LINUX.ORG.RU

Блин, стало страшно... Что делать?!


1

2

Один вин-админ рассказал, что у него на выходе сетки в Инет стоит такой не очень дешевый коробок: Fortinet FortiGate 60C Bundle.

Почитал - усмехнулся, ну да, продвинутый файрвол и прочее. Мне-то он не нужен - у меня вся сетка на линухах, так что бояться вроде нечего.

Но когда послушал его рассказ до конца, мне поплохело... Первое - многие виндовые проги, даже коммерческие тихо стучат по весьма сомнительным адресам, о которых разработчики помалкивают.
Но этот факт давно всем известен и не представляет ни для кого ничего нового.

Второе хуже - многие аппаратные устройства, которые стоят в сетке, например, принт-сервера, высокоуровневые свичи тоже втихаря занимаются тем же самым.
Но и это тоже давно известно, даже современные телевизоры и даже утюги - и те не брезгуют этим занятием.

А страшное вот что: хотя мы вроде сидим на бронепоезде (линух/бсд) и надежно защищены от внешних вторжений, но где гарантии, что в сетке не завелся крот в виде какой-нибудь софтины или коробочки, которые сливает в сеть наши пароли, банковские счета и прочее, прочее - мы-то этого не видим!

А вдруг... даже страшно подумать... наш любимый линукс тоже втихаря постукивает?? Ведь кто-то на форумах утверждал, правда, не очень уверенно, что неоднократно заставал за этим занятием Убунту.

Понятно, что есть шлюзовые прокси, файроволы и пр.
В-общем, я несколько скомкано изложил, а суть такова: тоже хочу обзавестись таким FortiGate, который будет стоять на страже в качестве шлюза, но только не именно им, он для меня дороговат, а программным решением c подобными возможностями.

Может я туплю сегодня, но в голову ничего путного не приходит. Что же в самом деле у нас есть такого, которое являлось бы продвинутом файрволом с мощным логированием и гибкими политиками?

★★★★★

Если тебя железные коробочки интересуют, то у dlink есть недорогие файерволы dfl-серии, говорят им прошивки не dlink писал, типа это надежнее.

Deleted
()

А теперь вместо софтин, холодильников и утюгов всю инфу сливает Fortinet FortiGate 60C Bundle? Отличный выход =)

Linuxman
()

У тебя бубен есть, камлай регулярно, этого достаточно.

ansky ★★★★★
()

Бесполезно. Забей. Кто захочет — тот найдёт выход. Напомню, что большинство программ стучат наружу через HTTP/HTTPS и тут пакетный файервол бесполезен. А если оно ещё с шифрованием, то всё ещё грустнее. Единственно что могло бы помочь — это DPI, но мне открытые реализации не известны (может кто что знает?), да и CPU на это дело не мало надо.

beastie ★★★★★
()

А вдруг... даже страшно подумать... наш любимый линукс тоже втихаря постукивает

Тут одного бубна мало. Ещё варган нужен.

UNiTE ★★★★★
()

Убунту

не линукс же, нечего обобщать. Вообще, имеет смысл ограничивать подобные устройства, это правда. Скажем, под винду есть peerblock... Не плохо бы поставить нечто подобное на роутер. =)

wakuwaku ★★★★
()

Это называется DLP (Data Loss/Leak Prevention) решения.

Есть ребятки из Ярославля, которые продают переведенную и допиленную FreeBSD, в составе которой есть DLP под своим брендом Интернет Контроль Сервер. Но это на среднюю или маленькую контору. Что-то серьезное надо искать уже у лидеров рынка, всякие IDECO, Zecurion, Infowatch, и у кого-то еще было решение с ядром на Linux и ACL на Perl, это мне в Zecurion рассказывали.

Вот так как-то...

aludov
()
Ответ на: комментарий от beastie

Фильтры l7 из xtables. Можно и нужно дописывать свои модули. В openbsd все из коробки. Помнится в 2005х всем нужен был резак icq трафика...все это было.

gh0stwizard ★★★★★
()

Что делать?!

Сделай бочку, а затем вдоль.

Valkeru ★★★★
()
Ответ на: комментарий от beastie

А перекрыть софту определенные порты не вариант?

Valkeru ★★★★
()

многие виндовые проги, даже коммерческие тихо стучат по весьма сомнительным адресам

даже коммерческие

Ты хотел сказать «в первую очередь коммерческие»? :)

мы вроде сидим на бронепоезде (линух/бсд) и надежно защищены от внешних вторжений

Очень распространённое заблуждение.

sT331h0rs3 ★★★★★
()

Хватит с виндузятниками общатся ))
Что у тебя такого страшно секретного в сети??

kerneliq ★★★★★
()

в сетке не завелся крот в виде какой-нибудь софтины или коробочки

стоит такой не очень дешевый коробок: Fortinet FortiGate 60C Bundle.

как попка? Действительно, зачем вставать раком перед друзьями и знакомыми, если можно пойти в элитный клуб, и нанять квалифицированного специалиста, который тебя отымеет грамотно?

В-общем, я несколько скомкано изложил, а суть такова: тоже хочу обзавестись таким FortiGate, который будет стоять на страже в качестве шлюза, но только не именно им, он для меня дороговат, а программным решением c подобными возможностями.

man iptables пойдёт?

Открою Страшную Тайну: она и стоит в коробке друга. Но не обязательно только ОНА.

emulek
()

и да, я не ответил на вопрос: занимайся ликбезом. И тогда иметь других будешь ты. А не тебя.

emulek
()
Ответ на: комментарий от gh0stwizard

Да, relayd умеет L7 как минимум для http/https и dns. Может ты и прав, забыл про него.

beastie ★★★★★
()
Последнее исправление: beastie (всего исправлений: 1)

Да вы упоролись!
Как тут правильно ранее сказали, нечего с винадминами общаться)
По теме - ставим FreeBSD на шлюз, включаем в голове режим paranoid, максимально хардкорим конфигурацию пакетного фильтра, закрываем разный паразитный трафик, на клиентских машинах включаем selinux, нанимаем группу спецназа для отстрела нарушителей и закрываемся в бункере)

Не, кроме шуток, что у вас там из сети такого важного утечь может?
Дабы не утекало - юзайте открытое ПО, с ним проблем в этом плане как-то поменьше.

teamfighter
()

Не знаю, мне как-то пофиг. Я ничем таким не занимаюсь, пусть стучат.

Тем более, что зачастую софт прост отправляет на свои сервера анонимную инфу о том, как оно исользуется и об ошибках всяки и прочем. Чтоб потом типа улучшить работу софтины в будущей версии.

Насчет коробочек не знаю.

Zhbert ★★★★★
()

которое являлось бы продвинутом файрволом с мощным логированием и гибкими политиками

Тебе нужен IDS/IPS. Рекомендую Snort.

generator ★★★
()

Делай раз - создавай прокси-сервер в отдельном vlan'е ( DMZ ). С логированием

Делай два - полностью запрещай доступ в интернет и из интернета мимо DMZ.

Что ты там будешь вычитывать в логах дело твоё. Смотри в сторону дозор-джет и infowatch. Но как минимум тупые железяки не будет иметь доступа в интернет. Хотя бы потому, что ты не будешь на них настраивать прокси.

router ★★★★★
()

Бред-то какой! Вот, что действительно страшно — так это жить в РФ! А аппаратный файрвол тебе нафиг не нужен.

Eddy_Em ☆☆☆☆☆
()
Ответ на: комментарий от Zhbert

Насчет коробочек не знаю.

В мастдайке, т.к. это прошивка для игровых приставок, с файрволом очень плохо (на кой черт игровой приставке файрвол?). Поэтому извращенцы, которые используют игровые приставки в качестве рабочего компьютера, вынуждены платить баксы за такие "коробочки".

Ну, тут справедлива поговорка: "скупой платит дважды, а тупой — трижды!"

Eddy_Em ☆☆☆☆☆
()

Если у тебя нет нормальной нагрузки на канале и постоянных DDoS-атак извне, то смысла от хардварного файрвола практически никакого. А если бы такая нагрузка была — ты бы сам уже купил этот файрвол (или начальство приказало бы закупить).

Хардварные файрволы типа сабжа, джуниперы и прочие ставятся на *реально* нагруженных шлюзах. Они оперативно распознают и подавляют широкий диапазон сетевых атак в огромном сетевом трафике, регулируют пользование каналом и обладают очень низкой латентностью.

shahid ★★★★★
()

А где гарантии, что его продвинутый фаерволл не занимается тем же самым?

А страшное - это vPro/ME. :]

vasily_pupkin ★★★★★
()

Ну что я тебе скажу? Да, стучат, да, с секьюрностью у нас опа. Единичные коммерсы и банки могут обеспечить себя кадрами и технологиями, ну ещё часть каких-то госов. И всё.

Значит, это кому-то нужно.

Deleted
()
Ответ на: комментарий от vasily_pupkin

А где гарантии, что его продвинутый фаерволл не занимается тем же самым?

Гарантировать можно только то, что сам собрал, из своих микрух и впендюрил тудой свой код. В противном случае даже утюги будут ломиться по вафле хз куда.

Deleted
()
Ответ на: комментарий от Eddy_Em

извращенцы, которые используют игровые приставки в качестве рабочего компьютера

Что, и такие есть? о_О

Zhbert ★★★★★
()
Ответ на: комментарий от Deleted

говорят им прошивки не dlink писал, типа это надежнее.

типа man openwrt

Deleted
()

Твои опасения можно побороть на 100% только while-list-ом, что абсолютно НЕРЕАЛЬНО. Поэтому стоит либо засунуть свою паранойю подальш, либо страдать. Ибо спеки на проприетарные девайсы с перечислением впиленных туда троянов(если таковые там имеются, конечно) тебе никто не даст.

Pinkbyte ★★★★★
()
Ответ на: комментарий от Eddy_Em

В народе вендузятниками кличут.

Бгг! =)

Zhbert ★★★★★
()

Для начала установите полностью свободный дистрибутив GNU/Linux, например, Trisquel. Только с СПО можно быть уверенным в своей безопасности!

Вы можете подумать, что проприетарных программ у тебя нет. Но это не так. Если у тебя стандартное (не linux-libre ядро, то они есть, причём они заседают прямо в ядре! Конечно, полностью свободную систему можно получить и другим способом, не толко установкой полностью свободного дистрибутива. Просто нужно пакетным менеджером удалить все видимые нам проприетарные программы, а потом очистить ядро скриптом deblob.sh (это версия для Linux 3.12.1, для остальных выпусков ядер ищите скрипты здесь).

По-настоящему безопасная система не может содержать проприетарных компонентов, помните это!

anonymous
()

в сетке

я не в сетке, я в локалхосте.

И почему это какая-то сраная коробка может, значица блокировать исходящий траффик, а ОСевой файрвол - нет? Айпитейблз, например.

Короче - чайникабаттхёртатред.

darkenshvein ★★★★★
()

вин-админ рассказал
не очень дешевый коробок: Fortinet FortiGate 60C Bundle
стало страшно... Что делать?!

не слушать неосиляторов.

vxzvxz ★★★
()
Ответ на: комментарий от Deleted

С утюгами скорее всего фейк, цель которого - продавить усиление таможенных правил и пошлин

Этот шпионский модуль в утюге тупо некуда подключить, подходящего напряжения нет

router ★★★★★
()
Ответ на: комментарий от router

К OSSEC - 19. А снорт на железном сервере работает, слушает зеркалированный порт со свитча.

generator ★★★
()
Ответ на: комментарий от Deleted

у dlink есть недорогие файерволы dfl-серии, говорят им прошивки не dlink писал, типа это надежнее.

Смишно. После разоблачения эпичного бэкдора xmlset_roodkcableoj28840ybtide, основным конкуретным преимуществом многих продуктов компании D-Link стало то, что D-Link не касался их своими грязными руками.

anonymous
()

Тебе от нас не скрыться, сопротивление бесполезно. Ставь хоть линукс, хоть бсд, хоть «коробочки» - мы контролируем всё.

amazpyel ★★★
()
Ответ на: комментарий от router

С утюгами скорее всего фейк, цель которого

Да это понятно, я для примера.

Deleted
()

А еще страшнее станет, когда вы узнаете что и наличие Unix-подобных систем ни в коей мере не гарантируют вам безопасность и ограждение вас от подобных хитростей. Весь код то вы не пролопатите, да и добавить всегда можно такие возможности. Единственное в чем плюс тут, что Unix-подобные системы позволяют выявить такие закладки довольно своевременно)

ChAnton ★★
()

Вы поди неграмотные вантузятники оба, испугавшиеся мультикастов, которыми пограммы и оборудование обмениваются для каких-то вполне документированных целей. Чем всякое одобренное АНБ говно без исходников покупать, почитайте с корефанчиком книжек, а не сидите на форумах.

anonymous
()
Ответ на: комментарий от Zhbert

ну можно же вкатить линукс на xbox =)

snaf ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.