Paketové filtry

Aleš Zelinka, xzelinka@fi.muni.cz

Obsah

1. Z admina hasičem aneb co to je firewall
2. Druhy firewallů
- 2.1 Aplikační brány - proxy
- 2.2 Paketové filtry
3. Paketový filtr a Linux

1. Z admina hasičem aneb co to je firewall

Firewally obecně jsou systémy sídlící na hranici mezi několika sítěmi, které zpracovávají provoz jdoucí přes tuto hranici (z obou směrů). Firewally umožňují filtraci a monitorování provozu. Pokročilejší implementace do síťového provozu i aktivně zasahují. Nejčastější nasazení firewallu bývá mezi LAN a Internetem, kdy chceme "hodnou" lokální síť chránit před "zlým" Internetem.

2. Druhy firewallů

Pojmem firewally označujeme poměrně širokou skupinu systémů. Liší se tím zda se primárně zaměřují na filtrování nebo monitoring, na jaké úrovní síťový provoz sledují nebo třeba zda podporují autentizaci uživatelů.

2.1 Proxy, aplikační brány

Aplikační proxy pracují na úrovni protokolů jednotlivých služeb. Pěkným příkladem je http proxy Squid (http://www.squid-cache.org). Ta například dokáže filtrovat požadavky klienta podle adresy (žádné porno, warez a pokémony) a odpovědi serveru podle velikosti (nebudeš stahovat nic většího než 10MB). Hlavně ale vytváří záznamy o tom, kdo co odkud stáhl. Některé aplikační proxy servery udržují cache často požadovaných objektů, čímž zvětšují propustnost sítě. Viz o5 squid.

Aplikační proxy dokáží rozlišit/filtrovat požadavky jednotlivých uživatelů.
Nepotřebují podporu v jádře. To je vyváženo nutností podpory klientských aplikací.

2.2 Paketové filtry

Paketové filtry sledují pohyb dat po síti po jednotlivých paketech. Podle daných pravidel posuzují jednotlivé pakety a rozhodují o jejich dalším osudu. Minimálně určují zda se paket propustí nebo zahodí. Paketové filtry nerozumějí vyšším vrstvám než síťové a nedokáží se podle nich rozhodovat. To co mají k dispozici jsou atributy paketů jako zdrojová/cílová adresa, rozhraní, ze kterého paket přišel, zdrojový/cílový port, etc.

Samotný paketový filtr je rychlý, nenáročný na systémové zdroje. (floppyfw běžící z diskety na 386 8MB RAM)
Celý proces se odehrává v jádře.
Nepotřebuje podporu v jednotlivých aplikacích.

Paketové filtry se v posledních letech dostávají do mody. Jsou tím oblíbenější, čím víc user-friendly prográmků na skenování/nabourávání počítačů je na Internetu k dispozici. Pokud dnes někdo říká, že firewall je základ bezpečnosti a neměl by chybět na žádné síti, dokonce na žádném PC připojeném k Internetu, tak má
a) pravdu
b) na mysli paketový filtr

Proto budu v dalším textu považovat termíny paketový filtr a firewall za ekvivalentní. Pokud má být operační systém považován za (více či méně )bezpečný, tak by měl kromě jiného obsahovat nějaký firewall. To dnes splňují všechny, od komerčních Unixů, přes open source BSD, až po MacOS X a WindowsXP. Linux nevyjímaje. A právě paketovému filtru v Linuxu se budeme věnovat v následujících kapitolách.

3. Paketový filtr a Linux

Paketový filtr je v Linuxu od nepaměti. V každé nové řadě jádra je o něco lepší, konfigurovatelnější, modulárnější,.. Souběžně s ním se vyvíjely i nástroje na jeho konfiguraci z uživatelského prostoru.

Na cestě paketu linuxovým jádrem se nachází několik záchytných bodů. V každém nich lze definovat seznam filtrovacích pravidel. Sady filtrovacích pravidel pak tvoří řetězce(chains), kterými paket prochází. Filtrovací pravidlo je tvořeno popisem atributů paketu a akcí, která se vykoná, pokud paket odpovídá popisu. Pokud neodpovídá, je předán dalšímu pravidlu. Jestliže paket projde až na konec řetězce, je vykonána implicitní akce - tzv politika řetězce.

Kromě základních filtrovacích pravidel pustit/zahodit existují další typy pravidel:

účtovací pravidla (accounting rules) - umožňují počítat přenesené pakety a data.
přesměrovávací pravidla - přesměrují paket na lokální port (vhodné pro transparentní proxy)
NAT pravidla (network address translation) - pravidla pro překlad adres. Umožňují měnit adresy a port paketu. SNAT = source NAT, DNAT = destination NAT, MASQUERADE (maškaráda) = přepis zdrojové adresy lokální adresou - lokální stroj maskuje všechny ostatní stroje za ním ukryté.

3.1 Linux <= 2.0.x - ipfw + ipfwadm

Takto staré kernely se dnes už IMHO příliš nepoužívají, takže následující řádky berte jako odrazový můstek do problematiky. Já jsem takto starý kernel nikdy neviděl a vycházím pouze z materiálů na webu.

Kernely 2.0.x podporovaly čtyři vestavěné řetězce:

input pro příchozí pakety
output pro odchozí
forward pro pakety určené jinému počítači, které jsou pouze routovány. 5B
account pro účtování.

A tři akce které se daly s paketem provést:

accept - paket opouští řetězec a pokračuje dál na cestě kernelem
deny - paket je zahozen
reject - paket je zahozen, z5 je poslána ICMP zpráva o zamítnutí

Jednotlivé filtry se daly vyskládat z následujících atributů:

adresa - zdrojová a cílová adresa nebo její část
protokol - IP, TCP/IP, UDP/IP nebo ICMP/IP
port - zdrojový nebo cílový port, případně rozmezí portů. Pouze u TCP/UDP
rozhraní - rozhraní, ze kterého paket přišel (pro input chain) nebo kterým bude odcházet (output, forward)
TCP ACK flag - zda má paket nastaven ACK flag = zahajuje spojeni

Následující schéma ukazuje cestu paketu jádrem.


   ___________________________________________________________________________
  |        ______________________________________________________________     |
  |        |                                                            |     |
  |account |                                   _______                  |     |
--| chain  |---> ______ --------> ~~~~~~~~ -->|forward|------> _______--|     |-> 
  |--------|    |input |   d     {Routing }   |Chain  |       |output | |-----|      
                |Chain |   e     {Decision}   |_______|   --->|Chain  |         
                |______|   m      ~~~~~~~~                |   |_______|         
                           a        |                     |    ^                
                           s        v                     |    |                
                           q    Local Process             |    |                
                           |        |                     |    |                
                           |        -----------------------    |                
                           |                                   |                
                           -------------------------------------

Jádra 2.0.x podporovala i účtovací a přesměrovávací pravidla a maškarádu. Firewall se nastavoval pomoci utility ipfwadm. (případně u ještě starších verzí ipfw, které má kořeny někde v BSD...). Protože se všechna nastavení po restartu ztratí, je dobré je mít pěkně pohromadě v jednom skriptu a ten spouštět před nahozením sítě.
Na osvětlení malý příklad, který hodně zhruba naznačuje, jak se s firewally v Linuxu pomoci ipfwadm pracovalo. Pozor, skript jako celek je prakticky nepoužitelný.

#!/bin/sh

#politika retezce forward je bez varovani zahazuj - defakto zakaz forwardovani
ipfwadm -F -p deny
#nastav default policy pro retezce input a output tak aby poustely pakety dal
ipfwadm -I -p accept
ipfwadm -O -p accept

#vyprazdnime vsechny retezce (-f = flush)(-I = input, -O = output, -A = accounting)
ipfwadm -F -f
ipfwadm -I -f
ipfwadm -O -f
ipfwadm -A -f

#vytvorime novy retezec
ipchains -N icmp_all
ipchains -F icmp_all

#do retezce putuje cele icmp z input chainu
ipchains -A input -p ICMP -j icmp_all
#poustime icmp jine nez type 5
ipchains -A icmp_all -p icmp --icmp-type ! 5 -j ACCEPT
#zakazeme(-j DENY) fragmentovane ICMP (-f) - ping of death
ipchains -A icmp_all -f -l -j DENY

#v retezci forward (-F) povolime (-a accept) pakety protokolu TCP/IP (-P TCP)
#jdouci ze zdrojove adresy 1.2.3.* a ze zdrojoveho portu v rozmezi
#1024 az 65535 (-S 1.2.3.0/24 1024:65535) na cilovou adresu 192.1.12.10 a
#a cilovy port 25
ipfwadm -F -a accept -b -P tcp -S 1.2.3.0/24 1024:65535 -D 192.1.2.10 25

#pocitame pakety/bajty (-A ) prenesene prez rozhrani eth1 (-W eth1)
#jdouci prez adresu 192.168.37.1 (-S ... a -D ... ) a port www
ipfwadm -A in -a -W eth1 -P tcp -D 192.168.37.1 www
ipfwadm -A out -a -W eth1 -P tcp -S 192.168.37.1 www

#presmerovani prichoziho www na lokalni www proxy port (-r 8080)
ipfwadm -I -a accept -r 8080 -P tcp -S 0.0.0.0/0 -D any/0 www

3.2 Linux 2.2.x - ipchains

Balík ipchains je používaný na jádrech 2.2.x.Je vylepšenou verzí ipfwadm s mírně změněnou syntaxí a s podporou pro nové funkce paketového filtru v 2.2.x kernelech. Z nich určitě stojí za zmínku tyto:

možnost vytvářet vlastní řetězce - umožní líp strukturovat firewall
ve filtrech lze použít negaci
účtovací řetězec zmizel, účtují se všechna pravidla ve všech řetězcích
možnost práce s fragmenty paketů (dřív byly fragmenty automaticky akceptovány)
zjemnění filtrace ICMP - už ne jen typ, ale i kód (viz ipchains -h icmp)
v názvech rozhraní můžeme použít hvězdičkovou notaci
tři nové zabudované akce (btw build-in akce jsou odteď psány velkými písmeny) + jedna pro skoky mezi řetězci:
- RETURN - paket okamžitě opouští řetězec(uplatní se na něj politika řetězce)
- MASQ - maškaráda. Už není vedlejším efektem jiné akce jako u ipfwadm
- REDIRECT - přesměrování. Tak jako u maškarády, žádná nová funkcionalita, jen pročištění syntaxe.
- <neco> - paket putuje do uživatelsky definovaného řetězce jménem "neco"
není potřeba uvádět akci - paket se pouze zaúčtuje (případně zaloguje) a pokračuje dál

Přes všechny nové funkce je vytváření firewallů s ipchains přehlednější a vůbec zábavnější práce než s ipfwadm. Aby byla jasnější syntaxe ipchains, tak o5 malá ukázka:

#logovat veskere SYN pakety, zadna akce
ipchains -A input -i ! lo -p TCP -y -l

#We don't like the NetBIOS and Samba leaking..
ipchains -A input -p TCP --dport 137:139 -j REJECT
ipchains -A input -p UDP --dport 137:139 -j REJECT

#ciste uctovani prichozich dat (eth0 je outside_device), zdna akce
ipchains -A input -i eth0 -d 172.16.1.1

#maskarada forwardovaneho provozu
ipchains -A forward -i eth1 -s 10.0.0.0/8 -j MASQ

V prvním pravidle používáme logování paketů. To funguje tak, že všechny informace z hlavičky paketů vyhovujících danému pravidlu jsou předány démonu klogd a ten je nejčastěji předá dál démonu syslog. Ukázka syntaxe logů z ipchains:

Sep 28 15:09:46 172.16.1.10 kernel: Packet log: input - eth1 PROTO=6 172.16.1.4:1036 212.80.76.18:80 L=48 S=0x00 I=29952 F=0x4000 T=128 SYN (#3)

kde význam položek je následující:

input - řetězec ve kterém se paket logoval
eth1 - rozhraní, ze kterého paket přišel (input) nebo do kterého směřuje (output, forward)
PROTO=6 - číslo protokolu. jméno je v /etc/protocols. tohle je TCP
172.16.1.4:1036 - zdrojová a adresa a port
212.80.76.18:80 - cílová a adresa a port
L=48 - délka paketu v bajtech
S=0x00 - TOS - type of service
I=29952 - IP ID
F=0x4000 - offset fragmentu + příznaky týkající se fragmentace (0x4 na začátku = don't fragment)
T=128 - TTL - time to live = délka života paketu v hopech
SYN - paket měl nastaven SYN flag
(#1) - pořadové číslo filtru, který paket zalogoval. Bráno vzhledem k řetězci

Pokud chcete vědět o ipchains více, pak doporučuji přečíst manuálovou stránku (man 8 ipchains), IPChains HOWTO a číst firewall skripty, kterých je na internetu plno.

3.3 Linux 2.4.x - iptables

V jádrech řady 2.4 se poprvé objevil netfilter . Je to vlastně kostra, po které putuje paket. Na této kostře leží pět záchytných bodů. Pokud chce nějaký jaderný modul pracovat s pakety, zaregistruje se u netfiltru = zachytí se jednoho nebo víc záchytných bodu. Když pak paket do takového bodu dorazí, netfilter ho předá postupně všem zaregistrovaným modulům.

netfilter, jeho pět záchytných bodů a na nich pověšené moduly :

--->PREROUTING--->[ROUTE]--->FWD---------->POSTROUTING--->
   Conntrack         |       Mangle   ^    Mangle
   Mangle            |       Filter   |    NAT (Src)
   NAT (Dst)         |                |    Conntrack
                     |             [ROUTE]
                     v                |
                     IN Filter       OUT Conntrack
                     |  Conntrack     ^  Mangle
                     |  Mangle        |  NAT (Dst)
                     v                |  Filter
                     --local process--^

pozn. Mangle se drží všech pěti záchytných bodů až od kernelu 2.4.18.

Paketový filtr je pak modulem, který se registruje u netfiltru a "přilepí" se na FORWARD, LOCAL_IN a LOCAL_OUT. NAT je další modul. Pomocí NATu se řeší maškaráda, port forwarding a transparentní proxy. Na změnu jiných atributů než adres a portů je tu modul mangle. Ten umí například přepsat TOS, TTL nebo označkovat paket (MARK). V jádře 2.4 přibyla možnost stavové filtrace, která využívá znalosti příslušnosti paketu k určitému spojení. O tabulku aktivních spojení se stará modul conntrack(connection tracking). Toho pak využívá modul filter, který kromě běžných atributů paketů a jejich kombinací může filtrovat i podle stavu spojení. Conntrack rozlišuje čtyři stavy:

NEW - paket otevírá nové spojení
ESTABLISHED - paket je součástí existujícího spojení
RELATED - paket se týká existujícího spojení, ale není přímo jeho součástí
INVALID - cokoliv jiného

U iptables, nástupce ipchains, se samozřejmě zase změnila syntax a přibylo spousta nových voleb. Iptables umí všechny výše jmenované moduly obsluhovat. Co je potřeba udělat navíc, je specifikovat modul (neboli tabulku), se kterým pracujeme. Každý modul dělá něco jiného, používá specifické volby pro iptables a nabízí specifické akce. Ty pak nemůžeme použít s jinými moduly. Tyto závislosti ale přesahují samotné moduly a týkají se i řetězců, protokolů a dalších ( SYN flag má cenu kontrolovat pouze u TCP, u ICMP neexistuje port ale type/code, akci MASQUERADE můžeme použít pouze v tabulce (modulu) NAT,...).

3.3.1 filter

Modul filter prodělal spoustu změn, filtrování je možno definovat jemněji, návaznost na další moduly (conntrack) umožňuje dělat dříve nemožné ;)

rozhraní jsou rozdělena na in a out. v řetězci input je přístupné in, v outputu out a ve forwardu obě.
```
iptables -A INPUT -i eth0
```
možnost filtrovat podle příznaků SYN, ACK, FIN, RST, URG a PSH
```
iptables -p tcp --tcp-flags SYN,ACK,FIN SYN
```

filtrace podle zdrojové MAC adresy

iptables -A INPUT -m mac --mac-source 00:00:00:00:00:01

limit na apikovatelnost určitého pravidla

iptables -A INPUT -m limit --limit-burst 5 --limit 3/hour

porty můžeme specifikovat jednotlivě, jako rozmezí od-do, nebo jako množinu až 15 různých portů
```
iptables -A INPUT -p tcp -m multiport --source-port 22,53,80,110
```
u paketů vytvořených lokálně lze filtrovat podle uid, gid, pid a sid
```
iptables -A OUTPUT -m owner --uid-owner 500
```

podle stavu za pomoci modulu conntrack

iptables -A INPUT -m state --state RELATED,ESTABLISHED

podle type of service - TOS. (normální jména k hexa hodnotám viz iptables -m tos -h)
```
iptables -A INPUT -p tcp -m tos --tos 0x16
```
podle ttl
```
iptables -A OUTPUT -m ttl --ttl 60
```

Akce prováděné s paketem:

ACCEPT - akceptuje paket - končí zpracování aktuálního řetězce (a všech nadřazených), paket pokračuje dál
DROP - zahazuje bez upozornění
REJECT - zahazuje s upozornění
QUEUE - zařadí paket do fronty pro zpracování v uživatelském prostoru
RETURN - končí zpracování řetězce, pokračuje se v nadřazeném
LOG - loguje paket. má spoustu doplňujících přepínačů viz man iptables
ULOG - sofistikovanější logování. pošle paket do uživatelského prostoru.

Logy iptables vypadají podobně jako u ipchains, i význam položek je stejný. Malý příklad:

Nov 27 12:03:14 holomraz kernel: IN= OUT=lo SRC=127.0.0.1 DST=127.0.0.1 LEN=84 TOS=0x00 PREC=0x00 TTL=255 ID=29235 PROTO=ICMP TYPE=0 CODE=0 ID=5390 SEQ=768

3.3.2 NAT

Network Adderss Translation podporuje čtyři akce:

DNAT - mění cílovou adresu a podle toho pak routuje paket a všechny ostatní v proudu paketů. pomocí DNATu se řeší port forwarding a transparentní proxy.
```
iptables -t nat -A PREROUTING -p tcp -d 15.45.23.67 --dport 80 -j DNAT --to-destination 192.168.1.1-192.168.1.10
```

SNAT - mění zdrojovou adresu/port.

iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 194.236.50.155-194.236.50.160:1024-32000

MASQUERADE - forma SNATu vhodná pro dynamicky přidělovaná IP (např. vytáčená spojení), kdy maskujeme stroje s neveřejnými IP za IP rozhraní firewallu na venkovní síti. Navíc zahazuje tabulku spojení po shození rozhraní.
```
iptables -t nat -A POSTROUTING -p TCP -j MASQUERADE --to-ports 1024-31000
```
REDIRECT - přesměrovává pakety na určitý port na počítači s firewallem. vhodné pro lokální transparentní proxy.
```
iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080
```

3.3.3 mangle

mangle tabulka zavádí nový přepínač pro výběr paketu:

mark - pravidlo uspěje pokud byl paket dříve označen.
```
iptables -t mangle -A INPUT -m mark --mark 1
```

a několik akcí:

MARK - označí paket. pozor značka není součástí paketu -> po opuštění počítače, kde vznikla, se ztratí..
```
iptables -t mangle -A PREROUTING -p tcp --dport 22 -j MARK --set-mark 2
```

TOS - změní TOS paketu

iptables -t mangle -A PREROUTING -p TCP --dport 22 -j TOS --set-tos 0x10

TTL - změní TTL paketu

	iptables -t mangle -A PREROUTING -i eth0 -j TTL --ttl-set 64
	iptables -t mangle -A PREROUTING -i eth0 -j TTL --ttl-dec 1
	iptables -t mangle -A PREROUTING -i eth0 -j TTL --ttl-inc 1

Víc o netfiltru, iptables a filtrování paketů obecně se můžete dočíst v
man iptables
netfilter homepage
IPtables tutorial
Netfilter hacking HOWTO

3.4 Pár tipů na psaní firewallu

3.4.1 procfs

Z /proc/sys/net můžete nejen spoustu věcí o nastavení firewallu vyčíst ale i nastavit. například

echo "1" > /proc/sys/net/ipv4/ip_forward

zapíná forwardování paketů. Bez tohohle si jako router/gateway ani neškrtnete.

echo "1" > /proc/sys/net/ipv4/ip_dynaddr

zapne podporu dynamickych IP adress. Hodí se když používáte PPP, DHCP, etc a chcete aby fungovalo.

a SPOUSTA dalších. Pokud znáte detailní popis, ozvěte se mi na mail.

iptables -A INPUT -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "New not syn:"
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP

27.11.2002, xzelinka@fi.muni.cz