Bygga din egen gateway brandvägg (7 / 7 steg)
Steg 7: Slutsats och var du hittar hjälp
UPS-enhetens
Om du upplever ofta spänningssprång, strömavbrott, eller även om du inte en UPS (Uninteruptable Power Supply) kan du spara mycket huvudbry. FreeBSD gillar inte att vara avstängning omedelbart. Ofta gånger, detta leder till skadade data. Medan de flesta av tid (i min erfarenhet iallafall) Detta kan fixas genom kör "fsck" i enanvändarläge med dina diskar omonterade, en UPS kommer att eliminera detta problem alltogether. Om inte din makt går ut för en längre tid, kommer att en UPS ge pålitlig kraft till din brandvägg att hålla det igång smidigt. Det finns två olika typer av UPS: offline (eller standby) och online. Offline UPS ger ström från eluttaget tills de känner ett power outtage, i vilket fall de byter till batteridrift. Online powersuppliesna har noll övergången att (hur lång tid det tar mellan förlust av nätström och när stabil power levereras av UPS) eftersom de använder växelriktare. Online UPS är lite dyrare än offline UPS, men mer pålitlig. Offline UPS kommer att fungera bra ändå, så länge de har en låg övergången tid.
Bastion värdar och bastard system
Tänk på att den mindre programvara som du installerar, den mer inneboende säkerhet brandväggen kommer att njuta av. Mer programvara betyder fler platser för hackare att hitta sårbarheter. Genom att installera bara en brandvägg, skulle vi ha en bastion värd. Eftersom det är mer kostnadseffektivt att kombinera brandväggen med IDS, IPS och revision programvara, skapar vi inte en sann bastion värd--mer som en bastardized version av en.
Vem knackar ner dörren?
Bli inte förvånad att se attacker inom minuter för utsläppande av brandväggen på internet. Detta betyder inte att någon avsiktligt försöker hacka in i nätverket. Det finns bokstavligen tusentals zombie datorer där ute som tanklöst probe internet letar efter ett system att kalla sina egna, eller värre, förstöra. Är du inte glad att du har en brandvägg?
Mitt rekord för intrångsförsök efter att placera en brandvägg nätet är 3 minuter. Enligt min erfarenhet är de mest oroande försök SSH bruteforces. En zombie computer portscanned du och fann att du kör SSH-tjänsten (om du väljer att tillåta WAN åtkomst). Om någon skulle få tillgång via SSH, kan effekterna bli förödande. Det är därför din viktigaste säkerhetsåtgärder bör placeras här. Om du inte använder RSA/DSA i förväg delade nycklar (varför inte du?), sedan minst sagt, se till att ditt inloggningslösenord är extra lång, och innehåller en overzealouz kombination av bokstäver, siffror och symboler. Kanske är det dummaste du kan göra Tillåt rotåtkomst till SSH. Detta skulle vara som spamming planeten med ditt personnummer. Om behöver vara, kan du logga in som vanlig användare, sedan "su" din väg till roten.
Har jag en falsk känsla av säkerhet?
Om du inte litar på din brandvägg, kan du utföra en snabb och enkel portscan på dig själv genom att peka en webbläsare skyddas av brandväggen så att www.grc.com där bör du hitta ShieldsUp!, ett populärt (och grundläggande) bedömning säkerhetsverktyg. Om du lyssnar på säkerhet nu podcast med Leo Laport, kanske du har hört ShieldsUp! nämnde.
Den bästa formen av säkerhetsgranskning är att använda ett verktyg som Nessus. Nessus kan användas till att utföra ett omfattande sortiment av säkerhet sonder. Du hittar Nessus i din hamnen insamling, och på www.nessus.org
RTFM
FreeBSD handboken är den enkel mest viktig resursen när du arbetar med FreeBSD. Bara peka din webbläsare till www.freebsd.org/docs.html och klicka på "Handbok". Google är också en annan värdefull resurs. Bäst (och mest njutbara IMO) sätt att lära sig hur man använder FreeBSD, eller någon variant av Linux eller Unix, är genom att göra forskningen själv och dykning rätt i. Du skruva ditt system upp, förbanna alla och deras mor och eventuellt bli alkoholist på grund av det, men du kommer att bli att mycket mer elit när du lista. Som en sista utväg, prova några IRC-kanaler på Dalnet eller Freenode. När tillgripa chattrum, vara beredda förolämpande kommentarer och några "RTFM" s.
Andra användningsområden
Jag också bygga en NAS (Network tillgänglig/attached Storage) enhet med en modernare AMD K8, 512MB PC3200 DDR-RAM och några gigabit ethernet-nätverkskort. Detta system är mer än tillräckligt för att tillhandahålla tillförlitlig strömmande media, filen servering funktioner, och SVN förråd till någon med fast, trådlös eller VPN-åtkomst till våra LAN. Vi har även setup dynamiska DNS-tjänster att ge internet-åtkomst till våra medier via ett anpassat webbgränssnitt. Så småningom kommer vi att släppa MyNAS projektet att tillhandahålla ett användarvänligt gränssnitt för NAS och en out-of-the-box fildelning gemenskap.