Ntop (Network TOP) est un outil libre de supervision réseau. C’est une application qui produit des informations sur le trafic d’un réseau en temps réel (comme pourrait le faire la commande top avec lesprocessus).

Il capture et analyse les trames d’une interface donnée, et permet d’observer une majeure partie des caractéristiques du trafic (entrant et sortant) et accepte pour cela, notamment deux modes de fonctionnement: Une interface web et un mode interactif.

Ntop est développé par Luca Deri. La version courante est la 4.0. C’est une application portable sur la plupart des plates-formes Unix : Linux (Debian, RedHat, Slackware, SuSe), IRIX, Solaris (i386 et SPARC), HP-UX 11.X, FreeBSD 3.X, AIX 4.1, et Windows 95/98/NT (Luca Deri a développé une libpcap pour Win32).

Il s’appuie sur la bibliothèque nommée "libpcap" pour effectuer le capture des trames (bibliothèque de capture portable du domaine public pour les systèmes Unix).

Préparation de l’environnement de compilation :

yum install cairo-devel libxml2-devel pango-devel pango libpng-devel
yum install freetype freetype-devel libart_lgpl-devel wget gcc make
yum install perl-ExtUtils-MakeMaker

Installation de RRD-Tool :

cd /opt
wget http://oss.oetiker.ch/rrdtool/pub/rrdtool-1.4.5.tar.gz
tar -zxvf rrdtool-1.4.5.tar.gz
cd rrdtool-1.4.5
./configure –prefix=/usr/local/rrdtool
make
make install

Installation de LibPcap :

yum install libpcap libpcap-devel gdbm gdbm-devel
yum install libevent libevent-devel

Installation de Geoip :

Cette outil permet de localiser les adresses IP Publiques dans le monde.

wget http://geolite.maxmind.com/download/geoip/api/c/GeoIP-1.4.8.tar.gz
tar -zxvf GeoIP-1.4.8.tar.gz
cd GeoIP-1.4.8
./configure
make
make install

Installation de Ntop :

yum install libtool automake autoconf

wget http://downloads.sourceforge.net/project/ntop/ntop/Stable/ntop-4.1.0.tar.gz
tar zxvf ntop-4.1.0.tar.gz
cd ntop-4.1.0
./autogen.sh -prefix=/usr/local/ntop
make
make install

useradd -M -s /sbin/nologin -r ntop
chown ntop:root /usr/local/ntop
chown ntop:ntop /usr/local/ntop/share/ntop

Définir le mot de passe administrateur Ntop :

cd /usr/local/ntop/bin/

ntop -d -L -u ntop -P /usr/local/ntop –skip-version-check –use-syslog=daemon –A

Un mot de passe vous sera demandé.

Lancer ntop :

ntop -d -L -u ntop -P /usr/local/ntop –skip-version-check –use-syslog=daemon

Liens utiles :

FAQ : http://www.ntopsupport.com/faq.html

MAN : http://www.ntopsupport.com/ntop-man-page.html

Site : http://www.ntop.org/

Voici un récapitulatif des ports utilisés par l’authentification NTLM. Celui-ci est utile lorsque vous devez autoriser un proxy qui est en DMZ Privée (Non accessible d’Internet) à accéder à vos AD.

Ports TCP :

• 445 –> SMB
• 389 –> Ldap
• 88 –> Kerberos
• 750 –> Kerberos

Ports UDP :

• 88 –> Kerberos
• 750 –> Kerberos
• 389 –> Ldap
• 53 –> DNS
• 137 –> netbios

Attention, Il faut éviter au maximum d’ouvrir ces ports sur des DMZ accessible d’Internet!

Présentation :

GNS3 est un simulateur d’équipements Cisco. Cet outil permet donc de charger de véritable IOS Cisco et de les utiliser en simulation complète sur un simple ordinateur. Pour caricutariser, GNS3 permet d’avoir un routeur Cisco virtuel sur son ordinateur. A noter simplement que GNS3 ne fournit pas d’IOS, il faut se les procurer à l’aide d’un compte Cisco CCO par exemple. Ou grâce à Google.

Cet outil est parfait pour se préparer aux certifications Cisco CCNA, CCNP, CCIP ou CCIE.

Afin de permettre des simulations complètes, GNS3 est fortement lié avec:

• Dynamips, un émulateur d’image IOS qui permet de lancer des images binaires IOS provenant de Cisco Systems.
• Dynagen, une interface en mode text pour Dynamips.

GNS3 est un logiciel libre qui fonctionne sur de multiples plateformes, incluant Windows, Linux, et MacOS X.

L’installation de tous les composants peut être assez fastidieux. Je viens de découvrir que GNS3 avait mis à disposition une machine virtuelle avec tous les composants nécessaires pour découvrir les possibilités de GNS3.

Celle-ci est basé sur une Ubuntu. Tous les composants GNS3 sont accessible en 1 clic. Vous avez accès à de nombreux exemple de topologie et des TP.

Téléchargement :

Liens vers le site de téléchargement : http://sourceforge.net/projects/gns3workbench/files/

Quelques Informations :

Les IOS ne sont pas non plus fourni. Il faut vous procurer l’image de base qui est c3725-adventerprisek9-mz.124-15.T10.bin et la placer dans le répertoire /opt/GNS3/IOS

Avant chaque TP, il faut copier les fichiers conf voulu dans le répertoire config du projet. Ceci est fait pour ne pas que vous ecrasiez la config d’origine.

J’ai remarqué que les 1G de mémoire allouée à la VM ne suffise pas. Il faut mieux partir sur 2G.

Liens vers la doc d’installation (en anglais) : http://rednectar.net/gns3-workbench/gns3-workbench-install/

Quelques captures d’écrans :

Bonne simulation !

NSLookup (Name Server Lookup) est une commande permettant de tester la résolution des noms d’hôtes en adresses IP et inversement. Elle permet un rapide diagnostique des problèmes de résolution DNS.

Dans cet article, nous allons voir quelques options utiles de la commande NSLookup.

Résoudre un nom de domaine :

C:\>nslookup croc-informatique.fr
Serveur :   dns2.proxad.net –> Serveur DNS utilisé par mon poste de travail
Address:  212.27.40.241       -> IP du serveur DNS

Réponse ne faisant pas autorité : –> Le Serveur DNS qui répond ne gère pas le domaine croc-informatique
Nom :    croc-informatique.fr       -> Nom de domaine recherché
Address:  213.165.76.161             -> IP du serveur croc-informatique.fr

Par défaut la commande nslookup interroge le serveur DNS sur les enregistrements de type A (mappage entre un nom d’hôte et une adresse IPv4). Il est possible d’interroger le serveur DNS sur divers enregistrement en  utilisant la commande Set type = xx (remplacer xx par l’un des types suivants : MX, NS, A, SOA, CNAME, hinfo, any).

Pour commencer, il faut taper le commande nslookup dans un invite de commande. Un prompt apparaît.

Interroger un serveur DNS en particulier :

Utile pour suivre la propagation de vos modifications de zone.

> server 194.2.0.20

> croc-informatique.fr

Lister les serveurs DNS authauritaire d’un domaine (NS) :

Le type NS (Name Server) permet d’identifier le ou les Serveurs de noms autoritaire pour un domaine.

>set type=NS

>croc-informatique.fr

croc-informatique.fr    nameserver = ns61.1and1.fr
croc-informatique.fr    nameserver = ns62.1and1.fr

ns61.1and1.fr   internet address = 195.20.224.158
ns62.1and1.fr   internet address = 212.227.123.79

Connaitre l’adresse du serveur de messagerie (ou relais) d’un domaine :

> set type=mx

> croc-informatique.fr

>…

croc-informatique.fr    MX preference = 10, mail exchanger = mx00.1and1.fr
croc-informatique.fr    MX preference = 10, mail exchanger = mx01.1and1.fr

…

Les deux relais de messagerie de mon domaine sont donc :

mx00.1and1.fr
mx01.1and1.fr

Interroger le SOA (Start Of Authority) d’un domaine :

le champ SOA permet de décrire le serveur de nom ayant autorité sur la zone, ainsi que l’adresse électronique du contact technique (dont le caractère « @ » est remplacé par un point).

> set type=SOA

> croc-informatique.fr
        primary name server = ns61.1and1.fr
        responsible mail addr = hostmaster.1and1.fr
        serial  = 2008111701
        refresh = 28800 (8 hours)
        retry   = 7200 (2 hours)
        expire  = 604800 (7 days)
        default TTL = 86400 (1 day)

• Primary Name Server : Zone DNS principale
• Responsible mail addr : Email de contact du responsable de la zone
• Serial : Il s’agit d’un numéro de série qui doit être incrémenté à chaque modification de la zone. Ce numéro est souvent du type : YYYYMMDDnn (Année, mois, jour, version).
• Refresh :  Temps de rafraichissement
• Retry : Temps d’attente avant rafraichissement lorsqu’une tentative a échouée
• Expire : Nombre de seconde avant qu’un serveur secondaire ne considère ses informations de zone comme n’étant plus autoritative. Si la copie que le serveur détient est plus vieille que 28 jours, elle est considérée comme invalide.
• Default TTL (Time to live) =  Espérance de vie. Le TTL permet aux serveurs intermédiaires de connaître la date de péremption des informations et ainsi savoir s’il est nécessaire ou non de revérifier la zone.

Résolution inverse :

> set type=PTR
> 213.165.76.161
161.76.165.213.in-addr.arpa     name = kundenserver.de

Résolution directe (A) :

il s’agit du type de base établissant la correspondance entre un nom canonique et une adresse IP. Par ailleurs il peut exister plusieurs enregistrements A, correspondant aux différentes machines du réseau (serveurs).

> set type=A
> croc-informatique.fr

Nom :    croc-informatique.fr
Address:  213.165.76.161

Résolution d’Alias (CNAME):

Alias d’un nom de domaine

> set type=CNAME

> www.croc-informatique.fr
croc-informatique.fr
        primary name server = ns61.1and1.fr
        …

 

Mode debug

le mode debug permet de suivre les différentes requêtes émises et reçu par votre serveur DNS et ainsi débugger en cas de problème.

> set debug

> croc-informatique.fr

++

Si vous avez ce type de message d’erreur dans les logs de Bind : 

network unreachable resolving ‘ns6.oleane.net/A/IN’: 2001:dc3::35#53

C’est que le serveur Bind tente d’utiliser IPv6 et que le serveur n’est pas configuré pour l’utilisé.

Pour résoudre le problème, il faut forcer Bind à n’utiliser que l’IPv4. Pour cela, éditez le fichier “/etc/sysconfig/named” et ajoutez à la fin du fichier :

OPTIONS="-4"

Puis redémarrez le service named.

Jusqu’à présent, je n’avais jamais remarqué que lorsqu’on configure un switch Cisco en mode vtp client, la configuration VTP disparait au redémarrage de l’équipement. Je l’ai constaté à ce jour, seulement sur les 2960.

J’ai toujours eu l’habitude de configurer d’abord le mode client avant de définir le domaine vtp pour des raisons de sureté.

Et puis je suis tombé la dessus :

If you configure the switch for VTP client mode, the switch does not create the VLAN database file (vlan.dat). If the switch is then powered off, it resets the VTP configuration to the default. To keep the VTP configuration with VTP client mode after the switch restarts, you must first configure the VTP domain name before the VTP mode.

En gros, il faut d’abord mettre le switch dans le domaine VTP puis mettre le mode client. De cette manière, la configuration sera conservé après le redémarrage de l’équipement.

Suite à un problème de coupures intermittentes que j’ai eu avec un lien d’un site distant, j’ai trouvé un petit bat permettant de faire un ping toutes les 4 s et de tracer les pertes de paquets.

Voici le contenu de mon fichier .bat :

@echo off
echo Ping vers 192.168.0.1 en cours
echo NE PAS FERMER LA FENETRE

rem Délai en secondes
set delay=1

echo Etat du réseau du Site distant >  trace.txt
echo ============================ >> trace.txt

:loop

         ping.exe -n 1 192.168.0.1 | findstr "demande" > NUL
         if %errorlevel% == 0 echo Pertes de paquets vers 192.168.0.1 %date% %time:~,8% >> trace.txt
        
     rem Attendre
         ping.exe -n %delay% 127.0.0.1 > NUL

goto loop

L’adresse IP du hôte distant est ici : 192.168.0.1

Le fichier de sortie est : trace.txt

Avec ce script on peut détecter des pertes qui ne sont pas visibles par Nagios (check toutes les 5min) et par Cacti. De plus, on est pas obligé de resté devant le ping –t afin de scruter les pertes.

Après avoir ajouté des interfaces à mes serveurs Vulture pour prendre en charge mes certificats SSL par domaine, j’ai du mettre à jour mes scripts de synchronisation et de supervision. Pour rappel, la première version ainsi qu’une doc explicative se trouve à cette adresse : http://www.croc-informatique.fr/2009/07/synchronisation-et-monitoring-de-deux-reverse-proxy-vulture/

J’en ai profité pour remanier un peu mon code pour qu’il soit plus exploitable par tous. J’espère que ça servira à quelqu’un.

Attention :

J’ai transformé le script permettant la supervision de la synchronisation du shell en perl. Donc, à présent, il faut mettre dans le fichier /etc/sudoers la ligne :

nagios   ALL = NOPASSWD: /usr/bin/perl /usr/lib/nagios/plugins/check_synchro_vulture.pl

Au lieu de :

nagios   ALL = NOPASSWD: /bin/sh /usr/local/nagios/libexec/check_synchro_vulture.sh

Modifier également la commande utilisé par Nagios.

La supervision des sites Web hébergés a également changée. La commande s’exécute de cette manière :

./check_vulture.pl -H 192.168.0.1

Il vous faudra modifier les constantes dans la plupart des scripts.

Vous pouvez télécharger la dernière version ici

Mot de passe de l’archive : http://www.croc-informatique.fr

Introduction

J’utilise depuis quelques temps GNS3 pour effectuer quelques maquettes et réviser mes cours Cisco. Afin de maquetter un peu la sécurité ( ACL, ASA), j’ai décidé de prendre un peu de temps pour réaliser une maquette comportant des postes de travail virtuels et ainsi tester en réel l’accès aux ports voulus.

Dans ce document, je montrerais seulement la manière de faire communiquer deux machines virtuelles avec un projet GNS3/Dynamips à partir d’interfaces TAP.

Schéma Cible

Voici ma maquette cible: Deux machines virtuelles (PC1 et PC2) appartenant à deux réseaux différents qui pourront communiquer ensemble via le routeur R0. Ce schéma sera souvent utilisé par la suite.

Schéma 1

Pré-requis :

• GNS3 : Simulateur Cisco ( apt-get install gns3 )
• VirtualBOX : Virtualisation de postes de travail –> http://www.virtualbox.org/wiki/Linux_Downloads

Mise en place des interfaces TAP :

Définition d’une interface TAP :

Une interface TAP permet, dans notre cas, d’établir une communication entre le programme GNS3/Dynamips et les machines virtuelles de VirtualBox. Pour pouvoir créer ces interfaces, nous allons devoir installer les packages bridge-utils et uml-utilities.

Pour plus d’informations, vous pouvez aller consulter ce site : http://www.linux-france.org/prj/inetdoc/articles/vm/vm.network.tun-tap.html

Installation des paquets bridge-utils et uml-utilities :

sudo apt-get install bridge-utils uml-utilities

Maintenant, nous allons pouvoir créer nos interfaces TAP. Pour mon projet, j’ai besoin de deux interfaces TAP pour différentier les communication PC1 ↔ Fa0/0 et PC2 ↔ Fa0/1 comme indiqué sur le schéma 1.

Création d’une interface TAP :

Voici les commandes à taper pour créer les interfaces tap0 et tap1.

Création de l’interface tap0 :

sudo tunctl -t tap0

sudo ifconfig tap0 0.0.0.0 promisc up

Création de l’interface tap1 :

sudo tunctl -t tap1

sudo ifconfig tap1 0.0.0.0 promisc up

Cette configuration est éphémère. Elle disparaît au reboot. Je l’utilise seulement lorsque je fais des maquettes donc ça m’arrange.

Voici ce que j’ai lorsque je tape la commande ifconfig :

tap0 Link encap:Ethernet HWaddr 82:9b:7e:df:7d:9b

adr inet6: fe80::809b:7eff:fedf:7d9b/64 Scope:Lien

UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1

Packets reçus:2216 erreurs:0 :0 overruns:0 frame:0

TX packets:225 errors:0 dropped:174 overruns:0 carrier:0

collisions:0 lg file transmission:500

Octets reçus:175316 (175.3 KB) Octets transmis:126614 (126.6 KB)

tap1 Link encap:Ethernet HWaddr 02:b4:43:5f:e2:34

adr inet6: fe80::b4:43ff:fe5f:e234/64 Scope:Lien

UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1

Packets reçus:2237 erreurs:0 :0 overruns:0 frame:0

TX packets:222 errors:0 dropped:6 overruns:0 carrier:0

collisions:0 lg file transmission:500

Octets reçus:175971 (175.9 KB) Octets transmis:127908 (127.9 KB)

Ainsi, les interfaces tap0 et tap1 sont bien reconnu comme interface par ubuntu. Nous allons maintenant pouvoir créer nos machines virtuelles.

Création des machines virtuelles PC1 et PC2 avec VirtualBox :

OS utilisé:

Pour mes maquettes, j’utilise la distribution très légère Microcore Linux. La version que je vous propose de télécharger a été modifiée par les utilisateurs de GNS3 afin d’avoir quelques outils réseaux intéressant comme :

- netcat

- tcpdump

- iperf

Téléchargement :

Voici ou vous pouvez la télécharger : Microcore-linux v2.10 à cette adresse :http://www.gns3.net/download

Conversion img vers vdi:

Le fichier téléchargé est un fichier img. Il n’est pas exploitable directement par VirtualBox. Pour remédier à ce problème, nous allons devoir le convertir en suivant ces étapes :

Installer qemu :

sudo apt-get install qemu-kvm

Convertir IMG vers RAW

qemu-img convert -f qcow2 /home/olivier/Bureau/linux-microcore-2.10.img -O raw /home/olivier/Bureau/linux-microcore-2.10.raw

Convertir RAW en VDI

VBoxManage convertfromraw -format VDI /home/olivier/Bureau/linux-microcore-2.10.raw /home/olivier/Bureau/linux-microcore-2.10.vdi

Voilà, vous avez un beau disque dure compatible avec VirtualBOX.

Création du disque de PC2 :

Pour PC2, il faudra copier le fichier VDI et changer son UUID afin que VirtualBox puisse l’utiliser. Voici la commande permettant de changer l’UUID d’un fichier VDI :

VBoxManage internalcommands setvdiuuid ‘/home/olivier/Bureau/PC2.vdi’

Création sous VirtualBox:

• Nom de la machine : PC1
• Mémoire 128M ( 20 M devrait suffir)
• Disque existant pointant vers le fichier VDI généré précédemment.

Configuration sous VirtualBox :

Une fois la machine Virtuelle Créé, allez dans la configuration et éditez la partie réseau comme ceci :

Pour le PC1, il faudra utiliser un mode d’accès réseau par pont avec l’interface tap0

Pour le PC2, il faudra utiliser un mode d’accès réseau par pont avec l’interface tap1

Une fois que vous avez démarré vos Vms, il vous faut configurer la partie réseau de chaque VM.

Configuration réseau de l’OS

Configuration PC1 :

sudo ifconfig eth0 192.168.0.1

sudo route add default gw 192.168.0.254

sudo hostname PC1

Configuration PC2 :

sudo ifconfig eth0 10.0.0.1

sudo route add default gw 10.0.0.254

sudo hostname PC2

pour arrêter la machine proprement, taper :

sudo halt

Création de la maquette sous GNS3 :

Attention : Pour avoir accès aux interfaces TAP, il est nécessaire de lancer GNS3 en tant que root :

sudo gns3

Ajoutez un routeur et deux nuages comme indiqué sur le schéma 1.

Configurer le premier nuage avec l’interface NIO TAP : tap0

Après l’avoir ajoutée, elle devrait apparaître sous cette forme : nio_tap:tap0

Ceci permet à GNS3 d’utiliser l’interface tap0 pour émettre et recevoir du trafic réseau.

Effectuez la même manipulation pour le second nuage mais cette fois avec tap1 ( C01 → tap1 ).

Configuration du routeur R0 :

Pour cette maquette, j’utilise cette image c3640-a3jk9s-mz.124-3i.bin et j’ai configuré en tant que slot0, le module NM-16ESW afin de transformer mon routeur en switch de niveau3.

Afin de tester la communication, vous pouvez attribuer des ip directement aux interfaces fa0/0 et fa0/1 comme ceci :

en

conf t

ip routing

int fa0/0

no switchport

ip address 192.168.0.254 255.255.255.0

no shut

int fa0/1

no switchport

ip address 10.0.0.254 255.255.255.0

no shut

end

Conclusion :

Avec tout ça si vous essayez de faire des pings entre les pc, ça devrait fonctionner. Je l’ai déjà fais quelques fois et je n’ai jamais de problèmes sauf à l’utilisation de GNS3. Pensez à démarrer Dynamips avant l’ouverture de votre projet. Si vos routeurs consomment trop de cpu, utilisez idle-pc. Pensez à sauvegarder vos conf via tftp. Ça vous sera très utile.

Bon maquettage

Infos supplementaires :

Ecouter un port :

tcp : nc -l -p 80

udp : ns -l -p 53 -u

Sources :

Tutorial Qemu GNS3 : http://docs.google.com/View?id=dfzhd6z4_397g3jjf4db

Conversion IMG vers VDI : http://bber.biz/index.php?m=02&y=09&entry=entry090212-210202

Autre tuto GNS3 – VirtualBox : http://www.firstdigest.com/2010/02/how-to-integrate-gns3-with-virtualbox/

Voici un petit script permettant de nous avertir si la synchronisation entre les deux BIG-IP n’est pas effectuée.

Description :

Pour vérifier la synchronisation, nous allons utiliser le check_snmp de Nagios et  l’attribut sysAttrConfigsyncState. Voici les états possible de cet attribut :

-1 – synchronisation pas configurée

0 – Synchronisé

1 – Configuration modifiée localement

2 – La configuration a été modifiée sur l’autre BIG-IP

3 – La configuration a été modifiée sur les deux BIG-IP.

Pour plus d’informations sur la MIB qui contient cet attribut, allez ici : http://www.networkstuff.eu/images/e/ec/F5-BIGIP-SYSTEM-MIB.txt

Utilisation :

Utilisation de la commande :

check_snmp_synchro_bigip.sh -c communauté –H @BIG-IP

exemple :

check_snmp_synchro_bigip.sh -c public –H 192.168.0.1

Commande Nagios : 

$USER1$/check_snmp_synchro_bigip.sh -c $ARG1$ -H $HOSTADDRESS$

Code source :

#!/bin/bash
while getopts "c:H:h" opt
do
    case $opt in
        h) echo "-c public -H IP_BIGIP -h aide"
            exit 0;;
        c) comunity=$OPTARG;;
        H) host=$OPTARG;;
        *) echo "aucun parametre de ce type"
            exit 1;;
    esac
done

toto=`/usr/lib/nagios/plugins/check_snmp -C $comunity -P 2c -H $host -o 1.3.6.1.4.1.3375.2.1.1.1.1.6.0`
resultat=`echo $toto | sed ‘s/[^[:digit:]]//g’`
case $resultat in
0)
  echo "OK – Pas de probleme de synchronisation BIGIP"
  exit 0
  ;;
3)
  echo "CRITICAL – Les deux BIGIP ont ete modifie!!!"
  exit 2
  ;;
*)
  echo "WARNING – Verifier la synchro du BIGIP!!!"
  exit 1
  ;;
esac

Bonne supervision