Το προφίλ μας στο Google Plus
11

WinBSD: Ένας γάμος που θέλετε να γίνει!

Τα Windows τα ξέρετε πολύ καλά. Το OpenBSD πιθανώς να το γνωρίζετε κι αυτό. Αν όχι, ίσως να έχετε πάρει μια ιδέα περί τίνος πρόκειται παρακολουθώντας το deltaCast s01e10. Σε κάθε περίπτωση μιλάμε για δύο εντελώς διαφορετικά λειτουργικά συστήματα, τόσο από πλευράς αρχιτεκτονικής όσο κι από πλευράς χρηστικής φιλοσοφίας. Κι όμως. Μπορούν να συνεργαστούν αρμονικά μεταξύ τους — και μάλιστα κατά τρόπο που μάλλον δεν φαντάζεστε.

deltaHacker 023 (τεύχος Αυγούστου 2013) | WinBSD: Ένας γάμος που θέλετε να γίνει!

Γράψαμε “μάλλον δεν φαντάζεστε”, γιατί υποθέσαμε πως θα σκεφτήκατε κάτι στο στιλ “ναι, ο-κέι, στήνουμε ένα μποξ με όπεν μπι-ες-ντι και το κάνουμε ρούτερ και φάιργουολ για ένα δίκτυο με γουίντοουζ πι-σιζ — σιγά την πρωτότυπη ιδέα”. Κοιτάξτε, επειδή δεν είμαστε πάντα καλοί στο να φανταζόμαστε τι φανταζόσαστε, ξεχάστε ό,τι διαβάσατε μόλις. Τώρα που το σκεφτόμαστε καλύτερα, είμαστε βέβαιοι ότι έχετε καταλάβει που το πάμε: Φυσικά και *δεν* συζητάμε για το απλό στήσιμο ενός OpenBSD-based router/firewall. Αντίθετα, σκοπεύουμε να ξηλώσουμε το όποιο application firewall χρησιμοποιούν τα Windows και στη θέση του να βάλουμε το PF, δηλαδή το πανίσχυρο firewall του OpenBSD. Βέβαια το PF δεν μπορεί να σταθεί από μόνο του κάτω από τα Windows, οπότε η ανακαίνιση του συστήματος θα είναι περισσότερο εκ βάθρων. Συγκεκριμένα, σε πολύ λίγο θα δείξουμε πώς παραμερίζουμε το firewall των Windows και στη θέση του θρονιάζουμε μια ολόκληρη εγκατάσταση του OpenBSD, με το PF ρυθμισμένο όπως θέλουμε καθώς κι όποια άλλα services επιθυμούμε — πάντα στην υπηρεσία του Windows PC. Περιττό να πούμε ότι τα Windows και οι εφαρμογές τους *δεν* θα βγαίνουν στον έξω κόσμο (τοπικό δίκτυο, Internet) απευθείας, αλλά *μέσω* του OpenBSD. Και κάπου εδώ, φίλες και φίλοι, το ακόλουθο ερώτημα προκύπτει κατά τρόπο φυσιολογικό…

Διαβάστε ολόκληρο το άρθρο στο deltaHacker 023 (τεύχος Αυγούστου 2013).

Το μηνιαίο περιοδικό deltaHacker είναι πλέον ηλεκτρονικό! Μάθετε για τις νέες, απίστευτες τιμές και κάντε τώρα την παραγγελία σας συμπληρώνοντας τη σχετική φόρμα.

11 Responses to “WinBSD: Ένας γάμος που θέλετε να γίνει!”

  1. orestis46 | 11/09/2013 at 20:56

    Καλό το άρθρο που δείχνει μέρος των δυνατότητων ενός BSD λειτουργικού και στο δικτυακό κομμάτι παίζοντας διάφορους ρόλους (απο router/firewall, dhcp server, DNS, etc) κάνοντας χρήση ελάχιστων πόρων (CPU/Memory) ενώ παράλληλα εξασφαλίζει μια ικανοποιητική σταθερότητα.
    Κατά την άποψή μου ξεκινόντας απο το σχεδιαστικό μέρος μιας τέτοιας υλοποιήσης, λαμβάνοντας υπόψιν ένα σύνηθες περιβάλλον το οποίο συναντάται σε home broadband adsl χρήστες (LAN PCs ADSL Modem/Router Internet) μια τέτοια υλοιποίηση απλά περιπλέκει και μπορεί να δημιουργήσει περισσότερα προβλήματα, παρά να έχει κάποιο ουσιαστικό αποτέλεσμα. Προβλήματα και δυσκολίες μπορούν να προκύψουν σε διάφορες flows (ροές κίνησης) και είδη επικοινωνίας (πχ remote-access τύπου vnc/remote desktop, ipsec tunnels, voice traffic/applications λόγω 2πλού ΝΑΤ [1.BSD, 2.Modem/Router] για flows απο/προς PC + BSD Internet). Σε περίπτωση προβλήματος, good luck troubleshooting (ψάχνοντας να δείς που κολλάει τι…)…
    Για κάποιου άλλου τύπου περιβάλλον/τοπολογία ίσως να μπορούσε να έχει εφαρμογή (αν και υπερβολικό), όπως και υπερβολή είναι να λέμε πως routers αξίας χιλιάδων ευρώ “τρέχουν” το PF (για router κατασκευαστές όπως Cisco, Juniper, Alcatel ισχύει πως έχουν δικά τους λειτουργικά).

    • subZraw | 16/09/2013 at 11:14

      Γεια χαρά, Ορέστη,
      Η υλοποίηση που περιγράφεται στο άρθρο σίγουρα προτείνεται για όσους ξέρουν τι κάνουν, αν και προσωπικά πιστεύω ότι ακόμη και κάποιος νεοφερμένος θα βγάλει άκρη και θα μπορέσει, αν το επιλέξει, να παντρέψει τα Windows με το OpenBSD. Να μη σου πω, επίσης, ότι ο ίδιος νεοφερμένος θα μάθει κι ένα σωρό ενδιαφέροντα πράγματα στην πορεία… Τέλος πάντων, οι λόγοι για τους οποίους θα ήθελε κάποιος να επιχειρήσει κάτι τέτοιο παρατίθενται στο άρθρο. Εδώ, θα επαναλάβω τον λόγο που για ‘μένα είναι ο πλέον ισχυρός: Επειδή μπορεί :)

      Όταν πάντως εγκαταλείπουμε τη λογική του application firewall, τότε αναμφισβήτητα συναντάμε εμπόδια που μέχρι πρότινος δεν υπήρχαν (αφού, ουσιαστικά, τα προσπερνούσε το παλιό firewall αυτόματα). Συνεχίζοντας να μιλάω από τη δική μου σκοπιά θεώρησης των πραγμάτων, αυτό είναι κάτι μάλλον ευχάριστο: Αν μη τι άλλο, αναγκάζεσαι να κατανοήσεις (καλύτερα) τη λογική ενός σοβαρού firewall γενικότερα — κι εκείνη του PF ειδικότερα.

      Να σου και για την αναφορά στα πανάκριβα routers με PF: Καμία σχέση με CISCO, Juniper κ.λπ. Δυστυχώς δεν έχω κρατήσει links, ωστόσο κατά καιρούς έχω διαβάσει αναφορές network administrators οι οποίοι έχουν συναντήσει ακριβά routers που όντως τρέχουν το PF. (Τώρα που το σκέφτομαι, βέβαια, ίσως θα ήταν καλό να *μην* έκανα το σχόλιο, από τη στιγμή που δεν είχα πρόχειρες τις αναφορές.)

      ΥΓ. Κάτι που δεν έχω προλάβει ακόμη να τεστάρω: Πάντρεμα Windows και OpenBSD (ή pfSense), αλλά σε laptop! Σκέφτομαι τώρα τον συμμετέχοντα σε ένα συνέδριο ασφαλείας, όπου σχεδόν όλοι ψάχνουν διαρκώς τρόπους για το πώς ο ένας θα την πέσει στο σύστημα του άλλου. Δεν έχω μόνο το DEFCON κατά νου, φυσικά :D

  2. orestis46 | 22/09/2013 at 20:50

    Καλησπέρα Χρήστο,

    το θέμα είναι πως το double NAT δεν αποτελλεί κομμάτι του best network practices αλλά poor/avoid network practices και πολλαπλασιάζει τις πιθανότητες να μήν δουλεύει κάποια εφαρμογή. Δημιουργεί περισσότερρα πρόβληματα απ’ ότι λύνει και αν δεν υπάρχουν τα ALGs στα Firewalls, απλά το ξηλώνεις για τα services/applications που δεν θα παίζουν (αν θές να έχεις services/apps πίσω απο τον host που γίνετε double NAT, διαφορετικά για απλά θέμα Internet access πχ, τότε κανένα θέμα).
    Δεν θα ήθελα να επεκταθώ και σε θέματα single point of failure – high availabilty, συνολικά κατά την άποψή μου, θα ήταν προτιμότερο ένα HIPS :-)

    • subZraw | 22/09/2013 at 21:18

      Επίσης καλησπέρα, Ορέστη.

      Μα, ποιος μίλησε για best network practices; Άλλα είναι τα κίνητρα πίσω από τη συγκεκριμένη υλοποίηση. Εξηγούνται στο άρθρο, έκανα κι αναφορά στην προηγούμενη απάντησή μου. Εγώ πάντως αυτό το setup έχω στο κύριο PC μου και πρέπει να σου πω ότι α) το διασκεδάζω, β) μαθαίνω νέα πράγματα, γ) δεν έχω κανένα πρόβλημα δικτύωσης.

      Αν βέβαια δούλευα ως network administrator σε εταιρεία ή αρθρογραφούσα για τους επαγγελματίες του χώρου, τότε, ναι, να μιλούσαμε για best network practices. Επειδή όμως τίποτε από τα δύο δεν ισχύει, εξακολουθώ να πιστεύω ότι μιλάμε για ένα ενδιαφέρον, διδακτικό και κυρίως διασκεδαστικό setup — και ειδικά όταν έχουμε να κάνουμε με Windows laptop, που κινείται μεταξύ διαφορετικών δικτύων :)

  3. excess106 | 05/03/2014 at 22:09

    Να κάνω και εγώ τις απορίες με τη σειρά μου:

    1)Γιατι είναι τόσο καλύτερο το PF Firewall από αυτό των Windows? Μήπως
    γιατι κάνει Packet Filtering στο Layer3 ενώ το Windows Firewall στο
    Layer7? Και αν ναι γιατι αυτό είναι καλύτερο?

    2)Τι ακριβώς κάνει ένας Loopback Adapter (π.χ. των Windows)?

    3)Η διαμόρφωση Bridged που χρησιμοποιούμε στα interfaces πως
    λειτουργεί? Μπορεί να συνδέει διαφορετικά δίκτυα? Δεν κατάλαβα ακριβώς
    πως ένα interface (em1, 192.168.200.1) μπορεί να συνδέεται με το
    192.168.99.254 (το οποίο κιόλας δεν έχει default gateway)

    Ευχαριστω!

    • subZraw | 14/03/2014 at 08:32

      Εξαιρετικά καθυστερημένος, αλλά ας βάλω κι εγώ το λιθαράκι μου…

      1) Δεν μπορώ να πω ότι υφίσταται μεταξύ ενός packet filtering firewall κι ενός application firewall, από τη στιγμή που έχουν εντελώς διαφορετικές αποστολές. Τώρα, αν μιλάμε για ένα desktop σύστημα όπως τα Windows, ένα καλό application firewall είναι υπεραρκετό. Το γιατί κάποιος θα ήθελε να έχει στα Windows *και* το pf ή *μόνο* το pf, συζητιέται στο άρθρο.

      2) Είναι χρήσιμος σε κάποια σενάρια, όπως, π.χ., για τη διεξαγωγή δοκιμών που αφορούν σε δικτυακές εφαρμογές. Εξ ορισμού δεν είναι εγκατεστημένος στα Windows.

      3) Δες σε παρακαλώ αυτό το άρθρο –> http://deltahacker.gr/?p=10500 (φιλοξενείται στο τεύχος 027, http://deltahacker.gr/deltahacker027).

  4. h.n.y | 09/03/2014 at 12:48

    2)Το loopback interface είναι ένα εικονικό interface, και είναι πάντα σε κατάσταση up, εκτός αν το ίδιο το μηχάνημα δεν είναι ανοιχτό. Για παράδειγμα αν το ethernet interface γίνει down, η loopback θα εξακολουθήσει να είναι up, ανεξαρτήτως. Το interface χρησιμεύει για έλεγχο σε δικτυακά μηχανήματα layer 3 (routers).

    Πρόκειται για interface που ο υπολογιστής χρησιμοποιεί για να “επικοινωνεί με τον εαυτό του” (καθρέφτης). To loopback δεν αντιπροσωπεύει hardware interface. Mπορεί να έχει διευθύνσεις από το μπλοκ 127.0.0.0/8 δηλαδή από 127.0.0.1 έως 127.255.255.254. Στις περισσότερες περιπτώσεις η διεύθυνση του είναι η 127.0.0.1 και έχει το hostname localhost.

  5. h.n.y | 09/03/2014 at 12:51

    ουπς σορρυ….δες αυτο
    2) http://www.webxpert.ro/andrei/2008/01/02/what-is-microsoft-loopback-adapter-and-why-do-we-need-it/

  6. h.n.y | 09/03/2014 at 21:48

    1)Γενικότερα το (pf) stateful packet filter firewall είναι πιο γρήγορο και το application-level firewall θεωρείτε πιο ενδελεχή/ασφαλή.
    Εναλλακτική πρακτική είναι η χρήση και των 2 με μπροστινό ένα packet filtering firewall.
    To θέμα είναι ότι το firewall των windows 7 είναι “λίγο απ όλα”,δεν είναι επαρκές παραμετροποιήσιμο, οπότε δεν είναι πραγματικά καλό σε τπτ…ή τέλος πάντων κάπως έτσι lolz.
    Επιπλέον και μόνο που βασίζεται πάνω σε windows OS είναι αρκετό ώστε να θεωρηθεί επισφαλής.

  7. panos986 | 04/05/2016 at 12:30

    καλησπέρα,
    ήθελα να ρωτήσω ποια η διαφορά από το να είναι τα windows guest os σε ένα σύστημα με host os το openbsd μιας και το δεύτερο θα δίνει μέσω NAT internet στο πρώτο (αν έχω καταλάβει καλά και δεν κάνω λάθος για το τι σημαίνει NAT)

Leave a Reply

You must be logged in to post a comment.

Σύνδεση

Αρχείο δημοσιεύσεων