Comments 12
Насколько я понимаю, установка ПО из исходников в будущем вызовет проблемы с обновлением этого ПО и, возможно, правкой конфигов по новой?
Кстати, думаю можно было и не расписывать настройку OpenVPN, ибо всё стандартно и таких мануалов везде полно, в т.ч. и тут, на хабре.
Кстати, думаю можно было и не расписывать настройку OpenVPN, ибо всё стандартно и таких мануалов везде полно, в т.ч. и тут, на хабре.
«Основное» ПО (Suricata, FWBuilder и OpenVPN) можно обновить можно через
А под рукой всегда хорошо держать рабочие конфиги и бэкап всей системы на случай, если что-то пойдет не так.
apt-get
. Snorby обновляется командой production bundle exec rake snorby:update
. Проблемы могут возникнуть с обновлением libnfnetlink, yaml и barnyard2. Поэтому лучше тестировать на совместимость ПО в виртуальной среде перед обновлением «боевой» железки.А под рукой всегда хорошо держать рабочие конфиги и бэкап всей системы на случай, если что-то пойдет не так.
UFO just landed and posted this here
Чем будет отличатся установка на Ubuntu(ваша) от установки на Debian x64?
Почему использовали FWBuilder, а не чистый Iptables?
Почему использовали FWBuilder, а не чистый Iptables?
Статья неровная, с перегибами. В целом вроде неплохо, вот только за make install надо бить по рукам. Плюс мелочи типа a2enmod используем, а a2ensite — уже нет. Ну и в конце с водичкой (массой скринов и пошаговой установкой openvpn) перебор.
Статья мало того, что написана в стиле «делай так, не понимай зачем», так еще автор местами сам плохо понимает, что делает. Пример, наиболее мне близкий, поэтому особенно зацепивший за живое — openvpn:
tls-client\tls-server — включены в мета-директивы client\server соответственно, поэтому тут избыточны.
auth SHA1 # по-умолчанию. Можно MD5
Да-да. А можно auth none вообще. Нам нечего скрывать же!
cipher BF-CBC
Поделитесь на основании чего Вы выбирали настройки шифрования? Почему не использовали директиву tls-cipher, если уж влезли в конфигурацию шифрования? Предполагаю, скопировали пример не разбираясь?
Тем кто хочет зайти чуть дальше дефолтных конфигов, рекомендую ставить:
cipher AES-256-CBC
auth SHA512
Максимальное шифрование, оверхед минимальный.
tls-cipher TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384:TLS-ECDHE-RSA-WITH-AES-256-CBC-SHA384:TLS-ECDHE-ECDSA-WITH-AES-256-CBC-SHA384:TLS-ECDHE-RSA-WITH-AES-256-CBC-SHA:TLS-ECDHE-ECDSA-WITH-AES-256-CBC-SHA:TLS-DHE-RSA-WITH-AES-256-CBC-SHA
Эта строчка рассчитана, что на другой стороне будут только свежие версии openvpn, вроде до 2.3 был другой формат. Запрещает использовать нестойкие алгоритмы. Знаю, что можно сильно сократить, но я пока оставил так.
tls-client\tls-server — включены в мета-директивы client\server соответственно, поэтому тут избыточны.
auth SHA1 # по-умолчанию. Можно MD5
Да-да. А можно auth none вообще. Нам нечего скрывать же!
cipher BF-CBC
Поделитесь на основании чего Вы выбирали настройки шифрования? Почему не использовали директиву tls-cipher, если уж влезли в конфигурацию шифрования? Предполагаю, скопировали пример не разбираясь?
Тем кто хочет зайти чуть дальше дефолтных конфигов, рекомендую ставить:
cipher AES-256-CBC
auth SHA512
Максимальное шифрование, оверхед минимальный.
tls-cipher TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384:TLS-ECDHE-RSA-WITH-AES-256-CBC-SHA384:TLS-ECDHE-ECDSA-WITH-AES-256-CBC-SHA384:TLS-ECDHE-RSA-WITH-AES-256-CBC-SHA:TLS-ECDHE-ECDSA-WITH-AES-256-CBC-SHA:TLS-DHE-RSA-WITH-AES-256-CBC-SHA
Эта строчка рассчитана, что на другой стороне будут только свежие версии openvpn, вроде до 2.3 был другой формат. Запрещает использовать нестойкие алгоритмы. Знаю, что можно сильно сократить, но я пока оставил так.
Спасибо за замечания по поводу конфига, приму к сведению.
По поводу Вашего вопроса. Настройки шифрования выбирались исходя из того, что у нас помимо OpenVPN на одной железке будут работать NETFilter, Suricata и Snorby, поэтому необходимо минимизировать затраты ресурсов аппаратной платформы. Если же у нас под рукой есть более производительный сервер, на который будем производить установку, то Ваш вариант, конечно, будет лучше.
По поводу Вашего вопроса. Настройки шифрования выбирались исходя из того, что у нас помимо OpenVPN на одной железке будут работать NETFilter, Suricata и Snorby, поэтому необходимо минимизировать затраты ресурсов аппаратной платформы. Если же у нас под рукой есть более производительный сервер, на который будем производить установку, то Ваш вариант, конечно, будет лучше.
поэтому необходимо минимизировать затраты ресурсов аппаратной платформы
Если бы Вы внимательно прочитали мой комментарий, Вы бы заметили (раз уж очевидно сами не удосужились проверить), что я написал, что оверхед от моих настроек по сравнению с Вашими минимальный — практически незаметный. Я держу openvpn на ВДС с одним ядром и несколькими сотнями мегагерц, на ней же мускуль и веб-сервер. Так вот разница в настройках по нагрузке незаметна даже там.
И уже если мы говорим про нагрузку, то Вы не включили fast-io, который как раз дает прирост производительности в разы перекрывающий все потери при шифровании.
Так что признайте уж честно, скопировали конфиг по умолчанию, да подправили несколько строчек на скорую руку.
Как альтернатива — Endian Firewall Community Edition. Кто еще какие знает?
Sign up to leave a comment.
Open source UTM на защите периметра сети