Pull to refresh

Comments 12

Насколько я понимаю, установка ПО из исходников в будущем вызовет проблемы с обновлением этого ПО и, возможно, правкой конфигов по новой?
Кстати, думаю можно было и не расписывать настройку OpenVPN, ибо всё стандартно и таких мануалов везде полно, в т.ч. и тут, на хабре.
«Основное» ПО (Suricata, FWBuilder и OpenVPN) можно обновить можно через apt-get. Snorby обновляется командой production bundle exec rake snorby:update. Проблемы могут возникнуть с обновлением libnfnetlink, yaml и barnyard2. Поэтому лучше тестировать на совместимость ПО в виртуальной среде перед обновлением «боевой» железки.
А под рукой всегда хорошо держать рабочие конфиги и бэкап всей системы на случай, если что-то пойдет не так.
там случайно нет такой команды?
production bundle exec rake snorby:backup

А вот эти 3
libnfnetlink, yaml и barnyard2
по идеи должны обновляться по
bundle install
Нет, команды production bundle exec rake snorby:backup, к сожалению, нет.

Через bundle install тоже можно обновляться, согласен.
UFO just landed and posted this here
Чем будет отличатся установка на Ubuntu(ваша) от установки на Debian x64?
Почему использовали FWBuilder, а не чистый Iptables?
Установка отличаться ничем не будет.
Как указано в начале статьи, FWBuilder использовали только для удобства настройки. Если кому-то ближе работать c чистым iptables, то пункт с установкой данного ПО можно просто пропустить.
Статья неровная, с перегибами. В целом вроде неплохо, вот только за make install надо бить по рукам. Плюс мелочи типа a2enmod используем, а a2ensite — уже нет. Ну и в конце с водичкой (массой скринов и пошаговой установкой openvpn) перебор.
Статья мало того, что написана в стиле «делай так, не понимай зачем», так еще автор местами сам плохо понимает, что делает. Пример, наиболее мне близкий, поэтому особенно зацепивший за живое — openvpn:

tls-client\tls-server — включены в мета-директивы client\server соответственно, поэтому тут избыточны.

auth SHA1 # по-умолчанию. Можно MD5

Да-да. А можно auth none вообще. Нам нечего скрывать же!

cipher BF-CBC

Поделитесь на основании чего Вы выбирали настройки шифрования? Почему не использовали директиву tls-cipher, если уж влезли в конфигурацию шифрования? Предполагаю, скопировали пример не разбираясь?

Тем кто хочет зайти чуть дальше дефолтных конфигов, рекомендую ставить:
cipher AES-256-CBC
auth SHA512
Максимальное шифрование, оверхед минимальный.

tls-cipher TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384:TLS-ECDHE-RSA-WITH-AES-256-CBC-SHA384:TLS-ECDHE-ECDSA-WITH-AES-256-CBC-SHA384:TLS-ECDHE-RSA-WITH-AES-256-CBC-SHA:TLS-ECDHE-ECDSA-WITH-AES-256-CBC-SHA:TLS-DHE-RSA-WITH-AES-256-CBC-SHA

Эта строчка рассчитана, что на другой стороне будут только свежие версии openvpn, вроде до 2.3 был другой формат. Запрещает использовать нестойкие алгоритмы. Знаю, что можно сильно сократить, но я пока оставил так.
Спасибо за замечания по поводу конфига, приму к сведению.

По поводу Вашего вопроса. Настройки шифрования выбирались исходя из того, что у нас помимо OpenVPN на одной железке будут работать NETFilter, Suricata и Snorby, поэтому необходимо минимизировать затраты ресурсов аппаратной платформы. Если же у нас под рукой есть более производительный сервер, на который будем производить установку, то Ваш вариант, конечно, будет лучше.
поэтому необходимо минимизировать затраты ресурсов аппаратной платформы


Если бы Вы внимательно прочитали мой комментарий, Вы бы заметили (раз уж очевидно сами не удосужились проверить), что я написал, что оверхед от моих настроек по сравнению с Вашими минимальный — практически незаметный. Я держу openvpn на ВДС с одним ядром и несколькими сотнями мегагерц, на ней же мускуль и веб-сервер. Так вот разница в настройках по нагрузке незаметна даже там.

И уже если мы говорим про нагрузку, то Вы не включили fast-io, который как раз дает прирост производительности в разы перекрывающий все потери при шифровании.

Так что признайте уж честно, скопировали конфиг по умолчанию, да подправили несколько строчек на скорую руку.
Как альтернатива — Endian Firewall Community Edition. Кто еще какие знает?
Sign up to leave a comment.