Si perche' non e' la stessa cosa che su linux!

Mac OS X e' uno UNIX BSD e non e' quindi dotato degli stessi strumenti di Linux con cui in precedenza ero riuscito a far andare tutto.

Su MacOS X (e in genere ho visto anche su FreeBSD e OpenBSD) esiste un programma denominato racoon che si occupa delle connessioni IPSec, in abbinata con altri programmi come setkey che svolgono funzioni specifiche.

Attraverso il tool network, pero', non e' possibile configurare connessioni IPSec standard, solamente L2TP su IPSec, che non e' pero' pienamente supportato dal Sonicwall 4060 che ho a lavoro.

Ho scelto quindi di utilizzare IPSecuritas, un programma freeware, che permette di gestire le connessioni ipsec con una semplice interfaccina grafica.

L'impresa non e' stata semplice, stavo per desistere molte volte e cedere alla spesa dei 120 euro di VPN Tracker di Equinux, che si era rivelato funzionante al primo colpo... ma oggi ci sono riuscito!

La mia configurazione di ipsecuritas per usare la connessione IPSec GroupVPN del SonicWall e':

Generale
Dispositivo IPSec: ip.sonicwall.remoto.lavoro
Lato Locale: Modalita' Host, Indirizzo IP lasciato vuoto
Lato Remoto: Modalita' Rete, Indirizzo di Rete 10.0.0.0/16

Fase 1
Tempo di vita: 28800 Secondi
Gruppo DH: 1024 (2)
Criptazione: 3DES
Autenticazione: SHA-1
Exchange Mode: Aggressive
Proposal Check: Claim
Nonce Size: 16

Fase 2
Tempo di vita: 28800 Secondi
Gruppo PFS: Nessuno
Crittografia: 3DES
Autenticazione: HMAC SHA-1

ID
Identificativo: Indirizzo
Identificativo: FQDN 0006B1XXXXXX <- Lo trovate nella scheda VPN -> Settings -> Unique Firewall Identifier
Metodo di: XAuth PSK
Chiave Prescambiata: quella che trovate nella configurazione della WAN GroupVPN -> Security Policy -> Shared Secret
Username: il vostro username (anche vuoto, vi verra' chiesto alla connessione)

DNS

Se volete qui potete configurare i DNS per la vostra rete di lavoro

Opzioni
Qui viene la parte piu' complicata su cui mi sono giocato tutto:
Selezionate:

IPSec DOI
SIT_IDENTITY_ONLY
Contatto Iniziale
Supporta Proxy
Richiedi Certificato
Verifica Certificato
Spedisci Certificato
SA Unici
Frammentazione IKE
NAT-T: Disattiva

Per chi volesse usare invece racoon da solo (tipo su FreeBSD) puo' usare questa configurazione:

log notify;
path pre_shared_key "/etc/racoon/psk.txt";
path certificate "/etc/racoon/certs";

padding
{
        maximum_length 20;
        randomize on;
        strict_check off;
        exclusive_tail on;
}

timer
{
        counter 5;
        interval 5 seconds;
        persend 1;
        phase1 15 seconds;
        phase2 15 seconds;
}

# Connection "SonicWall"
remote ip.sonicwall.remoto.lavoro
{
        verify_cert on;
        verify_identifier off;
        initial_contact on;
        passive off;
        support_proxy on;
        generate_policy off;
        verify_cert on;
        send_cert on;
        send_cr on;
        mode_cfg off;
        ike_frag on;
        doi ipsec_doi;
        situation identity_only;
        nat_traversal off;
        exchange_mode aggressive;
        proposal_check claim;
        nonce_size 16;
        my_identifier address;
        peers_identifier fqdn "0006B1XXXXXX";
        xauth_login "nomeutente";
        proposal
        {
                lifetime time 28800 seconds;
                encryption_algorithm 3des;
                hash_algorithm sha1;
                authentication_method xauth_psk_client;
                dh_group modp1024;
        }
}

sainfo subnet 192.168.1.14/32 any subnet 10.0.0.0/16 any
{
        lifetime time 28800 seconds;
        encryption_algorithm 3des;
        authentication_algorithm hmac_sha1;
        compression_algorithm deflate;
}

listen
{
        isakmp 192.168.1.14 [500];
        isakmp_natt 192.168.1.14 [4500];
        adminsock "/tmp/admin.sock";

}

Alla facciazza dei 100 e passa euro di VPN Tracker!

In questi giorni mi sono scontrato con delle persone che non capivano perche' non si dovrebbero utilizzare dei formati proprietari per i propri dati. Dopo aver spiegato e motivato ampliamente i vantaggi del formato ODF (Metodo ragionevole con buonsenso), ho scritto questo documento che espone problemi e buchi del formato proprietario di Microsoft Office (Metodo Strategia del Terrore).

Il documento si trova all'url http://www.dancetj.net/file-vari/perche-abbandonare-i-formati-proprietari.pdf/download
Se avete critiche, correzioni o modifiche da proporre contattatemi all'email che e' contenuta nel documento

Dopo tutto il tam tam che si e' scatenato in rete sul blocco di thepiratebay.org (e chissà quanti altri siti) oggi, gironzolando con tranquillità sulle pagine del mio vecchio-ma-nuovo router adsl, incappo nei dns che telecom mi “invia”... Volevo verificare se era ancora disponibile quel blocco di TPB che punta verso il server della federazione dei discografici ma... A LOT OF FUN!

Faccio un po' di verifiche con i DNS che ho a disposizione e mi compare questo carinissimo risultato (nell'ordine i 2 dns di alice e quello di infostrada):

Macintosh:~ remix_tj$ dig @85.37.17.43 thepiratebay.org

; <<>> DiG 9.4.2-P1 <<>> @85.37.17.43 thepiratebay.org
; (1 server found)
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 51174
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;thepiratebay.org.		IN	A

;; ANSWER SECTION:
thepiratebay.org.	28800	IN	A	127.0.0.1

;; Query time: 85 msec
;; SERVER: 85.37.17.43#53(85.37.17.43)
;; WHEN: Sun Sep  7 21:40:14 2008
;; MSG SIZE  rcvd: 50

Macintosh:~ remix_tj$ dig @85.38.28.96 thepiratebay.org

; <<>> DiG 9.4.2-P1 <<>> @85.38.28.96 thepiratebay.org
; (1 server found)
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 983
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;thepiratebay.org.		IN	A

;; ANSWER SECTION:
thepiratebay.org.	28800	IN	A	127.0.0.1

;; Query time: 47 msec
;; SERVER: 85.38.28.96#53(85.38.28.96)
;; WHEN: Sun Sep  7 21:40:17 2008
;; MSG SIZE  rcvd: 50

Macintosh:~ remix_tj$ dig @dns.wind.it thepiratebay.org

; <<>> DiG 9.4.2-P1 <<>> @dns.wind.it thepiratebay.org
; (1 server found)
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26148
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1

;; QUESTION SECTION:
;thepiratebay.org.		IN	A

;; ANSWER SECTION:
thepiratebay.org.	86400	IN	A	127.0.0.1

;; AUTHORITY SECTION:
thepiratebay.org.	86400	IN	NS	dns.wind.it.

;; ADDITIONAL SECTION:
dns.wind.it.		86400	IN	A	212.245.255.2

;; Query time: 90 msec
;; SERVER: 212.245.255.2#53(212.245.255.2)
;; WHEN: Sun Sep  7 21:40:19 2008
;; MSG SIZE  rcvd: 91

Macintosh:~ remix_tj$ 

EHI! TPB NON E' SUL MIO COMPUTER LOCALE!

Pero' boh, puo' essere un mio problema locale (non ricordo mai se ho forzato i dns...)

mah.

Allora chiedo ad un po' di amici se e' cosi' e mi arriva questa risposta:

Al che mi torna in mente una cosa che il mio caro amico ascii di www.ush.it mi aveva mostrato tanto tempo fa e che lui aveva etichettato in una sua slide con il nome:
"Web disservices: lazy admincripples same origin policy"

Spiego semplicemente come funziona questa configurazione (che puo' rivelarsi a posteriori un problema).

In genere una persona comune, quindi circa il 90% dell'utenza italiana, non ha un servizio in locale che ascolta sulla porta 80. Avviene quindi che una persona che tenta di collegarsi ai siti che risolvono con 127.0.0.1 si trova davanti una bella pagina di connessione rifiutata. Come e' giusto che sia, non c'e' niente su 127.0.0.1 porta 80.
Il restante 10% dell'utenza vedra' il proprio sitarello web locale... Ma tanto di solito il 10% in oggetto e' utenza sgamata e usa altri dns :-D

L'idea e' molto buona in se' e anche vecchiotta. Il cambio di risoluzione del dns e' una tecnica che si usa in molti posti per bloccare i siti, per esempio la uso anche io facendo si che certi siti risolvano con l'ip del server con la pagina di cortesia.
Ma si porta dietro un bel problema. Bello grosso.

Immaginiamo di avere un sito considerato "attendibile", che usiamo spesso e di cui ci fidiamo (e che magari, se usiamo su internet explorer, compare nella lista "siti attendibili" ) , che viene per qualche motivo bloccato dal nostro dns con la tecnica citata in precedenza. Ci troviamo quindi nella situazione che sitomoltoattentibile.it risolve 127.0.0.1.
Succede per qualche motivo che un software malevolo si installi sul nostro computer e si metta in ascolto sulla porta 80. Non fa niente di male, finche' se ne sta solo li' in ascolto. Infatti quando noi andremmo a collegarci al sito www.sitoattendibile.it ci troviamo che invece di fare richieste al server legittimo, effettuiamo una richiesta al software malevolo (che non aspettava altro).

Quello che puo' il software malevolo? Bah, iniettarvi altro software malevolo, farvi incartare il browser o piu' semplicemente.... RUBARE I VOSTRI DATI PERSONALI DEL BROWSER!

Oppure ancora meglio se esiste un software locale che rende disponibile un servizio http su qualche porta (quindi niente software malevolo) e per qualche motivo le pagine che ci rende disponibii hanno la possibilita' di essere alterate al fine di compiere un XSS che in qualche modo vi spara da qualche parte o effettua qualche operazione che puo farvi fare chissa' quale schifezza...

AHH! PANIC! MY PRIVACY!

Volete una soluzione?

Davvero?

No, OpenDNS non e' la soluzione.

bind9 is the way.


Credits: per lo spunto iniziale e per la versione con XSS del problema ascii e giogio di www.ush.it

ATTENZIONE: questo non e' un post ctrl-c ctrl-v (o cmd-c cmd-v se usi Mac OS)! Prima di funzionare ha bisogno di qualche modifica!

"eh, per linux non c'e'". Questo mi sono sentito dire da un genio di tecnico che ha venduto un SonicWall PRO4060 all'ente per cui lavoro.

Ma scusatemi. Secondo voi questi cicci di Sonicwall si sono inventati un protocollo vpn per i cavolacci loro? nah. non ci credo. Sono mica cisco systems!

E vai con google!

Scopro, rovistando su google, che e' una normalissima connessione ipsec, ma con dei parametri "astrusetti".

Tutto sta nel avere un po' di dati dal gestore del firewall (per fortuna a lavoro lo gestisco io), installare OpenSwan

Una soluzione completa su google non l'ho trovata; ho lavorato tutta la sera per riuscire a montare i vari pezzetti, ma ci sono riuscito.

Su linux ora mi posso collegare alla mia intranet di lavoro!

Per i piu' curiosi ecco la mia ipsec.conf:

version 2.0 # conforms to second version of ipsec.conf specification

config setup
	nat_traversal=yes
	nhelpers=1
	interfaces="ipsec0=eth0"

conn provincia
	type=tunnel
	leftid=@GroupVPN
	left=192.168.1.2 <- ip di eth0
	leftsubnet=0.0.0.0/0.0.0.0
	leftxauthclient=yes
	right=XXX.XXX.XXX.XXX <- ip remoto del sonicwall
	rightsubnet=10.100.0.0/16 <- subnet remota
	rightxauthserver=yes
	rightid=@0006XXXXXXXX <- id univoco del sonicwall remoto, e' il mac address
	authby=secret
	auto=add
	auth=esp
	esp=3des-sha1
	ike=3des-sha1-modp1024 <- -modp1024 = Group 2
	xauth=yes
	pfs=no
	keyingtries=1
	aggrmode=yes
	keyexchange=ike

e ipsec.secret:

@GroupVPN @0006XXXXXXXX : PSK "cippalippasharedkey"

Sono proprio contento. Ora posso riprenderemi anche quei 4 giga di windows che usavo SOLO per questo.

E quando mi torna il macbook metto su tutto anche li'! WOOT!

Ps: chi scopre per quale ente lavoro vince la versione unveiled della conf