storage-and-performance/

L’intenzione è quella di fare una lista di eventi importanti. Ci sono molti siti che elencano gli eventID, ma non sempre sono spiegati chiaramente per i non addetti ai lavori. La lista non è in ordine di importanza.

4625 – Accesso Negato – Guarda il tipo per maggiori info oppure guarda qui https://docs.microsoft.com/it-it/windows/security/threat-protection/auditing/event-4625

4625 tipo 2 – Modo intereattivo via console

4625 tipo 3 – Via rete (NLA)

4625 tipo 5 – Un servizio ha tentato di startare con credenziali errate

4625 tipo 7 – La macchina era in lock (windows+L) ma la password inserita è sbagliata

4625 tipo 10 – RDP o TS

4720 – Creazione di un nuovo utente

4649 – Questo evento indica che è stato rilevato un attacco di riesecuzione Kerberos: una richiesta è stata ricevuta due volte con informazioni identiche. Questa condizione potrebbe essere causata da una configurazione errata della rete. Questo evento può essere un segno di un attacco di riesecuzione Kerberos o, tra l’altro, problemi di configurazione dei dispositivi di rete o di routing. In entrambi i casi, è consigliabile attivare un avviso e analizzare il motivo per cui l’evento è stato generato

5148 – La Windows Filtering Platform ha rilevato un attacco DoS ed è entrata in modalità difensiva. i pacchetti associati a questo attacco verranno eliminati. (evento raro) Questo evento può essere un segno di un attacco DoS ICMP o, tra l’altro, problemi correlati all’hardware o ai dispositivi di rete. In entrambi i casi, è consigliabile attivare un avviso e analizzare il motivo per cui l’evento è stato generato.

1102 – L’audit log è stato cancellato

4621 – Sistema ripristinato dall’amministratore da CrashOnAuditFail. Gli utenti che non sono amministratori potranno accedere. È possibile che alcune attività controllabili non siano state registrate.

4794 – tentativo di impostare la password di amministratore della modalità ripristino servizi directory

Microsoft ha pubblicato una lista di event id ordinata per criticità a questo link: https://docs.microsoft.com/it-it/windows-server/identity/ad-ds/plan/appendix-l–events-to-monitor

Graylog è un’applicazione linux che permette di registrare i log provenienti dai device di una rete. Graylog è molto di più di un syslog server come rsyslog. Elenco alcune caratteristiche chiave che rendono fruibile questo prodotto.

• Input: ovviamente può ascoltare i messaggi sulla classica porta 514udp ma puoi avere diversi imput in modo da differenziare i tuoi dispositivi anche a seconda di quel che possono inviare: mi spiego meglio, se hai uno switch HP 1920 hai poco da giocare, imposti l’ip del server e lui invia quello che il progettista del software ha programmato e via; ma se hai un sistema più complesso, come ad esempio un server linux o peggio una macchina Windows ti piacerebbe ‘forse’ ricevere solo le cose che reputi interessanti o/e magari con certi livelli di priorità, quindi potrebbe essere meglio usare un collector che possa inviare ‘solo’ le cose che reputi interessanti e magari in tcp e non in udp. Ad esempio puoi usare WinFileBeat che comunica con il server in porta 5044/tcp e quindi Graylog ti permette di aprire una porta in ascolto compatibile con quel collector.

• Gli Stream sono delle regole che ti permettono di isolare gli eventi registrati in modo da esaminare solo le source (il dispositivo che invia i log) che ti interessano in quel momento attraverso un semplice meccanismo di regole e di input. Riassumendo uno stream si collega ad un input e attraverso delle regole estrae solo quello che ti interessa. Puo’ essere usato anche per ridirigere la registrazione su un set di indici dedicati con una politica di cancellazione diversa dalla default.

• Gli Alert sono come dice il nome degli avvisi quado si verifica qualcosa che vale la pesa evidenziare all IT. Ti faccio un esempio banalissimo: se normalmente ricevi 1000 eventi all’ora potresti essere interessato se gli eventi nell’ultima ora sono 2000

• Dashboard sono delle particolari visualizzazioni che ti permettono di salvare delle query correate da grafici e dati in modo da poterle richiamare quando vuoi, come ad esempio una dashboard che ti visualizza il numero di eventi nelle ultime 24 ore per sorgente

• Sidecar: è forse la caratteristica più eclatante di Graylog. E’ possibile avere la gestione centralizzata degli agent che inviano i log attraversoil collector. Mi soffermo su sidecar in quanto è secondo me un ottimo modo per collezionare i log provenienti da Windows filtrando solo gli eventi interessanti per i nostri scopi. In sostanza sidecar è ‘solo’ un’applicazione che gira sulla macchina della quale vogliamo raccogliere i log che ogni pochi secondi controlla sul server Graylog se esiste una nuova configurazione per il collettore di eventi. Per spiegarsi meglio, nel caso di una macchina Windows Sidecar (agent di management) e WinLogBeat (agent collector) sono installati sulla macchina Windows. Il compito di sidecar è lanciare/fermare/riconfigurare il servizio WinLogBeat presente sulla macchina Windows. Quindi abbiamo un sistema dal quale posso riconfigurare gli agenti collettori dei log in modo da istruirli in modo da farmi arrivare solo gli eventi interessanti o che reputo tali. Questo potrebbe sembrare poco importante ma considerando installazioni con centinaia di macchine Windows (con collettore WinLogBeat)oppure Linux (con collettore FileBeat) posso riconfigurare in pochi secondi tutto il sistema di collezione dei log. Posso inoltre avere diversi file di configurazione con i quali posso fare dei test solo su alcune macchine per verificare che la configurazione funzioni correttamente. E anche se invio un file di configurazione che blocca il collector, non e’ un problema, dalla console vedo che il collector non sta funzionando e posso riconfigurarlo attraverso il sidecar. Tieni a mente che tutto ciò è gratuito e open source.

• Politiche di ritenzione degli eventi: i dati vengono immagazinati nello storage ma occorre che ci sia una politica di cancellazione degli stessi in modo da essere compliants con GDPR (o privacy) e comunque per non saturare lo storage. Graylog scrive su un database basato su Elastic che chima indici. Un indice viene chiuso quando raggiunge un certo numero di byte oppure di eventi al suo interno. Puoi configurare quanti indici mantenere sul tuo storage, di norma un indice viene chiuso quando hai 20 milioni di eventi (che Graylog chiama docs) e sempre di default hai uno storico di 20 indici, quando arriva al numero 20 gli indici ruotano cancellando il più vecchio. Inoltre puoi avere indici dedicati ad un particolare input: metti caso che c’e’ un dispositivo che (per ragioni allucinanti che non so dirti ma se chiedi al tuo DPO ti spiegherà) devi mantenere solo per 3 indici da 1000 eventi ciascuno, puoi fare in modo di avere un’altra politica di storage che cancellera’ i tuoi indici con quel criterio. Questa caratteristica si ottiene attraverso gli stream.

Installazione su Windows in modalità silent:

graylog_sidecar_installer_1.0.0-1.exe /S -SERVERURL=http:/put.your.ip.here:9000/api -APITOKEN=yourapitoken

"C:\Program Files\graylog\sidecar\graylog-sidecar.exe" -service install
"C:\Program Files\graylog\sidecar\graylog-sidecar.exe" -service start

Installazione su linux Redhat/CentOS/Rocky/Alma

Bisogna installare sia il sidecar che il filebeat che sarebbe il collector:

[root@mario~]# rpm -Uvh graylog-sidecar-1.2.0-1.x86_64.rpm
Verifying… ################################# [100%]
Preparing… ################################# [100%]
Updating / installing…
1:graylog-sidecar-1.2.0-1 ################################# [100%]

graylog-sidecar -service install
systemctl enable graylog-sidecar
systemctl start graylog-sidecar

[root@mario ~]# rpm -Uvh filebeat-8.5.2-x86_64.rpm
warning: filebeat-8.5.2-x86_64.rpm: Header V4 RSA/SHA512 Signature, key ID d88e42b4: NOKEY
Verifying… ################################# [100%]
Preparing… ################################# [100%]
Updating / installing…
1:filebeat-8.5.2-1 ################################# [100%]

Poi bisogna configurare Sidecar per connettersi al server graylog con la propria API editando il file:

[root@mario ~]# vi /etc/graylog/sidecar/sidecar.yml

Semplicemente inserire in questo file, nelle prime righe l’ip del server e la API generata precedentemente.