Пишем анти-спуфинг ACL

_{Написано дабы самому не забыть и товарищам почитать.}


Итак, задача укрепить защиту маршрутизатора напрямую подключенного в Интернет.

Первым делом защитимся от спуфинга - исключим из обработки (попросту отбросим) все пакеты идущие от серых (частных) сетей. Серые сети это сети предназначенные для частного использования и не маршрутизируемые в сети Интернет. Данные сети описаны в RFC1918, это префиксы 10/8, 172.16/12, 192.168/16.

В сети Интернет имеется еще несколько диапазонов адресов, появление которых на интерфейсе подключенном к сети интернет, в нормальных условиях будет по меньшей мере необычным. Данные сети описаны в RFC3330.

Следует понимать, что RFC3330 описывает сети специального назначения. Некоторые из этих сетей успели поменять свое назначение на "Reserved but subject to allocation", т.е. зарезервированы, но могут быть предоставленны в пользование. В общем случае такие сети блокировать не стоит, так как в случае передачи этих сетей в пользование, вы не сможете обмениваться с этой сетью данными.

Итак, составим список сетей которые мы будем блокировать на внешнем интерфейсе:

• 10.0.0.0/8 - описана в RFC1918;
  
• 172.16.0.0/12 - описана в RFC1918;
  
• 192.168.0.0/16 - описана в RFC1918;
  
• 224.0.0.0/4 - RFC3330, Мультикастовые сети;
  
• 127.0.0.0/8 - RFC3330, Лупбэк сеть;
  
• 169.254.0.0/8 - RFC3330, RFC3927, Zeroconf адреса;
  
• 192.0.2.0/24 - RFC3330, Сеть для тестирования и использования в публикациях;
  
• 240.0.0.0/4 - RFC3330, Зарезервировано для будущего использования.
  

Также, тем кто получил собственный диапазон адресов, рекомендуется добавить собственную сеть в данный список на граничных маршрутизаторах.

На основе полученного списка сетей, составим ACL.
В данном случае я буду использовать extended acl, просто для возможности в будущем фильтровать еще и по адресу назначения.

У меня получился такой список доступа:

#sho ip access-list
Extended IP access list AntiSpoof
    10 deny ip host 0.0.0.0 any
    20 deny ip 10.0.0.0 0.255.255.255 any
    30 deny ip 172.16.0.0 0.15.255.255 any
    40 deny ip 192.168.0.0 0.0.255.255 any
    50 deny ip host 255.255.255.255 any
    60 deny ip 224.0.0.0 15.255.255.255 any
    70 deny ip 127.0.0.0 0.255.255.255 any
    80 deny ip 169.254.0.0 0.0.255.255 any
    90 deny ip 192.0.2.0 0.0.0.255 any
    100 deny ip 240.0.0.0 15.255.255.255 any
    110 permit ip any any

В данном списке доступа, кроме перечиленных выше префиксов, добавлено еще два хостовых адреса:

• 0.0.0.0;


• 255.255.255.255;

Также следует помнить, что на интерфейсах с настроенными туннелями IPSec, ACL повешенный на вход интерфейса проверяет сначала заголовок пакета IPSec, а затем этот же ACL проверяет заголовок шифрованного пакета. Таким образом упоминание в данном ACL частных сетей может нарушить функционирование туннеля.

После написания списка доступа, применяем его на вход на всех интерфейсах подключенных в сеть Интернет или в другие не безопасные сети:

#conf t
#int f0/0
#ip access-group AntiSpoof
#end

Такая настройка внешних интерфейсов поможет избежать атаки с подделаных адресов.


Источники:

1. Cisco Systems: Infrastructure Protection Access Control Lists;
   
   
2. Материалы сайта AntiCisco.ru
   
   

Еще один шаг к CCNP

Сегодня сдал BSCI.

Остается еще TSHOOT и можно ждать письмо с сертификатом :)
Теперь коплю на экз.

Citrix Reciever for Linux in non-English envinronments

Нет, я не стал писать на английском :)
Всего лишь получилось так что заголовок состоит только из терминов.

Тестируем Citrix Reciever for Linux и Citrix XenDesktop Evaluation.

Сегодня пользователь пожаловался что символы "S" и "Ы" набираются только большими буквами.
Долго искал инфу, копался во внутреннностях этой поделки. Даже собрал волю в кулак и написал на их форум на ломаном аглицком.

А потом уже нашел вот этот документ:
http://support.citrix.com/article/CTX103576

Получается они не транслируют нажатия клавишь, а пытаются передать уже готовые символы.. оченно интересный подход... Появляется ощущение, что индусы в цитриксе никогда не пользовались отличными от En-Us раскладками.

Hitn: XenDesktop и ошибка "MFCOM"

Устанавливал Citrix XenDesktop Delivery Controller.

После установки при запуске консоли получил ошибку:

Citrix MFCOM Service did not respond as expected. Check the version of Citrix Desktop Delivery Controller on the server and make sure that a compatible version of Citrix MFCOM Service is installed and running.

Решение оказалось простым - Ставить нужно, внимательно читая руководство. Версия ОС оказалась неподходящей, поставил MS Win 2003 SP1 x64, а нужен SP2. И главное инсталятор ничего не сказал, просто поставил не все компоненты и все...

Ubuntu: скрещиваем exim с clamav

Установить и настроить совместную работу MTA Exim4 и Clamav очень просто:

#apt-get install exim4-daemon-heavy clamav-daemon

После этого в системе установлены и настроены MTA Exim4, демон Clamav и демон обновления для Clamav - Freshclam. Настройку они имеют базовую, но для совместной работы у них уже почти все есть.

Недостает следующего:

1. В файле /etc/exim4/conf.d/acl/40_exim4-config_check_data необходимо раскоментировать строки:

   
    # Deny if the message contains malware. Before enabling this check, you
    # must install a virus scanner and set the av_scanner option in the
    # main configuration.
    #
    # exim4-daemon-heavy must be used for this section to work.
    #
    deny
       malware = *
       message = This message was detected as possible malware ($malware_name).
   



2. В файле /etc/exim4/conf.d/main/02_exim4-config_options необходимо указать путь к fifo демона clamav:

   av_scanner = clamd:/var/run/clamav/clamd.ctl



3. Для доступа clamav к содержимому писем, необходимо добавить пользователя clamav в группу Debian-exim:

   #gpasswd --add clamav Debian-exim

   Если этого не выполнить в логе экзима получим:

   malware acl condition: clamd: ClamAV returned /var/spool/exim4/scan/1OC8Uk-0001pI-N3: lstat() failed: Permission denied. ERROR
   



4. перезапустить демоны exim4 и clamav:

   #service exim4 restart
   #service clamav-daemon restart
   

После всех этих манипуляций в нашей системе Exim проверяет всю почту на вирусы с помощью демона Clamav.

В данной заметке умышленно опущены все тонкие настройки MTA Exim, такие как защита от Спам и др.

L2TPv3 Ethernet Pseudowire

Отличная статья по настройке L2TPv3 Pseudowire на оборудовании Cisco: Configuring an L2TPv3 Ethernet Pseudowire

Xubuntu 10.04 - Продолжение

За время использования полноценной Ubuntu очень привык к Compiz, особенно в части плагина "Negative". В течение рабочего дня глаза очень сильно устают и пялится в белый экран с мелкими серыми буквами уже тяжело - без "Негатива" никуда...

А тут оказалось его нет :)
Пришлось ставить. Поставил на скорую руку по руководству http://wiki.eeeuser.com/ubuntu:eeexubuntu:compiz_on_eeexubunto

Автозапуск компиза пришлось допиливать самому - файлов обозначенных в инструкции у меня не оказалось.
Методом "Научного тыка" обнаружил что теперь эти настройки указываются в файле /etc/xdg/xfce4/xfconf/xfce-perchannel-xml/xfce4-session.xml.
В нем и заменяем xfwm4 на compiz.

В остальном вроде пока ничего нового, разве что система немного более отзывчива и не лагает так сильно.

По времени работы от батареи тоже изменения не ощущаются - eeePC продолжает от батареи работать до 4,5 часов.