Category Archives: Security

open source 弱點掃瞄 (vulnerability scanner) 工具

過去提到免費弱點掃瞄工具,nessus 絕對是首選。不過 nessus 在被收購後,從第3版起只提供 binary 下載,而且需要申請啟動碼,使用上有許多限制。目前比較常用 OpenVAS 是以 nessus 2.0 原始碼為基礎的軟體開發專案,提供一個免費使用的 nessus 替代品。

目前 ubuntu、fedora 都內建 OpenVAS 套件了,以最新發行的 ubuntu 9.04 為例只要安裝以下套件

openvas-server

由於 plugin (用來掃瞄弱點的 script) 尚未納入 ubuntu 套件,必須自行安裝,否則 sever 無法啟動,大略程序如下:

  1. 安裝 openvas-server-dev、libglib2.0-dev、libssl-dev、libgtk2.0-dev 套件
  2. 下載 plugin 套件
  3. 解開 plugin 套件,在目錄下執行 ./configure、make install
  4. 調整設定檔 plugin 目錄位置

啟動 server 前請先調整 /etc/default/openvas-server 內的參數,預設值是 listen 127.0.0.1 的 9390 port。

client 部份 ubuntu bundle 的是 1.0.4 版,可以勉強連上  2.0 的 server 但是運作不正常;Windows 目前提供 1.0.3 版下載,經測試無法與 2.0 的 server 建立連線。目前看來只有自行 compile 2.0.3 版的 client 才能正常運作了。

1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Loading...

pfSense 與 log 管理

最近在測試 pfSense 順便記一下發生的問題,設備是一台 4 port realtek 網卡的 PC,先在 CF 裝最新 1.2.2 版 embedded image,結果不知什麼原因 DMZ 和 LAN 2 個設定好的網段不能互通,在 forum 上提出來也沒回應,最後參考一些 post downgrade 到 1.2.0 版後,同樣的設定運作就正常了,另外要求 128M 以上的記憶體對 embedded 而言似乎高了點,目前是剛好 128M 的記憶體在跑,還沒有出現任何問題。

CF 卡空間有限 ,把 log 存到遠端的 server 是一個很好的作法,以 fedora 為例,只要修改 /etc/sysconfig/rsyslog 將設定改為

SYSLOGD_OPTIONS=”-m 0 -x -r”
再重新啟動 rsyslogd 服務,Fedora 就可以接收來自 pfSense 的 log。

但是這個作法有一個缺點,pfSense 和系統的 log 全混在 /var/log/messages 了,firewall 設備 log 量特別大,另外寫到一個獨立的檔案會更好管理。首先我們要判斷 pfSense 送出來的 log 是帶那一個 facility,先停止 rsyslogd 服務,以 root 身份執行以下指令即時監看一下 pfSense 送出來的 log

rsyslogd -m 0 -x -r -d

很快的應該會看到類似以下的事件

1800607472: logmsg: local0.info<134>, flags 2, from ‘x.x.x.x’, msg Mar 18 00:18:48 pf: 128. 341606 rule 67/0(match): block in …..

所以我們可以發現 pfSense 是利用 local0 facility 來傳送 log,只要在 /etc/rsyslog.conf 加入以下設定,就可以把 pfSense 送出來的 log 存到指定的檔案

local0.*          /var/log/pfsense.log

1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Loading...

FortiGate 2 WAN 的運用

原廠的這份 交件 有非常詳盡的介紹,我把測試過的部份簡單的介紹一下。

Load balancing

這部份的應用是把對外的流量分散到 2 條 WAN 上,至於走那 1 條電路由 FortiGate 決定,所以內部 NAT 出去的連線可能這次帶 WAN1 IP,下次帶 WAN2 IP,如果有用 ISP 的服務,而該服務會認 IP 的話要特別注意(例如 SMTP)。

設定部份基本上 2 條 WAN port 都要 UP,而且都要有 default gateway,也就是在 FortiGate 上會看到 2 條 default gateway。重點是這 2 個 default gateway 的 distance 要設一樣,FortiGate 會優先使用 distance 值小的路由,設一樣則會動態選擇一條路由出去。另外 firewall NAT policy 如果原本是 internal -> wan1 作 NAT,現在要再加一條 internal -> wan2 作 NAT,二條 policy 都要 enable。

Link Redundancy

這部份的應用是當 WAN1 down 的時候讓流量自動走 WAN2 出去達到電路備援的目的。前面提到 FortiGate 會優先使用 distance 值小的路由,如果 WAN1 是主線路用預設的 distance 10,那 WAN2 備援線路的 distance 就設定大於 10 例如 20。平時看不到這條路由,當 WAN1 down 時這條備援路由就會出現。firwall policy 跟 load balancing 一樣要設2條,而且都要 enable 這樣 WAN1 down 的時候才可以自動切換。

Policy route

如果內部網路有分 DMZ、internal 網段,希望每個網段走各自的 WAN port 出去互不干擾,這時候就必須訂定 policy route。每個網段基本上要有2條 policy route,以 internal 為例:

  1. incoming interface internal,source 192.168.1.0/24 (internal subnet),destination 192.168.2.0/24 (dmz subnet),outgoing interface dmz
  2. incoming interface internal,source 192.168.1.0/24 (internal subnet),destination 0.0.0.0/0.0.0.0 (dmz subnet),outgoing interface wan1

WAN1、WAN2 default gateway 的 distance 設成一樣,firewall policy 設定 DMZ 走 WAN1 NAT 出去,internal 走 WAN2 NAT 出去,這樣內部網段可以互通,2個網段有各自的頻寬也互不干擾。

1 Star2 Stars3 Stars4 Stars5 Stars (2 votes, average: 4.00 out of 5)
Loading...

FortiGate 60 設定自動更新 virus、IPS signature

步驟一、先到 Fortinet 網站註冊您的 FortiGate,會需要一些個人資訊及 FortiGate 背面的產品序號

步驟二、由 於 Fortinet 會將 signature push 到您的 FortiGate,所以我們必須要設定一個 firewall policy 允許 Fortinet 的伺服器連線到 FortiGate

2.1 建立一個定義連線的 virtual IP,如下圖

FortiGate 60 FDN push configuration image#1

2.2 建立允許連線的 firewall policy,如下圖

FortiGate 60 FDN push configuration image#2

這個設定是讓 FDN 把 signature push 到防火牆後面的 FortiGate,如果 FortiGate 直接連上 Internet ,只要打開 WAN 的 UDP 9443 port 即可

1 Star2 Stars3 Stars4 Stars5 Stars (1 votes, average: 4.00 out of 5)
Loading...