Необходимый список правил для фаервола ipfw для безопасности., alex123, 08-Окт-08, 19:55 [смотреть все]-1) Я лаймер :( 0) Я очень боюсь хакеров :) Ну к чёрту лирику, теперь по существу: ОС: FreeBSD 7 stabel, в ядро включён фаервол и НАТ, внутренняя сеть: 192.168.1.2:192.168.1.7, внутренний интерфейс rl1 внешняя сеть: 10.0.0.0:10.255.255.255, внешний интерфейс rl0 интернет: через ВПНЗадача1: написать необходимые правила для фаерволла для натирования через rl0: Я прочёл в одной из статей, что для написания правил для фаервола, закрывающиих путь в локалку хакерам, и вообще дающих им миниум сведеньей о системе, необходимо связаться с "гуру", чтобы те поделились парой сотен стандартных правил. Задача2: Написать правила для фаервола не дающие никакой возможности узнать пользователям из внешней сети, что к ней подключён комп с НАТ, через который лазеют другие компы, т.е. даже для тех кто очень желает узнать что у мменя наставленно надо закрыть все возможности, и не плохо бы было замаскировать шлюз с БСД под обычный комп с ОС WinXP Задача3: на компе с БСД стоит ssh, штука как оказалась классная, но боюсь что не с точки зрения безопасности. Задача написать правила для фаервола, разрешающие коннект к SSH ТОЛЬКО черз интерейс rl1 с компьютера ТОЛЬКО с ип 192.168.1.2 и ТОЛЬКО, если его МАС 00:АА:0А:FF:AF:0F Задача4: Осуществить на компе с FreeBSD проверку в реальном времени натируемого трафика (хотя бы по протоколам http и ftp на вирусы (не только unix но и windows систем), блокируя их, а для протокола http, также проверкуи блокировку рекламы) Зарание СПАСИБО, по задаче1 -- делаю именно так, как рекомендовалось в статье: т.е. обращаюсь к вам, к ГУРУ; по задаче2 -- специального материала не нашёл, так что не пинайте, а просто киньте ссылки, ну или подскажите, если подобного ничего нет; по задаче3 -- не смог разобраться с синтексисом по ману, плохо с английским, а примеровтам небыло, так что просто приведите пример (ето, наверно самая простая задача); по задаче4 -- ненаходил нечего похожего, разве что кэширующий прокси, но ето не савсем то, насколько я понимаю (это наверно самая сложная задача).
|
- Необходимый список правил для фаервола ipfw для безопасност..., Square, 22:08 , 08-Окт-08 (1)
- Необходимый список правил для фаервола ipfw для безопасност..., alex123, 00:11 , 09-Окт-08 (2)
Вообщето ето не раздел рекламных объявлений :) и яне миллиардер :( а ето разве не ОПЕН системы? Я думал справиться сам с вашими подсказками.
- Необходимый список правил для фаервола ipfw для безопасност..., Square, 00:43 , 09-Окт-08 (3)
- Необходимый список правил для фаервола ipfw для безопасност..., alex123, 13:44 , 09-Окт-08 (8)
> >все эти вопросы и так хорошо освещены... пользуйтесь поиском по форуму >то-то и оно что они слишком хорошо освещенны, поиск даёт очень большое число результатов, причём всё разбито по крохам. Очень много информации по разделению трафика, при этом почти напрочь отсутствует инфомация по привязки МАКа, а вот, например, найти достаточно полный список по закрытию стандартных дырок хакрам мне не удалось:( , я без проблем могу найти информацию по стандартным способам хакерской атаки, и проанализировав её смогу составить соответствующие правила, но на это уйдёт пол-года, а у Вас наверника всё тоже самое находится в 400-700 килобайтном файле настройки. Информацию по антивирусной проверки трафика в реальном времени мне вообще найти не удалось.
- Необходимый список правил для фаервола ipfw для безопасност, Vitaly Moiseev, 01:26 , 09-Окт-08 (4)
- Необходимый список правил для фаервола ipfw для безопасност..., vehn, 08:24 , 09-Окт-08 (5)
- Необходимый список правил для фаервола ipfw для безопасност..., alex123, 14:02 , 09-Окт-08 (9)
>Да ладно вам над человеком жечь :) > >"ламер", возможно, поможет вот это http://www.fwbuilder.org/ как я понял -- ето графический конфигуратор, я, конечно, лаймер но не без рук, а так как у меня комп с БСД 233МГц и 128МБ то я даже не пытался ставить Х-сы. >p.s. подобного рода вопросы, всегда и везде будут вызывать подобного рода реакцию. >Проанализируйте Ваш вопрос и полученные ответы. Думаю, что прочтение рекомендаций о >составлении сообщения должны Вам помочь более. Я специально прочёл рекомендации по заданию вопросов, прежде чемзадавать его здесь, правда забыл указать источники которые прочёл по данному вопросу: из более менее простых и популярно написанных на русском статей прочёл следующие: https://www.opennet.ru/base/sec/ipf_howto.txt.html и https://www.opennet.ru/base/sec/ipfw_antihack.txt.html Но там инфы маловато :(, а первая статья хоть и очень хорошая но написанна для pf и правила переводить мне пока сложновато.
- Необходимый список правил для фаервола ipfw для безопасност..., Pahanivo, 08:41 , 09-Окт-08 (6)
- Необходимый список правил для фаервола ipfw для безопасност..., alex123, 13:24 , 09-Окт-08 (7)
>https://www.opennet.ru/base/net/ipfwdummynet.txt.html >мой вариант скрипта для ламеров - писал для своих чтобы могли без >меня настраивать доступ. >(отключи dummynet и получится обычный фаревол для шлюзовой машины) Во, то что надо, только как-то до парысотен не дотягивает :(
- Необходимый список правил для фаервола ipfw для безопасност..., Pahanivo, 17:33 , 09-Окт-08 (10)
- Необходимый список правил для фаервола ipfw для безопасност..., alex123, 17:53 , 09-Окт-08 (11)
>>>https://www.opennet.ru/base/net/ipfwdummynet.txt.html >>>мой вариант скрипта для ламеров - писал для своих чтобы могли без >>>меня настраивать доступ. >>>(отключи dummynet и получится обычный фаревол для шлюзовой машины) >> >>Во, то что надо, только как-то до парысотен не дотягивает :( > >до пары сотен ЧЕГО? Строчек правил :)
- Необходимый список правил для фаервола ipfw для безопасност..., reader, 18:08 , 09-Окт-08 (12)
- Необходимый список правил для фаервола ipfw для безопасност..., alex123, 20:47 , 09-Окт-08 (13)
> >а вы шрифт по больше поставьте и количество строчек увеличится :) >а если серьезно для ваших 6 машин и 10 строк хватит. Ничерта не понимаю, причём здесь количество машин, мне же не квотинг нужен.
- Необходимый список правил для фаервола ipfw для безопасност..., reader, 21:04 , 09-Окт-08 (14)
- Необходимый список правил для фаервола ipfw для безопасност..., Pahanivo, 22:21 , 09-Окт-08 (15)
- Необходимый список правил для фаервола ipfw для безопасност..., alex123, 14:44 , 14-Окт-08 (18)
>Товарисчь, может уже стоит самому поразбираться-поэкспериментировать вместо того чтобы офтопить? Ну вот, так сказать мои правила версии "-1 alpha": rc.firewall.myconf: #=====Firewall Configuration #var inthost="192.168.1.1" intnet="192.168.1.0/29" outhost="10.15.4.8" admcomp="192.168.1.5" #Rules Begin #dynamic on add 1 check-state #antihack #Deny ISMP hack add 10 deny icmp from any to any in icmptype 5,9,13,14,15,16,17 #Deny interip mask hack add 11 reject ip from ${intnet} to any in via rl0 # Deny X-scaning add 12 reject tcp from any to any tcpflags fin, syn, rst, psh, ack, urg # Deny N-scaning add 13 reject tcp from any to any tcpflags !'fin', !'syn', !'rst', !'psh', !'ack', !'urg' # Deny FIN-scaning add 14 reject tcp from any to any not established tcpflags fin # Prevent from spoofing add 15 deny ip from any to any not verrevpath in # ip-session limit add 16 allow ip from any to any setup limit src-addr 10 #SSH add 20 allow tcp from ${admcomp} to ${inthost} 22 in via rl1 add 21 allow tcp from ${inthost} 22 to ${admcomp} out via rl1
#ICMP add 30 deny icmp from any to any via rl0
#HTTP/HTTPS/FTP add 40 allow tcp from me to not ${intnet} 20,21,80,8080,443 keep-state via rl0 add 42 allow tcp from not ${intnet} 20,21,80,8080,443 to me via rl0 add 43 allow upd from me to not ${intnet} 20,21 keep-state via rl0 add 42 allow upd from not ${intnet} 20,21 to me via rl0 #NAT add 50 nat ip from ${intnet} to not ${intnet} out via rl0 #inter comps add 1000 allow ip from ${admcomp} to not ${intnet} via rl1 add 1001 allow ip from 192.168.1.3 to not ${intnet} via rl1 #Deny any all add 10000 deny all from any to any via rl0 add 10001 deny all from any to any via rl1 #Rules END правила естественно не работают: не получается задать переменные: rc.conf: firewall_enable="YES" firewall_script="/etc/rc.firewall" firewall_type="/etc/rc.firewall.myconf"
Очень прошу уважаемых ГУРУ поправить ошибки и оценить правила на хакеро-устойчивость по 100 бальной шкале (ну надеюсь хоть 1 балл то есть?), а также высказать свои замечания и советы. С ОГРОМНЫМ УВАЖЕНИЕМ, alex123.
- Необходимый список правил для фаервола ipfw для безопасност..., alex123, 16:21 , 16-Окт-08 (22)
Очередная редакция правил, Есть паравопросов по составлению: 1) правило №19: # ip-session limit #add 19 allow ip from any to any setup limit src-addr 10 скорее всего не правильно, как работает настройка ограничений по ИП сесиям? 2)правила №№30-31 -- не могу заставить работать привязку по МАК 3)что означает переменная me? Правильно ли я её использую? 4)Когда надо задовать НАТ, меняет ли пакет (а точнее то как видит его фаервол) свой ИП после прохождения НАТа?Вот мой список правил (версия 0 alpha): rc.firewall.myconf #=====Firewall Configuration #var inthost="192.168.1.1" macint="00:8E:48:38:AA:3D" intnet="192.168.1.0/29" outhost="10.15.4.8" admcomp="192.168.1.5" macadm="00:B0:18:99:7A:11" outinterface="rl0" intinterface="rl1" #Rules Begin #antihack #No Fragmentation add 10 deny ip from any to any frag #Deny ISMP hack add 11 deny icmp from any to any in icmptype 5,9,13,14,15,16,17 #Deny interip mask hack add 12 reject ip from ${intnet} to any in via ${outinterface} # Deny X-scaning add 13 reject tcp from any to any tcpflags fin, syn, rst, psh, ack, urg # Deny N-scaning add 14 reject tcp from any to any tcpflags !'fin', !'syn', !'rst', !'psh', !'ack', !'urg' # Deny FIN-scaning add 15 reject tcp from any to any not established tcpflags fin # Prevent from spoofing add 16 deny ip from any to any not verrevpath in add 17 deny ip from ${intnet} to any in via ${outinterface} add 18 deny ip from ${outhost} to any via ${intinterface} # ip-session limit #add 19 allow ip from any to any setup limit src-addr 10 #Deny loop back external acces add 20 deny all from any to 127.0.0.0/8 add 21 deny all from 127.0.0.0/8 to any add 22 deny all from any to 127.0.0.0/8 add 23 deny all from 127.0.0.0/8 to any #Deny Windows flood add 24 deny ip from ${intnet} to ${intnet} 135,137-139,445 in via ${intinterface} add 25 deny ip from any to ${outhost} 135,137-139,445 in via ${outinterface} #SSH add 30 allow tcp from ${admcomp} to ${inthost} 22 in via ${intinterface} mac ${macadm} ${macint} add 31 allow tcp from ${inthost} 22 to ${admcomp} out via ${intinterface} mac ${macint} ${macadm} add 32 deny tcp from any to ${inthost},${outhost} 22 #dynamic on add 40 check-state #ICMP add 50 deny icmp from any to any via ${outinterface} #HTTP/HTTPS/FTP add 60 allow tcp from me to not ${intnet} 20,21,80,8080,443 keep-state via ${outinterface} add 61 allow tcp from not ${intnet} 20,21,80,8080,443 to me via ${outinterface} add 62 allow upd from me to not ${intnet} 20,21 keep-state via ${outinterface} add 63 allow upd from not ${intnet} 20,21 to me via ${outinterface} #NAT add 70 nat ip from ${intnet} to not ${intnet} out via ${outinterface} #inter comps add 1000 allow ip from ${admcomp} to not ${intnet} via ${intinterface} add 1001 allow ip from 192.168.1.3 to not ${intnet} via ${intinterface} #Deny any all add 10000 deny all from any to any via ${outinterface} add 10001 deny all from any to any via ${intinterface} #Rules END Пока не разобрался c TTL, какего менять используя IPFW?
- Необходимый список правил для фаервола ipfw для безопасност..., angra, 07:53 , 10-Окт-08 (16)
- Необходимый список правил для фаервола ipfw для безопасност..., alex123, 13:11 , 10-Окт-08 (17)
>[оверквотинг удален] >нет стандартных для хрюши дырок да и tcp/ip стек отличается. > >По третей задаче. >Не занимайтесь ерундой, у самого ssh мер безопасности более чем достаточно, не >нужно сюда фаервол пихать. > >По четвертой задаче. >На основе фаерволла не реализуемо в принципе. Лучше всего для этих протоколов >поставить SQUID(или другой проски, например oops), а уже его подружить с >антивирусом. СПАСИБО По четвёртой задаче я именно так и собирался сделать - Необходимый список правил для фаервола ipfw для безопасност..., alex123, 15:37 , 14-Окт-08 (19)
>По второй задаче. >Самый простой способ вычислить NAT это проверить TTL у пакетов, ставьте его >принудительно в одно число как для транзитных так и для исходящих >пакетов. А вот выдать шлюз под стандартную хрюшку вряд ли получится, >нет стандартных для хрюши дырок да и tcp/ip стек отличается. по изменению ттл нашёл только: https://www.opennet.ru/openforum/vsluhforumID1/52247.html#1, но там задача не решина :(
|