Граница на замке

Антон Карпов, toxa@cterra.ru

Спецвыпуск: Хакер, номер #051, стр. 051-030-3

В нашей дикой локальной сети можно лишь сделать попытку борьбы с вопиющим беспорядком. Заключительным аккордом станет поднятие web-сервера для обеспечения пользователям web-доступа к статистике по трафику и пакетного фильтра для спокойной работы сети. В качестве pop3-сервера будем использовать безопасный и надежный popa3d (являющийся частью OpenBSD). Так как все системные отчеты и вывод cron'а складываются в почту root'у, а мы работаем из-под непривилегированного пользователя, внесем изменения в /etc/mail/aliases и пересоберем /etc/mail/aliases.db:

# echo root: toxa %26gt;%26gt; /etc/mail/aliases %26%26 newaliases

Теперь вся root’овая почта будет сыпаться пользователю toxa. Допиши в конец файла /etc/rc.local запуск popa3d в standalone-режиме:

if [ -x /usr/sbin/popa3d ]; then

echo -n ' popa3d'; /usr/sbin/popa3d -4D

fi

Теперь ставим arpwatch. Все необходимые программы будем ставить из прекомпилированных пакетов, так что если у тебя нет диска с содержимым ftp.openbsd.org/pub/OpenBSD/3.6/packages/i386/, то пропиши переменную окружения PKG_PATH соответствующим образом:

# export PKG_PATH=ftp://ftp.openbsd.org/pub/OpenBSD/3.6/packages/i386/

Затем добавляй нужные пакеты

# pkg_add arpwatch-2.1a13.tgz

Запуск arpwatch на внутреннем интерфейсе также пропишем в /etc/rc.conf.local:

if [ -x /usr/local/sbin/arpwatch ]; then

echo -n ' arpwatch'; /usr/local/sbin/arpwatch -i vr0

fi

Arpwatch после запуска начнет коллекционировать информацию в файл /var/arpwatch/arp.dat. Поначалу твой почтовый ящик будет заполнен сообщениями о том, что в сети появились новая станция:

From: Arpwatch %26lt;arpwatch@puffy.toxahost.ru%26gt;

To: root@puffy.toxahost.ru

Subject: new station

hostname: %26lt;unknown%26gt;

ip address: 62.89.2XX.XX

ethernet address: 0:0:39:84:21:e3

ethernet vendor: TOSHIBA CORPORATION

timestamp: Thursday, November 18, 2004 13:49:39 +0300

Если она определит несоответствие ip-mac уже существующей записи в таблице, будет выслано предупреждение "changed ethernet address". Конечно, предупреждение не заблокирует сессию хацкера, однако по факту легко будет установить хулигана. Будем считать, что нам этого достаточно. Теперь ставим прокси-сервер. К сожалению, та версия squid, которая находится в портах, уже попахивает тухлятиной, и нам придется собирать squid руками. Так как в релизах squid часто находят уязвимости (к счастью, несерьезные), то к последнему релизу, как правило, прилагается ворох патчей. Но мы сделаем проще, а именно скачаем ежедневно генерируемый релиз и поставим: