[FUG-BR] OpenVPN interligando empresas
Olá pessoal, Esses dias fiz um artigo exemplificando o uso do OpenVPN interligando um escritório e duas filiais [1]. Publiquei lá no blog pra ajudar quem se interessar em fazer algo parecido. Grande abraço a todos e espero que ajude. :) [1] http://www.bsdinfo.com.br/2012/06/11/openvpn-interligando-empresas/ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] OpenVPN interligando empresas
Em 11 de junho de 2012 10:02, Marcelo Gondim escreveu: > Olá pessoal, > > Esses dias fiz um artigo exemplificando o uso do OpenVPN interligando um > escritório e duas filiais [1]. Publiquei lá no blog pra ajudar quem se > interessar em fazer algo parecido. > > Grande abraço a todos e espero que ajude. :) > > [1] http://www.bsdinfo.com.br/2012/06/11/openvpn-interligando-empresas/ > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > Parabéns, excelente How-to. -- === Adalberto Gonçalves - Network and Systems Administrator Tel: 19 3351 3301 Cel: 19 9132 7538 === - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] evitar dos em dns
Em 11/06/2012, às 00:50, Paulo Henrique BSD Brasil escreveu: > > > Em 10/6/2012 23:27, Anderson Alves de Albuquerque escreveu: >> sim, mas os de menores abrangência eu poderia limitar dessa forma. Em >> alguns casos, eu poderia impedir muitas requisições. Em casos de entupir o >> link, ai sim procuraria a operadora. >> >> >> >> >> Em 10 de junho de 2012 19:16, Eduardo Schoedlerescreveu: >> >>> Em 09/06/2012, às 20:18, Anderson Alves de Albuquerque< >>> anderso...@gmail.com> escreveu: Eu estava pesquisando de como limitar a tentativa de dos com o PF. >>> >>> DDoS nao eh só controlar a quantidade de consultas por segundo. >>> >>> E se o ataque lotar seu link? >>> Nao adianta você dropar pacotes no seu lado do link, ate porque os pacotes >>> já cruzáramos já consumiram o seu circuito. >>> >>> Na verdade, ataque DDoS você só consegue filtrar com ajuda da sua >>> operadora. >>> >>> Abs. >>> >>> -- >>> Eduardo Schoedler >>> Enviado via iPhone > > > Rapaz, ouve a voz da experiência que o Sr. Eduardo possui, se acha mesmo > que toda consulta a um domínio que administra é feita no seu servidor, > sinto muito informar que não, há tanto DNS cache espalhado a começar > pelas operadoras. > > Coloque a seguinte consideração. > Usuário hosti -> provedor pequeno ( DNS-Cache 1 ) -> Provedor grande ( > DNS-Cache 2 ) -> operadora internacional ( DNS-Cache3 ) -> Internet -> > sua operadora. > > Como pode ver a chance de limitar ação por tempo de consulta simultâneas > em seu DNS é muito insuficiente. > Contudo, utiliza os IPs no qual fizeram a consulta e colocá-los em > blackrole é algo que mistigaria rapidamente a capacidade do DDOS. > Mais ai haja integração de IDS/IPS/FIREWALL/DNS, contudo ainda dependerá > das blackrole. Só para enriquecer essa thread: esta rolando na NANOG uma thread sobre como montar um servidor DNS recursivo aberto. http://mailman.nanog.org/pipermail/nanog/2012-June/048984.html -- Eduardo Schoedler Enviado via iPhone - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] evitar dos em dns
Seguinte, não adianta você limitar quantidade de consultas, pois dependendo da regra que você coloca na rede você caba facilitando o flood, por exemplo, você cria uma regra pra x acessos na su rede sem dropar e ai eu vou e flood e sou dropado, beleza, ai subo um script que vai determinar o limite de pacotes que posso enviar e faço o flood trabalhar no limite sem ser dropado, ai o proximo cliente legitimo que logar sera dropado, ou seja, seu servidor não cai, mas posso impedir que os outros clientes acessem. Tem um pulo do gato: 1. quando o cliente envia o primeiro SYN, envia também um número de 32 bits. chamado número de seqüência (vamos chamar de NS-C, número de seqüência do cliente) 2. quando o servidor recebe o SYN, ele também escolhe um NS para si (NS-S, número de seqüência do servidor) e devolve o pacote com dois números: o seu NS-S e o número de verificação, chamando de ACK (diferente do flag, este tem também 32 bits). Este segundo número nada mais é do que NS-C+1. 3. o cliente, ao completar o handshake, devolve NS-C+1 e NS-S + 1. Tente colocar uma regra baseada em syn cookie ai todo pacote te´ra uma autenticação e evite usar +1, use outro numero. Não resolve totalmente mas podera ajudar a dificultar o DOS Em 11/06/2012 10:55, Eduardo Schoedler escreveu: > Em 11/06/2012, às 00:50, Paulo Henrique BSD Brasil > escreveu: > >> >> Em 10/6/2012 23:27, Anderson Alves de Albuquerque escreveu: >>> sim, mas os de menores abrangência eu poderia limitar dessa forma. Em >>> alguns casos, eu poderia impedir muitas requisições. Em casos de entupir o >>> link, ai sim procuraria a operadora. >>> >>> >>> >>> >>> Em 10 de junho de 2012 19:16, Eduardo Schoedlerescreveu: >>> Em 09/06/2012, às 20:18, Anderson Alves de Albuquerque< anderso...@gmail.com> escreveu: > Eu estava pesquisando de como limitar a tentativa de dos com o PF. DDoS nao eh só controlar a quantidade de consultas por segundo. E se o ataque lotar seu link? Nao adianta você dropar pacotes no seu lado do link, ate porque os pacotes já cruzáramos já consumiram o seu circuito. Na verdade, ataque DDoS você só consegue filtrar com ajuda da sua operadora. Abs. -- Eduardo Schoedler Enviado via iPhone >> >> Rapaz, ouve a voz da experiência que o Sr. Eduardo possui, se acha mesmo >> que toda consulta a um domínio que administra é feita no seu servidor, >> sinto muito informar que não, há tanto DNS cache espalhado a começar >> pelas operadoras. >> >> Coloque a seguinte consideração. >> Usuário hosti -> provedor pequeno ( DNS-Cache 1 ) -> Provedor grande ( >> DNS-Cache 2 ) -> operadora internacional ( DNS-Cache3 ) -> Internet -> >> sua operadora. >> >> Como pode ver a chance de limitar ação por tempo de consulta simultâneas >> em seu DNS é muito insuficiente. >> Contudo, utiliza os IPs no qual fizeram a consulta e colocá-los em >> blackrole é algo que mistigaria rapidamente a capacidade do DDOS. >> Mais ai haja integração de IDS/IPS/FIREWALL/DNS, contudo ainda dependerá >> das blackrole. > Só para enriquecer essa thread: esta rolando na NANOG uma thread sobre como > montar um servidor DNS recursivo aberto. > > http://mailman.nanog.org/pipermail/nanog/2012-June/048984.html > > -- > Eduardo Schoedler > Enviado via iPhone > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] evitar dos em dns
Em 11 de junho de 2012 11:21, Lucas escreveu: > Seguinte, não adianta você limitar quantidade de consultas, pois > dependendo da regra que você coloca na rede você caba facilitando o > flood, por exemplo, você cria uma regra pra x acessos na su rede sem > dropar e ai eu vou e flood e sou dropado, beleza, ai subo um script que > vai determinar o limite de pacotes que posso enviar e faço o flood > trabalhar no limite sem ser dropado, ai o proximo cliente legitimo que > logar sera dropado, ou seja, seu servidor não cai, mas posso impedir que > os outros clientes acessem. > > Tem um pulo do gato: > > 1. quando o cliente envia o primeiro SYN, envia também um número de 32 > bits. chamado número de seqüência (vamos chamar de NS-C, número de > seqüência do cliente) > > 2. quando o servidor recebe o SYN, ele também escolhe um NS para si > (NS-S, número de seqüência do servidor) e devolve o pacote com dois > números: o seu NS-S e o número de verificação, chamando de ACK > (diferente do flag, este tem também 32 bits). Este segundo número nada > mais é do que NS-C+1. > > 3. o cliente, ao completar o handshake, devolve NS-C+1 e NS-S + 1. > > Tente colocar uma regra baseada em syn cookie ai todo pacote te´ra uma > autenticação e evite usar +1, use outro numero. Não resolve totalmente > mas podera ajudar a dificultar o DOS > > E como ficaria um ataque spoof? E uma rede com muitos computadores? Não é tão simples quanto parece. -- Eduardo Schoedler - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] OpenVPN interligando empresas
Muito bom Gondim :D 2012/6/11 Adalberto Gonçalves > Em 11 de junho de 2012 10:02, Marcelo Gondim >escreveu: > > > Olá pessoal, > > > > Esses dias fiz um artigo exemplificando o uso do OpenVPN interligando um > > escritório e duas filiais [1]. Publiquei lá no blog pra ajudar quem se > > interessar em fazer algo parecido. > > > > Grande abraço a todos e espero que ajude. :) > > > > [1] http://www.bsdinfo.com.br/2012/06/11/openvpn-interligando-empresas/ > > > > - > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > Parabéns, excelente How-to. > > -- > === > Adalberto Gonçalves - Network and Systems Administrator > Tel: 19 3351 3301 > Cel: 19 9132 7538 > === > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] evitar dos em dns
Ok, suponhamos que o host A quer comunicar-se com o host B. O host A inicia o handshake passando seu #SI, chamando A, no campo de seqüência do primeiro segmento sincronizado (SYN) do 3-way handshake. Quando o segundo host, B, recebe o SYN de A, este memoriza o número de seqüência recebido e replica enviando um SYN com seu #SI, chamando B, assim com um reconhecimento (ACK) indicando a A que reconhece o primeiro SYN enviado e continua com o handshake. Quando A recebe o SYN/ACK de B, lhe devolve um ACK a B indicando que ambos concordam que a conexão se estabeleceu. O que estou propondo é que o dono da chave da autenticação seja o proprio servidor da rede de seus micros, então mesmo que ele copie o se ack, ele fará a conta matematica autenticando cada pacote, ou seja mesmo que ele pegue o pacote não saberá a "minicriptografia" que o mesmo possui, para agir como sinergia a isso voce teria que setar no router o bloqueio de ips externos, porem isso só funcionaria para servidores que " confiam" em ips internos, se o servidor necessita " confiar" em ips externos ai esta solucão topológica falha. Neste caso devem-se bloquear todos os protocolos que usem TCP e autenticações basedas em direções. É como você mesmo disse, não é nada simples. Em 11/06/2012 11:30, Eduardo Schoedler escreveu: > Em 11 de junho de 2012 11:21, Lucas escreveu: > >> Seguinte, não adianta você limitar quantidade de consultas, pois >> dependendo da regra que você coloca na rede você caba facilitando o >> flood, por exemplo, você cria uma regra pra x acessos na su rede sem >> dropar e ai eu vou e flood e sou dropado, beleza, ai subo um script que >> vai determinar o limite de pacotes que posso enviar e faço o flood >> trabalhar no limite sem ser dropado, ai o proximo cliente legitimo que >> logar sera dropado, ou seja, seu servidor não cai, mas posso impedir que >> os outros clientes acessem. >> >> Tem um pulo do gato: >> >> 1. quando o cliente envia o primeiro SYN, envia também um número de 32 >> bits. chamado número de seqüência (vamos chamar de NS-C, número de >> seqüência do cliente) >> >> 2. quando o servidor recebe o SYN, ele também escolhe um NS para si >> (NS-S, número de seqüência do servidor) e devolve o pacote com dois >> números: o seu NS-S e o número de verificação, chamando de ACK >> (diferente do flag, este tem também 32 bits). Este segundo número nada >> mais é do que NS-C+1. >> >> 3. o cliente, ao completar o handshake, devolve NS-C+1 e NS-S + 1. >> >> Tente colocar uma regra baseada em syn cookie ai todo pacote te´ra uma >> autenticação e evite usar +1, use outro numero. Não resolve totalmente >> mas podera ajudar a dificultar o DOS >> >> > E como ficaria um ataque spoof? > E uma rede com muitos computadores? > > Não é tão simples quanto parece. > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] UFS2 (versão incorreta?)
Olá pessoal, Estou com um probleminha com um HD externo, formatei ele com um 9.0 (tipo BIOS dedicado), espetei ele pra fazer backup de um 8.2 e ele não quis montar dizendo que a versão do UFS é desconhecida (não anotei que versão ele disse que tem, mas de dia posso ver), forçando montou mas fiquei com medo de gravar e corromper alguma coisa (já tem 142G nele), desmontei graciosamente mas aqui apareceu como sujo (e isso que não gravei nada). Achei que o journal poderia estar ativado mas não estava: # tunefs -J disable /dev/da0 tunefs: soft updates journaling remains unchanged as disabled Isso era esperado? Corro algum risco escrevendo nele? Alguém tem alguma informação a respeito? Grato!! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] UFS2 (versão incorreta?)
vc deve ter formatado com particao tipo GPT. Faça um backup usando um 90 e formate usando particoes MBR. Assim deve abrir em ambos bsds Em 11 de junho de 2012 20:24, Cleyton Agapito escreveu: > Olá pessoal, > > Estou com um probleminha com um HD externo, formatei ele com um 9.0 > (tipo BIOS dedicado), espetei ele pra fazer backup de um 8.2 e ele não > quis montar dizendo que a versão do UFS é desconhecida (não anotei que > versão ele disse que tem, mas de dia posso ver), forçando montou mas > fiquei com medo de gravar e corromper alguma coisa (já tem 142G nele), > desmontei graciosamente mas aqui apareceu como sujo (e isso que não > gravei nada). > > Achei que o journal poderia estar ativado mas não estava: > > # tunefs -J disable /dev/da0 > tunefs: soft updates journaling remains unchanged as disabled > > Isso era esperado? Corro algum risco escrevendo nele? Alguém tem > alguma informação a respeito? > > Grato!! > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Otavio Augusto - Consultor de TI Citius Tecnologia 31 37761866 31 88651242 http://www.citiustecnologia.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] UFS2 (versão incorreta?)
2012/6/11 Otavio Augusto : > vc deve ter formatado com particao tipo GPT. Faça um backup usando um > 90 e formate usando particoes MBR. > Assim deve abrir em ambos bsds Desculpe mas o tipo de tabela de partição não tem _nenhuma_ relação com o problema, ambos são perfeitamente capazes de entender GPT, além do mais ele nem tabela de partições está utilizando, com base no exemplo. Acredito que o sistema de arquivos tenha sido criado com -t ou -j no 9, que não existem no 8.2. Cleyton, acredito que você está procurando por tunefs -j e não -J. > Em 11 de junho de 2012 20:24, Cleyton Agapito escreveu: >> Olá pessoal, >> >> Estou com um probleminha com um HD externo, formatei ele com um 9.0 >> (tipo BIOS dedicado), espetei ele pra fazer backup de um 8.2 e ele não >> quis montar dizendo que a versão do UFS é desconhecida (não anotei que >> versão ele disse que tem, mas de dia posso ver), forçando montou mas >> fiquei com medo de gravar e corromper alguma coisa (já tem 142G nele), >> desmontei graciosamente mas aqui apareceu como sujo (e isso que não >> gravei nada). >> >> Achei que o journal poderia estar ativado mas não estava: >> >> # tunefs -J disable /dev/da0 >> tunefs: soft updates journaling remains unchanged as disabled >> >> Isso era esperado? Corro algum risco escrevendo nele? Alguém tem >> alguma informação a respeito? >> >> Grato!! >> - >> Histórico: http://www.fug.com.br/historico/html/freebsd/ >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > -- > Otavio Augusto > - > Consultor de TI > Citius Tecnologia > 31 37761866 > 31 88651242 > http://www.citiustecnologia.com.br > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- William Grzybowski -- Agência Livre - www.agencialivre.com.br Curitiba/PR - Brasil - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] UFS2 (versão incorreta?)
>>> Em 11 de junho de 2012 20:24, Cleyton Agapito >>> escreveu: >>> Olá pessoal, >>> >>> Estou com um probleminha com um HD externo, formatei ele com um 9.0 >>> (tipo BIOS dedicado), espetei ele pra fazer backup de um 8.2 e ele não >>> quis montar dizendo que a versão do UFS é desconhecida (não anotei que >>> versão ele disse que tem, mas de dia posso ver), forçando montou mas >>> fiquei com medo de gravar e corromper alguma coisa (já tem 142G nele), >>> desmontei graciosamente mas aqui apareceu como sujo (e isso que não >>> gravei nada). >>> >>> Achei que o journal poderia estar ativado mas não estava: >>> >>> # tunefs -J disable /dev/da0 >>> tunefs: soft updates journaling remains unchanged as disabled >>> >>> Isso era esperado? Corro algum risco escrevendo nele? Alguém tem >>> alguma informação a respeito? >>> >>> Grato!! Em 11 de junho de 2012 20:47, William Grzybowski escreveu: > 2012/6/11 Otavio Augusto : >> vc deve ter formatado com particao tipo GPT. Faça um backup usando um >> 90 e formate usando particoes MBR. >> Assim deve abrir em ambos bsds > > Desculpe mas o tipo de tabela de partição não tem _nenhuma_ relação > com o problema, ambos são perfeitamente capazes de entender GPT, além > do mais ele nem tabela de partições está utilizando, com base no > exemplo. > > Acredito que o sistema de arquivos tenha sido criado com -t ou -j no > 9, que não existem no 8.2. > > Cleyton, acredito que você está procurando por tunefs -j e não -J. > Tem razão William, ele está perigosamente dedicado, perigosamente dedicado ao 9.0! hehe. Tem razão, era pra ser -J mesmo, como tentei os dois acabei mandando o errado, o "t" eu não tinha tentado (nem sabia que existia), os três deram a mesma saída de que permanecem desabilitados. Não lembro de ter habilitado algum dia o gjournal nesse disco, ele foi criado com o newfs do 9.0 mesmo, no manual só tem previsão pra versão UFS1 e UFS2, agora me aparece essa terceira! Achei que deveriam ser compatíveis (com essas features desabilitadas). Pensei em alterar na mão a versão, só que se eu abrir no hexedit ele não vai dar conta de 500G! []'s - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
