Архивы рубрики ‘OpenBSD’

Сбор данных NetFlow с помощью pfflowd

Для  систем которые не поддерживают экспорт данных NetFlow через  pflow,  NetFlow поддерживает  порт  доступный  посредством  пакета  pfflowd.  Модель  данных  NetFlow определяет сетевой поток, как однонаправленную последовательность пакетов с одного IP адреса  источника  и  нзанчения  и   протокола.  Это  хорошо  отображает  информацию состояния  PF,  а  pfflowd  предназначен  для  записи  изменений  состояний  с  локальных устройств  системы  pfsync.  После  включения,  pfflowd  действует  как  сенсор  NetFlow который преобразует данные pfsync в формат NetFlow для передачи в сетевой коллектор

Продолжение …

Установка PF на NetBSD

  На  NetBSD 2.0, PF стал доступен как загружаемый модуль ядра,  который  может быть установлен посредством пакетов (security/pflkm) или скомпилирован статически в ядро. В NetBSD 3.0 и более поздних версиях, PF является часть базовой системы. На NetBSD PF – один из нескольких возможных систем пакетной фильтрации, и вам явно включить его. Некоторые детали конфигурации PF изменились в разных NetBSD релизах. В этой книге предполагается что вы используете NetBSD 5.02 или более поздние версии.

Продолжение …

Отслеживание  ваших  реальных  почтовых   соединений: spamlogd

За сценой, о чём редко упоминается и, что слабо документировано, находится одна из

наиболее важных вспомогательных программ spamd: система обновления белых списков spamlogd.  Как  следует  из  названия,   spamlogd  работает  в    фоновом   режиме,  ведёт

Продолжение …

Атака на SSH методом подбора паролей (SSH Brute-Force)

Если вы запустили сервис SSH, доступ к которому возможен из Интернет (обычное дело), вы наверняка наблюдали подобные записи в своих журналах аутентификации:

Sep 26 03:12:34 skapet sshd[25771]: Failed password for root from 200.72.41.31 port 40992 ssh2

Продолжение …

Тестирование вашей настройки PF

Теперь  пришло время сдуть пыль с  точной спецификации,  описывающей,  как ваши настройки   должны   работать.   Физическое    расположение   нашего   примера   сети сосредоточена вокруг шлюза подключенного к Интернету через $ext_if. В приложении к шлюзу через $int_if имеется локальная сеть с рабочими станциями и, возможно, один или несколько серевров для местного применения. И наконец, мы имеем DMZ подключенный через $dmz_if, населенный серверами, предлагающих услуги локальной сети и Интернета.

Продолжение …

Веб сервер и почтовый сервер внутри – случай NAT

            Давайте немного вернемся и начнем снова с базовым сценарием, где пример клиентов из главы 3 получающих трех новых соседей: почтовый сервер,  веб-сервер и файловый сервер. На этот раз адреса внешне видимые либо  отсутствуют, либо слишком дороги и запускать ряд других служб на машине, которая в первую очередь является брандмауэром нежелательно. Это означает, что мы вернулись назад, к ситуации где мы делаем наш NAT шлюзом. К счастью, механизмы перенаправления в PF делют его относительно простым в поддержке на внутренней строне шлюза, который выполняет роль NAT.

Продолжение …

Сохранение синхронизации серых списков spamd

Начиная с OpenBSD 4.1, spamd может сохранять синхронизацию баз  данных  серых списков  с  любым  числом  взаимодействующих  шлюзов  использующих  серые  списки.

Реализация основана на наборе параметров командной строки spamd:

•     Опция -Y указывает  цель синхронизации (sync target) – т.е. IP  адрес(а)  других spamd-шлюзов  которые вы  хотите проинформировать  о  обновлении  информации вашего серого списка.

Продолжение …

Минимальный набор правил  PF

Самая  простейшая конфигурация правил PF — набор правил для  автономной  машины, которая не предоставляет сервисов и соединяется только с одной сетью (которая может быть и непосредственно Интернетом). Мы начнем работать с файлом /etc/pf.conf, который выглядит примерно как этот:

Продолжение …

Фильтрация по группам интерфейсов

                                     Ваша   сеть  должно  быть  имеет  несколько  подсетей,  которые  могут   никогда  не взаимодействовать с вашей локальной сетью за исключением нескольких общих сервисов, таких как почта, веб, файловый и печать. Как  вы  справляетесь с трафиком из таких подсетей  зависит  от  того,  для  чего  ваша  сеть  предназначена.  Одним  из  полезных подходов относится к каждой менее привилегированной сети как к отдельной локальной сети, к которой  привязан свой отдельный интерфейс на общем фильтрующем шлюзе, а затем   дать   ему   набор   правил,   который   позволяет   только   нужные   направления

Продолжение …

Завершение подготовки: Определим вашу локальную сеть

В  мы  создали  конфигурацию  для  единственной,  автономной  машины.  Мы собираемся развернуть  эту конфигурацию в   конфигурацию  версии  шлюза, и поэтому полезно определить несколько макросов,  способствующих  повышению  читабельности и концептуальному разделению отдельных уровней локальной сети, на каждом из которых существуют  определённые меры контроля отличные от других. Так как же определить

Продолжение …