Eigenbau Linux Router mit IPFire

mr.nice.

differential image maker

Registered: Jun 2004
Location: Wien
Posts: 6491

07.07.2014 - 02:46

Ich habe mich jetzt etwas eingehender mit der Snort Config auseinandergesetzt, mit den frei verfügbaren Rules komme ich derzeit auf folgendes Ergebnis:

Der Speicherverbrauch von Snort ist dadurch etwas angewachsen:

Ich habe die gewünschten Regeln der jeweiligen Untergruppen per Web-GUI aktiviert, allerdings habe ich nicht jede der vielen Checkboxen einzeln angeklickt, sondern eine Firefox Erweiterung namens CheckFox 0.9.2 installiert, diese erlaubt es beliebig viele Zeilen zu markieren und alle enthaltenen Boxen mit einem einzigen Mausklick per Kontextmenü zu aktivieren oder deaktivieren.

Ein paar wenige bockige Rules waren dabei, da musste ich per ssh-Konsole im vi Hand anlegen. Ansonsten lief das erstaunlich reibungslos.

Snort manuell anstarten geht übrigens so:

Code:

 /usr/sbin/snort -c /etc/snort/snort.conf -i red0 -l /var/log/snort --create-pidfile --nolock-pidfile --pid-path /var/run/

Außerdem habe ich den Webproxy Squid mit SquidClamAV hinzugefügt. In den nächsten Wochen will ich mit den IPv6 Tests beginnen.

userohnenamen

leider kein name

Registered: Feb 2004
Location: -
Posts: 15859

07.07.2014 - 08:13

squidguard kannst auch gleich dazuhängen, dann kannst damit z.b. generell tracker und werbung blocken

Nico

former person of interest

Registered: Sep 2006
Location: -
Posts: 4082

07.07.2014 - 14:14

gibt auch noch die adserver-blocklisten im squid format btw. Google knows.

mr.nice.

differential image maker

Registered: Jun 2004
Location: Wien
Posts: 6491

08.07.2014 - 01:18

Am 7.7.2014 ist die neue Version von IPFire erschienen, 2.15 Update 79.

Den kompletten Changelog kann man sich hier ansehen:
http://www.ipfire.org/news/ipfire-2...-79-freigegeben

Kurz gesagt, es hat sich jede Menge getan, unter anderem wurden ClamAV, WebProxy und Snort upgedated. Der Updateprozess lief bei mir problemlos durch und alle Services funktionieren soweit einwandfrei, da hat jemand ordentlich getestet.

Mittlerweile bin ich so begeistert, dass ich mir bei Sourcefire eine personal VRT subscription gegönnt habe für heiße $ 29,99 pro Jahr und $ 18 habe ich an das IPFire-Team gespendet.

Die Anzahl der aktivierten Regeln habe ich wieder etwas reduziert, denn bei denen die standardmäßig deaktiviert sind, gibt es doch manche die memory leaks aufweisen und jede Rule einzeln per htop auf Speicherlecks zu testen ist mir momentan doch etwas zu langwierig.

Die Blocklisten des Webproxys habe ich auch bereits angepasst und den Update Accelerator eingeschaltet, mal sehen wie gut der funktioniert, der nächste Patchday ist ja sehr bald

daisho

SHODAN

Registered: Nov 2002
Location: 4C4
Posts: 19731

08.07.2014 - 09:42

Ich glaube ich werde mir auf meinem Server auch eine IPFire installieren, gibt es irgendwas das man bei einer virtualisierten Firewall beachten sollte?

mr.nice.

differential image maker

Registered: Jun 2004
Location: Wien
Posts: 6491

08.07.2014 - 10:07

Die MAC-Adressen der virtuellen Komponenten sollten jedenfalls statisch sein, sonst wird dem Pinguin schwindlig. Für ESXI 5 gibt es eh eine kleine Anleitung, ganz unten, beim Install-Guide.

http://wiki.ipfire.org/de/installation/start

COLOSSUS

Administrator
GNUltra

Registered: Dec 2000
Location: ~
Posts: 12083

08.07.2014 - 10:45

Zitat von mr.nice.
Die MAC-Adressen der virtuellen Komponenten sollten jedenfalls statisch sein, sonst wird dem Pinguin schwindlig.

Hae? Was meinst du damit?

userohnenamen

leider kein name

Registered: Feb 2004
Location: -
Posts: 15859

08.07.2014 - 11:06

das was eigentlich selbstverständlich ist dass die virtuellen ethernet devices eine statische mac bekommen

COLOSSUS

Administrator
GNUltra

Registered: Dec 2000
Location: ~
Posts: 12083

08.07.2014 - 12:23

Ja, schon klar. Ich kann nur mit "schwindlig" in dem Kontext nichts anfangen.

mr.nice.

differential image maker

Registered: Jun 2004
Location: Wien
Posts: 6491

08.07.2014 - 19:37

Ich gebs zu, die Formulierung ist etwas unglücklich, aber ich habs einfach süß gefunden die Vorstellung, dass der Linux Pinguin im virtuellen Switch nicht mehr weiß wohin mit den Frames, wenn die MAC-Adressen sich ändern sollten und ihm dann schwindlig wird.

delete1

Registered: Apr 2007
Location:
Posts: 1845

08.07.2014 - 19:40

guter fred! da bekomme ich richtig lust mir auch so etwas zu basteln!

mr.nice.

differential image maker

Registered: Jun 2004
Location: Wien
Posts: 6491

11.07.2014 - 12:33

Jetzt ist übrigens genau die richtige Zeit sich mit Snort vertraut zu machen! Die Webseite ist bereits ge-relaunched und mit der nächsten Version 2.9.7.0 wird es zusätzlich OpenAppID geben. Das wird dann zu einer open source layer 7 next generation firewall :cool:

michael

Little Overclocker

Registered: Apr 2002
Location: Feldkirchen in K..
Posts: 98

13.07.2014 - 13:13

Ich habe ipfire schon seit fast 1,5 Jahren am laufen. Bist jetzt rennt er ohne Probleme..
Das einzige was schade ist das es kein Multi Wan gibt..

userohnenamen

leider kein name

Registered: Feb 2004
Location: -
Posts: 15859

13.07.2014 - 16:05

pfsense und du bist bedient

deleted428578

Bloody Newbie

Registered: Jul 2024
Location:
Posts: 0

13.07.2014 - 16:14

gibts eigentlich ne gscheite GUI (egal ob in IPFire oder ein anderes project) um die IPS Sigs bzw. vor allem die Application Control ordentlich zu bedienen (mit ordentlich meine ich jetzt ala CheckPoint SmartDashboard).

Was hilfts mir wenn ich ein den Code hab aber es mordzuumständlich wär die Protections zu administrieren?

mr.nice. differential image maker Registered: Jun 2004 Location: Wien Posts: 6491	07.07.2014 - 02:46 Ich habe mich jetzt etwas eingehender mit der Snort Config auseinandergesetzt, mit den frei verfügbaren Rules komme ich derzeit auf folgendes Ergebnis: Der Speicherverbrauch von Snort ist dadurch etwas angewachsen: Ich habe die gewünschten Regeln der jeweiligen Untergruppen per Web-GUI aktiviert, allerdings habe ich nicht jede der vielen Checkboxen einzeln angeklickt, sondern eine Firefox Erweiterung namens CheckFox 0.9.2 installiert, diese erlaubt es beliebig viele Zeilen zu markieren und alle enthaltenen Boxen mit einem einzigen Mausklick per Kontextmenü zu aktivieren oder deaktivieren. Ein paar wenige bockige Rules waren dabei, da musste ich per ssh-Konsole im vi Hand anlegen. Ansonsten lief das erstaunlich reibungslos. Snort manuell anstarten geht übrigens so: Code: `/usr/sbin/snort -c /etc/snort/snort.conf -i red0 -l /var/log/snort --create-pidfile --nolock-pidfile --pid-path /var/run/` Außerdem habe ich den Webproxy Squid mit SquidClamAV hinzugefügt. In den nächsten Wochen will ich mit den IPv6 Tests beginnen.
userohnenamen leider kein name Registered: Feb 2004 Location: - Posts: 15859	07.07.2014 - 08:13 squidguard kannst auch gleich dazuhängen, dann kannst damit z.b. generell tracker und werbung blocken
Nico former person of interest Registered: Sep 2006 Location: - Posts: 4082	07.07.2014 - 14:14 gibt auch noch die adserver-blocklisten im squid format btw. Google knows.
mr.nice. differential image maker Registered: Jun 2004 Location: Wien Posts: 6491	08.07.2014 - 01:18 Am 7.7.2014 ist die neue Version von IPFire erschienen, 2.15 Update 79. Den kompletten Changelog kann man sich hier ansehen: http://www.ipfire.org/news/ipfire-2...-79-freigegeben Kurz gesagt, es hat sich jede Menge getan, unter anderem wurden ClamAV, WebProxy und Snort upgedated. Der Updateprozess lief bei mir problemlos durch und alle Services funktionieren soweit einwandfrei, da hat jemand ordentlich getestet. Mittlerweile bin ich so begeistert, dass ich mir bei Sourcefire eine personal VRT subscription gegönnt habe für heiße $ 29,99 pro Jahr und $ 18 habe ich an das IPFire-Team gespendet. Die Anzahl der aktivierten Regeln habe ich wieder etwas reduziert, denn bei denen die standardmäßig deaktiviert sind, gibt es doch manche die memory leaks aufweisen und jede Rule einzeln per htop auf Speicherlecks zu testen ist mir momentan doch etwas zu langwierig. Die Blocklisten des Webproxys habe ich auch bereits angepasst und den Update Accelerator eingeschaltet, mal sehen wie gut der funktioniert, der nächste Patchday ist ja sehr bald
daisho SHODAN Registered: Nov 2002 Location: 4C4 Posts: 19731	08.07.2014 - 09:42 Ich glaube ich werde mir auf meinem Server auch eine IPFire installieren, gibt es irgendwas das man bei einer virtualisierten Firewall beachten sollte?
mr.nice. differential image maker Registered: Jun 2004 Location: Wien Posts: 6491	08.07.2014 - 10:07 Die MAC-Adressen der virtuellen Komponenten sollten jedenfalls statisch sein, sonst wird dem Pinguin schwindlig. Für ESXI 5 gibt es eh eine kleine Anleitung, ganz unten, beim Install-Guide. http://wiki.ipfire.org/de/installation/start
COLOSSUS Administrator GNUltra Registered: Dec 2000 Location: ~ Posts: 12083	08.07.2014 - 10:45 Zitat von mr.nice. Die MAC-Adressen der virtuellen Komponenten sollten jedenfalls statisch sein, sonst wird dem Pinguin schwindlig. Hae? Was meinst du damit?
userohnenamen leider kein name Registered: Feb 2004 Location: - Posts: 15859	08.07.2014 - 11:06 das was eigentlich selbstverständlich ist dass die virtuellen ethernet devices eine statische mac bekommen
COLOSSUS Administrator GNUltra Registered: Dec 2000 Location: ~ Posts: 12083	08.07.2014 - 12:23 Ja, schon klar. Ich kann nur mit "schwindlig" in dem Kontext nichts anfangen.
mr.nice. differential image maker Registered: Jun 2004 Location: Wien Posts: 6491	08.07.2014 - 19:37 Ich gebs zu, die Formulierung ist etwas unglücklich, aber ich habs einfach süß gefunden die Vorstellung, dass der Linux Pinguin im virtuellen Switch nicht mehr weiß wohin mit den Frames, wenn die MAC-Adressen sich ändern sollten und ihm dann schwindlig wird.
delete1 Registered: Apr 2007 Location: Posts: 1845	08.07.2014 - 19:40 guter fred! da bekomme ich richtig lust mir auch so etwas zu basteln!
mr.nice. differential image maker Registered: Jun 2004 Location: Wien Posts: 6491	11.07.2014 - 12:33 Jetzt ist übrigens genau die richtige Zeit sich mit Snort vertraut zu machen! Die Webseite ist bereits ge-relaunched und mit der nächsten Version 2.9.7.0 wird es zusätzlich OpenAppID geben. Das wird dann zu einer open source layer 7 next generation firewall
michael Little Overclocker Registered: Apr 2002 Location: Feldkirchen in K.. Posts: 98	13.07.2014 - 13:13 Ich habe ipfire schon seit fast 1,5 Jahren am laufen. Bist jetzt rennt er ohne Probleme.. Das einzige was schade ist das es kein Multi Wan gibt..
userohnenamen leider kein name Registered: Feb 2004 Location: - Posts: 15859	13.07.2014 - 16:05 pfsense und du bist bedient
deleted428578 Bloody Newbie Registered: Jul 2024 Location: Posts: 0	13.07.2014 - 16:14 gibts eigentlich ne gscheite GUI (egal ob in IPFire oder ein anderes project) um die IPS Sigs bzw. vor allem die Application Control ordentlich zu bedienen (mit ordentlich meine ich jetzt ala CheckPoint SmartDashboard). Was hilfts mir wenn ich ein den Code hab aber es mordzuumständlich wär die Protections zu administrieren?

Eigenbau Linux Router mit IPFire

Forum Index > Hardware > Peripherie > Netzwerktechnik

mr.nice.

userohnenamen

Nico

mr.nice.

daisho

mr.nice.

COLOSSUS

userohnenamen

COLOSSUS

mr.nice.

delete1

mr.nice.

michael

userohnenamen

deleted428578