[FLUG] Re: Il firewall perfetto
- From: Romano Romano <blueraven@xxxxxxxxx>
- To: fanolug@xxxxxxxxxxxxx
- Date: Fri, 26 Apr 2002 23:13:36 +0200
Mailing List del Fortunae LUG
=============================
On Tue, Apr 23, 2002 at 12:50:10PM +0200, Lorenzo Bolognini wrote:
> ... questo è il mio progettino:
> Slackware 8 con IPTABLES (sempre che nn esca in tempo la Woody)
Fallo con Debian, che ti impazzisci di meno dopo ad aggiornare il software
installato. Tra l'altro, se usi i pacchetti, puoi anche fare a meno di
installare il compilatore, che su un firewall non dovrebbe, in linea di
principio, esserci.
Non c'e' bisogno di aspettare Woody, usa una Potato e aggiorna a unstable:
io l'ho fatto e problemi zero.
> Pacchetti da installare:
> - TRIPWIRE
Dai un'occhiata anche a questo:
http://la-samhna.de/samhain/
mai provato di persona, ma a leggere le caratteristiche c'e' di che sbavare.
Va benissimo anche tripwire, comunque.
> - SNORT
Se puoi, io lo metterei in una macchina a parte: il firewall dovrebbe fare
il firewall e basta, al limite va bene aggiungerci lo squid.
Se non puoi, mettilo li' ma occhio che se il traffico e' pesante aumenta
notevolmente il carico.
> - MYSQL (serve per le stat di SNORT)
BRRRR!!! Un DBMS sul firewall? =:-O
> - LIDS o Openwall come patch del kernel (che mi consigliate?)
Le conosco solo di nome, quindi non mi pronuncio.
> - SQUID
Questo e' OK.
> - uno sniffer può essere utile? (Ettercap o quale altro?)
Per debuggare si', magari lo levi appena sei sicuro che funziona tutto a
dovere. Volendo, se decidi di installare SNORT sul fw, puoi usarne una
seconda istanza come sniffer puro (leggi i doc, c'e' tutto).
> - Altri pacchetti utili? Tipo roba per controllare i log di sistema in modo
> grafico o roba così?
L'auditing dei log e' importantissimo, io ti consiglio di usare logcheck, un
ottimo tool per l'audit automatico che ti spedisce in mail tutti gli eventi
significativi.
Molto configurabile e flessibile, usa una politica del tipo "notifico tutto
a meno che tu non mi dica il contrario", cosi' sei sicuro che, anche se
all'inizio lo configuri in modo non ottimale, non ti sfugge comunque nulla.
Esistono altre alternative (es. swatch), questa l'ho provata e funziona
bene.
Se ti serve di presentare dei report, esiste un tool che si chiama fwanalog
e che si appoggia all'omonimo, famosissimo analizzatore di log per le
statistiche dei server web.
> Visto che la macchina deve fare solo da firewall come mi consigliate di
> partizionare il disco? Che permessi settare per il mount delle partizioni?
Sicuramente, una partizione separata per i log, cosi' se qualcuno tenta di
saturarla non va in crisi l'intero sistema.
Per il resto, fai come ti pare, anche se IMHO e' sempre meglio tenere il
piu' separati possibile i vari pezzi del filesystem.
Per quanto riguarda il mount, se riesci a montare qualche pezzo in read-only
(es. la /usr) schifo non fa. :-)
> Visto che mi piacerebbe spippettare con OpenBSD mi consigliate di usare
> questo per fare ciò che ho detto (visto che i pacchetti che ho nominato ci
> sono sicuramente tutti)? Ci guadagnerei in sicurezza? E' difficile da
> config l'ipfilter di BSD o come cacchio si chiama?
Sicuramente, OpenBSD e' di default piu' sicuro di qualunque distribuzione
Linux. Io, pero', partirei con Linux e poi magari, con calma, passerei a
OpenBSD: non per altro, cosi' facendo mentre impari non rimani scoperto ed
e' _molto_ piu' facile trovare chi ti dia una mano in caso di necessita'.
--
Romano Romano
Se non e' tutto chiaro, regolate i parametri di brightness
e contrast della vostra mente ( Simon ).
--
"Jesus Christ, who are these people?" -- Bill Gates
Other related posts:
