В статье будет рассмотрен тюнинг системы при помощи sysctl. Так же защита от разного рода сканнирования, DDoS’a.
Все значения используйте на свой страх и риск.
В статье будет рассмотрен тюнинг системы при помощи sysctl. Так же защита от разного рода сканнирования, DDoS’a.
Все значения используйте на свой страх и риск.
Иногда бывают ситуации, когда нужно использовать openvpn и авторизацию не по ключам, а по логину паролю. Можно так же использовать совместно, для увеличения безопасности оба этих метода.
Тестовый стенд: Debian 6 (kernel 2.6.32-5-686), openvpn 2.1.3.
У pf есть некоторые особенности использования ключевых слов при составлении правил. Ими пользоваться достаточно просто. Основное преимущество заключается в том, что мы не привязывается к IP адресу, а это очень удобно
– один и тот же конфиг можно использовать на многих машинах, без изменений
– при смене IP адреса нет надобности редактировать правила
Live-дистрибутив NST (Network Security Toolkit) построен на базе Fedora 15 Linux и ориентирован для проведения анализа безопасности сети и мониторинга её функционирования. В состав дистрибутива включена одна из наиболее полных подборок приложений, имеющих отношение к сетевой безопасности (например: Wireshark, NTop, Nessus, Snort, NMap, Kismet, TcpTrack, Etherape, nsttracroute, Ettercap и т.д.). Для управления процессом проверки безопасности и автоматизации вызова различных утилит подготовлен специальный web-интерфейс, в который также интегрирован web-фронтэнд для сетевого анализатора Wireshark. Графическое окружения дистрибутива базируется на FluxBox.
В статье будет описаны средства защиты от DDoS’a для популярных веб-серверов apache и nginx. Естественно, что это не 100% панацея и всё зависит от самих атак. Но всё же, для большинства атак подойдёт
Linux-дистрибутив NetSecL, основанного на пакетной базе openSUSE и ориентирован на специалистов в области компьютерной безопасности и пользователей, желающих получить максимально защищенную рабочую среду. По умолчанию в дистрибутиве применяются достаточно жесткие настройки внутренней безопасности, активированы некоторые дополнительные средства защиты (GrSecurity, GCC Stack Smashing Protection, сборка с binutils поддерживающим PT_PAX_FLAGS). В комплект включены утилиты для проверки защищенности систем (Amap, Ettercap, Hydra, Kismet, Nessus, Nmap, Metasploit, PADS). Таким образом, NetSecL может выступать как система для тестирования безопасности, так и как защищенный десктоп-дистрибутив. Размер iso-образа дистрибутива составляет 1 Гб.
Динамические правила используются там, где нужно динамически создавать ответное правило для соединения. Без их использования нужно явно задавать правила для всех соединений.
Это очень удобный и пакетный фильтр пришёл во FreeBSD из OpenBSD. Синтаксис здесь позволяет разного рода вольности, то есть части правил можно опускать. В статье будет показан простой пример правил для шлюза, в котором разрешены только определённые порты, так сказать самые необходимые.
Дело в том, что по умолчанию срабатывание правил не логгируется (оно-то и правильно). Но часто возникает необходимость узнать что происходит с пакетами и на каком правиле они срабатывают. Для этих целей используем такую конструкцию:
Очень часто возникает потребность проверить порт на состояние открыт/закрыт. Но не многие смогут ответить на вопрос сколько есть способов для этого, и как проверить, например, открыт ли UDP порт. Ответы на эти вопросы постарась ответить в этой заметке.