Book of PF er den kanoniske referansen til PF-brannmuren

  • Pierce Henry
  • 0
  • 2898
  • 519

Brannmurer utgjør en nøkkelkomponent i ethvert Internett-tilkoblet nettets sikkerhetsstrategi i dag, og har gjort det i lang tid. Det stemmer også med individuelle stasjonære systemer, men inntil MS Windows XP Service Pack 2 innlemmet en standard brannmur i operativsystemet, klarte ikke flertallet av slike systeminstallasjoner å adressere den viktige faktoren i noen rimelig sikkerhetsstrategi. Microsofts Windows-brannmur gir minimal beskyttelse, selv for de som ikke tar noen skritt for å sikre sine egne systemer, men reell sikkerhet krever personlig oppmerksomhet til valg og konfigurasjon av brannmurprogramvare.

Standard brannmurprogramvare for operativsystemet OpenBSD heter PF, som står for Packet Filter. Det er passende nok pakkefiltrering av brannmurprogramvare. Det er favorittbrannmurprogramvaren til mange nettverksadministratorer, ikke bare på OpenBSD, men også på andre BSD Unix-smaker, inkludert FreeBSD.

Du har kanskje lest om PF her tidligere. Artikkelen "Bruke PF og ALTQ for QoS-styring" diskuterte kvaliteten på tjenestesikring for nettverk som bruker ALTQ med PF, og "Bruk brannmurprogramvare som PF for å beskytte dine stasjonære systemer" ga en enkel start på stasjonær datamaskinorientert PF-konfigurasjon for FreeBSD.

Peter N. M. Hansteen er en langvarig PF-bruker som har fått noe av et rykte for seg selv ved å holde presentasjoner på konferanser om effektiv PF-konfigurasjon, og for å skrive en omfattende introduksjon til PF-konfigurasjon kalt Brannmur med OpenBSDs PF-pakkefilter. Det kan være fristende å kalle det en gjøremål, men helt i begynnelsen av introduksjonen, sier han:

Dette dokumentet er ikke ment som en ferdigkokt oppskrift for klipping og liming.

Bare for å hamre inn dette, vennligst gjenta etter meg

Pantet til nettverksadministratoren

Dette er nettverket mitt.

Den er min

eller teknisk sett arbeidsgiveren min,

det er mitt ansvar

og jeg pleier det av hele mitt hjerte

det er mange andre nettverk som mitt,

men ingen er akkurat som det.

Jeg sverger høytidelig

som jeg ikke tankeløst vil lime inn fra HOWTOs.

Etter hvert har mye av materialet i Brannmur med OpenBSDs PF-pakkefilter ble utvidet av Hansteen og utgitt av No Starch Press as Book of PF. Ovennevnte utsagn som oppfordrer folk til å unngå systemadministrasjon er duplisert i boka, og setter tonen for hele teksten.

Den første utgaven av Hansteens bok, utgitt i 2007, har ligget på hylla mi siden den var ny. Å si at det var den beste boken om PF på markedet ville være overflødig, gitt at det var den bare mye utgitt, aktuell bok spesifikt om PF selv (gitt det Bygge brannmurer med OpenBSD og PF dateres tilbake til 2003), spesielt for brukere av andre operativsystemer enn OpenBSD. Selv om det var et middelmådig tilbud, ville det fortsatt være det beste som er tilgjengelig. Langt fra middelmådig er det imidlertid den definitive hardkopieringsveiledningen for distribusjon og konfigurering av PF-brannmurer, skrevet i tydelig, krevende stil. Dekningen er enestående som en bekjentskap med PF, og hva den sier på forsiden er ingen falsk reklame:

En tullguide til OpenBSD-brannmuren

PF har utviklet seg siden 2007, og noe av det som var i Book of PF blir litt datert. Peter Hansteen tok opp problemet ved å oppdatere det for en annenutgaveutskrift. Han kontaktet meg som en forfatter som har hatt noen positive ting å si om BSD Unix-systemer i det siste og tilbød meg en kopi av den andre utgaven, og ga meg valget mellom en tidlig kopi og en han signerte. Jeg valgte sistnevnte, og midt i resten av lesningen jeg klarte jeg å finne tiden til å gå gjennom det i detalj.

oppdateringer

Blant oppdateringene som er innarbeidet i den andre utgaven, er de store endringene til PF i OpenBSD 4.7 og tillegg til pflow. Hansteens oppmerksomhet på detaljer inkluderer informasjon om PF på FreeBSD og NetBSD, som er litt forskjellige dyr enn OpenBSD-versjonen av brannmurprogramvaren. Å si at min erfaring med PF på NetBSD er minimal, kan være å overdrive ekspertisen min, men den andre utgaven av denne boken har allerede vist seg lærerik og uvurderlig for meg som FreeBSD-bruker; behandlingen av programvaren på min nåværende valgte plattform er utmerket.

Teksten fokuserer på informasjon som ikke endres fra dag til dag, og legger et sterkt grunnlag for å forstå programvaren nå og i fremtiden, i stedet for å kaste bort tid på å indoktrinere leseren i de flyktige forestillingene om samtiden. Å få mest mulig ut av boka krever litt praktisk arbeid; lære ved å gjøre, og ikke bare ved å prøve å huske. Hansteens tilnærming prøver ikke å skjule det faktum, men gir deg heller verktøyene som trengs for ikke bare å lære ved å gjøre, men utvide på et grunnlag av forståelse som boken kan gi.

Mange sikkerhetsbevisste lesere er kanskje uenige i noen av Hansteens perspektiver på sikkerhet som helhet - for eksempel grålogging og teppet sudo-bruk - men det er ingen skyld i innsatsen for å formidle kunnskapen til leseren som vil stå oss i god stand når vi distribuerer og vedlikeholder Våre egne PF-brannmurer.

mangler

Hvis det er en feil i boken, er det dens tendens til bare å skumme forbi visse vilkår og funksjoner i PF, hvor det forventes at leseren vil slå opp detaljene for seg selv. I avsnittet om tilgangspunkter med tre eller flere grensesnitt på side 50 i den andre utgaven, bruker for eksempel en eksempelkonfigurasjonsregel for PF-versjoner før OpenBSD 4.7 statisk-port alternativet, men teksten unnlater å forklare hva mann pf.conf vil fortelle deg:

 statisk-port 

Med nat-regler forhindrer alternativet statisk port at pf (4) endres-

inn kildeporten på TCP- og UDP-pakker.

Det er flere slike utelatelser, selv om det ikke har vist seg å være vanskelig å dekke for dem ved hjelp av dokumentasjonen som følger med PF-programvaren. For det meste er bokenes korthet god, ved at den bevisst unngår å gjenta det som finnes i manpages og den offisielle PF-brukerhåndboken (som også er tilgjengelig fra lenker på OpenBSD FAQ-siden i PDF og tekstfilformater) ). Noen ganger faller noe gjennom sprekkene som kunne hatt godt av litt mer belystelse, skjønt.

Til syvende og sist, Book of PF ble ikke tildelt nok sider til å være en virkelig omfattende referanse, og bør brukes i samsvar med den elektroniske dokumentasjonen som følger med PF og brukerveiledningen, i stedet for rent som et frittstående verk. Måten det skrives på er tydelig ment å sette mulighetene til PF i en praktisk kontekst, og å formidle til leseren hvordan han tenker på språket til PF; i den rollen utmerker det seg. Av den grunn er det en flott tutorial ikke bare for folk som planlegger å jobbe med PF direkte, men også for de som planlegger å distribuere eller vedlikeholde "brukervennlige" frontend som pfSense, fordi det kan gi dem en forståelse av grunnlaget for den programvaren som vil lære dem om implikasjonene av beslutningene deres.

Book of PF er tilgjengelig i det særegne paperback-formatet til No Starch Press tekniske bøker, og i en rekke elektroniske formater direkte fra No Starch Press-nettstedet, inkludert PDF, Mobi og ePub for omtrent halvparten av prisen på hardkopien. Uansett hvordan du får det til, er det imidlertid en må-ha tekst for alle som distribuerer og vedlikeholder PF-brannmurer - selv om bare på din personlige datamaskin.




Ingen har kommentert denne artikkelen ennå.

Tips, nyttig informasjon og siste nytt fra teknologiens verden!
Nyttig informasjon og de siste teknologinyhetene fra hele verden. Videoomtaler av telefoner, nettbrett og datamaskiner.