Bezpečnost v síti: Porovnání verzí

Z HKfree wiki
Skočit na navigaci Skočit na vyhledávání
m
m (Stránka Bezpečnost v síti přemístěna na stránku Bezpečnost v síti)
 
(Nejsou zobrazeny 3 mezilehlé verze od 2 dalších uživatelů.)
Řádek 34: Řádek 34:
  
 
=Odchyt SPAMu na síti=
 
=Odchyt SPAMu na síti=
Na tomhle pracuje Láča..
+
Například pustit na routeru tento příkaz:
 +
 
 +
tcpdump -i eth0 port 25
 +
 
 +
Pokud někdo bude mít hodně záznamů, zřejmě zahlcuje síť spamem.
  
 
=IPsec=
 
=IPsec=
  
=MD5 šifrování páteře=
+
=MD5 autentizace pro OSPF na páteři=
 +
* slouzi pouze k overeni identity komunikujicich partneru jenz si vymenuji routovaci informace
 +
* neni bezpecne proti vsem typum utoku
 +
* NESLOUZI k zajisteni duvernosti na pateri ! - zde je treba pouzit IPSec/WPA2/...
 +
* pozor pri nastavovani, aby se opravdu jednalo o MD5 a nikoliv o plain autentizaci (v tomto pripade se posila heslo po siti jako otevreny text a neni problem pro utocnika jej odchytit)
 +
* melo by byt zavedene vsude - jinak nema prilis smysl
 +
 
 +
=Radius, VPN, PPPOE=
 +
* [[Zabezpečení poslední míle]]

Aktuální verze z 17. 1. 2009, 17:38

Firewall

#!/bin/sh

iptables -I FORWARD -p tcp --dport 135:139 -j DROP
iptables -I FORWARD -p udp --dport 135:139 -j DROP
iptables -I FORWARD -p tcp --dport 445 -j DROP
iptables -I FORWARD -p udp --dport 445 -j DROP

#blokuje VNC port kvůli virům
iptables -I FORWARD -s 10.107.37.0/24 -p tcp --dport 5900 -j REJECT
iptables -I FORWARD -d 10.107.37.0/24 -p tcp --dport 5900 -j REJECT
iptables -I FORWARD -s 89.248.244.64/27 -p tcp --dport 5900 -j REJECT
iptables -I FORWARD -d 89.248.244.64/27 -p tcp --dport 5900 -j REJECT

#povolí sambu na charona
iptables -I FORWARD -p tcp --dport 139 -d 10.107.4.100 -j ACCEPT

#logování zavirovaných PC
iptables -I FORWARD -p tcp --dport 135:139 -j LOG --log-level 7 --log-prefix "VIRUS: "
iptables -I FORWARD -p udp --dport 135:139 -j LOG --log-level 7 --log-prefix "VIRUS: "
iptables -I FORWARD -p tcp --dport 445 -j LOG --log-level 7 --log-prefix "VIRUS: "
iptables -I FORWARD -p udp --dport 445 -j LOG --log-level 7 --log-prefix "VIRUS: "
iptables -I FORWARD -p tcp --dport 5900 -j LOG --log-level 7 --log-prefix "VIRUS: "

Logované hlášky se pravděpodobně budou ukládat do souboru /var/log/kern.log. Výpis lze uložit do souboru příkazem

echo /var/log/kern.log | grep VIRUS: > /root/zavirovane_PC

Pokud na svém AP zavedete firewall a zablokujete porty, napište to prosím na stránku Blokované porty.

MAC restrikce

Viz Vojtův skript - Mactab

Odchyt SPAMu na síti

Například pustit na routeru tento příkaz:

tcpdump -i eth0 port 25

Pokud někdo bude mít hodně záznamů, zřejmě zahlcuje síť spamem.

IPsec

MD5 autentizace pro OSPF na páteři

  • slouzi pouze k overeni identity komunikujicich partneru jenz si vymenuji routovaci informace
  • neni bezpecne proti vsem typum utoku
  • NESLOUZI k zajisteni duvernosti na pateri ! - zde je treba pouzit IPSec/WPA2/...
  • pozor pri nastavovani, aby se opravdu jednalo o MD5 a nikoliv o plain autentizaci (v tomto pripade se posila heslo po siti jako otevreny text a neni problem pro utocnika jej odchytit)
  • melo by byt zavedene vsude - jinak nema prilis smysl

Radius, VPN, PPPOE