Firewall

Adam Saleh,u�o 386774, adamthecamper at gmail dot com

Obsah

�vod
net-filter a iptables
Literatura

�vod

Firewall je t� cas� sie�ov�ho zariadenia,ktor�ho hlavn�m poslan�m m� by� blokovanie filtrovanie ne�iad�cej komunik�cie od �iad�cej ktor� ceze� prech�dza. Ak m� zariadenie opera�n� syst�m, b�va firewall �asto jeho s��as�ou.Firewall v��inou rob� toto filtrovanie pomocou sledovania jednotliv�ch packetov sie�ovej vrstvy. Tento druh firewall-u sa naz�va paket-filter.

Typ firewallov

stateless firewall: Ka�d� paket skontroluje zvlṻ (bez oh�adu na ostatn� pakety) a pod�a krit�ri� ho pust� �alej
statefull firewall: Udr�uje si preh�ad o v�etk�ch pr�chodz�ch paketoch, �o umo��uje ove�a presnej�ie pravidl�

Okrem packet-filtrov s� mo�n� aj in� pr�stupy ku kontrole sie�ovej komunik�cie:

aplika�n� proxy: aplik�cia, ktor� sa zvonku tv�ri ako samotn� aplika�n� server, ale v skuto�nosti len kontroluje pr�chodzie d�ta a preposiela ich na skuto�n� aplika�n� server. Medzi ne napr�klad patr� http proxy Squid.
Intrusion Detection/Prevention System: aplik�cia ktor� analyzuje sie�ov� prev�dzku a sna�� sa zisti�, �i neprebieha nejak� druh �toku. Ke� zist� prebiehaj�ci �tok, reaguje pod�a nastavan�.Medzi IDS napr�klad patr� Snort.

netfilter a iptables

Linux obsahuje firewall u� od verzie 1.1, vo verzii 2.4 v�ak pre�iel kompletn�m prepisom. Odvtedy sa jeho architekt�ra v podstate nemen�. Ide o statefull packet filter, pri�om net-filter je framework call-backov v jadre naviazan�ch na sie�ov� interfacy ktor� m��u vyu��va� ostatn� kernel moduly. Netfilter potom ako svoj backend pou��va kernel modul ip_tables. Iptables je tie� n�zov administr�torsk�ho programu, ktor� sl��i na nastavovanie packet-filterovac�ch pravidiel.

Ip_tables funguj� na princ�pe nieko�k�ch tabuliek ktor� obsahuj� takzvan� tzv. chain-rules. Ka�d� pravidlo, ktor� je s��as�ou re�aze mus� obsahova� skok -j TARGET. TARGET m��e by� bu� �al�ia re�az v tabu�ke, alebo jedna zo �peci�lnych hodn�t:

ACCEPT: packet bude prijat�
DROP: packet je odmietnut�
QUEUE: packet je posunut� na spracovanie daemonom v user-space
RETURN: vyhodnocovanie sa vr�ti z moment�lne spracov�vanej re�aze na predch�dzaj�cu

Ak sa pravidlo na packet neuplatn�,pokra�uje sa s �al��m pravidlom v re�azi. Tabulky s� tieto (prevzat� z man-page a odinakia�):

filter

Predvolen� tabulka, obsahuje tri vstavan� re�aze:

input: pre packety,ktor� s� ur�en� na doru�enie na stroj
output: pre packety,ktor� s� vytv�ran� na stroji
forward: pre packety,ktor� s� routovan� cez stroj

nat

Network Address Translation tabulka, ktor� umo��uje zmeni� ip-addresu packetu. M� tri re�aze pravidiel:

prerouting: zmen� ip pred routovan�m packetu
output: zaober� sa odch�dzaj�cimi packetmi
postrouting: zmen� ip po routovan� packetu

mangle

Obsahuje pravidl� na zmeny in�ch inform�ci� v packete. M� tieto re�aze pravidiel:

prerouting: zaober� sa packetom pred routovan�m
input: zaober� sa odch�dzaj�cimi packetmi
forward: zaober� sa routovan�mi packetmi
output: zaober� sa odch�dzaj�cimi packetmi
postrouting: zaober� sa packetom po routovan�

raw

prv� aplikovan� tabu�ka, vie packet zaradi� medzi nesledovan� pomocou targetu NOTRACK.

Na wikipedii je pekn� graf popisuj�ci n�v�znoz� jednotliv�ch tabuliek (v ip_tables je v network layer)

Na samotn� editovanie tabuliek a re�az� sl��i pr�kaz iptables, ktor� sa p��e vo form�te iptables -t [tabulka] [prikaz] ... . Mo�n� pr�kazy s�:

  -t tabu�ka # tabu�ka, ktor� sa m� pou�i�
  -A re�az pravidlo # prid� pravidlo na koniec re�aze
  -I re�az [poradie] pravidlo #vlo�� pravidlo
  -D re�az poradie  #vyma�e pravidlo
  -L [re�az] #vyp��e pravidl�
  -F [re�az] #vyma�e v�etky pravidl�
  -N re�az #definuje re�az
  -X [re�az] #zru�� re�az
  -P re�az cie� #nastav� default cie�

D�le�it� pravidl�:


  -p [!] protokol #protokol sie�ovej vrsty:tcp,udp ...
  -s [!] adresa/maska #zdrojov� IP adresa
  --sport port #len tcp,zdrojov� port  
  -d [!] adresa/maska #cie�ov� IP adresa
  --dport port #len tcp,cie�ov� port
  -i [!] interface #vstupn� interface
  -o [!] interface #v�stupn� interface
   
  -j TARGET #cie� pravidla

Pravidiel je samozrejme ove�a viac, Na �al�ie pravidl� odpor��am pozrie� manu�lov� str�nku. Pre samotn� filtrovanie je samozrejme najd�le�itej�ia tabu�ka FILTER, t�to je aj v iptable nastaven� ako predvolen�. Pr�klad pou�itia, kde zak�eme v�etku komunik�ciu a potom povol�me len ssh pr�stup z rovnakej siete a http od hocikia�:


iptables -F
iptables -P INPUT DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -s 192.168.0.0/24 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT

NAT

Pre potrebu prekladu adries sa pou��va NAT. S� dva hlavn� pr�pady, pre pou�itie NAT-u, jedn�m je klient vo vn�tornej sieti (napr�klad v dom�cnosti pri zdielanom internetovom pripojen�).Druh�m je server vo vn�tornej sieti, ktor�ho slu�bu ale chceme publikova� aj do vonkaj�ej siete. V iptable tabu�ka nat sa nezaober� kontrolou packetov, preto je pri nastavovan� preposielania dobr� prem��la� aj nad forward pravidlami v tabu�ke filter. Pomocou nat tabu�ky sa d� nastavi� aj port-forwarding.

Pr�klad source nat, kde sa men� zdrojov� ip-addresa:

## Zme� zdrojov� adresy paketov prich�dzaj�cich z ethO na 1.2.3.4
# iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 1.2.3.4

Pr�klad destination nat,kde sa men� cie�ov� adresa:


## Zme� cielov� adresy paketov prich�dzaj�cich na port 80 na 5.6.7.8, port 8080. Tu ide o portforwarding.
# iptables -t nat -A PREROUTING -p tcp --dport 80 -i eth0 -j DNAT --to 5.6.7.8:8080