The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Необходимый список  правил для фаервола ipfw для безопасност..."
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Информационная безопасность (Public)
Изначальное сообщение [ Отслеживать ]

"Необходимый список  правил для фаервола ipfw для безопасност..."  
Сообщение от alex123 (??) on 08-Окт-08, 19:55 
-1) Я лаймер :(
0) Я очень боюсь хакеров :)
Ну к чёрту лирику, теперь по существу:
ОС: FreeBSD 7 stabel, в ядро включён фаервол и НАТ,
внутренняя сеть: 192.168.1.2:192.168.1.7, внутренний интерфейс rl1
внешняя сеть: 10.0.0.0:10.255.255.255, внешний интерфейс rl0
интернет: через ВПН

Задача1:
написать необходимые правила для фаерволла для натирования через rl0:
Я прочёл в одной из статей, что для написания правил для фаервола, закрывающиих путь в локалку хакерам, и вообще дающих им миниум сведеньей о системе,  необходимо связаться с "гуру", чтобы те поделились парой сотен стандартных правил.

Задача2:
Написать правила для фаервола не дающие никакой возможности узнать пользователям из внешней сети, что к ней подключён комп с НАТ, через который лазеют другие компы, т.е. даже для тех кто очень желает узнать что у мменя наставленно надо закрыть все возможности, и не плохо бы было замаскировать шлюз с БСД под обычный комп с ОС WinXP

Задача3:
на компе с БСД стоит ssh, штука как оказалась классная, но боюсь что не с точки зрения безопасности. Задача написать правила для фаервола, разрешающие коннект к SSH ТОЛЬКО черз интерейс rl1 с компьютера ТОЛЬКО с ип 192.168.1.2 и ТОЛЬКО, если его МАС 00:АА:0А:FF:AF:0F

Задача4:
Осуществить на компе с FreeBSD проверку в реальном времени натируемого трафика (хотя бы по протоколам http и ftp на вирусы (не только unix но и windows систем), блокируя их, а для протокола http, также проверкуи блокировку рекламы)

Зарание СПАСИБО,
по задаче1 -- делаю именно так, как рекомендовалось в статье: т.е. обращаюсь к вам, к ГУРУ;
по задаче2 -- специального материала не нашёл, так что не пинайте, а просто киньте ссылки, ну или подскажите, если подобного ничего нет;
по задаче3 -- не смог разобраться с синтексисом по ману, плохо  с английским, а примеровтам небыло, так что просто приведите пример (ето, наверно самая простая задача);
по задаче4 -- ненаходил нечего похожего, разве что кэширующий прокси, но ето не савсем то, насколько я понимаю (это наверно самая сложная задача).  

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Необходимый список  правил для фаервола ipfw для безопасност..."  
Сообщение от Square (ok) on 08-Окт-08, 22:08 
>[оверквотинг удален]
>ОС: FreeBSD 7 stabel, в ядро включён фаервол и НАТ,
>внутренняя сеть: 192.168.1.2:192.168.1.7, внутренний интерфейс rl1
>внешняя сеть: 10.0.0.0:10.255.255.255, внешний интерфейс rl0
>интернет: через ВПН
>
>Задача1:
>Задача2:
>Задача3:
>Задача4:
>Зарание СПАСИБО,

Сколько это будет стоить?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Необходимый список  правил для фаервола ipfw для безопасност..."  
Сообщение от alex123 (??) on 09-Окт-08, 00:11 
Вообщето ето не раздел рекламных объявлений :) и яне миллиардер :(
а ето разве не ОПЕН системы?
Я думал справиться сам с вашими подсказками.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Необходимый список  правил для фаервола ipfw для безопасност..."  
Сообщение от Square (ok) on 09-Окт-08, 00:43 
>Вообщето ето не раздел рекламных объявлений :) и яне миллиардер :(
>а ето разве не ОПЕН системы?
>Я думал справиться сам с вашими подсказками.

все эти вопросы и так хорошо освещены... пользуйтесь  поиском по форуму

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Необходимый список  правил для фаервола ipfw для безопасност..."  
Сообщение от alex123 (??) on 09-Окт-08, 13:44 
>
>все эти вопросы и так хорошо освещены... пользуйтесь  поиском по форуму
>

то-то и оно что они слишком хорошо освещенны, поиск даёт очень большое число результатов, причём всё разбито по крохам. Очень много информации по разделению трафика, при этом почти напрочь отсутствует инфомация по привязки МАКа, а вот, например, найти достаточно полный список по закрытию стандартных дырок хакрам мне не удалось:( , я без проблем могу найти информацию по стандартным способам хакерской атаки, и проанализировав её смогу составить соответствующие правила, но на это уйдёт пол-года, а у Вас наверника
всё тоже самое находится в 400-700 килобайтном файле настройки.

Информацию по антивирусной проверки трафика в реальном времени мне вообще найти не удалось.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Необходимый список  правил для фаервола ipfw для безопасност"  
Сообщение от Vitaly Moiseev email on 09-Окт-08, 01:26 
>Вообщето ето не раздел рекламных объявлений :) и яне миллиардер :(
>а ето разве не ОПЕН системы?
>Я думал справиться сам с вашими подсказками.

тогда man ipfw и вперед :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Необходимый список  правил для фаервола ipfw для безопасност..."  
Сообщение от vehn (??) on 09-Окт-08, 08:24 
Да ладно вам над человеком жечь :)

Во FreeBSD есть два файерволла: pf, ipfw. По первому доки в хэндбуке нет, по второму есть -- начать от туда (с хэндбука). После чего читать: http://ipfw.ism.kiev.ua/ -- и всё будет путём :) Если совсем "ламер", возможно, поможет вот это http://www.fwbuilder.org/

p.s. подобного рода вопросы, всегда и везде будут вызывать подобного рода реакцию. Проанализируйте Ваш вопрос и полученные ответы. Думаю, что прочтение рекомендаций о составлении сообщения должны Вам помочь более.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Необходимый список  правил для фаервола ipfw для безопасност..."  
Сообщение от alex123 (??) on 09-Окт-08, 14:02 
>Да ладно вам над человеком жечь :)
>
>"ламер", возможно, поможет вот это http://www.fwbuilder.org/

как я понял -- ето графический конфигуратор, я, конечно, лаймер но не без рук, а так как у меня комп с БСД 233МГц и 128МБ то я даже не пытался ставить Х-сы.

>p.s. подобного рода вопросы, всегда и везде будут вызывать подобного рода реакцию.
>Проанализируйте Ваш вопрос и полученные ответы. Думаю, что прочтение рекомендаций о
>составлении сообщения должны Вам помочь более.

Я специально прочёл рекомендации по заданию вопросов, прежде чемзадавать его здесь, правда забыл указать источники которые прочёл по данному вопросу:
из более менее простых и популярно написанных на русском статей прочёл следующие:
http://www.opennet.me/base/sec/ipf_howto.txt.html и
http://www.opennet.me/base/sec/ipfw_antihack.txt.html

Но там инфы маловато :(, а первая статья хоть и очень хорошая но написанна для pf и правила переводить мне пока сложновато.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

23. "Необходимый список  правил для фаервола ipfw для безопасност..."  
Сообщение от Keeper email(??) on 20-Окт-08, 22:19 
>а так как у меня комп с БСД 233МГц
>и 128МБ то я даже не пытался ставить Х-сы.

Про проверку FTP-, HTTP-трафика на вирусы забудьте сразу. Не на этом железе.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Необходимый список  правил для фаервола ipfw для безопасност..."  
Сообщение от Pahanivo email(??) on 09-Окт-08, 08:41 
http://www.opennet.me/base/net/ipfwdummynet.txt.html
мой вариант скрипта для ламеров - писал для своих чтобы могли без меня настраивать доступ.
(отключи dummynet и получится обычный фаревол для шлюзовой машины)


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Необходимый список  правил для фаервола ipfw для безопасност..."  
Сообщение от alex123 (??) on 09-Окт-08, 13:24 
>http://www.opennet.me/base/net/ipfwdummynet.txt.html
>мой вариант скрипта для ламеров - писал для своих чтобы могли без
>меня настраивать доступ.
>(отключи dummynet и получится обычный фаревол для шлюзовой машины)

Во, то что надо, только как-то до парысотен не дотягивает :(


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Необходимый список  правил для фаервола ipfw для безопасност..."  
Сообщение от Pahanivo email(??) on 09-Окт-08, 17:33 
>>http://www.opennet.me/base/net/ipfwdummynet.txt.html
>>мой вариант скрипта для ламеров - писал для своих чтобы могли без
>>меня настраивать доступ.
>>(отключи dummynet и получится обычный фаревол для шлюзовой машины)
>
>Во, то что надо, только как-то до парысотен не дотягивает :(

до пары сотен ЧЕГО?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Необходимый список  правил для фаервола ipfw для безопасност..."  
Сообщение от alex123 (??) on 09-Окт-08, 17:53 
>>>http://www.opennet.me/base/net/ipfwdummynet.txt.html
>>>мой вариант скрипта для ламеров - писал для своих чтобы могли без
>>>меня настраивать доступ.
>>>(отключи dummynet и получится обычный фаревол для шлюзовой машины)
>>
>>Во, то что надо, только как-то до парысотен не дотягивает :(
>
>до пары сотен ЧЕГО?

Строчек правил :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Необходимый список  правил для фаервола ipfw для безопасност..."  
Сообщение от reader (ok) on 09-Окт-08, 18:08 
>>>>http://www.opennet.me/base/net/ipfwdummynet.txt.html
>>>>мой вариант скрипта для ламеров - писал для своих чтобы могли без
>>>>меня настраивать доступ.
>>>>(отключи dummynet и получится обычный фаревол для шлюзовой машины)
>>>
>>>Во, то что надо, только как-то до парысотен не дотягивает :(
>>
>>до пары сотен ЧЕГО?
>
>Строчек правил :)

а вы шрифт по больше поставьте и количество строчек увеличится :)
а если серьезно для ваших 6 машин и 10 строк хватит.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Необходимый список  правил для фаервола ipfw для безопасност..."  
Сообщение от alex123 (??) on 09-Окт-08, 20:47 

>
>а вы шрифт по больше поставьте и количество строчек увеличится :)
>а если серьезно для ваших 6 машин и 10 строк хватит.

Ничерта не понимаю, причём здесь количество машин, мне же не квотинг нужен.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Необходимый список  правил для фаервола ipfw для безопасност..."  
Сообщение от reader (ok) on 09-Окт-08, 21:04 
>
>>
>>а вы шрифт по больше поставьте и количество строчек увеличится :)
>>а если серьезно для ваших 6 машин и 10 строк хватит.
>
>Ничерта не понимаю, причём здесь количество машин, мне же не квотинг нужен.
>

вот именно, и с какого перепуга нужно писать две сотни строк правил, что ими описывать для 6 машин?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Необходимый список  правил для фаервола ipfw для безопасност..."  
Сообщение от Pahanivo (??) on 09-Окт-08, 22:21 
Товарисчь, может уже стоит самому поразбираться-поэкспериментировать вместо того чтобы офтопить?


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "Необходимый список  правил для фаервола ipfw для безопасност..."  
Сообщение от alex123 (??) on 14-Окт-08, 14:44 
>Товарисчь, может уже стоит самому поразбираться-поэкспериментировать вместо того чтобы офтопить?

Ну вот, так сказать мои правила версии "-1 alpha":
rc.firewall.myconf:
#=====Firewall Configuration
#var
inthost="192.168.1.1"
intnet="192.168.1.0/29"
outhost="10.15.4.8"
admcomp="192.168.1.5"

#Rules Begin
#dynamic on
add 1 check-state

#antihack
#Deny ISMP hack
add 10 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
#Deny interip mask hack
add 11 reject ip from ${intnet} to any in via rl0
# Deny X-scaning
add 12 reject tcp from any to any tcpflags fin, syn, rst, psh, ack, urg
# Deny N-scaning
add 13 reject tcp from any to any tcpflags !'fin', !'syn', !'rst', !'psh', !'ack', !'urg'
# Deny FIN-scaning
add 14 reject tcp from any to any not established tcpflags fin
# Prevent from spoofing
add 15 deny ip from any to any not verrevpath in
# ip-session limit
add 16 allow ip  from any to any  setup limit src-addr 10


#SSH
add 20 allow tcp from ${admcomp} to ${inthost} 22 in via rl1
add 21 allow tcp from ${inthost} 22 to ${admcomp} out via rl1


#ICMP
add 30 deny icmp from any to any via rl0

#HTTP/HTTPS/FTP
add 40 allow tcp from me to not ${intnet} 20,21,80,8080,443 keep-state via rl0
add 42 allow tcp from not ${intnet} 20,21,80,8080,443 to me via rl0
add 43 allow upd from me to not ${intnet} 20,21 keep-state via rl0
add 42 allow upd from not ${intnet} 20,21 to me via rl0

#NAT
add 50 nat ip from ${intnet} to not ${intnet} out via rl0

#inter comps
add 1000 allow ip from ${admcomp} to not ${intnet} via rl1
add 1001 allow ip from 192.168.1.3 to not ${intnet} via rl1

#Deny any all
add 10000 deny all from any to any via rl0
add 10001 deny all from any to any via rl1

#Rules END


правила естественно не работают:
не получается задать переменные:
rc.conf:
firewall_enable="YES"
firewall_script="/etc/rc.firewall"
firewall_type="/etc/rc.firewall.myconf"

Очень прошу уважаемых ГУРУ поправить ошибки и оценить правила на хакеро-устойчивость по 100 бальной шкале (ну надеюсь хоть 1 балл то есть?), а также высказать свои замечания и советы.
С ОГРОМНЫМ УВАЖЕНИЕМ, alex123.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

22. "Необходимый список  правил для фаервола ipfw для безопасност..."  
Сообщение от alex123 (??) on 16-Окт-08, 16:21 
Очередная редакция правил,
Есть паравопросов по составлению:
1) правило №19:
# ip-session limit
#add 19 allow ip  from any to any  setup limit src-addr 10
скорее всего не правильно, как работает настройка ограничений по ИП сесиям?
2)правила №№30-31 -- не могу заставить работать привязку по МАК
3)что означает переменная me? Правильно ли я её использую?
4)Когда надо задовать НАТ, меняет ли пакет (а точнее то как видит его фаервол) свой ИП после прохождения НАТа?

Вот мой список правил (версия 0 alpha):

rc.firewall.myconf
#=====Firewall Configuration
#var
inthost="192.168.1.1"
macint="00:8E:48:38:AA:3D"
intnet="192.168.1.0/29"
outhost="10.15.4.8"
admcomp="192.168.1.5"
macadm="00:B0:18:99:7A:11"
outinterface="rl0"
intinterface="rl1"

#Rules Begin

#antihack
#No Fragmentation
add 10 deny ip from any to any frag
#Deny ISMP hack
add 11 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
#Deny interip mask hack
add 12 reject ip from ${intnet} to any in via ${outinterface}
# Deny X-scaning
add 13 reject tcp from any to any tcpflags fin, syn, rst, psh, ack, urg
# Deny N-scaning
add 14 reject tcp from any to any tcpflags !'fin', !'syn', !'rst', !'psh', !'ack', !'urg'
# Deny FIN-scaning
add 15 reject tcp from any to any not established tcpflags fin
# Prevent from spoofing
add 16 deny ip from any to any not verrevpath in
add 17 deny ip from ${intnet} to any in via ${outinterface}
add 18 deny ip from ${outhost} to any via ${intinterface}
# ip-session limit
#add 19 allow ip  from any to any  setup limit src-addr 10
#Deny loop back external acces
add 20 deny all from any to 127.0.0.0/8
add 21 deny all from 127.0.0.0/8 to any
add 22 deny all from any to 127.0.0.0/8
add 23 deny all from 127.0.0.0/8 to any
#Deny Windows flood
add 24 deny ip from ${intnet} to ${intnet}  135,137-139,445 in via ${intinterface}
add 25 deny ip from any to ${outhost}  135,137-139,445 in via ${outinterface}

#SSH
add 30 allow tcp from ${admcomp} to ${inthost} 22 in via ${intinterface} mac ${macadm} ${macint}
add 31 allow tcp from ${inthost} 22 to ${admcomp} out via ${intinterface} mac ${macint} ${macadm}
add 32 deny tcp from any to ${inthost},${outhost} 22

#dynamic on
add 40 check-state

#ICMP
add 50 deny icmp from any to any via ${outinterface}

#HTTP/HTTPS/FTP
add 60 allow tcp from me to not ${intnet} 20,21,80,8080,443 keep-state via ${outinterface}
add 61 allow tcp from not ${intnet} 20,21,80,8080,443 to me via ${outinterface}
add 62 allow upd from me to not ${intnet} 20,21 keep-state via ${outinterface}
add 63 allow upd from not ${intnet} 20,21 to me via ${outinterface}

#NAT
add 70 nat ip from ${intnet} to not ${intnet} out via ${outinterface}

#inter comps
add 1000 allow ip from ${admcomp} to not ${intnet} via ${intinterface}
add 1001 allow ip from 192.168.1.3 to not ${intnet} via ${intinterface}

#Deny any all
add 10000 deny all from any to any via ${outinterface}
add 10001 deny all from any to any via ${intinterface}

#Rules END


Пока не разобрался c TTL, какего менять используя IPFW?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "Необходимый список  правил для фаервола ipfw для безопасност..."  
Сообщение от angra (ok) on 10-Окт-08, 07:53 
По первой задаче.
Ух, сколько всякого насоветовали, хотя единственное полезное предоставил Pahanivo
Для начала неплохо бы узнать что во фре есть три(а не два как видится некоторым) различных фаерволла: ipfw, ipf и pf. Первые два примерно равносильны, а вот последний, пришедший из опенка, очень продвинут именно в плане безопасности. То что на других отбрасывается десятком правил на pf можно отбросить одним единственным. С учетом вашей паранойи и того, что вы позже сказали про ваш шлюз я бы порекомендовал поставить на нем именно OpenBSD и почитать доку по pf.

По второй задаче.
Самый простой способ вычислить NAT это проверить TTL у пакетов, ставьте его принудительно в одно число как для транзитных так и для исходящих пакетов. А вот выдать шлюз под стандартную хрюшку вряд ли получится, нет стандартных для хрюши дырок да и tcp/ip стек отличается.

По третей задаче.
Не занимайтесь ерундой, у самого ssh мер безопасности более чем достаточно, не нужно сюда фаервол пихать.

По четвертой задаче.
На основе фаерволла не реализуемо в принципе. Лучше всего для этих протоколов поставить SQUID(или другой проски, например oops), а уже его подружить с антивирусом.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "Необходимый список  правил для фаервола ipfw для безопасност..."  
Сообщение от alex123 (??) on 10-Окт-08, 13:11 
>[оверквотинг удален]
>нет стандартных для хрюши дырок да и tcp/ip стек отличается.
>
>По третей задаче.
>Не занимайтесь ерундой, у самого ssh мер безопасности более чем достаточно, не
>нужно сюда фаервол пихать.
>
>По четвертой задаче.
>На основе фаерволла не реализуемо в принципе. Лучше всего для этих протоколов
>поставить SQUID(или другой проски, например oops), а уже его подружить с
>антивирусом.

СПАСИБО
По четвёртой задаче я именно так и собирался сделать

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "Необходимый список  правил для фаервола ipfw для безопасност..."  
Сообщение от alex123 (??) on 14-Окт-08, 15:37 
>По второй задаче.
>Самый простой способ вычислить NAT это проверить TTL у пакетов, ставьте его
>принудительно в одно число как для транзитных так и для исходящих
>пакетов. А вот выдать шлюз под стандартную хрюшку вряд ли получится,
>нет стандартных для хрюши дырок да и tcp/ip стек отличается.

по изменению ттл нашёл только:
http://www.opennet.me/openforum/vsluhforumID1/52247.html#1, но там задача не решина :(

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "Необходимый список  правил для фаервола ipfw для безопасност..."  
Сообщение от reader (ok) on 15-Окт-08, 12:08 
>>По второй задаче.
>>Самый простой способ вычислить NAT это проверить TTL у пакетов, ставьте его
>>принудительно в одно число как для транзитных так и для исходящих
>>пакетов. А вот выдать шлюз под стандартную хрюшку вряд ли получится,
>>нет стандартных для хрюши дырок да и tcp/ip стек отличается.
>
>по изменению ттл нашёл только:
>http://www.opennet.me/openforum/vsluhforumID1/52247.html#1, но там задача не решина :(

pf вроде может ttl менять

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

21. "Необходимый список  правил для фаервола ipfw для безопасност..."  
Сообщение от alex123 (??) on 15-Окт-08, 13:57 
>
>pf вроде может ttl менять

А средствами ipfw никак?


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру