The Stack Clash
For over 5 years, and perhaps even longer, servers around the world running Linux and BSD operating systems have been targeted by an individual or group that compromised them via a backdoor Trojan, then made them send out spam, ESET researchers have found. || ArsTechnica: http://arstechnica.com/security/2015/04/30/spam-blasting-malware-infects-thousands-of-linux-and-freebsd-servers/ || Whitepaper http://www.welivesecurity.com/wp-content/uploads/2015/04/mumblehard.pdf
The Hardkernel ODROID-C1 is a quad-core ARMv7 development board that features an Amlogic S805 SoC (quad-core Cortex-A5 @ 1.5GHz), 1GB RAM and gigabit ethernet for $35 USD.
The ODROID-C1 is the first Cortex-A5 board supported by NetBSD. Matt Thomas (matt@) added initial Cortex-A5 support to the tree, and based on his work I added support for the Amlogic S805 SoC.
NetBSD -current (and soon 7.0) includes support for this board with the ODROID-C1 kernel. The following hardware is supported:
Cortex-A5 (multiprocessor)
CPU frequency scaling
L2 cache controller
Interrupt controller
Cortex-A5 global timer
Cortex-A5 watchdog
UART console
USB OTG controller
Gigabit ethernet
SD card slot
Hardware random number generator
More information on the NetBSD/evbarm on Hardkernel ODROID-C1 wiki page.
As invaluable tools in networked and distributed systems research, network emulators offer a viable alternative to live experimental / testbed networks. We are developing a realistic network topology emulation / simulation framework based on the FreeBSD operating system kernel partitioned into multiple lightweight virtual nodes, which can be interconnected via kernel-level links to form arbitrarily complex network topologies. The concept of using virtual nodes inside a kernel for fast network emulation is not entirely new, yet previously published work generally advocated the implementation of kernel-level virtual nodes with capabilities limited to only certain simple functions, such as passing of network frames from one queue to another based on a static precomputed path. We are basing our work on a thesis that virtual nodes, which could offer the identical rich set of capabilities as the standard kernel does, can be implemented very efficiently by reusing the existing OS kernel code. Our model therefore not only provides each node with an independent replica of the entire standard network stack, thus enabling highly realistic and detailed emulation of network routers; it also enables each virtual node to run a private copy of any unmodified user-level application, including routing protocol daemons, traffic generators, analyzers, or application servers. Furthermore, in later development phases we expect to enable each virtual node to support multiple network protocols concurrently, such as both IPv4 and IPv6, which would bring us a step closer to allowing for emulation of true multiprotocol networked environments.
n my previous articles we have seen how to build a home router being a VPN gateway based off FreeBSD or OpenBSD. In these cases, we used an external VPN provider to connect to, and route all of our encrypted traffic through it. However, while I received positive feeback, I also had legitimate questions about the trust given to the VPN provider. What if the VPN provider is not honest and is in fact logging despite stating the opposite? What if he is malicious and watch his clients traffic? The VPN provider could also be perfectly honest, but could be breached (OS vulnerability, OpenSSL/Heartbleed, Shellshock, etc...) by attackers then logging clients traffics. Or simply, may be we perfectly trust it, but we just want to be in control of the VPN server itself.
Maman, j'ai peur d'internet, y'a que des pirates pédophiles nazis et des blogueurs du web 3.2alpha, ou "comment jouer au videur de boîte de nuit avec les paquets réseau ?". Miam, ça c'est de l'intro !
-
Kessessé ?
1.1 Une petite page d'histoire
PF est né d'une histoire classique dans le monde du Logiciel libre, un problème de licence. A l'origine, OpenBSD utilisait depuis la création du monde (événement connu sous le nom de la-grande-décision-de-théo) un système de firewalling/filtrage nommé "IP Filter" (aka IPF), écrit par Darren Reed [1]. Cependant, un changement [2] [3] [4] dans la licence d'IPF, ainsi que plusieurs désaccords sur son architecture, aboutissent à l'éviction [5] de celui-ci d'OpenBSD peu après la sortie de la version 2.9 de l'OS. Cet événement donna par ailleurs aussi lieu au grand-audit-des-licences-terreuses. OpenBSD se retrouva alors sans système de filtrage de paquets. C'est à ce moment qu'un semi-dieu, nommé Daniel-le-bienveillant (aussi connu sous le surnom de "l'homme aux longs cheveux qui venait du pays des horloges", ou plus communément dhartmei@) entreprit [6] [7] [8], à partir d'un burin, un marteau et un bloc de granit, la création de ce qui allait devenir PacketFilter, un puissant système de filtrage de paquets avec suivi d'états (stateful packet filter) à la syntaxe claire comme de l'eau de roche. PF fut intégré avec la bénédiction de Théo-le-magnifique dans OpenBSD dès la version 3.0, et depuis a été porté dans la douleur [9] sur NetBSD 2.0, et a aussi remplacé [10] IPF dans FreeBSD à partir de la version 5.3 et dans DragonFlyBSD à partir de la version 1.2. PF roulaize over da world et oune IPF. Oups, désolé, je m'emporte, refermons la page historique ici.
1.2 Alors donc, ça fait quoi cet engin ?
PF est donc un filtre de paquets réseau fonctionnant en espace noyau, c'est-à-dire qu'il se place au niveau de la pile réseau et inspecte tous les paquets entrants et sortants de la machine, et en fonction de règles de filtrage va prendre la décision de :bloquer silencieusement le paquet (dans l'espace, personne n'entend les air-lutins crier) ;
rejeter le paquet en envoyant un TCP RST à l'expéditeur (j'ai dit : "PAS DE BASKETS @#!") ;
laisser passer le paquet, en le marquant éventuellement au fer rouge pour post-traitement (Alors ça j'y mets là, ça j'y colle ici..).
PF utilise en plus de ce filtrage une table d'états des connexions établies, permettant de laisser passer les paquets d'une connexion existante sans qu'aucun traitement ne leur soit appliqué. Cette table permet aussi de faire des vérifications sur les numéros de séquence TCP, de vérifier qu'un ICMP echo reply correspond à un ICMP echo request... Enfin, PF permet aussi (oui, madame Michu, ce n'est pas tout) de faire de la NAT (-ation dzim-boum calembour "- -" Mat`). Vous en aviez rêvé, vous allez pouvoir partager votre connexion internet avec tout votre réseau local en faisant de la traduction d'adresses (oui, je sais, ça vient de mon réseau local en adresse privée, mais il faut que ça aille fissa vers le grand nain Ternet et que ça revienne aussi vite à son maî-maître), faire de la redirection de ports, séduire votre voisine (hep, chérie, t'as vu tous les poils que j'ai mis dans cette règle de filtrage ? HaoOOon whoaaaa, prends-moi toute !!) et bien d'autres choses encore... Pour faire tout cela, PF utilise un simple fichier texte pour sa configuration, par défaut /etc/pf.conf. Ce fichier contient une liste de règles. Nous reviendrons sur sa syntaxe après un intermède trollifère.
The PC Engines WRAP system board gives network OEMs a cost-effective SBC platform for their value-added software, such as wireless routers, firewalls, load balancers, VPN, industrial Ethernet, or other special purpose network devices. || WRAP is END OF LIFE, as the AMD SC1100 CPU is no longer available. || Besoin de garder la doc sous la main, pour en avoir récupéré quelques un
Have you ever wanted to know what's really going on in your network? Some free tools with surprising origins can help you to an almost frightening degree.
Bible mutt mail unix
OpenSMTPD est un service SMTP libre utilisant le-dit protocole comme défini dans la RFC 5321. Il permet d'échanger des e-mails avec d'autres systèmes utilisant ce protocole comme Sendmail, Postfix, Exchange, etc.
The developers of the FreeBSD operating system say they no longer trust computer processor chips manufactured by two of the top tech companies — and cite National Security Agency secrets spilled by former contractor Edward Snowden as the reason why.
ip6sic is a tool for stress testing an IPv6 stack implementation. It works in a way much similar to isic which lives over here. It was developed mainly on FreeBSD and is known to work on OpenBSD and Linux. Theoretically, it should work wherever libdnet works.
je m'auto-héberge moi aussi depuis 1 an et demi et l'heure est venue de faire un premier point. Voici les services que j'héberge actuellement :
Serveur mail Postfix, comptes locaux, stockage Maildir et accès IMAP-SSL avec Dovecot.
Serveur Jabber propulsé par Prosody.
Serveur web pour l'upload d'images avec jyraphe et la synchronisation de fichiers avec owncloud.
Serveur DNS pour mon LAN.
Et mes équipements :
Un réseau à base de VLAN et de pfSense
Un serveur à base d'Atom 32 bits et 1GB de ram
Don't buy a router, install it!