Bezpečnost v síti

Z HKfree wiki
(přesměrováno z Bezpečnost v síti)
Skočit na navigaci Skočit na vyhledávání

Firewall

#!/bin/sh

iptables -I FORWARD -p tcp --dport 135:139 -j DROP
iptables -I FORWARD -p udp --dport 135:139 -j DROP
iptables -I FORWARD -p tcp --dport 445 -j DROP
iptables -I FORWARD -p udp --dport 445 -j DROP

#blokuje VNC port kvůli virům
iptables -I FORWARD -s 10.107.37.0/24 -p tcp --dport 5900 -j REJECT
iptables -I FORWARD -d 10.107.37.0/24 -p tcp --dport 5900 -j REJECT
iptables -I FORWARD -s 89.248.244.64/27 -p tcp --dport 5900 -j REJECT
iptables -I FORWARD -d 89.248.244.64/27 -p tcp --dport 5900 -j REJECT

#povolí sambu na charona
iptables -I FORWARD -p tcp --dport 139 -d 10.107.4.100 -j ACCEPT

#logování zavirovaných PC
iptables -I FORWARD -p tcp --dport 135:139 -j LOG --log-level 7 --log-prefix "VIRUS: "
iptables -I FORWARD -p udp --dport 135:139 -j LOG --log-level 7 --log-prefix "VIRUS: "
iptables -I FORWARD -p tcp --dport 445 -j LOG --log-level 7 --log-prefix "VIRUS: "
iptables -I FORWARD -p udp --dport 445 -j LOG --log-level 7 --log-prefix "VIRUS: "
iptables -I FORWARD -p tcp --dport 5900 -j LOG --log-level 7 --log-prefix "VIRUS: "

Logované hlášky se pravděpodobně budou ukládat do souboru /var/log/kern.log. Výpis lze uložit do souboru příkazem

echo /var/log/kern.log | grep VIRUS: > /root/zavirovane_PC

Pokud na svém AP zavedete firewall a zablokujete porty, napište to prosím na stránku Blokované porty.

MAC restrikce

Viz Vojtův skript - Mactab

Odchyt SPAMu na síti

Například pustit na routeru tento příkaz:

tcpdump -i eth0 port 25

Pokud někdo bude mít hodně záznamů, zřejmě zahlcuje síť spamem.

IPsec

MD5 autentizace pro OSPF na páteři

  • slouzi pouze k overeni identity komunikujicich partneru jenz si vymenuji routovaci informace
  • neni bezpecne proti vsem typum utoku
  • NESLOUZI k zajisteni duvernosti na pateri ! - zde je treba pouzit IPSec/WPA2/...
  • pozor pri nastavovani, aby se opravdu jednalo o MD5 a nikoliv o plain autentizaci (v tomto pripade se posila heslo po siti jako otevreny text a neni problem pro utocnika jej odchytit)
  • melo by byt zavedene vsude - jinak nema prilis smysl

Radius, VPN, PPPOE