Думаю каждому (а если и не каждому, то многим) из нас (сисадминов) хоть раз, да ставилась задача об объединении нескольких удаленных офисов в единую корпоративную сеть, и каждый находил/выбирал свое решение.
  В настоящие время, существует множество различных решений, для реализации которых можно использовать как специальные аппаратные решения, так и обычные компьютеры, с любой ОС на борту.
  В данной статье, хочу рассказать о том, как объединить три удаленных офиса в одну корпоративную сеть, с разными подсетями для каждого подразделения. Все это я предлагаю поднять используя только дистрибутив OpenBSD.

Нам понадобится:

• Три ПК средней конфигурации (CPU 1,7Ghz, RAM 512Mb, HDD 20Gb, 2x Lan100Mb)
• Статические IP адреса на WAN портах
• Дистриб OpenBSD
• 40 минут вашего драгоценного времени (включая установку ОС)

Ведущий разработчик OpenBSD, канадский программист и хакер Тэо де Раадт (Theo de Raadt) восстановил события десятилетней давности, когда создавался стек протоколов шифрования IPSec. Он называет имена двух основных разработчиков стека (как сейчас выяснилось, они выполняли заказы для ФБР) и пишет, что написанный ими код до сих пор используется в ключевых модулях системы и не только в IPSec.

За эту неделю участники проекта проверили часть кода и нашли несколько довольно серьёзных багов, которые похожи на неумышленные. Эти дыры закрыты много лет назад, хотя данные факты не афишировались. Никаких других дыр, которые могли быть бэкдорами, не найдено.

С одной стороны, проверена только малая часть кода. С другой стороны, есть основания полагать, что бэкдоров нет вообще. Разбирательство продолжается.

Конечно же речь пойдет не о приготовлении всем известного японского деликатеса. А пойдет она о настройке нескольких сервисов, которые я определил для
себя как необходимые, на домашнем сервере. В качестве операционной системы которого будет выступать OpenBSD.
Многие воскликнут, а зачем тебе эта малоизвестная ОС, ведь есть же Linux, FreeBSD. Да, действительно, я мог бы настроить все необходимое и на других
unix like, но это бы не принесло мне столько удовольствия, сколько я испытал изучая и настраивая OpenBSD. Да и потом, меня всегда привлекают сложные
и нестандартные решения.
Закончим с вступлением и вернемся к теме заголовка.
Спешу представить тебе меню, уважаемый читатель.

Сегодня, 19 мая, сообщено о выходе версии 4.7 операционной системы OpenBSD. Это уже 27-й релиз на CD-ROM (и 28-й на FTP).

С полным списком изменений можно ознакомиться здесь. Есть также отдельная страница с описанием различий между версиями 4.6 и 4.7.

Можно купить CD-ROM с системой, а можно её загрузить с одного из FTP-серверов. В последнем случае разработчики призывают совершить пожертвование.

злобная копи-паста моего же текстика с www.efolution.org

По материалам «Calomel.org» (перевод и легкая адаптация)

Описание программы

ifstated — отслеживает состояние сети/сетей и выполняет различные команды в зависимости от изменения состояний сетевых интерфейсов. Отслеживание производится как по прямой проверке «состояния» в данных ОС (включен ли интерфейс, есть ли физическое подключение), так и путем выполнения «тестов» с помощью внешних программ (например, банальный ping).

ifstated благодаря своей гибкости может не только перезапускать проблемные сетевые соединения, но и выполнять более сложные оперции, контролирую и динамически настраивая carp(4) и pf(4).

В принципе ifstated представляет из себя набор конструкций if-then, что и дает возможность заложить любую логику поведения программы.

Данная статья не претендует на полноту описания системы snort, а всего лишь предлагает пользователю готовое решение для защиты своего сервера от маленьких шаловливых ручек.
Я лично ставил всё это дело на OpenBSD, но от смены системы суть не меняется.

Лирическое отступление

snort (http://snort.org) — система обнаружения атак (NIDS) для сетей ipv4 на базе libpcap. Сам по себе — обычный tcpdump. Но к нему можно создавать правила, по которым он будет блокировать вредный траффик и создавать события безопасности (alert).
У меня стоит связка snort-сенсоров, связанных между собой через коллектор на базе дописанного prelude (http://prelude-ids.org). Все правила написаны собственноручно.
Результаты (по статистике работы за 4 месяца):
Ложных срабатываний — около 2% (средний траффик — 120 мбит/сек).
Блокировок за день — около 15.
Количество пропущенных атак — 0 (после внедрения системы безопасности ни один сервер не был взломан. Под защитой стоят хостинг и VDS).
В дополнение дописаны модули автоабьюса по базе данных RIPE и блокировки траффика на корневой циске.

Итак, имеем:
Некий сервер с установленным на нём snort-inline (в случае *BSD устанавливается из портов, в случае Linux'а — из исходников с указанием опции --enable-inline).
Для начала настраиваем сам snort (для вашей ОС пути могут отличаться — смотрите дефолтный конфиг). /etc/snort/snort.conf

Тут уже пролетал мой новогодний текстик об установке OBSD на большой лаптоп, теперь же пришло время привести к человеческому состоянию и нетбук Samsung NC10. Его параметры можно легко найти в гугле (у меня черненький и без всяких WiMax).

    Пакет OpenSSH — это свободная реализация сетевого протокола, позволяющего создавать защищенные соединения, удаленно управлять операционной системой, туннелировать TCP-соединения (например, для передачи файлов). OpenSSH содержит такие клиенты: ssh — для замены rlogin и telnet, scp — для замены rcp и sftp — для замены ftp.

Пролистывая хабраблог Asus eeePC удивился полному отсутствию не-Linux инсталляций у хабраюзеров и решил рассказать свою историю инсталляции OpenBSD для eeePC.