Bezpečnost v síti: Porovnání verzí
Skočit na navigaci
Skočit na vyhledávání
m (Stránka BezpeÄnost v sÃti přemístěna na stránku Bezpečnost v síti) |
|||
| (Není zobrazeno 7 mezilehlých verzí od 2 dalších uživatelů.) | |||
| Řádek 2: | Řádek 2: | ||
#!/bin/sh | #!/bin/sh | ||
| − | + | ||
iptables -I FORWARD -p tcp --dport 135:139 -j DROP | iptables -I FORWARD -p tcp --dport 135:139 -j DROP | ||
iptables -I FORWARD -p udp --dport 135:139 -j DROP | iptables -I FORWARD -p udp --dport 135:139 -j DROP | ||
iptables -I FORWARD -p tcp --dport 445 -j DROP | iptables -I FORWARD -p tcp --dport 445 -j DROP | ||
iptables -I FORWARD -p udp --dport 445 -j DROP | iptables -I FORWARD -p udp --dport 445 -j DROP | ||
| − | + | ||
| − | #blokuje VNC port | + | #blokuje VNC port kvůli virům |
iptables -I FORWARD -s 10.107.37.0/24 -p tcp --dport 5900 -j REJECT | iptables -I FORWARD -s 10.107.37.0/24 -p tcp --dport 5900 -j REJECT | ||
iptables -I FORWARD -d 10.107.37.0/24 -p tcp --dport 5900 -j REJECT | iptables -I FORWARD -d 10.107.37.0/24 -p tcp --dport 5900 -j REJECT | ||
iptables -I FORWARD -s 89.248.244.64/27 -p tcp --dport 5900 -j REJECT | iptables -I FORWARD -s 89.248.244.64/27 -p tcp --dport 5900 -j REJECT | ||
iptables -I FORWARD -d 89.248.244.64/27 -p tcp --dport 5900 -j REJECT | iptables -I FORWARD -d 89.248.244.64/27 -p tcp --dport 5900 -j REJECT | ||
| − | + | ||
| − | # | + | #povolí sambu na charona |
iptables -I FORWARD -p tcp --dport 139 -d 10.107.4.100 -j ACCEPT | iptables -I FORWARD -p tcp --dport 139 -d 10.107.4.100 -j ACCEPT | ||
| − | + | ||
| − | # | + | #logování zavirovaných PC |
iptables -I FORWARD -p tcp --dport 135:139 -j LOG --log-level 7 --log-prefix "VIRUS: " | iptables -I FORWARD -p tcp --dport 135:139 -j LOG --log-level 7 --log-prefix "VIRUS: " | ||
iptables -I FORWARD -p udp --dport 135:139 -j LOG --log-level 7 --log-prefix "VIRUS: " | iptables -I FORWARD -p udp --dport 135:139 -j LOG --log-level 7 --log-prefix "VIRUS: " | ||
| Řádek 26: | Řádek 26: | ||
Logované hlášky se pravděpodobně budou ukládat do souboru /var/log/kern.log. Výpis lze uložit do souboru příkazem | Logované hlášky se pravděpodobně budou ukládat do souboru /var/log/kern.log. Výpis lze uložit do souboru příkazem | ||
| − | echo /var/log/kern.log | grep VIRUS: > /root/ | + | echo /var/log/kern.log | grep VIRUS: > /root/zavirovane_PC |
| + | |||
| + | Pokud na svém AP zavedete firewall a zablokujete porty, napište to prosím na stránku [[Blokované porty]]. | ||
| + | |||
| + | =MAC restrikce= | ||
| + | Viz Vojtův skript - [[Mactab]] | ||
| + | |||
| + | =Odchyt SPAMu na síti= | ||
| + | Například pustit na routeru tento příkaz: | ||
| + | |||
| + | tcpdump -i eth0 port 25 | ||
| + | |||
| + | Pokud někdo bude mít hodně záznamů, zřejmě zahlcuje síť spamem. | ||
| + | |||
| + | =IPsec= | ||
| + | |||
| + | =MD5 autentizace pro OSPF na páteři= | ||
| + | * slouzi pouze k overeni identity komunikujicich partneru jenz si vymenuji routovaci informace | ||
| + | * neni bezpecne proti vsem typum utoku | ||
| + | * NESLOUZI k zajisteni duvernosti na pateri ! - zde je treba pouzit IPSec/WPA2/... | ||
| + | * pozor pri nastavovani, aby se opravdu jednalo o MD5 a nikoliv o plain autentizaci (v tomto pripade se posila heslo po siti jako otevreny text a neni problem pro utocnika jej odchytit) | ||
| + | * melo by byt zavedene vsude - jinak nema prilis smysl | ||
| + | |||
| + | =Radius, VPN, PPPOE= | ||
| + | * [[Zabezpečení poslední míle]] | ||
Aktuální verze z 17. 1. 2009, 18:38
Obsah
Firewall
#!/bin/sh iptables -I FORWARD -p tcp --dport 135:139 -j DROP iptables -I FORWARD -p udp --dport 135:139 -j DROP iptables -I FORWARD -p tcp --dport 445 -j DROP iptables -I FORWARD -p udp --dport 445 -j DROP #blokuje VNC port kvůli virům iptables -I FORWARD -s 10.107.37.0/24 -p tcp --dport 5900 -j REJECT iptables -I FORWARD -d 10.107.37.0/24 -p tcp --dport 5900 -j REJECT iptables -I FORWARD -s 89.248.244.64/27 -p tcp --dport 5900 -j REJECT iptables -I FORWARD -d 89.248.244.64/27 -p tcp --dport 5900 -j REJECT #povolí sambu na charona iptables -I FORWARD -p tcp --dport 139 -d 10.107.4.100 -j ACCEPT #logování zavirovaných PC iptables -I FORWARD -p tcp --dport 135:139 -j LOG --log-level 7 --log-prefix "VIRUS: " iptables -I FORWARD -p udp --dport 135:139 -j LOG --log-level 7 --log-prefix "VIRUS: " iptables -I FORWARD -p tcp --dport 445 -j LOG --log-level 7 --log-prefix "VIRUS: " iptables -I FORWARD -p udp --dport 445 -j LOG --log-level 7 --log-prefix "VIRUS: " iptables -I FORWARD -p tcp --dport 5900 -j LOG --log-level 7 --log-prefix "VIRUS: "
Logované hlášky se pravděpodobně budou ukládat do souboru /var/log/kern.log. Výpis lze uložit do souboru příkazem
echo /var/log/kern.log | grep VIRUS: > /root/zavirovane_PC
Pokud na svém AP zavedete firewall a zablokujete porty, napište to prosím na stránku Blokované porty.
MAC restrikce
Viz Vojtův skript - Mactab
Odchyt SPAMu na síti
Například pustit na routeru tento příkaz:
tcpdump -i eth0 port 25
Pokud někdo bude mít hodně záznamů, zřejmě zahlcuje síť spamem.
IPsec
MD5 autentizace pro OSPF na páteři
- slouzi pouze k overeni identity komunikujicich partneru jenz si vymenuji routovaci informace
- neni bezpecne proti vsem typum utoku
- NESLOUZI k zajisteni duvernosti na pateri ! - zde je treba pouzit IPSec/WPA2/...
- pozor pri nastavovani, aby se opravdu jednalo o MD5 a nikoliv o plain autentizaci (v tomto pripade se posila heslo po siti jako otevreny text a neni problem pro utocnika jej odchytit)
- melo by byt zavedene vsude - jinak nema prilis smysl
