Installer un certificat d’autorité sur Astaro

Sur une appliance Astaro, pardon Sophos, vous pouvez installer un certificat signé par une autorité afin de sécuriser certains services, comme notamment le Web Application Security. Plus encore, il vous sera possible de créer par le Web Application Security un portail d’entrée SSL pour tous les serveurs Web hébergés derrière votre pare-feu. Par exemple, si vous avez un webmail qui s’exécute sur le port 80 et n’est donc pas sécurisé (et qui sera classé dans les Real WebServers), vous pouvez le protéger en créant un Virtual WebServer qui lui sera en SSL. Ce serveur Web virtuel sera joué par l’UTM sur lequel vous aurez installé le certificat SSL signé. Assez cool, en fait.

Pour commencer, il faut créer le CSR (Certificate Signing Request). Vous pouvez le faire sur l’Astaro/Sophos directement si vous le voulez. Loguez-vous en loginuser, c’est suffisant. Et vous pouvez le faire sur votre Mac aussi évidemment, de toute façon il faudra SCP le fichier entre l’Astaro et le Mac ou l’inverse. La commande pour générer le CSR est :

openssl req –config ./openssl.config –new –newkey rsa:2048 –out server.key

Ensuite, il vous demande les informations habituelles (Organization, City, etc.). Attention le Common name doit être le domaine pour lequel vous demandez le certificat.

Ensuite vous devrez aller sur le site d’une autorité de certificat (GoDaddy étant de loin les plus sexy si vos critères sont purement esthétiques), là vous soumettrez votre CSR (attention comme toujours aux espaces non voulus dans les certificats). L’autorité de certificat, vous donnera ensuite un certificat et un ou deux certificats intermédiaires, c’est de mise maintenant afin d’accroitre la sécurité. Enfin, vous ferez de ces différents fichiers un fichier pkcs#12, le format est primordial pour l’Astaro.

openssl pkcs12 -export -out /Users/me/certificate/certificate.pfx -inkey /Users/me/certificate/server.key -in /Users/me/certificate/monnom.de.domaine.crt -certfile /Users/me/certificate/bundle.crt

Dans cet exemple, vous noterez que les certificats intermédiaires sont à la fin de la commande. Le CSR et le certificat correspondant au nom de domaine en premier.

Normalement, OpenSSL vous demande le mot de passe que vous avez choisi pour le certificat. Il ne vous reste plus qu’à copier le CSR sur l’Astaro si vous l’avez créé sur votre Mac, par exemple en suivant la commande précédente :

scp -r -p /Users/me/certificate/server.key loginuser@192.168.x.x:/home/login

On vous demande le mot de passe, et hop, le fichier CSR (en l’occurrence ici un .key) est copié sur l’Astaro.

Il ne vous reste plus qu’à vous loguer sur l’interface WebAdmin et dans /Remote Access/Certificate Management/Certificate Authority vous allez importer le certificat signé. Un redémarrage de l’UTM est préférable.

Ensuite vous pourrez sélectionner votre certificat pour le Mail Security ou pour le Web Application Security ou pour d’autres services encore.

Pas de commentaires

Présentation de NausicaMedia

 

 

Voici une présentation de NausicaMedia.

Pas de commentaires

Astaro se diversifie

Entre deux conférences de la MacSysAdmin 2010, je voulais revenir sur les avancés de la version 8 d’Astaro qui apporte notamment une fonction de recherche proche de SpotLight sur Mac, la possibilité d’uploader son propre certificat, améliore et donne plus de granularité dans les rôles des utilisateurs (l’autorisation read only est intéressante), la traçabilité — je rêvais depuis longtemps de parler comme à la TV — des changements et le suivi (c’est déjà mieux…) de ces changements : quand, par qui… et donc pourquoi ? (c’est dans /var/log/confd par la CLI), enfin l’impression de la configuration, utile pour le débogage et le travail avec le support Astaro. Le country blocking m’a toujours semblé une hérésie, mais bon, c’était l’une des features les plus demandées… Les solutions à la hache me paraissent toujours un moyen de justifier sa fainéantise. (suite…)

Pas de commentaires

Snort casse les routes d’Astaro

Cette nuit une mise à jour des patterns de Snort a cassé le routage de l’Astaro. Impossible de trouver les routes sortantes ou entrantes. Pour résoudre le problème et télécharger les règles Snort corrigeant ce problème, il faut taper ceci dans le Terminal après s’être connecté via SSH :

  • Passer en Root
  • Taper : echo 1 > /proc/net/nf_condition/ips

Cela permettra de passer outre le système IPS à son plus bas niveau et cela fonctionne que IPS soit activé ou non. Une nouvelle mise à jour interviendra plus tard dans la journée qui ôtera ce réglage et installera la nouvelle pattern.

Pas de commentaires

L’innovation Astaro

J’aime beaucoup Astaro. J’aime beaucoup leur philosophie, leur façon de concevoir leurs produits ; la logique qui les gouverne est aussi visible dans leurs produits hardware que software et c’est exactement ce qui les rapproche d’Apple. Ils sont exigeants et leur croissance repose sur l’innovation.

Ils viennent de complètement reprendre leur ligne tarifaire pour être plus homogène. Certains produits voient ainsi leur prix baisser de 50%. Ils ont aussi revus entièrement leur système de licence. Et ils annoncent trois nouveaux produits pour l’année 2010.

Je détaille :

Astaro offre une licence « Home use edition ». C’est une licence gratuite qui permet à n’importe qui d’installer l’offre reconnue Astaro chez vous (il vous faudra un PC car la solution Astaro est fondée sur une version de Suse Linux). Mais Astaro va plus loin et propose aussi une « Essential edition for business ». Toute la fondation d’Astaro gratuite pour vous. Tout pour le réseau (Internet router, Bridging, DNS server et proxy, DynDNS, DHCP server et relais, NTP, QOS), la sécurité réseau (Stateful Packet Inspection firewall, NAT (DNAT, SNAT, masquerading)), Accès à distance (PPTP et L2TP incluant le support pour l’iPhone), Logging et reporting complet, et Management (support SNMP). A noter que l' »essential edition » for business est aussi disponible pour VMWare. Grâce à cette offre, Astaro veut offrir sa solution à tous ceux qui ne la connaissent pas encore. Je peux dire que c’est une excellente nouvelle puisque je n’ai encore jamais rencontré un sysadmin qui ne soit convaincu par Astaro quand on n’avait la possibilité de la lui montrer. Les licences « professionnelles » ont elles aussi été revues. Ainsi comme la licence de « base » est maintenant gratuite, vous pouvez souscrire à trois licences dites professionnelles : Network Security qui donne accès à tous les VPN (SSL, IPSec), à la VOIP security, aux fonctions de routeur avancé, au portail utilisateur… Le Mail Security avec toutes les fonctions d’antivirus, d’antispam, de protection contre le phishing… et le Web Security, spyware protection, antivirus, url filtering, IM/P2P contrôle…

Les appliances sont proposées à de nouveaux prix. Les 220 passent notamment à 1275 euros. 50% de réduction ! Tous les prix bientôt disponibles sur le store.

Quant aux nouveaux produits, je vous en parle la semaine prochaine…

Pas de commentaires