Benutzer:Xtl/Manuskripte/OpenBSD Firewall
Dieses Buch beschreibt das schrittweise Aufbauen einer relativ sicheren Firewall. Programme wie Squid (ALG) und Snort (IDS) öffnen jedoch auch wieder Sicherheitslücken.. Wer dieses Buch liesst sollte wenigstens leichte Grundkenntnisse mit Linux haben, sowie mit dem Editor vi(m) umgehen können. Bei Fragen stehe ich jedoch gerne zur Verfügung.
Vorbereitung
[Bearbeiten]System absichern
[Bearbeiten]root über SSH verbieten
[Bearbeiten]# vi /etc/ssh/sshd_config
PermitRootLogin no eintragen
# pkill -HUP -x sshd
User mit Adminrechten erstellen
[Bearbeiten]# adduser Use option ``-silent'' if you don't want to see all warnings and questions. Reading /etc/shells Check /etc/master.passwd Check /etc/group Ok, let's go. Don't worry about mistakes. There will be a chance later to correct any input. Enter username []: benutzer Enter full name []: Enter shell csh ksh nologin sh [ksh]: Uid [1001]: Login group benutzer [benutzer]: Login group is ``benutzer''. Invite benutzer into other groups: guest no [no]: wheel Login class authpf daemon default staff [default]: Enter password []: passwort Enter password again []: passwort Name: benutzer Password: **** Fullname: benutzer Uid: 1001 Gid: 1001 (benutzer) Groups: benutzer wheel Login Class: default HOME: /home/benutzer Shell: /bin/ksh OK? (y/n) [y]: y Added user ``benutzer'' Copy files from /etc/skel to /home/benutzer Add another user? (y/n) [y]: n Goodbye!
# visudo
%wheel ALL=(ALL) ALL eintragen
Netzwerk konfigurieren
[Bearbeiten]Programme installieren
[Bearbeiten]Mirrorliste + /VERSION/packages/ARCH/
Hinweis: Richtige Version und Architektur wählen!
$ export PKG_PATH=ftp://ftp.openbsd.org/pub/OpenBSD/4.1/packages/i386/
$ vi .profile
export PKG_PATH=ftp://ftp.openbsd.org/pub/OpenBSD/4.1/packages/i386/ eintragen
$ sudo pkg_add programm
Teile der Firewall
[Bearbeiten]Paketfilter (PF)
[Bearbeiten]$ sudo vi /etc/rc.conf
auf pf=YES ändern
$ sudo vi /etc/pf.conf
Application Level Gateway (ALG)
[Bearbeiten]$ sudo pkg_add squid-2.6.STABLE9
$ sudo mv /etc/squid/squid.conf /etc/squid/squid.conf.backup
$ sudo vi /etc/squid/squid.conf
folgendes eintragen:
http_port 3128 acl allowed_hosts src 192.168.0.0/255.255.255.0 acl all src 0.0.0.0/0.0.0.0 http_access allow allowed_hosts http_access deny all forwarded_for off header_access X-Forwarded-For deny all
$ sudo squid -z
$ sudo vi /etc/rc.local
if [ -x /usr/local/sbin/squid ]; then echo -n ' squid'; /usr/local/sbin/squid fi
Intrusion Detection System (IDS)
[Bearbeiten]$ sudo pkg_add snort-2.6.0.2p1
benötigt das Paket pcre-6.4p1
$ sudo mv /etc/snort/snort.conf /etc/snort/snort.conf.backup