IT

Let’s Encrypt è uscito dalla Beta

Fabio Bombardi

letsencrypt

Il 12 Aprile 2016 Let’s Encrypt è uscito dalla beta!

https://letsencrypt.org/

Per chi non sa cosa sia ecco qui l’estratto dal loro sito ufficiale:

Let’s Encrypt is a free, automated, and open certificate authority (CA), run for the public’s benefit. Let’s Encrypt is a service provided by the Internet Security Research Group (ISRG).

The key principles behind Let’s Encrypt are:

  • Free: Anyone who owns a domain name can use Let’s Encrypt to obtain a trusted certificate at zero cost.
  • Automatic: Software running on a web server can interact with Let’s Encrypt to painlessly obtain a certificate, securely configure it for use, and automatically take care of renewal.
  • Secure: Let’s Encrypt will serve as a platform for advancing TLS security best practices, both on the CA side and by helping site operators properly secure their servers.
  • Transparent: All certificates issued or revoked will be publicly recorded and available for anyone to inspect.
  • Open: The automatic issuance and renewal protocol will be published as an open standard that others can adopt.
  • Cooperative: Much like the underlying Internet protocols themselves, Let’s Encrypt is a joint effort to benefit the community, beyond the control of any one organization.
Let’s Encrypt è uscito dalla Beta

cloudrino.net a dream come true!

Fabio Bombardi

Do you know cloudrino.net? No?! O_O!!! How dare! 🙂

How many Raspberry Pis do you have at home? Actually I’ve got two Raspbeery Pis running raspbian (no UI), with many many managment scripts running on them! But not only management scripts; also sendmail, DLNA servers and much more…

Now, think to have such a system always available: everytime, everywhere! And now open your eyes and go to cloudrino.net!

They are offering free alpha plans (free for life!) for those that reach the top of  the queue!

And guess what! Today I’m staring at my brand new little cluod server!!! Wow!

cloudrindo-server

So It’s true… your dreams can come true!

Gr8 work guys! I see so much possibilities with my new little cloud server!

cloudrino.net a dream come true!

Windows 8.1 + Update Window 10

Fabio Bombardi

Ieri sera mi sono finalmente deciso a fare l’update del mio sistema operativo Windows 8.1 verso Window 10 come dal 29 Luglio Microsoft mi pressava assai :D.

Ovviamente non l’ho fatto subito perchè ho acquistato un HD di backup. Fatto il mio solito BackUp con Paragon Migrate OS to SSD 4.0 (infallibile!) ho messo il nuovo disco sul PC e ho lanciato l’upgrade.

Per fare il tutto Windows ha impiegato 3 ore…

IMG_1415

 

… ero già pronto al peggio e invece…

Tutto è andato perfettamente. Tutti i driver sono stati installati correttamente

gestione_dispositivi

e tutti i programmi che utilizzo più spesso non hanno dato problemi (…fino ad ora… 😀 )

Anzi, anche i driver invidia che stranamente avevano smesso di funzionare (tutti i nuovi installer davano BSOD in fase di installazione) hanno ripreso ad andare.

context_memu

Direi che fino ad ora sono più che soddisfatto dell’Upgrade.

Il mio PC è un HP Envy 17-j111sl.

Questa volta devo dire… brava Microsoft!

 

Windows 8.1 + Update Window 10

Intel i7 core0 90% CPU

Fabio Bombardi

Oggi da un mio cliente mi è capitata una cosa molto strana.

Ad un certo punto un programma che si è sempre eseguito velocemente nel mi laptop, improvvisamente andava lentissimo.

Dopo una breve diagnosi ho scoperto che il core0 del mio processore i7 era al 90% del suo quando il PC era idle e quando eseguivo il programma in questione andava al 100%! O_O

cpu0_100

Ho disinstallato i programmi che aveva installato dopo l’ultima volta che mi ricordavo che il programma funzionava correttamente e fatto anche un punto di ripristino… ma nulla…

Alla fine sapete cos’era? Staccando il cavo HDMI per il secondo monitor immediatamente il core0 è tornato a funzionare correttamente e anche riattaccandolo successivamente il problema non si ripresenta. Il problema si presenta solamente se avvio il PC con il cavo HDMI già collegato.

cpu0_100_hdmi

Il monitor che avevo dal mio cliente era un Asus.

Con l’HP che ho a casa non ho mai avuto questo problema… molto strano… ma per il momento non ho altre info in merito…

Intel i7 core0 90% CPU

Creare un certificato SSL di durata maggiore di 2 anni tramite CA Server Windows

Fabio Bombardi

Installate la CA su di un Server di dominio facendo attenzione ad installare anche il ruolo di “Certification Authority Web Enrollment” e impostando il certificato della CA ad un valore di anni opportuno (e.g. se volete un certificato utente di 20 anni allora il certificato della rootCA deve essere di almeno 20 anni).

server_roles

Da un IIS generare una richiesta di certificato. Io la richiesta l’ho fatta direttamente dall’IIS (versione 7) della mia CA.

iis_request

Occorre andare a duplicare il Template WebServer (che di default ha validità dei certificati rilasciati di 2 anni) e mettere la validità a 20 anni.

template

template_20

A questo punto occorre accedere al webservice direttamente dalla CA o da un PC con le credenziali opportune per l’Enroll dei certificati

https://localhost/certsrv

e cliccare su “Request a Certificate“.

request

Scegliere la modalità avanzata

advanced_request

Mettere la richiesta (base64) generata in precedenza nel campo richiesto

submit_request

E scaricare il proprio certificato in formato .cer

Una volta scaricato il certificato l’ho importato nella mia CA nello snap-in  “Certificates” di mmc.

Una volta importato lo potete esportare in formato .pfx includendo la chiave privata.

In questo modo il certificato .pfx sarà pronto per poter essere installato sul server web per il quale era stata fatta la richiesta.

N.B. Attenzione che io sono risucito a generare un certificato con un template di 20 anni perchè il certificato della mia rootCA aveva validità ventennale. Se voi avete un certificato della vostra rootCA che ha validità X anni allora dovete generare un duplicato del template WebServer che abbia validità al massimo X anni!

Io ho anche modificato i valori dei seguenti registry:

reg_values

—————————-

Non ero subito riuscito a generare il certificato… ecco l post che avevo fatto su serverfault. Ho fatto varie prove di duplicazione template e generazione della richiesta.

Alla fine facendo tutto dalla CA (richiesta + installazione snap-in + export del certificato) sono riuscito ad avere il mio file .pfx da importare su IIS7 del server per il quale avevo richiesto il certificato.

http://serverfault.com/questions/689999/windows-server-2012-root-enterprise-certification-authority-issue-certificates-o/690858#690858

Creare un certificato SSL di durata maggiore di 2 anni tramite CA Server Windows

How to configure Windows Firewall to allow pings (Win7 and above)

Fabio Bombardi

1. From the Start menu, search for Windows Firewall with Advanced Security and choose it.

2. From the left pane, click Inbound Rules.

3. In the right pane, find the rules titled File and Printer Sharing (Echo Request – ICMPv4-In).

4. Right-click each rule and choose Enable Rule.

How to configure Windows Firewall to allow pings (Win7 and above)

Network TAP port

Fabio Bombardi

Abbiamo visto come installare Snort su Raspberry Pi e come lanciarlo.

Ma per utilizzare Snort come IDS è necessario servirzi di un hardware dedicato: uno switch che abbia una porta in Mirroring.

Questo tipo di porte vengono anche chiamate TAP o Span port.

C’è chi si costruisce le sue span port “home made”, ma per essere un po’ più industriali e spendere poco possiamo comprare il Netgear GS105E che permette di mettere in mirroriing le porte su di un’altra.

IMG_1250

 

Network TAP port

Sendmail è lento ad inviare email?

Fabio Bombardi

Controllate

/var/log/mail.log

Probabilmente troverete qualcosa simile a questo:

Mar 28 16:40:02 kali sm-msp-queue[7565]: My unqualified host name (yourhostname) unknown; sleeping for retry

Aggiornate

/etc/hosts

affinchè la riga con

127.0.0.1 yourhostname localhost ...

sia simile a

127.0.0.1 localhost.localdomain localhost yourhostname

Il gioco è fatto! 😀

Sendmail è lento ad inviare email?

Utilizzare Snort

Fabio Bombardi

Se non avete installato Snort, potete leggere questo nostro articolo su come installarlo su Raspberry Pi.

Se lo avete installato con il comando

apt-get install snort

Allora vi basta diminuire solamente il numero di max_tcp e lanciare il comando (vedi sotto)

snort -dev -l ./log -h 192.168.1.0/24 -c /etc/snort/snort.conf

Se lo avete installato compilando i sorgenti invece, la questione diventa più briosa in quanto occorre settare bene lo snort.config come di seguito.

Una volta installato occorre però aggiornarlo.

Seguiamo quindi i passi che ci dice la guida ufficiale su Snort.org allo Step 3:

0. Creare se non esistono le directory
root@kali:~/tmp# mkdir /etc/snort
root@kali:~/tmp# mkdir /etc/snort/rules
1. Community Rules
wget https://www.snort.org/rules/community
tar -xvfz community.tar.gz -C /etc/snort/rules
2. Registered Rules
wget https://www.snort.org/rules/snortrules-snapshot-2962.tar.gz?oinkcode=
wget https://www.snort.org/rules/snortrules-snapshot-2970.tar.gz?oinkcode=
wget https://www.snort.org/rules/snortrules-snapshot-2972.tar.gz?oinkcode=
tar -xvfz snortrules-snapshot-.tar.gz -C /etc/snort/rules
3. Subscriber Rules
... sono a pagamento ...

Creare la directory:

/usr/local/lib/snort_dynamicrules

Ridurre il max_tcp altrimenti il Raspberry non ce la fa… poverone! 😀

# Target-Based stateful inspection/stream reassembly.  For more inforation, see README.stream5
preprocessor stream5_global: track_tcp yes, \
   track_udp yes, \
   track_icmp no, \
   max_tcp 26214, \
   max_udp 131072, \
   max_active_responses 2, \
   min_response_seconds 5

cambiare i file di whitelist e blacklist:

white_list.rules -> whitelist.rule
black_list.rules -> blacklist.rule

# Reputation preprocessor. For more information see README.reputation
preprocessor reputation: \
   memcap 500, \
   priority whitelist, \
   nested_ip inner, \
   whitelist $WHITE_LIST_PATH/whitelist.rule, \
   blacklist $BLACK_LIST_PATH/blacklist.rule

portarsi nella directory

/etc/snort/rules/etc

e lanciare il comando

snort -d -h 192.168.0.0/24 -l ./log -c snort.conf

I parametri dipendono ovviamente dal tipo di LAN che volete monitorare.

Per i dettagli leggere il manuale di Snort su Snort.org.

A questo punto per testarlo andiamo a mettere in

/etc/snort/rules/local.rules

la seguente regola

# $Id: local.rules,v 1.11 2004/07/23 20:15:44 bmc Exp $
# ----------------
# LOCAL RULES
# ----------------
# This file intentionally does not come with signatures.  Put your local
# additions here.

# Test ping
#alert ip any any -> any any (msg: "IP Packet detected"; sid: 8888888)
alert icmp any any -> any any (msg: "TEST PING *** ^^ *** ICMP Packet found"; sid: 888888)

Che testa anche il PING essendo una richiesta echo ICMP.

Lanciamo snort e pinghiamo il nostro gateway:

ping 192.168.0.1

andiamo quindi ad analizzare i nostri alert

more ./log/alert

e vediamo che la nostra regola ha fatto scattare l’allarme!!! 😀

[**] [1:888888:0] TEST PING *** ^^ *** ICMP Packet found [**]
[Priority: 0] 
03/27-21:14:27.294037 A8:20:66:27:D5:F6 -> E0:91:F5:F9:2D:4E type:0x800 len:0x62
192.168.0.6 -> 192.168.0.1 ICMP TTL:64 TOS:0x0 ID:12623 IpLen:20 DgmLen:84
Type:8  Code:0  ID:3591   Seq:0  ECHO
Utilizzare Snort