Debekatutako baliabideetara bisitak blokeatzearen garrantziak dagokien agintarien legea edo aginduak ez betetzeagatik ofizialki leporatu diezaiokeen edozein administratzaileri eragiten dio.
Zergatik berrasmatu gurpila gure zereginetarako programa eta banaketa espezializatuak daudenean, adibidez: Zeroshell, pfSense, ClearOS.
Zuzendaritzak beste galdera bat izan zuen: Erabilitako produktuak ba al du gure estatuko segurtasun ziurtagiririk?
Banaketa hauekin lanean esperientzia izan genuen:
- Zeroshell - garatzaileek 2 urteko lizentzia ere eman zuten, baina interesatzen zitzaigun banaketa-kitak, logikoki, funtzio kritikoa betetzen zigun;
- pfSense - errespetua eta ohorea, aldi berean aspergarria, FreeBSD suebakiaren komando-lerrora ohitzea eta ez da nahikoa erosoa guretzat (ohitura kontua dela uste dut, baina bide okerra izan da);
- ClearOS - gure hardwarean oso motela izan da, ezin izan ditugu proba serioak egin, beraz, zergatik interfaze astunak?
- Ideco SELECTA. Ideco produktua elkarrizketa bereizia da, produktu interesgarria, baina arrazoi politikoengatik ez guretzat, eta Linux, Roundcube eta abar bereko lizentziari buruz ere βkoskβ nahi ditut. Nondik atera zuten ideia hori interfazea moztuz Python eta supererabiltzaileen eskubideak kenduta, GPL eta abarrekin banatutako Interneteko komunitateko garatu eta aldatutako moduluez osatutako produktu bukatua sal dezakete.
Ulertzen dut orain harridura negatiboak nire norabidean isuriko direla nire sentimendu subjektiboak zehatz-mehatz frogatzeko eskakizunekin, baina esan nahi dut sare-nodo hau Interneterako kanpoko 4 kanaletarako trafiko-orekatzailea ere badela eta kanal bakoitzak bere ezaugarriak dituela. . Beste oinarri bat sareko interfazeetako batek helbide-espazio ezberdinetan lan egiteko beharra izan zen, eta nik prest onartu VLANak nonahi erabil daitezkeela beharrezkoa eta beharrezkoa ez den tokian prest ez. TP-Link TL-R480T+ bezalako gailuak erabiltzen ari dira - ez dute primeran portatzen, oro har, beren Γ±abardurarekin. Linuxen zati hau konfiguratu ahal izan zen Ubunturen webgune ofizialari esker . Gainera, kanal bakoitza edozein unetan "jausi" daiteke, baita igo ere. Gaur egun lanean ari den gidoi bat interesatzen bazaizu (eta honek aparteko argitalpena merezi du), idatzi iruzkinetan.
Aztertzen ari den irtenbideak ez du bakarra denik, baina galdera hau egin nahiko nuke: "Zergatik egokitu behar da enpresa bat hardware eskakizun larriak dituzten hirugarrenen produktu zalantzagarrietara aukera alternatibo bat kontuan hartu daitekeenean?"
Errusiar Federazioan Roskomnadzor zerrenda bat badago, Ukrainan Segurtasun Nazionalaren Kontseiluaren Erabakiaren eranskin bat dago (adibidez. ), orduan tokiko buruzagiek ere ez dute lorik egiten. Esaterako, zuzendaritzaren iritziz laneko produktibitatea kaltetzen duten gune debekatuen zerrenda eman ziguten.
Beste enpresetako lankideekin komunikatzea, non lehenespenez gune guztiak debekatuta dauden eta nagusiaren baimenarekin soilik eskatuta gune zehatz batera sar zaitezke, errespetuz irribarrez, pentsatuz eta "arazoaren gainean erretzen", bizitza hori ulertu genuen. ona da oraindik eta haien bilaketari ekin genion.
Trafikoaren iragazketari buruz βetxeko andreen liburuetanβ idazten dutena analitikoki ikusteko aukera izateaz gain, hornitzaile ezberdinen kanaletan zer gertatzen den ikusteko aukera izan genuen, honako errezeta hauetaz ohartu ginen (edozein pantaila-argazkiak apur bat moztuta daude, ulertu mesedez. ):
Hornitzailea 1
β ez du kezkatzen eta bere DNS zerbitzariak eta proxy zerbitzari gardena inposatzen ditu. Beno?.. baina behar dugun tokira sarbidea dugu (behar izanez gero :))
Hornitzailea 2
- uste du bere hornitzaile nagusiak hau pentsatu beharko lukeela, hornitzaile nagusiaren laguntza teknikoak ere onartu zuen zergatik ezin nuen ireki behar nuen gunea, eta hori ez zegoen debekatuta. Irudiak dibertituko zaituela uste dut :)
Gertatu zenez, debekatutako guneen izenak IP helbideetara itzultzen dituzte eta IP bera blokeatzen dute (ez dira molestatzen IP helbide honek 20 gune har ditzakeela).
Hornitzailea 3
β trafikoa bertara joateko aukera ematen du, baina ez du ibilbidean zehar itzultzen uzten.
Hornitzailea 4
β zehaztutako norabidean paketeekin manipulazio guztiak debekatzen ditu.
Zer egin VPN (Opera arakatzaileari dagokionez) eta arakatzailearen pluginekin? Hasieran Mikrotik nodoarekin jolastuz, L7rako baliabide intentsiboko errezeta bat ere lortu genuen, gero alde batera utzi behar izan genuena (debekatutako izen gehiago egon daitezke, triste bihurtzen da, ibilbideen ardura zuzenez gain, 3 dozenatan). PPC460GT prozesadorearen karga % 100era doa.
.
Argi geratu zena:
127.0.0.1-en DNS ez da erabat panazea; arakatzaileen bertsio modernoek oraindik ere arazo horiek saihesteko aukera ematen dute. Ezinezkoa da erabiltzaile guztiak eskubide murrizketetara mugatzea, eta ez dugu ahaztu behar DNS alternatiboen kopuru handiaz. Internet ez da estatikoa, eta DNS helbide berriez gain, debekatutako guneek helbide berriak erosten dituzte, goi-mailako domeinuak aldatzen dituzte eta beren helbidean karaktere bat gehitu/kendu dezakete. Baina hala ere, horrelako zerbait bizitzeko eskubidea du:
ip route add blackhole 1.2.3.4Nahiko eraginkorra izango litzateke debekatutako guneen zerrendatik IP helbideen zerrenda bat lortzea, baina goian adierazitako arrazoiengatik, Iptables-en inguruko gogoetetara joan ginen. Dagoeneko bazegoen zuzeneko orekatzaile bat CentOS Linux 7.5.1804 bertsioan.
Erabiltzailearen Internet azkarra izan behar da, eta Arakatzaileak ez du minutu erdi itxaron behar, orrialde hau erabilgarri ez dagoela ondorioztatuta. Bilaketa luze baten ondoren eredu honetara iritsi ginen:
1. fitxategia -> /script/denied_host, debekatutako izenen zerrenda:
test.test
blablabla.bubu
torrent
porno2. fitxategia -> /script/denied_range, debekatutako helbide-espazioen eta helbideen zerrenda:
192.168.111.0/24
241.242.0.0/16Script fitxategia 3 -> ipt.shlana ipables-ekin egiten:
# ΡΡΠΈΡΡΠ²Π°Π΅ΠΌ ΠΏΠΎΠ»Π΅Π·Π½ΡΡ ΠΈΠ½ΡΠΎΡΠΌΠ°ΡΠΈΡ ΠΈΠ· ΠΏΠ΅ΡΠ΅ΡΠ½Π΅ΠΉ ΡΠ°ΠΉΠ»ΠΎΠ²
HOSTS=`cat /script/denied_host | grep -v '^#'`
RANGE=`cat /script/denied_range | grep -v '^#'`
echo "Stopping firewall and allowing everyone..."
# ΡΠ±ΡΠ°ΡΡΠ²Π°Π΅ΠΌ Π²ΡΠ΅ Π½Π°ΡΡΡΠΎΠΉΠΊΠΈ iptables, ΡΠ°Π·ΡΠ΅ΡΠ°Ρ ΡΠΎ ΡΡΠΎ Π½Π΅ Π·Π°ΠΏΡΠ΅ΡΠ΅Π½ΠΎ
sudo iptables -F
sudo iptables -X
sudo iptables -t nat -F
sudo iptables -t nat -X
sudo iptables -t mangle -F
sudo iptables -t mangle -X
sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT
#ΡΠ΅ΡΠ°Π΅ΠΌ ΠΎΠ±Π½ΠΎΠ²ΠΈΡΡ ΠΈΠ½ΡΠΎΡΠΌΠ°ΡΠΈΡ ΠΎ ΠΌΠ°ΡΡΡΡΡΠ°Ρ
(ΠΎΡΠΎΠ±Π΅Π½Π½ΠΎΡΡΡ Π½Π°ΡΠ΅ΠΉ Π°ΡΡ
ΠΈΡΠ΅ΠΊΡΡΡΡ)
sudo sh rout.sh
# ΡΠΈΠΊΠ»ΠΈΡΠ΅ΡΠΊΠΈ ΠΎΠ±ΡΠ°Π±Π°ΡΡΠ²Π°Ρ ΠΊΠ°ΠΆΠ΄ΡΡ ΡΡΡΠΎΠΊΡ ΡΠ°ΠΉΠ»Π° ΠΏΡΠΈΠΌΠ΅Π½ΡΠ΅ΠΌ ΠΏΡΠ°Π²ΠΈΠ»ΠΎ Π±Π»ΠΎΠΊΠΈΡΠΎΠ²ΠΊΠΈ ΡΡΡΠΎΠΊΠΈ
for i in $HOSTS; do
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p tcp -j REJECT --reject-with tcp-reset;
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p udp -j DROP;
done
# ΡΠΈΠΊΠ»ΠΈΡΠ΅ΡΠΊΠΈ ΠΎΠ±ΡΠ°Π±Π°ΡΡΠ²Π°Ρ ΠΊΠ°ΠΆΠ΄ΡΡ ΡΡΡΠΎΠΊΡ ΡΠ°ΠΉΠ»Π° ΠΏΡΠΈΠΌΠ΅Π½ΡΠ΅ΠΌ ΠΏΡΠ°Π²ΠΈΠ»ΠΎ Π±Π»ΠΎΠΊΠΈΡΠΎΠ²ΠΊΠΈ Π°Π΄ΡΠ΅ΡΠ°
for i in $RANGE; do
sudo iptables -I FORWARD -p UDP -d $i -j DROP;
sudo iptables -I FORWARD -p TCP -d $i -j REJECT --reject-with tcp-reset;
done
Sudo-ren erabilera WEB interfazearen bidez kudeatzeko hack txiki bat dugulako da, baina urtebete baino gehiagoko eredu hori erabiltzeko esperientziak frogatu duenez, WEB ez da hain beharrezkoa. Inplementatu ondoren, datu-basean guneen zerrenda gehitzeko nahia zegoen, etab. Blokeatutako ostalari kopurua 250 + dozena bat helbide-espazio baino gehiago da. Benetan arazo bat dago webgune batera https konexio baten bidez joatean, sistemaren administratzaileak bezala, kexak ditut arakatzaileei buruz :), baina kasu bereziak dira, baliabiderako sarbide faltaren eragile gehienak gure alde daude oraindik. Opera VPN eta Microsoft-en friGate eta telemetria bezalako pluginak ere arrakastaz blokeatzen ditugu.
Iturria: www.habr.com