Witaj na Forum Linuxiarzy
Zanim zalogujesz się, by pisać na naszym forum, zapoznaj się z kilkoma zasadami savoir-vivre'u w dziale Administracja.
Wiadomości z problemami zamieszczone w wątku "Przywitaj się" oraz wszelkie reklamy na naszym forum będą usuwane.

m0n0wall - nowe podejście do bezpieczeństwa

Zaczęty przez microsofter, Styczeń 04, 2023, 12:50:40 PM

Poprzedni wątek - Następny wątek

microsofter

Na forum wałkowany jest w kółko tylko Linux (co już dawno stało się nudne). Pewnie zatem nie znacie systemu – z rodziny BSD – który zainstalowałem sobie na nowym PC.

Odkąd ponownie mam publiczne IP, mierzę się z ciągłymi próbami włamań. Napisałem skrypty, którymi okresowo analizuję logi i blokuję najbardziej zaciekłych hakerów. Jednak edycja ustawień firewalli w każdym komputerze jest czasochłonna. Postanowiłem sprawić sobie centralny firewall, który eliminuje tą niedogodność, a także stanowi dodatkowe zabezpieczenie.



Mój wybór padł na m0n0wall – router/firewall bazujący na FreeBSD. Jego centrum stanowi IPFilter, dobrze znany z Solarisa i innych markowych systemów. Bazowy OS został ogołocony ze wszystkiego zbędnego, a dodano przyjazne GUI, konfigurowane przez przeglądarkę.



Ponieważ niektóre komputery zostały poza nowym firewallem, wylądowały w osobnej podsieci. Przy zwykłym routerze, w przeważającej części przypadków, nie miałyby dostępu do tych za NATem. I właśnie tu widać zalety m0n0wall: połączenie możliwości i elastyczności IPFiltera z przejrzystym, intuicyjnym GUI. Bez większego kłopotu, skonfigurowałem możliwość podłączenia każdego PC do dowolnego innego. Działa montowanie udziałów SMB i NFS (w Windows i Unixie) w obie strony przez NAT, bez kompromisów dla bezpieczeństwa, w postaci wystawiania maszyn do DMZ.



Pierwszy dzień mam to cudo, zobaczymy ile podziała bez awarii. Mam nadzieję, że aż do dłuższej przerwy w zasilaniu, czyli wyczerpania UPS. m0n0wall już wypracował sobie miejsce w historii – dał początek całej rodzinie specjalistycznych systemów, powszechnie uważanych za najlepsze w klasie. A logi z m0n0wall oraz routera brzegowego (sprzętowego), zbieram wspólnie do PC, który działa pod kontrolą ... Windows. Nie ma z tym najmniejszego problemu.



ps. Do wczoraj sądziłem, że coś wiem o sieciach. Jednak dopiero ogarnięcie LANu złożonego z dwóch segmentów o zupełnie innej adresacji, pozwala zrozumieć istotę podsieci i NATu.
były: MS Windows, Sun Solaris, Oracle Solaris; jest: OpenSolaris + m0n0wall + Solaris powered NAS

robson75

Cytat: microsofter w Styczeń 04, 2023, 12:50:40 PMNa forum wałkowany jest w kółko tylko Linux (co już dawno stało się nudne).
Nie wiem czy zauważyłeś, ale to jest forum linuksowe właśnie.
Arch Linux Xfce - 64Bit Linux User #621110

microsofter

Archowo-sparkowe przyprawione Debianem. Zwróć uwagę, że już rzadko tu piszę, raczej z sentymentu, bowiem wolę rozwijać swój blog (gdzie dokładnie opiszę m0n0wall). A kiedyś, gdy rejestrowałem się, było zupełnie inaczej. Prężnie działała tu sekcja BSD, a sam siedziałem na Windows i jeszcze nie wiedziałem, w którą stronę pójdę: Unix, BSD czy GNU-Linux. Wiązałem duże nadzieje z tym ostatnim. Wokół Linuxa jest nadmuchane wielkie hype ...
Pozdrawiam.
były: MS Windows, Sun Solaris, Oracle Solaris; jest: OpenSolaris + m0n0wall + Solaris powered NAS

robson75

Cytat: microsofter w Styczeń 04, 2023, 05:29:01 PMA kiedyś, gdy rejestrowałem się, było zupełnie inaczej. Prężnie działała tu sekcja BSD
Nie przypominam sobie, aby kiedykolwiek sekcja BSD prężnie działała na tym forum. Systemy z rodziny BSD zawsze były systemami niszowymi.

PS.
Nie żebym był złośliwy, ale stwierdzam fakty.
Arch Linux Xfce - 64Bit Linux User #621110

PomPom

#4
Od kiedy tu siedzę, to nigdy sekcja BSD nie działała prężnie. To specjalistyczna nisza, do której nie mamy albo cierpliwości, albo czasu, albo potrzeby wchodzić. Z Unix i Unix-like Linux po prostu działa dobrze do naszych zastosowań - nie jest bardziej przehypowany niż cała grupa systemów unix-like.

A m0n0wall jest martwy od 8 lat. http://forum.m0n0.ch/forum/topic,6369.0.html
myk byle jak jako tako

microsofter

Cytat: PomPom w Styczeń 04, 2023, 06:19:24 PMm0n0wall jest martwy od 8 lat.

To bardzo źle? Przecież to tylko zapora, ma przepuszczać określone pakiety, a inne blokować. Router sprzętowy też kupujesz raz na kilkanaście lat.

Mnie to nie przeszkadza, bo:
- bazuje na FreeBSD 8, a ja właśnie rozkminiam, pod VM, FreeBSD 7, więc wkrótce będę znał bebechy mojego m0n0wall,
- ma śmieszne wymagania (486 i 32 MB RAM),
- będę miał motywację, aby kiedyś migrować na zwykły OS jako router - m0n0wall to tylko nakładka do łatwego konfigurowania IPFiltera, jak go dobrze ogarniasz, to samo wyczarujesz na wszystkim co go ma (FreeBSD, Solaris, OpenBSD, OpenServer ...).
były: MS Windows, Sun Solaris, Oracle Solaris; jest: OpenSolaris + m0n0wall + Solaris powered NAS

PomPom

Nowe podejście do bezpieczeństwa to porzucony 8 lat temu soft, którego porównujesz do starego routera z dziurawym softem - ma sens; w przeciwieństwie do gadania o Linuxie na forum o Linuxie.
myk byle jak jako tako

melis

W Linux też były nakładki GUI dla iptables. Przetrwała tylko jedna najprostsza: GUFW oraz nieco bardziej złożona firewalld. Iptables jednak ewoluuje i na ten czas, wdrażane jest nftables (tu nie wiem czy firewalld, potrafi zarządzać nową strukturą reguł zapory) Osobiście nie jestem pewien, czy powierzył bym programowi bez wsparcia, edycję i kontrolę nad regułami zapory. A tu trochę w temacie choć nie do końca: https://matteocroce.medium.com/linux-and-freebsd-networking-cbadcdb15ddd  Generalnie BSD zdaje się, chyba trochę gorzej radzi sobie z większa ilością złożonych reguł.

microsofter

Cytat: melis w Styczeń 16, 2023, 05:45:26 PMIptables jednak ewoluuje i na ten czas, wdrażane jest nftables
Nawet nie słyszałem. Czytałem o zmianie IPfirewall na IPchains, a potem IPtables. Normalny kalejdoskop. Dla porównania, IPFilter to standard. Jest niemal wszędzie oprócz Linuxa. Raz nauczysz się go, to potem dasz sobie radę z każdym OS.

Z firewalli bazujących na Linuxie, ściągnąłem tylko IPFire. Po opisach, wydawał mi się najlepszy. Ale to raczej do nauki pod VM, jest zbyt opasły jak na domowy router.


CytatOsobiście nie jestem pewien, czy powierzył bym programowi bez wsparcia, edycję i kontrolę nad regułami zapory.
Mam wątpliwości, czy właściwie zrozumiałem. IPFilter i m0n0wall nie oferują automatycznego zarządzania regułami, jak to ma miejsce w Windows, gdzie programy same dodają się do wyjątków. W Solarisie, nie byłem w stanie nawet otworzyć strony, dopóki nie odblokowałem portów ephemeral. Przepuszczany jest wyłącznie ten ruch, na który zezwolisz.

Chyba że masz na myśli sytuację, w której w GUI tworzysz regułę, a ona otwiera więcej portów, niż powinna. Uważam, że nie ma możliwości, aby takie coś pozostało niezgłoszone. Zawsze możesz włączyć logowanie przepuszczanych pakietów. Dzięki przesyłaniu logów do komputera, dysponujesz nieograniczonym miejscem oraz różnym softem do ich analizy.

Cytathttps://matteocroce.medium.com/linux-and-freebsd-networking-cbadcdb15ddd  Generalnie BSD zdaje się, chyba trochę gorzej radzi sobie z większa ilością złożonych reguł.
Ilość reguł to nie problem. Są znane instalacje, gdzie IPFilter ma 45000 reguł i nie ma spadku wydajności. Z testu wynika, że wydajność network stacku zwykłej Fedory jest na równi z FreeBSD przy single core, a wyraźnie wygrywa w multicore. Szokujący wynik! Z dugiej strony, chciałbym zobaczyć test na bare metalu lub pod ESXi. No i wykonany przez kogoś niezaleźnego.


Panowie, myślę że zupełnie niepotrzebnie martwicie się o moje bezpieczeństwo. m0n0wall to nie jest system, który zajmuje gigabajty na dysku, jest w ciągłym rozwoju i trzeba go aktualizować, aby łatać dziury. Zainstalowany m0n0wall zajmuje raptem 20 MB. Autor przez lata dopracował go praktycznie do perfekcji. A ponadto, to tylko jedno z moich zabezpieczeń. Aby mnie zhackować, trzeba pokonać trzy firewalle (w routerze sprzętowym, m0n0wall i ten w każdym OS) oraz podwójny NAT. Śpię spokojnie. Ba, jeśli ktoś chce spróbować, mogę podać namiar na siebie (Banan/Aro? zawsze jak wpadałeś, pisałeś o pentestach).
były: MS Windows, Sun Solaris, Oracle Solaris; jest: OpenSolaris + m0n0wall + Solaris powered NAS

Zobacz najnowsze wiadomości na forum