Comments 12
Насколько я понимаю, установка ПО из исходников в будущем вызовет проблемы с обновлением этого ПО и, возможно, правкой конфигов по новой?
Кстати, думаю можно было и не расписывать настройку OpenVPN, ибо всё стандартно и таких мануалов везде полно, в т.ч. и тут, на хабре.
Кстати, думаю можно было и не расписывать настройку OpenVPN, ибо всё стандартно и таких мануалов везде полно, в т.ч. и тут, на хабре.
0
«Основное» ПО (Suricata, FWBuilder и OpenVPN) можно обновить можно через
А под рукой всегда хорошо держать рабочие конфиги и бэкап всей системы на случай, если что-то пойдет не так.
apt-get
. Snorby обновляется командой production bundle exec rake snorby:update
. Проблемы могут возникнуть с обновлением libnfnetlink, yaml и barnyard2. Поэтому лучше тестировать на совместимость ПО в виртуальной среде перед обновлением «боевой» железки.А под рукой всегда хорошо держать рабочие конфиги и бэкап всей системы на случай, если что-то пойдет не так.
0
UFO just landed and posted this here
Чем будет отличатся установка на Ubuntu(ваша) от установки на Debian x64?
Почему использовали FWBuilder, а не чистый Iptables?
Почему использовали FWBuilder, а не чистый Iptables?
+1
Статья неровная, с перегибами. В целом вроде неплохо, вот только за make install надо бить по рукам. Плюс мелочи типа a2enmod используем, а a2ensite — уже нет. Ну и в конце с водичкой (массой скринов и пошаговой установкой openvpn) перебор.
+1
Статья мало того, что написана в стиле «делай так, не понимай зачем», так еще автор местами сам плохо понимает, что делает. Пример, наиболее мне близкий, поэтому особенно зацепивший за живое — openvpn:
tls-client\tls-server — включены в мета-директивы client\server соответственно, поэтому тут избыточны.
auth SHA1 # по-умолчанию. Можно MD5
Да-да. А можно auth none вообще. Нам нечего скрывать же!
cipher BF-CBC
Поделитесь на основании чего Вы выбирали настройки шифрования? Почему не использовали директиву tls-cipher, если уж влезли в конфигурацию шифрования? Предполагаю, скопировали пример не разбираясь?
Тем кто хочет зайти чуть дальше дефолтных конфигов, рекомендую ставить:
cipher AES-256-CBC
auth SHA512
Максимальное шифрование, оверхед минимальный.
tls-cipher TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384:TLS-ECDHE-RSA-WITH-AES-256-CBC-SHA384:TLS-ECDHE-ECDSA-WITH-AES-256-CBC-SHA384:TLS-ECDHE-RSA-WITH-AES-256-CBC-SHA:TLS-ECDHE-ECDSA-WITH-AES-256-CBC-SHA:TLS-DHE-RSA-WITH-AES-256-CBC-SHA
Эта строчка рассчитана, что на другой стороне будут только свежие версии openvpn, вроде до 2.3 был другой формат. Запрещает использовать нестойкие алгоритмы. Знаю, что можно сильно сократить, но я пока оставил так.
tls-client\tls-server — включены в мета-директивы client\server соответственно, поэтому тут избыточны.
auth SHA1 # по-умолчанию. Можно MD5
Да-да. А можно auth none вообще. Нам нечего скрывать же!
cipher BF-CBC
Поделитесь на основании чего Вы выбирали настройки шифрования? Почему не использовали директиву tls-cipher, если уж влезли в конфигурацию шифрования? Предполагаю, скопировали пример не разбираясь?
Тем кто хочет зайти чуть дальше дефолтных конфигов, рекомендую ставить:
cipher AES-256-CBC
auth SHA512
Максимальное шифрование, оверхед минимальный.
tls-cipher TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384:TLS-ECDHE-RSA-WITH-AES-256-CBC-SHA384:TLS-ECDHE-ECDSA-WITH-AES-256-CBC-SHA384:TLS-ECDHE-RSA-WITH-AES-256-CBC-SHA:TLS-ECDHE-ECDSA-WITH-AES-256-CBC-SHA:TLS-DHE-RSA-WITH-AES-256-CBC-SHA
Эта строчка рассчитана, что на другой стороне будут только свежие версии openvpn, вроде до 2.3 был другой формат. Запрещает использовать нестойкие алгоритмы. Знаю, что можно сильно сократить, но я пока оставил так.
0
Спасибо за замечания по поводу конфига, приму к сведению.
По поводу Вашего вопроса. Настройки шифрования выбирались исходя из того, что у нас помимо OpenVPN на одной железке будут работать NETFilter, Suricata и Snorby, поэтому необходимо минимизировать затраты ресурсов аппаратной платформы. Если же у нас под рукой есть более производительный сервер, на который будем производить установку, то Ваш вариант, конечно, будет лучше.
По поводу Вашего вопроса. Настройки шифрования выбирались исходя из того, что у нас помимо OpenVPN на одной железке будут работать NETFilter, Suricata и Snorby, поэтому необходимо минимизировать затраты ресурсов аппаратной платформы. Если же у нас под рукой есть более производительный сервер, на который будем производить установку, то Ваш вариант, конечно, будет лучше.
-1
поэтому необходимо минимизировать затраты ресурсов аппаратной платформы
Если бы Вы внимательно прочитали мой комментарий, Вы бы заметили (раз уж очевидно сами не удосужились проверить), что я написал, что оверхед от моих настроек по сравнению с Вашими минимальный — практически незаметный. Я держу openvpn на ВДС с одним ядром и несколькими сотнями мегагерц, на ней же мускуль и веб-сервер. Так вот разница в настройках по нагрузке незаметна даже там.
И уже если мы говорим про нагрузку, то Вы не включили fast-io, который как раз дает прирост производительности в разы перекрывающий все потери при шифровании.
Так что признайте уж честно, скопировали конфиг по умолчанию, да подправили несколько строчек на скорую руку.
0
Как альтернатива — Endian Firewall Community Edition. Кто еще какие знает?
0
Sign up to leave a comment.
Open source UTM на защите периметра сети