Dnes som úspešne absolvoval záverečné štátne skúšky, a tak mám tú česť uvoľniť oklieštenú (web release) verziu mojej diplomovej práce, ktorá nesie názov “Návrh, realizácia a zabezpečenie firewallového systému”. V práci popisujem problematiku zabezpečovania unixových systémov a čiastočne aj počítačových sietí. Prioritne sa síce zameriavam na systém GNU/Linux, no mnohé poznatky sú aplikovateľné aj na ostatné unixové systémy.
Web release verzia neobsahuje kapitolu popisujúcu vytvorený inštalačný program a z bezpečnostných dôvodov ani kapitoly s popisom sietí, v ktorých je vytvorený firewallový systém implementovaný. Dúfam, že tento text niekomu poslúži pri rozširovaní vedomostí.
Web release verzia tejto práce je určená výhradne na vzdelávacie účely. Žiadna časť tejto práce nesmie by reprodukovaná alebo šírená akýmkoľvek spôsobom bez môjho predchádzajúceho súhlasu.
Prácu si môžete stiahnuť na adrese http://www.jariq.sk/media/ING.pdf
Výborná práca
Dik.. bolo to sice narychlo ale snaha bola :)
openbsd je zalozene na bezpecnosti. spoofovat mac adresu je velmi primitivne, a zakladat na tom pravidla nie je velmi rozumne. skuseny utocnik ti to prelomi velmi rychlo.
pre informaciu, mac adresy sa daju filtrovat pomocou brconfig
openvpn over tcp, resp. tcp over tcp, si mohol dat aspon linku http://sites.inka.de/sites/bigred/devel/tcp-tcp.html
miesto pouzivaniu statickych klucov sa dodava spolu s openvpn easyrsa, kde si mozes spravit jednoduchu ca. a nasledne pouzit privatne a verejne kluce
md5deep – neuvadzas tu, aku hasovaciu fciu pouzivas. dufam ze aspon sha1
neviem ci poznas pf, je tam vynikajuca vec (okrem inych) ze synproxy state, to sa do ‘firewalloveho systemu’ extremne hodi
takisto i bsd levels
inac pekna praca.
Skutocnost, ze spoofovat mac adresu je primitne neznamena, ze s pf by sa nemali dat definovat pravidla s mac adresami a uz vobec to neznamena, ze by sa nemali v pravidlach pouzivat.
Ak sa s brconfig daju filtrovat MAC adresy v spojeni s IP adresou (dvojica MAC + IP), tak prosim napis priklad pouzitia, lebo sa mi to svojho casu nepodarilo zistit ako sa to robi.
S pripomienkou k md5deep a easyrsa suhlasim, no synproxy tam spomenute je. Staci si to precitat :)
ahoj,
filtrovanie je vec postoja. na linuxe iptables dokaze spracovat 2,3,4,7 vrstvu, zatial co pf len 3,4.
nerozumiem blokovat pravidla na zaklade mac adresy. pretoze to nie je ziadna bezpecnost. ked si niekto zmeni mac adresu, na taku, ktoru neblokujes, tak je jednoducho za vodou. a zmena mac adresy nie je zlozity proces. toto sa da vyriesit switchmi, ktore su nakonfigurovane tak, aby prijimali na porte len jednu source mac.
http://www.openbsd.org/cgi-bin/man.cgi?query=brconfig&sektion=8&apropos=0&manpath=OpenBSD+Current
dvojica mac + ip sa v pf neda spravit
synproxy som si asi nevsimol:)
Tak ako pises filtrovanie je vec postoja a nie vzdy je vykonavane len za ucelom zvysenia bezpecnosti.
Predstav si intrak cca 300+ pocitacov s verejnymim adresami a nie prave najvyssie povedomie pouzivatelov. Sluzby ako rapidshare sposobuju caste zmeny IP adries (u tych ktori to dokazu). Samozrejme na intraku nie su manazovatelne switche, aby si nastavil akceptovanu zdrojovu adresu (ako to spominas) a ani nie su prostriedky na ich nakup. V takom pripade ti pravidlo, ktore povoli odchadzajuce spojenia iba od konkretnych dvojic MAC a IP adries uplne riesi problem. Ak navyse prepojis generovanie tychto pravidiel zo zaznamov na DHCP serveri, tak ta to ani nezatazi.
Nezvysuje to sice vyrazne bezpecnost (aj ked o tom by sa tiez dalo polemizovat), ale zvysuje to pokoj spravcu a pouzivatelov, ktori kvoli IP konfliktom mali nervy na spravcu.
No a na zaver sa pokusim odrazit este aj tvrdenie, ze zmena MAC adresy trivialna. Skusal si uz ako sa sprava switchovana siet, ked su na nej dva hosty s rovnakou IP a MAC adresou? :)