Iptables. Krzysztof Rykaczewski. 15/11/06 1

Transkrypt

1 Iptables Krzysztof Rykaczewski 15/11/06 1

2 Co to takiego filtr pakietów? Filtr pakietów to oprogramowanie, które sprawdza nagłówki (ang. header) ) pakietów w trakcie jak przechodzą przez maszynę na której działa i decyduje o ich losie. Umożliwia on operowanie na pakietach przechodzących do systemu, z systemu i poprzez system. W Linuxie filtrowanie pakietów IP wbudowane jest w jądro systemu operacyjnego. Począwszy od wersji jądra odpowiedzialny jest za to moduł o nazwie netfilter, oferujący niezależną filtrację pakietów przychodzących, wychodzących i routowanych. 15/11/06 2

3 Czym więc jest iptables? Iptables to jedna z implementacji filtra pakietów, która dostarcza programistom i administratorom wygodniejsze interfejsy oraz duże możliwości Tak naprawdę jest to moduł dołączający się do netfiltera Służy do dynamicznego generowania reguł filtracji. Reguły te przechowywane są w pamięci jądra, ale można je zapisać (iptablessave lub iptablesrestore) Głównie używany jest jako firewall bądź router Ma wygodniejszą składnię i jest o wiele prostsze w obsłudze niż starsze ipfwadm i ipchains 15/11/06 3

4 Możliwości Iptables standardowo umożliwia jedynie proste filtrowanie na podstawie adresów IP oraz wykonywanie prostych akcji jak DROP, ACCEPT, SNAT czy DNAT. Ma ona jednak bardzo pożyteczną cechę (jest rozszerzalne), dzięki temu zostało napisanych wiele rozszerzeń, które umożliwiają filtrowanie według bardziej wyszukanych kryteriów czy też wykonywanie bardziej zaawansowanych akcji. Filtrowanie pakietów ze względu na adres i port: źródłowy i docelowy. Filtrowanie pakietów ze względu na typ pakietu: UDP, TCP, ICMP. Filtrowanie ze względu na wykorzystany protokół (IPv4,( 15/11/06 4 IPv6), czas życia...

5 Instalacja... Jeśli jeszcze nie mamy zainstalowanego iptables: # tar xzvf iptables1.3.6.tar.gz # cd iptables1.3.6 # make # make install Musimy upewnić się ze mamy wszystkie potrzebne funkcje wbudowane w nasz kernel # make menuconfig CONFIG_NETFILTER (,,Network packet filtering (replaces ipchains)'') Dzięki uatkywnieniu wszystkich opcji będziemy mieli pełną funkcjonalność netfiltra 15/11/06 5

6 Instalacja (2) Konfiguracja Kernela Musimy teraz uaktywnić kilka opcji kernela z sekcji Network options: <*> Packet socket [*] Network packet filtering (replace ipchains) <*> Unix domain sockets [*] TCP/IP networking [*] IP: advanced router [*] IP: policy routing [*] IP: use netfilter MARK value as routing key [*] IP: fast network address translation [*] IP: use TOS value as routing key IP NETFILTER CONFIGURATION > 15/11/06 6

7 Instalacja (3) Konfiguracja Kernela Należy pamiętać jednocześnie aby nie zaznaczać opcji [ ] IP: TCP Explicit Congestion Notification support Wtedy bowiem nasz system nie będzie mógł utrzymać łączności z 8% całego Internetu 15/11/06 7

8 Konfiguracja iptables Konfiguracja polega na definiowaniu tzw. reguł (ang. rules) składających się z wzorca i akcji. Każda trafiająca wiadomość dopasowywana jest do wzorca; jeśli nie pasuje do wzorca pod uwagę brana jest kolejna reguła gdy już ustali się ten do którego pasuje o dalszym losie wiadomości decyduje akcja reguły. Przeszukiwanie trwa do pierwszego dopasowania wzorca lub do wyczerpania reguł Wyróżnia się trzy typy reguł: reguły filtrujące reguły translacji NAT reguły do manipulowania zaawansowanymi opcjami protokołu IP 15/11/06 8

9 Konfiguracja iptables Wszystkie reguły tego samego typu przechowywane są w strukturze zwanej tablicą (ang. table). Istnieją zatem trzy wbudowane tablice: filter tablica na podstawie której odbywa się filtrowanie pakietów (dla reguł filtrujących) nat tablica na podstawie której odbywa się translacja adresów (dla reguł translacji NAT) mangle używana do zmiany informacji zawartych w pakiecie IP 15/11/06 9

10 Konfiguracja iptables Sekwencja reguł powstała przez połączenie grup reguł nazywa się łańcuchem (ang. chain). Pakiet iptables posiada pięć wbudowanych łańcuchów: INPUT OUTPUT FORWARD PREROUTIONG POSTROUTING tylko dla nat i mangle 15/11/06 10

11 Składania polecenia iptables Ogólna postać komendy: iptables [t tablica] komenda [wzorzec] akcja tablica: filter, nat, mangle komenda: I n A D R L F Z N X P E testy (akcje): s d p i o... cel: j ACCEPT j DENY j REJECT j DROP... 15/11/06 11

12 Składania polecenia iptables c.d. Komendą może być jedna z poniższych: P łańcuch polityka ustawienie domyślnej polityki; jest stosowana dopiero wowczas gdy pakiet nie pasuje do żadnej reguły A łańcuch [reguła] dodanie reguły do określonego łańcucha I łańcuch [nr reguły] [reguła] wstawianie ie reguły r do określonego łańcucha; jeśli zostanie podany numer to reguła zostanie wpisana w to miejsce zmieniając kolejność pozostałych L łańcuch wyświetlenie wszystkich reguł łańcucha (często z opcjami n lub v ) F łańcuch wyczyszczenie reguł łańcucha lub wszytkich reguł z danej tablicy D łańcuch [nr_reguły] usunięcie konkretnej reguły z określonego łańcucha R łańcuch nr_reguły [reguła] zastąpienie reguły w łańcuchu 15/11/06 12

13 Składania polecenia iptables c.d. Wzorzec: s [!] ip/[netmask] źródłowy adres IP (może być uogólniony do adresu sieci) d [!] ip/[netmask] docelowy adres IP p protokół wybór protokołu: tcp, udp, icmp i all (wszystkie prtokoły TCP) i [!] interfejs_wejściowy o [!] interfejs_wyjściowy sport [!] port[:port] port źródłowy dport [!] port[:port] port docelowy m moduł załadowanie modułu rozszerzającego 15/11/06 13

14 Składania polecenia iptables c.d. Najważniejsze akcje: j ACCEPT oznacza przepuszczenie pasujących pakietów j DROP odrzucenie dopasowanych pakietów (tak jakby w ogóle nie dotarły) j REJECT odrzucenie pakietów z powiadomieniem j LOG zalogowanie dopasowanych pakietów bez usuwania z łańcucha j RETURN usunięcie pakietów z łańcucha pozwalając aby dalej był sprawdzany w kolejnych łańcuchach j SNAT translacja adresów źródłowych j DNAT translacja adresów docelowych j SAME translacja adresów źródłowych i docelowych 15/11/06 14

15 Składania polecenia iptables c.d. Najważniejsze akcje: j REDIRECT przekierowanie do lokalnego systemu j MASQERADE translacja adresów źródłowych na adresy dynamiczne przyznawana na interfejsie 15/11/06 15

16 Rozszerzenia iptables(1) Na bazie netfilter zostało zbudowanych wiele modułów, które dodają nowe możliwości do zarządzania pakietami. Rozszerzają one możliwości ściany ogniowej. Kilka z nich jest ustawionych domyślnie np.: tcp, udp. Większość dostępna jest w dodatku patchomaticng. KRÓTKIE OPISY MODUŁÓW Dotyczce IPSec: ah dopasowuj się do pola "spi" w nagłówku AH pakietu, esp dopasowuj się do pola "spi" w nagłówku ESP pakietu, policy dopasowuje się do "policy" pakietu. 15/11/06 16

17 Rozszerzenia iptables(2) Dopasowujce się do nagłówka pakietu IP: dscp dopasowuje się do 6 bitów DSCP znajdujących się w polu ToS, ecn sprawdza bit ECN w nagłówku pakietu, ipv4options sprawdza różne opcje nagłówka pakietu, np. source routing, record route, tcpmss tos ttl sprawdza pole MSS (Maximum Segment Size), pole ToS (Type of Service), pole TTL (Time To Live). 15/11/06 17

18 Rozszerzenia iptables(3,4) IPSec:Nadzorujące połączenia (stanowość): state umożliwia zidentyfikowanie istniejących połączeń oraz nowych, conntrack rozszerza możliwosci modulu state, helper pozwala określić "pomocnika" do przekazywania połączenia, np. standardowym pomocnikiem jest moduł pozwalający przekazywać połączenia ftpdata w trybie aktywnym. Określające typ pakietu: icmp tcp udp dopasowuje się do pakietów typu ICMP, dotyczy pakietów typu TCP, dotyczy pakietów typu UDP, unclean dotyczy pakietów zniszczonych i niepoprawnych. 15/11/06 18

19 Rozszerzenia iptables(5,6) Określajce limity: connlimit umożliwia określenie maksymalnej liczby połączeń do konkretnego adresu IP z jednego adresu IP klienta, connrate umożliwia określenie maksymalnego/minimalnego transferu, hashlimit umożliwia określenie maksymalnego transferu do danej usługi/serwera. Znakowanie pakietów: mark umożliwia znalezienie oznakowanego pakietu, connmark umożliwia znalezienie każdego pakietu związanego z oznakowanym połączeniem. 15/11/06 19

20 Rozszerzenia iptables(7) Ułatwiające tworzenie reguł: iprange umożliwia wpisanie zakresu adresów IP, mac umożliwia sprawdzenie adresu sprzętowego karty sieciowej MAC, multiport umożliwia wpisanie zakresu portów, owner dla lokalnych połączeń umożliwia określenie który użytkownik wysłał dany pakiet, pkttype określa typ pakietu ( unicast, multicast, broadcast) set wykorzystanie stworzonych zbiorów adresów (polecenie ipset), time określenie daty i/lub czasu, comment umożliwia dopisanie komentarza do każdej reguły. 15/11/06 20

21 Rozszerzenia iptables(8,9) Rozszerzone sprawdzanie pakietów: length sprawdzające wielkość pakietu, string dopasowujące się do zawartości pakietu w polu DATA, ipp2p dopasowujące się do ruchu generowanego przez aplikację typu P2P. Określające częstość: limit określa jak często reguła będzie dopasowana, np. 3 razy na sekund 3/s, nth określa co jaką liczbę pakietów będzie dopasowana reguła, np. co 5 pakiet, random określa dopasowanie reguły do pakietu z zadanym prawdopodobiestwem, np. 50% pakietów. 15/11/06 21

22 Monitorujce: Rozszerzenia iptables(10,11) recent tworzy listy adresów wykorzystujących łącze (przechodzących przez tę regułę),wyniki zapisywane są w katalogu /proc/net/ipt_recent/nazwa, account zlicza ruch do określonych adresów, wyniki w katalogu /proc/net/ipt_account/nazwa, quota Inne: określa quotę dla określonych pakietów. condition pozwala warunkować stosowanie reguły, poprzez plik w katalogu /proc/net/ipt_condition/nazwa osf odczytuje pasywnie "odcisk palca" (fingerprint) konkretnego adresu IP i zapisuje w pliku /proc/sys/net/ipv4/osf psd pozwala wykryć skanowanie portów TCP i UDP. 15/11/06 22

23 Rozszerzenia celów Cele określają co zostanie zrobione z danym pakietem, domyślnymi celami są akceptacja (ACCEPT( ACCEPT) ) i odrzucenie (DROP)) pakietu. Jednak twórcy zapory postanowili rozszerzyć listę dostępnych celów: 1. Zmiana adresów IP: BALANCE podobne do DNAT, ale równomiernie rozkłada obcienie na wiele adresów IP, DNAT Destination NAT, MASQUERADE NETMAP REDIRECT ukrywanie źródlowych adresów IP, statyczna zamiana adresów całych podsieci, przekierowanie ruchu na lokalny komputer, SAME podobne do DNAT/SNAT, ale zawsze przydziela te same adresy IP konkretnym klientom, SNAT Source NAT. 15/11/06 23

24 2. Znakowanie pakietów: Rozszerzenia celów(2) CONNMARK znakuje połączenia, IPMARK znakowanie pakietów na podstawie adresu IP, MARK znakuje pakiety. 3. Zmieniające nagłówek pakietu: DSCP umożliwia zmianę 6 bitów DSCP pola ToS, ECN umożliwia usunięcie bitu ECN, IPV4OPTSSTRIP pakietu, usunięcie wszystkich opcji IP z nagłówka TCPMSS ustawienie pola MSS, TOS TTL ustawienie pola ToS, ustawienie pola TTL. 15/11/06 24

25 4. Śledzenie pakietów: NOTRACK wyłącza śledzenie połączenia, Rozszerzenia celów(3) TARPIT przechwytuje połaczenia i zawiesza je, w celu zabezpieczenie się przed skanowaniem typu Code Red i Nimda, TRACE włącza śledzenie połączenia. 5. Logowanie: LOG ULOG logowanie pakietów, logowanie w przestrzeni użytkownika. 6. Inne: REJECT odrzuca pakiety wysyłając okrelony kod błędu do nadawcy, ROUTE SET pozwala nadpisać wpisy tablicy tras, dodaje/usuwa adresy z zakresów (polecenie ipset), XOR pozwala zastosowa proste zabezpieczenie danych pakietu, poprzez wykonanie funkcji XOR na danych i okrelonym haśle. 15/11/06 25

26 Pomoc Żeby uzyskać informacje o module: iptables m <moduł> h Uzyskanie pomocy o celu: iptables j <cel> h 15/11/06 26

27 Przykłady Ustawienie domyślnej polityki łańcucha INPUT na DROP: iptables P INPUT DROP Akceptacja pakietów o adresie źródłowym : iptables A INPUT s j ACCEPT Akceptacja pakietów ustanowionych i związanych z innymi połączeniami: iptables A INPUT m state state ESTABLISHED,RELATED j ACCEPT Blokada więcej niż 2 połączeń na port 23 iptables A INPUT p tcp syn dport 23 m connlimit connlimitabove 2 j REJECT rejectwith icmphostunreachable 15/11/06 27

28 Przykłady Akceptacja 3 połączeń na minutę: iptables A INPUT m limit limit 3/min j ACCEPT Umożliwienie tylko jednego na minutę połączenia z portem 22: iptables A INPUT p tcp dport 22 m hashlimit hashlimit 1/min hashlimitmode srcip hashlimitname ssh m state state NEW j ACCEPT 15/11/06 28

29 Bibliografia /11/06 29