Neko jeftino resenje za hardwerski firewall pod open source sistemom

Danas je prioritet licna bezbednost podataka kako opstih tako i licnih.
Odnosno svih datoteka koji korisnik ima na svom racunaru.
Bilo u prenosnoj varijanti ili kao desktop kod kuce.
Ako je tako kako je potreba u buducnosti zahtevace vece angazovanje sistema bezbednosti od spoljnjeg upada sa strane i moram napisati ceprkanje po sistemu korisnika.
Da bi se takvo nesto predupredilo moje pitanje ili predlog bi bio kako ga resiti.
Posto ti i takvi sistemi postoje i to nije nista novo a opet ima svoju cenu i svako ne moze sebi to da priust.i Da li postoji neka mogucnost po metodi uradi sam odnosno DYI molim za predloge i sugestije iz svog ili nekog drugog iskustva.
Unapred hvala na komentarima i odgovorima.

Ovo ima smisla samo ako braniš servere, desktop nema potrebu za HW FW metodom.

1 Like

Hvala Commander na odgovoru.
Ali u suštini da li običan korisnik -user može na neki način poboljšati svoju zaštitu.
Kada ovo kažem mislim na svakodnevni rad na računaru sa pojedinim aplikacijama kako na poslovnom tako i na privatnom planu.
A zaštita je potrebna u svakom slučaju zar ne.

Ruter za 20e sa alija i openwrt. Mozes posle fw na njemu, vpn tunel ili sta god.

1 Like

Hvala na predlogu ostaje samo da se dobro iscita user manuals.

U gužvi sam poslednje 2 nedelje jer sam promenio posao pa tona novih stvari mora da se savlada :stuck_out_tongue_winking_eye:

Pa pazi, početak i kraj svake zaštite počinje sa korisnikom, tj sa “vlasnikom računara”. Kad kažem da nema potrebe da koristiš fizički appliance na kućnom računaru to je kao da kupuješ najsigurnija “one-touch-lock” vrata za kucu a nemaš otvor za njih, pa ih onako nasloniš na zid i misliš da te štiti, tj štiti ali nema poentu :slight_smile:

Portovi ti nisu otvoreni jer (verovatno) nemaš ekspozovan mrežni interfejs za web servise, jedino šta ti je (možda) otvoreno je port 53 i to je manje više to.

Ako pak, imaš web servise koje puštaš preko eth0_x ka spolja… onda se vraćamo na priču da ti treba ako imaš server :slight_smile:

Ono na čega treba da obratiš pažnju jeste sajtovi gde ostavljaš user/pass, da te neko ne phishing-uje i pokrade identitet jer to može imao/nema fizički firewall.

Menjaj barem jednom u 6 meseci SVE lozinke na svim nalozima (znam da je pain-in-the-ass ali je to vid zaštite/preventive), pritom nemoj da koristiš logičke lozinke koje su pamtljive, već u formatu: !W;.V{83J$QyUs5,h:gd

I biće sve OK, nemoj se opterećuješ previše sa firewall-ima, (sve dokle god ne digneš neki javni web/app servis).

2 Likes

Hvala Commander na odgovoru.

2 Likes

Samo da dodam, gde može da se koristi " Two-factor authentication" uključi to, ja puno godina unazad možda već ima 17-18 godina nikad nisam imao problem s tim, dodouše tad nije imao two-factor ali bez obzira… Uključite to ako već ima mogućnosti. :blush:

Ubiquity networks edge router Lite na kojem vozi OpenBSD. (koristi se octeon platforma). Vidi spisak OpenBSD/octeon podrzanog hardwera.

Alternativno, moguc je i APU2 firme pc engines PC Engines apu2 system boards (ima ga u netiksu http://www.netiks.rs/ ), to je 64-bitna platforma OpenBSD/amd64

Treba kupiti i odgovarajuce kablove za instalaciju (detaljno procitati uputstva i na sajtu pcengines sa APU2 i na sajtu openbsd.org za Ubiquity edge router LITE.

1 Like

Hmmmm hoby varijanta i Ubiquity mi nekako ne idu zajedno :joy:

1 Like

Pa ne znam. Mene je Ubiquity Edge Router Lite izasao negde oko 200 eur (ako se dobro secam), od cega su polovina bili troskovi carine i spediter. Sada u Srbiji ima modela koje OpenBSD podrzava.

Morao sam da obrijem njegov operativni sistem i instaliram OpenBSD, i evo ga, sljaka 4-5 godina kao stena. Kod nestanka struje sam se ponovo podigne (podesen softdep kod mauntovanja, to je, valjda, OpenBSD/ffs specificna mount opcija), sto nije slucaj sa APU2, koji je amd64.

Usput sam naucio da baratam sa serijskim kablom i ne_znam_kako_se_zove (zaboravio) kabl za APU2.

Iza njega imam dva kucna “servera” - APU2 i BananaPro.

Jedini minus ovakvog pristupa je dvostruki NAT - prvo natuje ruter/firewall, pa onda natuje modem. U planu je da nadjem provajdera koji ce mi podesiti modem u “bridge mode” - da sve pakete samo salje “iza” (na ruter), onda ne bi bilo dvostrukog natovanja.

Ko ima da investira tih 150-200 eur, vremena i volje, toplo preporucujem.

1 Like

MikroTik

Milose, ja ovde predlazem nesto sto moze da bude svemirski brod, helikopter, avion, kamion, luksuzna limuzina, sve zavisi kako ga sklopis, a ti predlazes ficu (ili spaceka, ako znas sta je to) za odprilike iste pare.

OpenBSD ima najbolji firewall koji postoji (pf). FreeBSD ga takodje ima kao jedno od resenja, ali je FreeBSD verzija neka stara verzija pf sa OpenBSD koja se vise ne razvija, nego se na FreeBSD samo azurira, tako da je cak i sintaksa pravila skromnija od OpenBSD pf verzije.

Neko vreme je Juniper prodavao svoje hardverske fajrevale za 30.000 $ - 50.000 $ sa FreeBSD baziranim operativnim sistemom i njegovom (“hendikepiranim”) pf verzijom, sve do otkrivanja Juniper specificnog sigurnosnog propusta, kojim je dokazano da su pametniji oni koji su koristili OpenBSD.

Mikrotik ima neki hardver i neki operativni sistem zatvorenog koda, koji je INFERIORAN u odnosu na OpenBSD, a po meni inferioran i u odnosu na neku dobro odrzavanu Linux distribuciju.

Dakle, UBEDLJIVO NAJBOLJA varijanta je OpenBSD na nekom od podrzanih hardvera, link do octeon platforme dao sam u mom inicijalnom postu.

Ovo sto ti predlazes nije ono sto je pokretac teme trazio. To moze da bude resenje za small office bez IT podrske, baziran na Vindozama, kojom ce sebi obezbediti laznu sigurnost i ziveti u zabludi da su zasticeni.

1 Like

Koliko košta to tvoje rešenje da bude operativno i da krene sa radom?

Pise ti u mom drugom postu koliko je mene kostalo. U prvom postu imas linkove do podrzanih modela na OpenBSD, pa guglaj koliko kosta hardver.

Softver ne kosta nista, trazi coveka koji zna, a slobodno je donacijama podrzati projekat, od donacija se pravi.

Pokretac teme na MikroTik ne bi naucio nista, odnosno naucio bi malo i pogresno, a na OpenBSD bi naucio mnogo i ispravno. MikroTik ne moze da se poredi sa OpenBSD na odgovarajucem hardveru, prosto ne da nisu ista liga, nego ne igraju istu igru, toliko je OpenBSD superioran.

Edit: Da bude operativno i da krene s radom, ja mogu da ga poteram za manje od 120 minuta kad imam hardver.

@bestragamuglava nije te dugo bilo na diskusijama pa kad si vec tu (znam da si ceo zivot sa unix-ima)… imas li iskustva sa iredmail na BSD-u, generalno me interesuje postoji li neki downside ili mozda bolje resenje za email servis a da trci na BSD-u a da pritom ima neki lagan instaler jer nemam vremena da sve radim “from scratch”.

Nemam iskustva sa iredmail, ne izgleda mi kao nesto sto bih koristio kao trajno resenje (problem azuriranja i na OpenBSD i na FreeBSD, nije u sistemu paketa), iako je vidljivo da su autori ulozili dosta truda da sve sloze.

1 Like