Do routowania - wybieraj zawsze LINUX ! nie daj się nakusić na jakieś
tam winproxy. Jeśli dostałeś SDI to wydaj jeszcze te 150-300 zł, kup komputer
bez dysku i zrób sobie routera. Pamiętaj jednak aby był to przynajmniej
486 DX 33 i żeby było min 12MBajtów RAM.
Router taki startuje tylko z dyskietki, rozpakowuje się do pamięci
i już jej nie potrzebuje. Możesz tą dyskietkę zaprotegować a wtedy nikt
nie zmieni ci konfiguracji i nawet jak się mu uda włamać to wystarczy zresetować
kompa, bo żadnego backdoora nie nagra.
Zaletą dyskietkowego routera jest także mały pobór prądu (brak dysku)
oraz cisza. Ja w swoich routerach spowolniłem procki (bo i tak się wyrabiają)
i wyłączyłem wszystkie wentylatory. W ten sposób urządzenie jest całkowicie
bezgłośne i bierze około 15W (486 DX 120) lub trochę więcej jeśli to będzie
Pentium.
Żeby zrobić routera dla SDI (i nie tylko) możesz skorzystać z przygotowanych
już dyskietek albo poczytać dość przydługawy opis jak
ja to zrobiłem. Oczywiście zakładam, że pewnie bedziesz wolał gotowe
dyskietki zatem tu masz listę z krótkimi opisami
| obraz dyskietki |
|
zawartość |
odnośnik do opisu
|
| sdi_01.img |
|
prosty router (wystarczy 8MB RAM) | |
| sdi_02.img |
|
zarządzalny router i analiza ruchu | |
| sdi_03.img |
|
j.w. + ochrona sieci (min 24MB RAM) | |
| yuko.img |
|
jak sdi_02 ale dla DSM lub HSM |
Dyskietki można nagrać za pomocą programu rawrite
jednak dyskietki 1.68 najłatwiej za pomocą programu winimage,
który niestety nie jest darmowy. Gdy nie stać cię na zakup wspomnianego
programu to nie szukaj "cracka" i bądź ucziwy !! Możesz przecież
skorzystać z programu fdformat. Jak to zrobić opisałem na stronie Pod_Dosem.
Po skonfigurowaniu dyskietki dobrze jest zrobic sobie kopię a tu możesz
poczytać jak to zrobić.
Podstawowe dane techniczne
Router jest przeróbką routera bardziej uniwersalnego znanego jako LinuxRouter.
Zmieniłem mu jednak jądro na 2.2.18 i dodałem do jądra i bibliotek
dodatkowe patche związane z bezpieczeństwem czyli : lcap,
libsafe,
Openwall.
Od routera oryginalnego różni go także silne ukierunkowanie na SDI w związku
z tym posiada od razu wdudowaną obsługę ppp, QOS oraz mini_httpd. Aby to
wszystko zmieścić musiałem też znacznie zmodyfikować busybox i dopisać
programik zastępujący logchecka. Program ten nazwałem baguard (BAstion
GUARDian) i wykonuje on większość funkcji związanych z raportami a dotyczących
bezpieczeństwa systemu.
Aby zapewnić duże bezpieczeństwo sieci dodałem do routera program snort
oraz kilka własnych programików, które w przypadku dużego zagrożenia będą
starać się odciąć atakującego delikwenta. Problem ten jest dość skomplikowany
i możesz o nim poczytać na stronie detekcja właman
i ataków.
Ostatnio zacząłem prace nad prostym proxy filtrującym tzw "sex-serwery"
ale o tym możesz poczytać na stronie ochrona
dzieci. Niestety jest to w trakcie realizacji zatem poczytasz na razie
tylko o podstawach.
Ostatnio wpadłem na pomysł aby sieci pracujące w różnych miejscach
mogły się widzieć w programie LanChat i rozpocząłem też prace na prosciutenkim
daemonem który nazwałem LanChatGateway.