20.01.2011, 16:37
Witam,
w nawiązaniu do istniejącej już dokumentacji (Blackspear-a) dotyczącej konfiguracji programu LNS znajdującej się pod tym adresem:
<!-- ia5 -->LNS1.png<!-- ia5 -->[/attachment]
Odnośnie postu
1. Zaznaczamy wszystko jak na poniższych screen-ach:
[attachment=4] <!-- ia4 -->LNS2.png<!-- ia4 -->[/attachment]
* Zaawansowani użytkownicy mogą róznież zaznaczyć opcje "Advanced Mode" widoczną na powyższym screen-ie.
** W polu "Network interface autodetect, IP to exclude" nic nie zmieniamy.
2. Przewijamy liste w dół:
[attachment=3] <!-- ia3 -->LNS3.png<!-- ia3 -->[/attachment]
3. Klikamy na przycisk Protocols:
[attachment=2] <!-- ia2 -->LNS4.png<!-- ia2 -->[/attachment]
4. Zaznaczamy:
[attachment=1] <!-- ia1 -->LNS5.png<!-- ia1 -->[/attachment]
Dodatkowo po załadowaniu reguł: EnhancedRulesSet.rlsvide
Reszta konfiguracji LooknStop jest taka sama jak wg. przewodnika Blackspear-a podanego na samym poczatku tego postu.
PS. Opisana wyżej przeze mnie konfiguracja nie jest obowiazkowa/niezbedna, jednakze sprawia ze ochrona oferowana przez LNS jest jeszcze bardziej wzmocniona. Dodatkowe reguly dot. filtrowania pakietow SPF UDP oraz ICMP zapewniaja, ze zaden z przychodzacych pakietow na portach NTP (123), DHCP (67,68), DNS (53) oraz w przypadku zapytan PING (ICMP) nie zostanie przepuszczony dopoki wczesniej z naszego komputera nie zostanie wyslane odpowienie zapytanie (reqest) odnosnie okreslonego pakietu z uwzglednieniem scisle okreslonych regul takich jak m.in. zgodnosc adresu MAC czy IP. Przykład:
[attachment=0] <!-- ia0 -->LNS6.png<!-- ia0 -->[/attachment]
.
w nawiązaniu do istniejącej już dokumentacji (Blackspear-a) dotyczącej konfiguracji programu LNS znajdującej się pod tym adresem:
[Aby zobaczyć linki, zarejestruj się tutaj]
- postanowiłem ją trochę bardziej rozszerzyć. Z racji tego, że sam program jak i jego opcje konfiguracyjne od 2005 roku uległy dużym zmianom, myślę że warto jeszcze raz skupić się na naistotniejszych elementach jakie posiada ten firewall, a które warto właściwie skonfigurować.Odnośnie postu
[Aby zobaczyć linki, zarejestruj się tutaj]
, okno konfiguracji "Advanced options" wyglada teraz tak (v2.07):1. Zaznaczamy wszystko jak na poniższych screen-ach:
[attachment=4] <!-- ia4 -->LNS2.png<!-- ia4 -->[/attachment]
* Zaawansowani użytkownicy mogą róznież zaznaczyć opcje "Advanced Mode" widoczną na powyższym screen-ie.
** W polu "Network interface autodetect, IP to exclude" nic nie zmieniamy.
2. Przewijamy liste w dół:
[attachment=3] <!-- ia3 -->LNS3.png<!-- ia3 -->[/attachment]
3. Klikamy na przycisk Protocols:
[attachment=2] <!-- ia2 -->LNS4.png<!-- ia2 -->[/attachment]
4. Zaznaczamy:
[attachment=1] <!-- ia1 -->LNS5.png<!-- ia1 -->[/attachment]
Dodatkowo po załadowaniu reguł: EnhancedRulesSet.rlsvide
[Aby zobaczyć linki, zarejestruj się tutaj]
,[Aby zobaczyć linki, zarejestruj się tutaj]
,[Aby zobaczyć linki, zarejestruj się tutaj]
, warto zaimportowac reguły ([Aby zobaczyć linki, zarejestruj się tutaj]
) SPF Stateful Packet Filtering(dla pozostałych protokołów: UDP, ICMP - oryginalnie po instalacji LNS reguły SPF obejmuja tylko protokół TCP) , które znajdują się na stronie producenta:[Aby zobaczyć linki, zarejestruj się tutaj]
Po ich zaimportowaniu, nic nie trzeba w nich zmieniac.Reszta konfiguracji LooknStop jest taka sama jak wg. przewodnika Blackspear-a podanego na samym poczatku tego postu.
PS. Opisana wyżej przeze mnie konfiguracja nie jest obowiazkowa/niezbedna, jednakze sprawia ze ochrona oferowana przez LNS jest jeszcze bardziej wzmocniona. Dodatkowe reguly dot. filtrowania pakietow SPF UDP oraz ICMP zapewniaja, ze zaden z przychodzacych pakietow na portach NTP (123), DHCP (67,68), DNS (53) oraz w przypadku zapytan PING (ICMP) nie zostanie przepuszczony dopoki wczesniej z naszego komputera nie zostanie wyslane odpowienie zapytanie (reqest) odnosnie okreslonego pakietu z uwzglednieniem scisle okreslonych regul takich jak m.in. zgodnosc adresu MAC czy IP. Przykład:
[attachment=0] <!-- ia0 -->LNS6.png<!-- ia0 -->[/attachment]
.
Creer,
Member of the Alliance of Security Analysis Professionals
Member of the Alliance of Security Analysis Professionals