Fórum Ubuntu CZ/SK
Ubuntu pro osobní počítače => Internet a sítě => Téma založeno: Sorrow 30 Května 2008, 15:43:37
-
Dobrý den vespolek.
Chci se poptat. Konečně se mi uvolnil čas na psaní mé Bc. práce. O co se jedná: Mám vytvořit firewall na bázi Linuxu z dostupných distribucí a zprovoznit jej na PC s Linuxem. Posléze mám provést testování účinnosti a porovnat s PIX firewally firmy Cisco. A teď můj problém: Nějak nevím která bije. :-[ Potřeboval bych vaši radu. Jak nejjednodušeji vytvořit svůj firewall na bázi Linuxu (je mi fuk jaký, hlavně že bude fungovat :-\)? Nějak jsem se s touto problematikou neměl možnost doposud potkat. :( Nemohli byste mě odkázat na nějaký polopatický návod, nebo přímo na nějaký linuxovský firewall? Potřeboval bych pochopit jak jej navrhnout a zprovoznit. Za jakoukoli podnětnou informaci budu velmi vděčen. :)
Další otázka. Mám provést testování těchto dvou firewallů (toho co navrhnu, nebo vytvořím, či jakkoli zprovozním a PIX firewallu cisco). Vedoucí práce mi řekl, že bych měl nasimulovat nějaký útok (třeba paketovou bouři, či jakýkoli jiný útok) a pak vyhodnotit pomocí nějakých kritérií, který firewall je lepší. :-D Jenže nevím jaká kritéria vybrat a jak je měřit. Třeba využití paměti, nebo tak. Nemohl by mi někdo poradit, na jakou věc se mám zaměřit a jak ji měřit? :) Budu vděčen za jakoukoli sebemenší pomoc.
-
Proč mám z podobných zápisků vždycky pocit, že si úplně každý vybere tu práci, která se k němu nejméně hodí -- proč přistoupíte na téma, o kterém vůbec nic nevíte?
Česky
http://forum.ubuntu.cz/index.php?topic=3295.0
http://www.root.cz/clanky/stavime-firewall-1/
http://www.penguin.cz/noviny/connect/Linux-1997-10.html
Anglicky
http://www.linuxhomenetworking.com/wiki/index.php/Quick_HOWTO_:_Ch14_:_Linux_Firewalls_Using_iptables
http://www.physics.umd.edu/pnce/user-docs/Linux/firewall.html
http://www.howtoforge.com/perfect_linux_firewall_ipcop
http://www.isaac.cs.berkeley.edu/simple-firewall.html
PS: Mám pocit, že by se mělo zadávat více prací s názvem jako "Používáme google"... (asi si začnu účtovat za rešeršní práce :)).
-
Vojto hlavně mi je divné, že jsou zadané takovéhle práce a dotyčný nejenže neví, jak přesně má něco udělat, ale ani netuší o čem je řeč. Měl jsem za to, že bc potažmo diplomové práce jsou práce ve kterých dotyčný shrne vše, co se za své studium naučil na tématu, které ho zaujalo nejvíce ... ale asi jsem idealista ...
-
Ahoj. Osobne by som ti na nastavenie FW na Linuxe odporucil shorewall (http://www.shorewall.net). Ma na webe vynikajucu dokumentaciu a ked do toho preniknes tak je to uplna hracka.
No a neviem sice na akom HW planujes rozbehat ten FW, ale myslim, ze bude vcelku tazke len v "domacich" testovacich podminkach hociktory z tych FW "zhodit". Asi by som sa fakt zameriaval na nejake vytazenie FW, napriklad pri DoS, resp. DDoS (ak by si mal moznost testovat to v nejakej ucebni alebo malej sieti) a sledoval ako sa to sprava pri address spoofingu, fragmentacii paketov, SYN/FIN, SYN/FIN/PSH, ... paketoch a podobnych vecich.
-
krtko: nejsem si jistý, jestli dotyčný ví o čem mluvíš;)
-
Neviem sice v akom stave je skolstvo tu v CR, ale myslim, ze ked uz si niekto vyberie nejaku temu bc prace, tak o tom vie aspon nieco. Aj ked mam sice so skolstvom skor opacne skusenosti. Bohuzial. Studaci sa musia naucit aspon pouzivat google.
-
Krtko: Diky moc. Budu testovat v učebně ve škole. Je tam solidní zázemí, takže by to problém neměl být. cca 16 PC, co jdou krásně rozdělit na VLAN, jde tam nasimulovat takřka cokoli. Jen pokud bys mi mohl napsat svůj názor: Jak bych měl testovat ten firewall co vykutím vs. PIX Cisco? Na jaká kritéria se zaměřit?
Jinak k tématu já=blbec. Je to tak. Vím o tom pramálo, což ale neznamená, že neumím vůbec nic. Jsem taková povaha, co si veme víc, než na co má, nebo co by mu stačilo. Toto téma jsem si vzal, abych mu porozuměl a pronikl do něj. Tzn.: Při vypracování této práce bych se rád o FW dozvěděl něco víc, než jsem se mohl dozvědět na přednáškách. To je hlavní důvod mého výběru. A o českém školství si moc iluze nedělejte. Jedno rčení praví: "Ty, Franto. Když si vemu, jak já jsem se prochlastal k titulu inženýra, tak mám normálně strach chodit do doktora." ;)
-
Krtko: Diky moc. Budu testovat v učebně ve škole. Je tam solidní zázemí, takže by to problém neměl být. cca 16 PC, co jdou krásně rozdělit na VLAN, jde tam nasimulovat takřka cokoli. Jen pokud bys mi mohl napsat svůj názor: Jak bych měl testovat ten firewall co vykutím vs. PIX Cisco? Na jaká kritéria se zaměřit?
Jinak k tématu já=blbec. Je to tak. Vím o tom pramálo, což ale neznamená, že neumím vůbec nic. Jsem taková povaha, co si veme víc, než na co má, nebo co by mu stačilo. Toto téma jsem si vzal, abych mu porozuměl a pronikl do něj. Tzn.: Při vypracování této práce bych se rád o FW dozvěděl něco víc, než jsem se mohl dozvědět na přednáškách. To je hlavní důvod mého výběru. A o českém školství si moc iluze nedělejte. Jedno rčení praví: "Ty, Franto. Když si vemu, jak já jsem se prochlastal k titulu inženýra, tak mám normálně strach chodit do doktora." ;)
no vypadáte, že máte odhodlání, tak vám trošku napovím co kde...
začnu takhle, zkuste nejdříve připravené distribuce (namátkou monowall, ipcop, debain, ubuntu server), pořiďte si VirtualBox/KVM) nainstalujte si ty jednotlivé distribuce a zkuste si v nich rozchodit základní fw, poté se poohlédněte se po připravených pořádných FW pro linux (pokud potřebujte kompletní ochranu hodí se i IDS systémy)
a tady máte v ubuntu je hned od instalace firewall UFW, další dobrý je FireHOL a na konec je tu přeborník shorewall (distribuce monowall)
tolik něco o fw
jakmile si tohle trošku projdete, tak máte další etapu což je samotný iptables (tady začíná samotná legrace)
-
Fracty: vdaka za odpoved. len by som dodal, ze shorewall != monowall (zalozne na FreeBSD+ipfilter). a IDS tiez asi este nie je najlepsie do toho miesat.
-
Dobrý den.
Tak jsem úspěšně zprovoznil ubuntu a jakžtakž pochopil IP tables. :) Sem borec, co? :D Nastavení nechám nejspíš to základní. Povoleny základní typy služeb a zakázány serverové služby.
Jak jsem od vedoucího práce vypozoroval, tak bude v pohodě stačit iptables přes firehol, případně firestarter. :)
Teď další krok. Jako hlavní náplň práce mám za úkol nasimulovat na síť chráněnou tímto firewallem nějaký útok (nemusí být úspěšný). Pak ten samý útok nasimulovat na tu samou síť chráněnou PIX Cisco firewallem. Pokusím se o nasimulování SYN FLOOD útoku. A právě mám něco naměřit a pak pomocí toho něčeho ty dva firewally porovnat. :D A teď to hlavní. Mohl by mi někdo zkusit poradit, co by to něco, co bych si měl zvolit a měřit a podle čeho bych měl ty firewally porovnat, mohlo být? Tady naráží všechny mé myšlenkové posuny. :( Vedoucí nastínil třeba že bych mohl měřit využití operační paměti, nebo tak nějak. Ale vůbec jsem nepochopil co tím myslel. :(
Zkuste mi pls poradit, co by mohlo být předmětem mého zkoumání. Předem díky moc.
-
No myslel tím pravděpodobně to, že při SYN FLOODu vzroste zatížení CPU a přeplní se paměť :)
http://cs.wikipedia.org/wiki/SYN-flood
-
Dík za odkaz. Ten už mám proštudovaný nějakou dobu. 8-)
Můžeš mi prosímtě poradit nějaký program, kterým bych toto mohl měřit?