Pomoc s testováním aplikace pro technickou podporu služeb

[4smart.cz]

Dobrý den.

Tímto se obracím na zkušenější uživatele výpočetní techniky, které bych chtěl poprosit o účast na beta-testování nově vyvíjené aplikace,
která má umožnit vzdálenou technickou podporu firmám a méně zkušeným uživatelům služeb odorik.cz.

Účel aplikace

Cílem aplikace je proskenovat LAN uživatele a vytvořit síťové tunely ke všem síťovým zařízením, které naslouchají na portu 80 TCP.
Pokud je takové zařízení nalezeno, aplikace se jej pokouší blíže identifikovat a zjistit tak, zda jde o VoIP zařízení.
Aplikace diagnostikuje prostředí uživatele (operační systém, zjišťuje typ NATu, přítomnost firewallu, výchozí bránu v síti) a zjištěné informace
ukládá na server, kde jsou k dispozici technikovi, při řešení nejrůznějších problémů.

Uživatel, jako takový, aplikaci pouze spustí a následně přečte technikovi odoriku do telefonu speciální identifikační kód, podle kterého jej technik
jednoznačně odliší od jiných uživatelů. Od tohoto okamžiku má technik přístup k nalezeným síťovým zařízením na LAN uživatele.

Co je požadováno od testerů
* Ověřit kompatibilitu s OS Windows (2000, XP, Vista, 7, 8), na kterých již proběhlo alfa-testování
* Ověřit bezproblémový chod aplikace, včetně skenování síťových zařízení na LAN.
* Ověřit, zda je aplikace schopna spolehlivě rozpoznat každé VoIP zařízení na síťi

Kde aplikaci najdu ?


https://www.4smart.cz/JavaTunnel/


Aplikace se NEINSTALUJE, jde o aplikaci napsanou v jazyce Java.
Aplikace v PC uživatele nic neukládá, nemění a odesílá POUZE informace, které sama zobrazuje uživateli.
Ukončením aplikace se uzavírají síťová spojení a běh aplikace zcela končí.
Není třeba obávat se nežádoucího chování ve smyslu spyware, toto není našim cílem ani úmyslem !!


- Pred skenovanim LAN je uzivatel prostrednictvim dialogu dotazan, zda si
preje automaticky vytvaret sitove tunely k jeho zarizenim na LAN, nebo je
bude vytvaret sam. (nepovinné)

Výsledky testování
..hlaste prosím sem, zejména v případě, kdy máte dojem, že výsledek není 100% viz body výše. Uvádějte prosím i univerzální identifikační kód, abych mohl dohledat odpovídající LOG.
Aplikace občas generuje výpisy na stderr výstup. Ne ve všech případech jde o chyby v pravém slova smyslu, ale spíše o "ukecanost" aplikace
z důvodu sledování jejího chování.

[cz-helper]

Super napad... Mozna par poznamek.
- skenovani portu 5060 - v pripade SIPu bych si tipl, ze vetsina klientu ma predvoleno tento port a pokud se bavime o cilove skupine uzivatelu typu "zapojim a s minimem nastavovani (v podstate opisu moznosti) chci hned pouzivat", tak by se dalo uvazovat, ze tento port nezmenili...
- IDS/IPS detekce v nekterych sitich. Nektere site mohou pokus o skenovani site vyhodnotit jako formu utoku a vyvodit nasledky pro dany pocitac... To samozrejme neni pripad male domaci site .
- "jen" exe soubor? Evidentne se jedna o Javovou aplikaci (.class soubory). Proc nenabizite alternativu dostupnou i z jinych nez jen OS WIN systemu ? Je to sice archiv, ale pripona evokuje "Win" prostredi. Neuvazovali jste napriklad o implementaci Java Web Start - moznost pustit java aplikaci primo ze site prakticky jednim kliknutim ?

oprava problemu nemoznosti detekovat sitovou masku u sitoveho rozhrani vnucenim masky 24 bit - problem se tyka pouze uzivatelskych uctu odlisnych od administratorskeho.

Proc nezjistit masku podle routovaci tabulky? Neresil jsem sitovou komunikaci v Jave (moznosti zjisteni napr. primo routovaci tabulky). Teoreticky by se mohla zkusit nejaka komunikace (treba ping) na ruzne adresy vychazejici rozsahem ze zjistene IP adresy. Jakmile se dostanete mimo masku site, mela by komunikace jit na default gateway a ne na dane rozhrani...
Pripadne vyvolat systemovy prikaz a v Jave "jen" vyparsovat odpoved - nezjistovat masku primo z Javy.

[xsouku04]

Super napad... Mozna par poznamek.
- skenovani portu 5060 - v pripade SIPu bych si tipl, ze vetsina klientu ma predvoleno tento port a pokud se bavime o cilove skupine uzivatelu typu "zapojim a s minimem nastavovani (v podstate opisu moznosti) chci hned pouzivat", tak by se dalo uvazovat, ze tento port nezmenili...
- IDS/IPS detekce v nekterych sitich. Nektere site mohou pokus o skenovani site vyhodnotit jako formu utoku a vyvodit nasledky pro dany pocitac... To samozrejme neni pripad male domaci site .
- "jen" exe soubor? Evidentne se jedna o Javovou aplikaci (.class soubory). Proc nenabizite alternativu dostupnou i z jinych nez jen OS WIN systemu ? Je to sice archiv, ale pripona evokuje "Win" prostredi. Neuvazovali jste napriklad o implementaci Java Web Start - moznost pustit java aplikaci primo ze site prakticky jednim kliknutim ?

oprava problemu nemoznosti detekovat sitovou masku u sitoveho rozhrani vnucenim masky 24 bit - problem se tyka pouze uzivatelskych uctu odlisnych od administratorskeho.

Proc nezjistit masku podle routovaci tabulky? Neresil jsem sitovou komunikaci v Jave (moznosti zjisteni napr. primo routovaci tabulky). Teoreticky by se mohla zkusit nejaka komunikace (treba ping) na ruzne adresy vychazejici rozsahem ze zjistene IP adresy. Jakmile se dostanete mimo masku site, mela by komunikace jit na default gateway a ne na dane rozhrani...
Pripadne vyvolat systemovy prikaz a v Jave "jen" vyparsovat odpoved - nezjistovat masku primo z Javy.

Jsem rád, že se konečně objevil nějaký komentář. Port 5060 neskenujeme, protože samotný fakt, že je port 5060 otevřen nelze snadno zjistit. Jedná se totiž UDP a mohli bychom to ověřit snad jen zasláním celého sip paketu a doufat že nám zařízení odpoví. Tak tedy zkusit zaslat hovor, nebo zaslat nějakou option. Od zařízení je ale rozumné, když na podobné pokusy detekce vůbec nereaguje. I když na to výrobci zařízení zjevně stále nepřišli možná na to do deseti let přijdou.

Verze pro Linux bude taky.

Java web start má bezepčnostní omezení, takže by nemohla skenovat lokální síť. Dříve to nebývalo, je to až od javy 1.7. Tím vývojáři napravili cca deset let starou bezpečnostní dírů , kterou nazývali featura (vlastnost) a která spočívala v tom, že si jakékoli java aplikace (podepsaná třeba sama sebou) z webu mohla dělat na Vašem počítači téměř cokoli se jí zlíbí.

[4smart.cz]

Zdravím,

JAR soubor jsem prozatím odstranil a to z jednoho prostého a zatím aktuálního důvodu - přístupové heslo a jméno uživatele bylo ve zdrojácích uvedeno
v otevřené podobě a v class souborech stejně tak. Exe soubor class soubory šifruje a zkrývá. Jde zatím o beta verzi, kde je ještě trocha práce s doladěním detailů. JAR soubor ale samozřejmě bude, avšak EXE soubor bude mezi zákazníky uplatněn daleko více.

Java Web Start si ještě proklepnu, nicméně pro Applet platí to, co napsal pan Soukup. Jsou zde nově jistá omezení, která činí aplikaci jen částečně funkční (prakticky vyzkoušeno).
Jestli pro nás bude Java Web Start mít uplatnění se ještě uvidí. Jde především o jednoduchost a funkčnost.

Proc nezjistit síťovou masku přes routovací tabulku - samozřejmě to jde. Aplikace zatím používá interní Javovské API. K problému s detekcí masky dochází pouze v jedné sub verzi staré Java 1.6 na Windows.

Pozn.: Java 1.6 má být podporována do konce roku 2012.

Síťová maska 24 bitů je tedy podstrčena jen v těchto případech. Tak tomu alespoň je podle LOGů na serveru (díky uživatelům, kteří pomáhají s testováním). Síťová maska menší jak 16 bitů již vyžaduje nemalý čas na skenování LAN. Maska 24 bitů by měla být univerzálně dostačující, uvidíme...

Jinak při skenování síťě se příkaz PING skutečně používá a výchozí gateway se zjišťuje právě parsrováním příkazu "route print" a podobných (syntaxe se v jednotlivých Windows mírně liší). Takže i tuto myšlenku jsem již objevili, nic ve zlém .

Tímto děkuji všem uživatelům, kteří do této chvíle aplikaci spustili na svém PC.
Jde pro nás o citlivé informace, které nám pomáhají zjistit ve kterých případech má naše aplikace ještě slabiny.

J.M.

[cz-helper]

JAR soubor jsem prozatím odstranil a to z jednoho prostého a zatím aktuálního důvodu - přístupové heslo a jméno uživatele bylo ve zdrojácích uvedeno
v otevřené podobě a v class souborech stejně tak. Exe soubor class soubory šifruje a zkrývá. Jde zatím o beta verzi, kde je ještě trocha práce s doladěním detailů. JAR soubor ale samozřejmě bude, avšak EXE soubor bude mezi zákazníky uplatněn daleko více.

Nejsem si jist, jestli se to tedy nahrava nekde na FTPko, ci kam (tipnul jsem si podle hesla) - v tom ptipade muze byt stejne odposlechnuto . Nebylo by resenim, aby se to nikam primo nenahravalo primo s prihlasenim, ale aby se napriklad report POSTnul nekam pres HTTP/HTTPs, pricemz by byl "prijat" bez hesla a klient by jako potvrzeni obdrzel napr. nejaky hash (idealne neco rozumne delky ), ktery by se zobrazil a mohl byt nadiktovan operatorovi helpdesku ? V tom pripade by nebyl problem s tim JAR souborem. Krom toho by timto zpusobem bylo jednoznacne zabraneno "zpetnemu" precteni souboru ze serveru (i kdyz i v pripade FTPka by to nebyl problem na urovni opravneni k souboru).

Java web start má bezepčnostní omezení, takže by nemohla skenovat lokální síť. Dříve to nebývalo, je to až od javy 1.7. Tím vývojáři napravili cca deset let starou bezpečnostní dírů , kterou nazývali featura (vlastnost) a která spočívala v tom, že si jakékoli java aplikace (podepsaná třeba sama sebou) z webu mohla dělat na Vašem počítači téměř cokoli se jí zlíbí.

Diky za info, je pravda ze jiz tomu chvile je, co jsem si naposledy "pohraval" s webstart.

Jinak jeste jedna poznamka trochu z jineho soudku. Pokud by klienti nepouzivali STUN server, tak by bylo mozne jejich adresu v ramci site zjistit z logu, kdyz se prihlasovali k serveru (tedy za predpokladu, ze se jim to alespon jednou povedlo ). Toto se take nekde uvazuje, nedo doporucujete STUN (priznam se, ze jsem nemel problem s nastavenim klienta, tak jsem ani zadny navod nehledal )?

[4smart.cz]

Dobrý den.

Právě byla vydána druhá beta verze naší aplikace pro vzdálenou technickou podporu zákazníkům služeb http://www.odorik.cz.
Aplikaci a souhrn změn (changelog) najdete pod tímto odkazem:

https://www.4smart.cz/odorikSTUNPlus

Nynějším cílem je doplnění seznamu známých VoIP zařízení do budoucích verzí aplikace.
U každého síťového zařízení, které se nepodaří blíže rozpoznat a které naslouchá na portu TCP 80, je na server zalogována jeho http odpověď (titulní stránka).
Z této stránky pak vybereme klíčová slova, která jsou typická pro ten či onen model VoIP zařízení určitého výrobce a která v dalších verzích zaručí správné rozpoznání tohoto zařízení.


Vaší účasti na testování si velmi vážíme.
Stačí, když po stažení aplikaci pouze spustíte na svém PC.



J.M.

[xsouku04]

Je v nové verzi možné odmítnout po startu automatické vytváření tunelů?

[4smart.cz]

Ano,

uživatel je dotázán, zda si přeje síťové tunely automaticky vytvářet, nebo později sám určí, ke kterému zařízení síťový tunel vytvoří.

[4smart.cz]

Pro doplnění uvádím seznam VoIP zařízení a výrobců, které aktuální verze beta 2 umí rozpoznat:

Kód: Vybrat vše

Linksys PAP2, 
SPA504G,
Sipura SPA,
SIP-T20P,
IP Video Phone,
GXP2000,
GXP1450,
GXP1400,
Linksys,
gigaset,
siemens,
Grandstream,
Cisco

Máte-li jiný, než zde uvedený typ/výrobce VoIP zařízení, velmi nám pomůže, pokud nám poskytnete informace prostřednictvím spuštěné aplikace odorikSTUN+.
Seznam je řazen od konkrétních modelů až po obecné - výrobce. Doplnit bychom potřebovaly zejména zatím neznámé modely.

Aplikaci najdete zde:
https://www.4smart.cz/odorikSTUNPlus

Osobně se zaručuji za to, že aplikace neobsahuje žádný malware a funguje přesně a pouze tak, jak je popsáno v changelogu a souboru PRECTI_ME.TXT
pod výše uvedeným odkazem.

J.M.

[cz-helper]

Cílem aplikace je proskenovat LAN uživatele a vytvořit síťové tunely ke všem síťovým zařízením, které naslouchají na portu 80 TCP.

Jeste jsem si uvedomil jednu vec. Jeden z pristroju, ktere pouzivam je i Interbell IB-136 (PoE). Jeho nastaveni je na portu 9999 ne 80. Co si tak vybavuji, setkal jsem se historicky i s jinym telefonem (well ?), ktery mel take port 9999 na webove rozhrani. Uvazujete i takove "vyjimky" ?

Vim, ze je tam moznost vytvorit tunel na jakykoli port manualne (viz "README"), nicmene nevim kolik takovych pristroju je jeste v obehu...

BTW: Kdyz uz pisu k tomu modelu, nevi nekdo, kde by se dala sehnat posledni verze fw pro Interbell IB-136 ?