[gateway] the ultimate gateway?

zo na wat met alle OS-en gespeeld the hebben
gooi ik maar een paar vragen in de groep

- unattended install *nix
- vuurmuur.sf.net
- openvpn
- portknocking
- content filtering (niet websites blokkeren maar spam/ongewenste software)

waarom vragen ipv google?
nu ben geen guru en ben niet vies van google of andere zoek tools
Mijn mening is echter dat jullie als mede-tweakers me misschien wat hints/tips kunnen geven waar ik niet eens aan denk.
het gaat erom dat ik eigenlijk een CD ophoest die een kant en klaar OS (op HD of CD)
die eigenlijk zeer geavanceerd is in mijn optiek.

daarnaast google is met antwoorden zo uitgebreid dat ik door het oerwoud het bos niet zie laat staan die 1ne boom met het antwoord.

howto's ik heb ze voor 80% van linux gelezen (ja het is meer dan 1 boom print papier geweest) maar zeer leerzaam en ik raad ook iedereen deze te lezen !!

waarom geen Livecd maken of downloaden
is deels een optie omdat ik met openVPN een LAN (via Internet) wil opzetten en dus met route(s) variabelen moet gaan werken .. bv elke keer een andere hostname, dns-servers van een provider
en andere zaken die per server verschilt...

wat ga je ermee doen?
de gateway/router moet eigenlijk een transparante "brug" worden tussen het internet en het achterliggende LAN
De gebruikers in een LAN moeten via de router andere LAN's bereiken en pc's benaderen.
internetten met zo minimaal mogelijk spam en andere troep

unattended install

ik heb wat met suse/redhat en FreeBSD gespeeld, ook met windows ..
wat me opvalt is dat zoiets als nlite (een programma met forum die een redelijk compacte install van windows geeft) wat me opvalt is dat voor bv freebsd er wel wat unattened install matriaal maar echt handig c.q makkelijk is het niet (weinig documentatie IMHO)

- wat ik zoek is eigenlijk een tool/distro die met een unattended install redelijk makkelijk te installeren is. voor de leek dan, eigenlijk moet die de cd erin mikken en wat vragen beantwoorden en aan de hand daarvan moet de server geinstalleerd worden..

vuurmuur.sf.net
ik las over deze website/tool-set dat je zeer makkelijk je firewall kan configureren handig voor de leek en scheelt een hoop coden.

- Iemand misschien ervaring ? of is dit gewoon een supergoeie tool (ps zet wel erbij een goeie redenering !!!!)

openvpn
deze tool schijnt heel erg flex(ibel) VPN's op te kunnen bouwen.
bv: port onafhankelijk, layer2 forwarding (netbios, ipx/spx, wins etc)

- ik heb nu ervaring met IPSEC vpn's nadeel is dus geen layer-2 meuk

portknocking
zeer intressant, werkt goed samen met firewall's het is eigenlijk precies wat het zegt. door een bepaalde "klop" kombinatie op de firewall(deur) zet deze een poort open verhoogt in mijn optiek de veiligheid.


content filtering
een beetje surfen op je windows bak levert veel ongewenste troep op en zeker voor de leek die altijd "ja" klikt is het werk net zo erg als water naar de zee dragen. en de leuke spy/ad-ware verwijderende software is net zo handig als elke dag je pc opnieuw van een verse installatie te voorzien.
er zijn zelfs sites die het installeren op welke ja/nee + "close" knop je drukt

vandaar dat ik eens onderzoek heb gedaan naar content-filters er zijn wel aardig wat oplossingen bv www.dansgardian.org de tool kan inhoud filteren en voornamelijk gericht op spy/adware meuk die eigenlijk transparant voor de gebruiker mee geinstalleerd word.
ik heb het niet zo op opdringerige troep een banner oke maar geen extra scherm of software.

dus wat gefilterd word is het volgende:
www.spammerpagina.nl

maar niet alleen in HTTP verkeer ook flash/java en andere "plain text" kan gefilterd worden dus je hebt niet alleen geen banner/reclame meuk maar je mist ook de 404 error op de pagina want de ruimte is gewoon leeg!
Java/flash games laten soms ook achter de schermen wat troep achter .. macromedia heeft active cookies die ook schadelijk zijn. dit kan je allemaal wegfilteren.
SSL verkeer kan d.m.v "man in the middle" ook gefilterd worden echter in mijn ervaring heb ik dat nog niet gezien dat dat nodig is.

dit werkt wel eens waar via proxy maar goed het is beter dan een pc te beheren.

als je antwoord
graag onderbouwde reacties
nutteloze reacties zoals "ja goed idee", "dat wil ik ook" heeft iedereen die dit ook wil niks aan.

hints/tips/links zijn zeer welkom en ik probeer op elke reactie gegrond te reageren. en elke link te volgen
ik hebeen aantal test pc's tot mijn beschikking .. werkt het goed dan zal ik het resultaat zoiezo beschikbaar stellen of een goeie handleiding.


Software met added security die het liefst zoveel mogelijk transparant is zeer welkom !!!
alles wat zonder gebruikers interventie toegevoegde waarde kan hebben....

is er trouws een tool/script die nat regelt zoals op de broadband routers ..
ik hoorde iets van nat4all ofzo ??? of broadband-nat-script ?


ps graag zou ik geen slot op dit topic zien dus houd het netjes

[ Voor 14% gewijzigd door vso op 31-07-2005 22:53 . Reden: toevoeging ]

SA007 schreef op zaterdag 30 juli 2005 @ 01:47:
als je content filtering wil gaan doen betekend dat je al je verkeer door een proxy moet gaan duwen, omdat je ftp/http/https/etc wil gaan filteren.

klopt, maar de nadruk ligt meer op http verkeer omdat deze "het meest vervuilt" is. ook flash(games) etc ..

https is eigelijk nog het moelijkste omdat de data bij de client encoded word en bij de ontvanger decoded, waardoor je dus niet de inhoud kan zien, dit zal je dus op ip-adres of met dns-entry's moeten gaan blokkeren.

je zou je proxy als "man in the middle" kunnen gebruiken maar zie mijn eerste reactie dus ssl content filtering is "nog niet" aan de orde

Maar wat je ook doet, ik denk toch dat je een stuk bij de bron moet beginnen, voorlichting aan de medewerkers, installatie van bijvoorbeeld firefox ipv internet explorer, iets van spam-assassin oid op je e-mail zetten, dat soort dingen, dan reduceer je al een heel eind de behoefte aan zo'n content filter.

medewerkers ???? this voor thuis gebruikers dus niet voor bedrijfs doeleinden.

content filter filtert niet alleen "www.eenbedrijf.com" maar ook

dus de banner ben je meteen kwijt en de plek die het innam op de webpagina.

@portknokking: tekstboek voorbeeld van "security by obscurity" en in mijn ogen is dat een slechte beveiliging:
1. meeste clientprogramma's ondersteunen het niet
2. het is meer schijnveilighied, je kan beter de servers achter die poorten zelf veilig maken, dingen als ftps, https, meer ssl tunnels, etc.

Security werkt 75% van wat je niet ziet kan je niet aanvallen, door je machine "onzichtbaar" te maken werkt wel. handig ?? afhankelijk van het doel/situatie.
kwa ondersteuning valt het wel mee, je firewall kan alle acties loggen en afhankelijk van de volgorde kan je iets open/dicht zetten.
natuurlijk is het wel zoals je zegt hoe meer added security hoe veiliger.
Maar ik kan je wel in je gedachtengang mee gaan, wat je niet ziet als "leek" ga je ook niet naar zoeken .. een geavanceerde hacker/script dodo .. die ziet het en zal met veel (hopenlijk) moeite binnen komen. nu heb ik niet zeer waarde volle data maar hoe hoger de lat hoe minder kans dat je gehackt wordt.

je praat dus meer over het verschil van pc in blok-cement-idee of een kluis + sleutel/code .. waarbij de laatste afhankelijk van de kwaliteit en ervaring te kraken is.

BoudewijnLinux schreef op zaterdag 30 juli 2005 @ 14:52:
Heel eenvoudig:

code:

1 2 3 4 5 6

#Finally we add the rules for NAT iptables -I FORWARD -i eth0 -d 192.168.0.0/255.255.0.0 -j DROP iptables -A FORWARD -i eth0 -s 192.168.0.0/255.255.0.0 -j ACCEPT iptables -A FORWARD -i eth1 -d 192.168.0.0/255.255.0.0 -j ACCEPT iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

Als je gewoon IPtables draait....


bron:
http://www.gentoo.org/doc/en/home-router-howto.xml

kijk heel eenvoudig voor de "niet leek" en dit is niet de reactie die ik vroeg!!! HOWTO's heb ik wel gelezen. jij hebt IMHO niet mijn Post goed gelezen.

[qoute] howto's ik heb ze voor 80% van linux gelezen (ja het is meer dan 1 boom print papier geweest) maar zeer leerzaam en ik raad ook iedereen deze te lezen !! [/quote]

ervan uitgaande dat de leek een broadband (kabel/adsl) aansluiting heeft moet deze zonder veel interventie de linux doos neer zetten aansluiten en draaien. dus geen zelf config van IPTabels/netfilter/IPFW etc.

Bor de Wollef schreef op zaterdag 30 juli 2005 @ 14:56:
portknocking als in "bepaalde "klop" kombinatie op de firewall(deur) zet deze een poort open" lijkt me niets tot nauwlijks iets toevoegen. Met een sniffer kun je de klop combi zo achterhalen. Ik heb zelf ook nog nooit van deze techniek gehoord in een bedrijfsomgeving eigenlijk.

het is geen bedrijfs omgeving!! zie mijn bovenstaande reactie op de sa007 betreft het hoe en waarom

met een sniffer valt idd alles te achterhalen maar hoeveel sniffen het verkeer? daarnaast moet je weten wat je zoekt.
als je het internet een beetje kent weet je al dat als je mail ophaalt via POP bij je provider je account gegeven letterlijk in plain text voorbij komt .. hoeveel houden dit wachtwoord niet gelijk met alle andere PW ? je maakt het wat lastiger voor de hacker niet onmogelijk het ligt eraan dat je weet dat je iets zoekt en/of er toevalig opvalt .. als de server erachter nog added security heeft ..dat is punt 2

Maar eh, no offence maar waarom doe je niet eerst wat meer voorwerk? Zoals je zelf al aangeeft kun je met google een heel eind komen. Je stelt nu weinig vragen maar "vraagt" min of meer naar een complete oplossing voor jouw "probleem". Dat lijkt me niet helemaal de bedoeling.

omdat wat ik zoek nog niet gevonden heb en ik verdwaal in het oerwoud genaamd google, teveel hits te veel troep. (zoek op mijn nickname in google bv wedden dat het aantal hits je net zo duizelt als mij) daarnaast ben ik niet vies van het bouwen van zoiets dergelijks, maar aan de andere kant tja waarom het wiel opnieuw uitvinden ? als men dat al gedaan heeft.

Ik wil het zelf bouwen ja leren doe je altijd. ook van jullie zoals smoothwall is geen optie IMHO

Verder lijkt me dit meer iets voor het B&V forum.

dit is meer iets voor een Modarattor of dit topic idd hier wel niet behoort

BoudewijnLinux schreef op zaterdag 30 juli 2005 @ 14:57:
ik gebruik een geschakelde firewall, en dan verschillende architecturen (geen idee of het zin heeft, maar in ieder geval is een binary voor een sparc64 draaiende op Linux lastiger te vinden dan voor x86 --> een rootkit hopelijk ook).

eigenlijk denk ik niet omdat hoewel de hardware anders aangestuurd word de rest minimaal is(teminste mijn idee omdat ik geen progammeur ben die binaries maakt), kijk dat je gehackt word is een kwestie van tijd (mischien nu al?) maar ben je belangrijk/intressant genoeg om als doelwit te fungeren ?


Voor veiligheid kan je ook een bootable cd maken waarbij het os om een bepaalde tijd reboot alle changes zijn dan weg.


gehackt worden is gewoon een kwestie van tijd/makkelijkheids graad en voornamelijk de administrators preventieve handelingen die het (on)mogelijk maakt.

Zwerver schreef op maandag 01 augustus 2005 @ 06:57:
[...]


Wil jij aub wat relaxter reageren? Je wordt door mensen de goede richting opgewezen, nota bene met documentatie erbij en je reageert zo? Als je transparant alle verkeer door een proxy wil duwen dan heb je idd de constructie van Boudewijn nodig, afaik is er op dit moment geen andere makkelijke en snelle manier om transparant te proxy-en (ja, er is er nog één met ip route ). Dus alsjeblieft, als mensen je op weg helpen ga dan niet doen alsof je geschoffeerd wordt!