Архив рубрики: Безопасность

openvpn: Ignoring redirect-gateway

If you are running OpenVPN as a client, and the server you use is using push «redirect-gateway» then your client redirects all internet traffic over the VPN. Sometimes clients do not want this, but they can not change the server’s configuration. This page explains how to override redirect-gateway so the client does not need to redirect internet even though the server says to.

Читать далее

Фильтрация по MAC-адресу в различных файерволах

ipfw

add allow all from any to 192.168.2.0/24 via ${natd_interface} mac aa:bb:cc:dd:ee:ff any

pf

(только OpenBSD)

в консоли:

# ifconfig bridge0 rule pass in on fxp0 src 0:de:ad:be:ef:0 tag USER1

в pf.conf:

pass in on fxp0 tagged USER1

ipf

Нельзя сделать

iptables

/sbin/iptables -A INPUT -m mac --mac-source 00:0F:EA:91:04:08 -j DROP

Защита от небольшого DDoS’a

Что имеем: есть сервер (8Гб памяти, Intel(R) Xeon(R) CPU E31220 @ 3.10GHz) FreeBSD 8.4 Release amd64, сайт на php5.2, nginx+apache+mysql.

Перейти полностью на php-fpm не получилось, поэтому пришлось защищаться как есть. Это поможет отразить небольшую syn flood атаку.

Ниже будет приведены выполненные действия для отражения атак.

Читать далее

sshd rootkit на FreeBSD 7.3

Недавно, на один из старых серверов (там крутилась FreeBSD 7.3) пришла абуза от хостера, что на сервере замечен rootkit. Была информация, что при любом логине (а как позже оказалось, вообще при любой попытке, даже неудачной) на сервер он отправляет login/pass/ip на сервер злоумышленника в виде хитрого DNS запроса.

Недавно сообщалось, что такой руткит был найден на серверах с linux (там была протроянена либа libkeyutils.so). Гугление показало, что такого руткита для FreeBSD и в помине нет (а может плохо гуглил).

UPD: а вот похоже и оно

Читать далее

Защита от Syn Flood’a

Тестовый стенд: Centos 6.2 (kernel 2.6.32-220.4.2.el6.x86_64), apache+php+mysql

Имеем очень много соединений с состоянием SYN_RECV (syn flood):

$netstat -ntu
...
tcp 0 0 XX.XX.XX.XX:80 202.51.102.34:40700 SYN_RECV
tcp 0 0 XX.XX.XX.XX:80 190.225.143.29:40123 SYN_RECV
tcp 0 0 XX.XX.XX.XX:80 101.255.71.7:38725 SYN_RECV
tcp 0 0 XX.XX.XX.XX:80 122.226.122.201:48952 SYN_RECV
tcp 0 0 XX.XX.XX.XX:80 186.91.63.97:44343 SYN_RECV
tcp 0 0 XX.XX.XX.XX:80 109.230.156.97:56149 SYN_RECV
...

Как с ними бороться?

Читать далее

Анонимный squid

Что бы ваш squid не определялся как прокси-сервер, добавляем в конфиг такое:

squid 3.1

forwarded_for delete
request_header_access X-Cache deny all
request_header_access X-Cache-Lookup deny all
request_header_access X-Forwarded-For deny all
request_header_access Via deny all

squid 3.0 и раньше

forwarded_for off
header_access X-Cache deny all
header_access X-Cache-Lookup deny all
header_access X-Forwarded-For deny all
header_access Forwarded-For deny all
header_access Via deny all

После этого сделать squid -k reconfigure и почистить куки, кешь в браузере.

[pf] Некоторые особенности NAT’a в файерволе pf

Адресный пул представляет собой два или более интерфейсов, которые используются совместно группой пользователей. Адресный пул может быть указан в качестве целевого адреса в директивах nat-to, rdr-to, route-to, reply-to, и в дерективе dup-to в качестве опций фильтра (filter).

Читать далее

Mosh — mobile shell

Mosh — замена(или дополнение) SSH. Он быстрее и отзывчивее, особенно на линках с высокой задержкой, например, в мобильных сетях. Набираете символ, и моментально видите его на экране, так же, как и в локальном терминале. Почему? Потому, что в Mosh реализован так называемый local line editing, который не дожидается ответа от сервера, а сразу все отображает на экране. Работает даже в полноэкранных приложениях, вроде vim или emacs. И это далеко не единственный плюс!

Читать далее

Повышаем безопасность ssh

Опишу простые приёмы, которые повышают безопасность ssh. Не обязательно применять именно все рекомендации (некоторые вообще могут не подходить для ваших целей), но желательно как можно больше

Читать далее

Цепочка серверов с openvpn

Схема такая: client -> server1 (ip=XX.XX.XX.XX) -> server2 (IP=YY.YY.YY.YY) То есть получаем более-менее анонимное подключение. Причём с шифрованием в 256 бит. Хочу заменить, что у сервера server1 будет 2 конфигурации — клиента (для подключения к server2) и сервера (для подключения клиентов, типа client)

Читать далее