Sistemi di elaborazione dell informazione

Transcript

1 Sistemi di elaborazione dell informazione introduzione ai firewall con Linux e IPTABLES Studente: Tavella Antonio Laerte Matricola:

2 Introduzione Firewall I firewall sono dispositivi software o hardware posti a protezione dei punti di interconnessione eventualmente esistenti tra una rete privata interna (ad es. una Intranet) ed una rete pubblica esterna (ad. es. Internet), oppure tra due reti differenti. Il firewall, la cui traduzione letterale è parete tagliafuoco, deve svolgere due compiti fondamentali: prevenire intrusioni dall esterno ed eventuali fuoriuscite indesiderate di informazioni dall interno. In Figura vediamo una semplice schematizzazione della posizione di un firewall: In questo documento sono illustrate le funzioni fondamentali di un firewall e viene descritta la configurazione di un firewall con su GNU/Linux con Iptables.

3 Perché è meglio proteggersi? Il nostro computer di casa, una volta connesso a Internet tramite un modem, è raggiungibile da ogni host del mondo! In mancanza di dispositivi di filtraggio, ogni servizio di rete attivo sul nostro computer (es. condivisioni windows...) può essere raggiungibile dall'esterno. Dal punto di vista della sicurezza, inoltre, ogni servizio esposto rappresenta una possibile vulnerabilità del nostro sistema e della nostra rete. L'offerta di connettività ADSL a basso costo ha permesso anche all'utenza casalinga di usufruire di linee always on ad alta velocità che, proprio perché sempre attive, necessitano di una maggiore protezione contro le intrusioni. Firewall: cos'è e a cosa serve? NON è un muro di fuoco, è un muro taglia fuoco che ha il compito di isolare e compartimentale una struttura. Il firewall è l'insieme delle difese perimetrali, hardware e software,costituito da uno o più dispositivi. Il firewall è un elemento (ormai) fondamentale del networking il cui scopo principale è quello di proteggere una rete, frapponendosi, ad esempio, tra una rete privata trusted da proteggere (Intranet) e una pubblica untrusted (Internet). Un firewall controlla e limita il flusso dati verso (e da) una rete protetta. Firewall: cosa fa e cosa non fa Cosa fa... Separazione fisica tra due o più reti; Restrizione sul traffico; Monitoraggio del traffico; Logging del traffico; Cosa non fa... Non protegge da virus; Non impedisce lo scaricamento di software infetto; Non esamina il payload dei pacchetti (i dati ); Non può fare ciò che non è stato previsto in partenza; Non protegge da tipi di attacchi non noti a priori; Non protegge da utenti legittimi; Non protegge in caso di punti di accesso non controllati;

4 Firewall: perché usarlo Aumentare la sicurezza della rete alcuni servizi sono intrinsecamente insicuri e/o impossibili da mettere in sicurezza su ogni singolo host; un firewall può limitare o prevenire intrusioni e certi tipi di attacchi; Controllo accessi/servizi un firewall può aiutare a rafforzare la policy di sicurezza della rete consentendo selettivamente l'accesso a certi servizi (da tutti o certi host); Monitoring/Logging un firewall deve esaminare tutto il traffico in ingresso o in uscita, può perciò aiutare a tracciare l'attività di rete (almeno quella che attraversa il firewall); Firewall: vengono classificati A filtro di pacchetto (packet filter): essi possono lavorare solo a livello rete e trasporto, quindi non sono in grado di filtrare il traffico in base a ciò che e realmente contenuto dai pacchetti; essi possono infatti eseguire filtri in base a ciò che riportano le intestazioni dei protocolli di questi livelli, quindi in base a indirizzi IP sorgente e destinazione, porta, anch'essa sorgente e destinazione, e tipo di protocollo; i filtri possono essere di tre specie: input, che si applicano ai pacchetti diretti al firewall stesso; output, che si applicano invece a pacchetti in uscita dal firewall; forward, che si applicano a quei pacchetti che devono attraversare il firewall e che esso deve instradare verso la giusta interfaccia. È possibile impostare i filtri creando delle regole; queste regole possono essere regole di accettazione oppure possono essere di rifiuto, mentre per i pacchetti che non corrispondono a nessuna regola sono stabilite politiche di default; e possibile inoltre eseguire un ulteriore classificazione dei firewall a filtro di pacchetto: stateless, che non riescono a tenere traccia delle connessioni TCP e non riescono dunque ad individuare pacchetti malevoli che non appartengono a nessuna connessione aperta volontariamente dall'host; molti router hanno un firewall di questo tipo integrato;

5 stateful, che sono invece in grado di tenere traccia delle relazioni tra i pacchetti che lo attraversano e possono dunque ricostruire lo stato delle connessioni attive in un determinato momento; essi sono in grado di individuare quei segmenti TCP che vengono inviati all'host allo scopo di ottenere informazioni dal sistema. Application layer firewall, che sono in grado di interpretare il contenuto dei segmenti TCP, permettendo di riconoscere virus e di impostare regole sui dati trasportati; un esempio di essi lo troviamo nei server proxy, che nella maggior parte delle volte sono specifici per un protocollo e possono filtrare i dati che li attraversano in base a parole chiave o regole specifiche del protocollo; spesso infatti gli HTTP proxy sono configurati per frapporsi tra una rete privata e Internet, in modo tale da filtrare contenuti pornografici o comunque non adatti all'utenza della rete privata. Questo tipo di firewall pero ha lo svantaggio di aumentare la complessità dei controlli, rallentando il traffico. In particolare tratteremo d'ora in poi i firewall a filtro di pacchetto, che principalmente vengono implementati nei seguenti modi: integrati nei router: esistono infatti router che mettono a disposizione una ACL (Access Control List) che permette all'amministratore di creare le regole sopra descritte in funzione di liste di indirizzi IP o di indirizzi MAC; firewall hardware: esistono infatti soluzioni hardware costruite appositamente per controllare il traffico tra due reti. Esso va montato tra router e LAN privata; computer con firewall: è un normale computer con tante schede di rete quante sono le interfacce di cui ha bisogno; esso dispone di un firewall software installato, oppure di un sistema operativo costruito appositamente per svolgere questa funzione (es. IPCop); personal firewall: è un firewall software dedicato a soluzioni domestiche; esso si installa su un PC ed ha il compito di proteggere il singolo PC da tutto ciò che sta fuori; questo è l'unico firewall che e in grado di creare regole anche in base a processi in esecuzione sulla macchina. Packet filter Proxy firewall + veloce + potente Kernel space Indipendente dal protocollo applicativo User space Richiede hardware + veloce

6 Iptables e Linux IpTables è il firewall standard per i kernel 2.4.x e successivi, esso però è solo una parte di una infrastruttura inglobata nel kernel chiamata Netfilter e realizzata da Paul "Rusty" Russell e dal Netfilter Core Team a partire dal Nei sistemi Unix e Linux, l'ispezione dei pacchetti di rete viene effettuata direttamente dal kernel (il nocciolo del sistema operativo). Iptables, successore del noto ipchains, è di fatto solo un front-end al packet-filter del kernel, un modo per istruirlo sul da farsi. L'installazione, l'aggiornamento e il patching di iptables, quindi, va a influire sul kernel, sul frontend o su entrambi e può essere un'operazione tanto lunga quanto indispensabile! Kernel 2.0.x - Ipfwadm (basato su ipfw di BSD). Kernel 2.2.x - IpChains, concetto di catene di regole (access-list) a cui un pacchetto può essere indirizzato. Non è stateful. Kernel 2.4.x - IpTables, vi è un notevole salto in avanti introducendo nuove caratteritiche: Packet filtering di tipo stateful Diversi tipi di NAT (manipolazione dell intestazione dei pacchetti) Packet mangling (manipolazione del payload dei pacchetti).

7 Cosa è un Packet filter stateful? I packet filter (stateless/stateful) sono una particolare categoria di firewall in grado di analizzare l header dei pacchetti di rete fino al livello 4 ISO-OSI (trasporto). Ciò significa che sono in grado di discriminare un pacchetto in base all header di: livello 1 (Fisico) - interfaccia da cui proviene o è diretto il pacchetto; livello 2 (Data-link) - in base agli indirizzi MAC sorgente e/o destinazione; livello 3 (Rete) - in base agli indirizzi IP sorgente e/o destinazione; livello 4 (Trasporto) - in base alla porta sorgente e/o destinazione; Vantaggi: veloci e performanti anche con poca CPU; analizzano i pacchetti indipendentemente dalla applicazione che li ha generati; girano in kernel space; Svantaggi: NON possono controllare il payload del pacchetto a livello di application;

8 I packet filter di tipo stateful sono in grado di basare le proprie politiche di filtraggio anche sullo stato corrente delle connessioni, spingendo quindi il proprio campo di azione al livello 5 ISO-OSI (sessione), correlando le diverse connessioni relative ad una stessa sessione grazie all aiuto del sistema di tracciamento delle connessioni (connection tracking conntrack) e di moduli software dedicati alla gestione dei protocolli più complessi. In pratica l analisi di ogni pacchetto che transita risente anche dello stato e della storia che ha generato il pacchetto stesso. Struttura di IpTables Tabelle In Linux è stato implementato, proprio all'interno del kernel, un sistema che permette il filtraggio stateful dei pacchetti, con cui è però anche possibile realizzare funzioni di NAT, al fine di modificare gli indirizzi dei pacchetti in transito nel sistema. Il nome dato a questa componente è Netfilter, ma la configurazione dei filtri viene eseguita, con permessi di root, attraverso il comando Iptables. In Netfliter i filtri sono detti regole; le regole sono raggruppate in catene e le catene sono a loro volta raggruppate in tabelle. Ogni tabella si occupa di raggruppare catene riguardanti uno stesso servizio, mentre le catene sono ACL, ognuna delle quali rappresenta una diversa fase dell'elaborazione del pacchetto; le regole contenute nella catena vengono dunque applicate quando la fase associata ad essa viene attraversata. Inoltre ad ogni catena è associata una politica predefinita, che sancisce se i pacchetti che attraversano la catena stessa devono essere bloccati o lasciati passare. Ogni regola è composta da due parti principali: le caratteristiche che un pacchetto deve avere per applicarvi la regola (match) e l'azione da compiere (target o obiettivo). L'amministratore ha l'opportunità di aggiungere o rimuovere regole, catene o tabelle, ma appena installato il sistema appare diviso in tre tabelle, senza ancora regole:

9 Tabella filtro, da cui passano tutti i pacchetti e che permette di filtrarli in base alle regole impostate nelle catene; le catene sono tre: INPUT, da cui passano tutti i pacchetti che hanno come destinazione l'host su cui è montato il firewall; OUTPUT, da cui passano tutti i pacchetti che partono dall'host; FORWARD, da cui passano tutti i pacchetti in transito sull'host e che questo instrada verso un'altra interfaccia; Tabella NAT (Network Address Translation), che si occupa invece del servizio di traduzione degli indirizzi, sorgente o destinazione, che permette al firewall di modificare l'intestazione IP. Essa contiene tre catene: PREROUTING, che viene applicata prima che l'host consulti la tabella di instradamento. Viene solitamente utilizzata per tradurre l'indirizzo destinazione (Destination NAT o DNAT); POSTROUTING, che viene applicata invece subito dopo che l'host consulti la tabella di routing; di solito viene usata per tradurre l'indirizzo sorgente dei pacchetti (Source NAT o SNAT); OUTPUT, che consente di fare NAT destinazione sui pacchetti in partenza dall'host stesso; Tabella mangle, che permette di intervenire sulle intestazioni dei pacchetti, modificandone i flag. Le catene di questa tabella sono: PREROUTING, che, come detto precedentemente, viene attraversata prima dell'instradamento, e in questo caso se il pacchetto è diretto al sistema viene passato alla catena INPUT, altrimenti viene instradato verso un'altra interfaccia (catena FORWARD); POSTROUTING, che corrisponde all'omonima catena vista prima e a cui arrivano i pacchetti sia dalla catena FORWARD che da quella OUTPUT; INPUT, ove passano i pacchetti in ingresso diretti all'host stesso; OUTPUT, dove passano i pacchetti che l'host invia; FORWARD, che rappresenta la fase intermedia tra PREROUTING e POSTROUTING, in cui i pacchetti vengono instradati;

10 Riassumendo i pacchetti vengono sottoposti alle regole contenute nelle catene con il seguente ordine: La tabella che più ci interessa ai fini della sicurezza è quella filtro. Per modificare le regole contenute nelle sue catene usiamo la sintassi: iptables { -A -D } <catena> <regola> [ opzioni ] dove l'opzione -A indica che vogliamo aggiungere una regola, mentre -D serve a cancellarne una esistente; da notare come non è necessario specificare la tabella, poiché la tabella filtro è quella predefinita. Inoltre il parametro regola va specificato solo nel caso volessimo cancellarne una, poiché aggiungendo una regola questa prende come identificativo un numero che si autoincrementa ogni volta. Le principali opzioni sono divise in due parti, come le regole. Le seguenti permettono di stabilire il match: -s <sorgente>, che permette di specificare come sorgente un indirizzo IP o un indirizzo di rete in notazione CIDR; -d <destinazione>, che similmente all'opzione sopra descritta ci permette di specificare la destinazione; --sport <sorgente>, che indica la porta sorgente del pacchetto; --dport <destinazione>, che indica invece la porta destinazione del pacchetto; -p <protocollo>, che consente di stabilire il protocollo che deve essere sottoposto a filtraggio. Accetta come parametri udp, tcp, icmp o all; -i <interfaccia>, per specificare un'interfaccia di ingresso; -o <interfaccia>, per specificare un'interfaccia di uscita;

11 Per quanto riguarda invece il target, esso viene espresso con l'opzione: -j <target> dove i principali obiettivi sono: ACCEPT, che permette al pacchetto di arrivare, uscire o essere inoltrato dal sistema; DROP, che blocca il pacchetto senza avvisare il mittente; REJECT, che blocca il pacchetto, ma invia al mittente un messaggio di errore ICMP; Per modificare invece la politica di default di una catena utilizziamo il comando: iptables -P <catena> <target> Infine per visualizzare tutte le regole contenute in una catena usiamo: iptables -L <catena> A volte risulta però scomoda, sopratutto per le configurazioni domestiche, l'interfaccia da shell. Cosi sono nate diverse implementazioni che forniscono front-end per Iptables, molto più intuitivi e user-friendly. Un esempio è il diffusissimo Firestarter.

12 Struttura di IpTables Catene Una catena è una collezione di regole.ogni volta che giunge un pacchetto di rete in una catena, IpTables esamina la collezione di regole, di cui è composta, una alla volta e nell ordine in cui sono state scritte. Due possibili scenari: Esiste una regola della catena che corrisponde al pacchetto in esame: Il destino del pacchetto è deciso dal target della regola (possibili target: ACCEPT, DROP, QUEUE, RETURN, MARK, MASQUERADE, REJECT, LOG, TOS, SNAT, DNAT) Nessuna regola della catena corrisponde al pacchetto in esame: Il destino del pacchetto è la politica di default della catena (politiche più usate: ACCEPT, DROP, REJECT). Possibilità di creare catene user-defined

13 Un filtro per tutti vs. un filtro per ognuno La sicurezza di firewall software (principalmente per Windows) che limitano i programmi che possono uscire verso internet e le porte che non possono essere usate per entrare. Senza l'intento di offendere alcuna major, non credo si possano considerare strumenti sicuri se non come ultima difesa di una catena. La prima parte del perché, la spiego ora, il resto lo lascio alle vostre deduzioni una volta appreso il funzionamento di iptables. Consideriamo come avviene la consegna del messaggio al programma che lo ha richiesto, una volta che i segnali elettrici entrano nella scheda. In Linux, una volta superata la fase di decodifica hardware, i dati entrano subito nell'area del kernel dove si trova l'implementazione dello stack TCP. Una volta ricomposto il pacchetto, il kernel applicherà le regole, inserite con l'ausilio di iptables. I pacchetti accettati risaliranno lo stack fino al livello applicativo e verranno quindi consegnati nelle mani del programma destinatario. Windows possiede un'implementazione di TCP separata dal kernel, e fino a qui, nulla da recriminare ma dove sono posizionati i nostri firewall? Ben dopo il completamento del percorso lungo lo stack, dopo che i dati sono stati già manipolati da altri due programmi di servizio. Come è facile notare, le possibilità di incontrare una vulnerabilità nel sistema prima ancora di imbattersi in un firewall è discretamente alta. Come funziona un firewall con una macchina Linux e IPTABLES Col passare del tempo, GNU/Linux sta diventando una piattaforma sempre più utilizzata nel mondo di internet. Con il maggior numero di utenti e con l interesse suscitato ultimamente, le sue potenzialità come server di rete sono cresciute in maniera esponenziale. Inoltre i kernel Linux 2.4.x e 2.6.x offrono strumenti estremamente potenti e flessibili per la realizzazione di firewall, come iptables. Come caso reale di studio creiamo un firewall utilizzando le catene di IPTABLES su un sistema operativo GNU/Linux che permette di proteggere una rete strutturata nel modo seguente:

14 Dovrà essere attivata una NAT tra la LAN e INTERNET quindi le macchine in LAN dovranno uscire con l indirizzo pubblico del firewall Da INTERNET verso la LAN dovrà risultare tutto chiuso; Dovrà essere attivata una NAT tra la DMZ e INTERNET quindi assegnare a due macchine in DMZ, con indirizzi ip e , due indirizzi ip pubblici, rispettivamente e ; Da INTERNET verso le due macchine in DMZ dovranno risultare aperti i seguenti servizi: smtp verso http e https verso ; Le macchine in DMZ dovranno poter effettuare videoconferenze (H323 es netmeeting) con macchine in area pubblica. Dalla DMZ ad INTERNET lasciare passare solo il traffico necessario per i servizi sopra citati; Dalla DMZ alla LAN sarà necessario permettere la comunicazione smtp da verso la macchina e imap dalla macchina verso (per permettere la pubblicazione della posta con webmail); Dalla LAN permettere qualunque accesso sia in DMZ che verso INTERNET;

15 Creazione degli scripts di iptables Abbiamo creato due script bash: startfw e stopfw. Nello script di start abbiamo inserito tutti i comandi per settare le interfacce di rete, le regole che iptables dovrà seguire, ed il settaggio di alcuni file di sistema. Nello script di stop abbiamo inserito i comandi necessari ad eliminare tutte le regole da noi inserite e riportare iptables alla situazione di default dove il firewall permette qualsiasi accesso. Creazione dello script di avvio del firewall Abbiamo imposto stato diverse variabili che utilizziamo in seguito per riferirci ai rispettivi indirizzi, interfacce di rete, e catene all interno dello script. #!/bin/bash echo "# settaggio variabili #" DEV_FW_LAN="eth0" DEV_FW_DMZ="eth1" DEV_FW_INTERNET="eth2" LAN_IP_RANGE=" /24" DMZ_IP_RANGE=" /24" IP_FW_LAN=" " IP_FW_DMZ=" " IP_FW_INTERNET=" " IP_DMZ1_INTERNET=" " IP_DMZ2_INTERNET=" " IP_LAN1=" " IP_DMZ1=" " IP_DMZ2=" " IP_DEF_GATEWAY=" " LAN_DMZ_CHAIN="lan-dmz" LAN_INTERNET_CHAIN="lan-internet" DMZ_INTERNET_CHAIN="dmz-internet" DMZ_LAN_CHAIN="dmz-lan" INTERNET_DMZ_CHAIN="internet-dmz" INTERNET_LAN_CHAIN="internet-lan"

16 Eliminiamo tutte le configurazioni esistenti dei dispositivi fisici e logici di rete per poterli poi configurare in modo sicuro. ######################### echo "# elimina route, indirizzi e disattiva le schede di rete #" ######################### ( for INTERFACE in $DEV_FW_LAN $DEV_FW_DMZ $DEV_FW_INTERNET do ip route flush dev $INTERFACE ip addr flush dev $INTERFACE ip link set down dev $INTERFACE done; ) &>/dev/null Configuriamo ora le interfacce di rete. Da notare che l interfaccia pubblica (internet) del firewall DEV_FW_INTERNET possiede tre indirizzi ip: Il primo è associato al firewall stesso, il secondo ed il terzo sono gli indirizzi associati alle macchinai in DMZ che devono offrire servizi su INTERNET. ###### echo "# configurazione interfacce #" ###### ip addr add $IP_FW_LAN/24 dev $DEV_FW_LAN ip addr add $IP_FW_DMZ/24 dev $DEV_FW_DMZ ip addr add $IP_FW_INTERNET/24 dev $DEV_FW_INTERNET ip addr add $IP_FW_DMZ1_INTERNET/24 dev $DEV_FW_INTERNET ip addr add $IP_FW_DMZ2_INTERNET/24 dev $DEV_FW_INTERNET Rimuoviamo tutte le regole di iptables eventualmente esistenti per non duplicarle ogni volta che si avvia lo script. Per intenderci, iptables ha tre tabelle: filter: usata esclusivamente per filtrare i pacchetti. Ci sono tre catene built-in in questa tabella. La prima,denominata FORWARD, è usata solo sui pacchetti generati non localmente e non destinati all host locale (in altre parole il firewall); la seconda catena, INPUT, è usata su tutti i pacchetti destinati all host locale; la terza,output, è usata sui pacchetti generati localmente dal firewall.

17 nat: usata per il Network Address Translation. Effettua il NAT degli indirizzi ip per far transitare i pacchetti delle reti che attraversano il firewall. Anche qui ci sono tre catene built-in. La prima è PREROUTING che viene utilizzata per modificare i pacchetti prima che vangano processati dal firewall. La seconda, OUTPUT,viene utilizzata per alterare i pacchetti generati localmente prima che vengano prese decisioni di routing. L ultima catena è POSTROUTING e viene utilizzata sui pacchetti che stanno per lasciare il firewall. mangle: utilizzata per operare delle manipolazioni anche sofisticate dei pacchetto ed è costituita da due catene buil-in: PREROUTING e OUTPUT. Nel nostro caso non viene usata. Per default il comando iptables fa riferimento alla tabella filter, ove diversamente specificato: iptables -t filter è equivalente a iptables ####################### echo "# rimuove tutte le regole da tutte le catene #" ####################### iptables --flush iptables -t nat --flush iptables -t mangle --flush Impostiamo le policy, ovvero la politica che intendiamo adottare per il trattamento dei pacchetti che attraversano le catene; nella tabella filter scartiamo (DROP) tutti i pacchetti su tutte le catene, nella tabella nat e mangle lasciamo passare tutto (ACCEPT) su tutte le catene. echo "# impostazione policy #" iptables --policy INPUT DROP iptables --policy OUTPUT DROP iptables --policy FORWARD DROP iptables -t nat --policy PREROUTING ACCEPT iptables -t nat --policy OUTPUT ACCEPT iptables -t nat --policy POSTROUTING ACCEPT iptables -t mangle --policy PREROUTING ACCEPT iptables -t mangle --policy OUTPUT ACCEPT

18 Eliminiamo da tutte le tabelle di iptables le catene definite da utente. ############################ echo "# elimina tutte le catene user-defined preesistenti #" ############################ iptables --delete-chain iptables -t nat --delete-chain iptables -t mangle --delete-chain Nelle seguenti righe impostiamo le nostre prime regole. Nella prima riga appendiamo alla catena di INPUT la regola che permette di accettare tutti i pacchetti che hanno uno stato NEW,ESTABLISHED, RELATED. Stessa cosa per la catena di OUTPUT e FORWARD omettendo NEW. Scartiamo invece tutti i pacchetti che hanno uno stato INVALID. Questa decisione è stata presa in modo da bypassare il firewall in presenza di pacchetti relativi a connessioni che non rispettano queste specifiche. ############################ echo "# si usa Connection State per bypassare i controlli delle regole #" ############################ iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -m state --state INVALID -j DROP iptables -A OUTPUT -m state --state INVALID -j DROP iptables -A FORWARD -m state --state INVALID -j DROP Nelle seguenti righe appendiamo alla catena di FORWARD regole che ci permettono di scartare i pacchetti "spoofed", cioè aventi ip non permessi. ############################ echo "# rigetto pacchetti indesiderati dalla rete (spoofed) #" ############################ iptables -A FORWARD -i $DEV_FW_LAN -s! $LAN_IP_RANGE -j DROP iptables -A FORWARD -i $DEV_FW_DMZ -s! $DMZ_IP_RANGE -j DROP Consentiamo l accesso via ssh al firewall, permettiamo gli echo-request e rifiutiamo con un "tcp-reset" i pacchetti con protocollo TCP che non matchano con le prime

19 due regole; i pacchetti che non soddisfano queste regole verranno notificati sul file di log del kernel (dmesg). ####################### echo "# regole INPUT #" ####################### iptables -A INPUT -p tcp --dport ssh -j ACCEPT iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT iptables -A INPUT -p tcp -j REJECT --reject-with tcp-reset iptables -A INPUT -j LOG --log-prefix "INPUT-FW dropped packets" --log-ip-options A scopo puramente didattico e dimostrativo permettiamo l accesso ssh dal firewall verso la LAN e verso la DMZ. ######################## echo "# regole OUTPUT #" ######################## iptables -A OUTPUT -p tcp -d $LAN_IP_RANGE --sport ssh -j ACCEPT iptables -A OUTPUT -p tcp -d $DMZ_IP_RANGE --sport ssh -j ACCEPT iptables -A OUTPUT -p tcp -j REJECT --reject-with tcp-reset iptables -A OUTPUT -j LOG --log-prefix "OUTPUT-FW dropped packets" --log-ipoptions Oltre alle catene predefinite che costituiscono le tabelle iptables, è ovviamente possibile aggiungere catene da noi definite, nel nostro caso suddividiamo il traffico in sei catene, come segue: ########################### echo "# creazione catene #" ########################### iptables -N $LAN_DMZ_CHAIN iptables -N $LAN_INTERNET_CHAIN iptables -N $DMZ_INTERNET_CHAIN iptables -N $DMZ_LAN_CHAIN iptables -N $INTERNET_DMZ_CHAIN iptables -N $INTERNET_LAN_CHAIN

20 Demandiamo il traffico di FORWARD sul firewall alle nostre sei catene in base al dispositivo di rete di ingresso e di uscita. ######################### echo "# regole FORWARD #" ######################### iptables -A FORWARD -i $DEV_FW_LAN -o $DEV_FW_DMZ -j $LAN_DMZ_CHAIN iptables -A FORWARD -i $DEV_FW_LAN -o $DEV_FW_INTERNET -j $LAN_INTERNET_CHAIN iptables -A FORWARD -i $DEV_FW_DMZ -o $DEV_FW_INTERNET -j $DMZ_INTERNET_CHAIN iptables -A FORWARD -i $DEV_FW_DMZ -o $DEV_FW_LAN -j $DMZ_LAN_CHAIN iptables -A FORWARD -i $DEV_FW_INTERNET -o $DEV_FW_DMZ -j $INTERNET_DMZ_CHAIN iptables -A FORWARD -i $DEV_FW_INTERNET -o $DEV_FW_LAN -j $INTERNET_LAN_CHAIN Iniziamo a descrivere le prime user-definied-chains. Il traffico proveniente dalla LAN e destinato alla DMZ, per essere accettato, deve provenire dal range di idirizzi ip della LAN e destinato al range di indirizzi ip della DMZ; i pacchetti che non soddisfano questa regola verranno notificati sul file di log del kernel (dmesg). ######################### echo "# regole lan-dmz #" ######################### iptables -A $LAN_DMZ_CHAIN -s $LAN_IP_RANGE -d $DMZ_IP_RANGE -j ACCEPT iptables -A $LAN_DMZ_CHAIN -j LOG --log-prefix "LAN-DMZ dropped packets" --logip-options Come sopra, ma per il traffico dalla LAN a INTERNET. echo "# regole lan-internet #" iptables -A $LAN_INTERNET_CHAIN -s $LAN_IP_RANGE -j ACCEPT iptables -A $LAN_INTERNET_CHAIN -j LOG --log-prefix "LAN-INTERNET dropped packets" --log-ip-options

21 Il traffico da internet alla lan è consentito solo per le connessioni già stabilite dalla lan. echo "# regole internet-lan #" iptables -A $INTERNET_LAN_CHAIN -p tcp -j REJECT --reject-with tcp-reset iptables -A $INTERNET_LAN_CHAIN -j LOG --log-prefix "INTERNET-LAN dropped packets" --log-ip-options Qui invece accettiamo i pacchetti con protocollo TCP con porta sorgente smtp e imap provenienti rispettivamente da IP_DMZ1 e IP_DMZ2 destinati a IP_LAN1. Altrimenti i pacchetti subiscono la sorte che già conoscete. ######################### echo "# regole dmz-lan #" ######################### iptables -A $DMZ_LAN_CHAIN -s $IP_DMZ1 -d $IP_LAN1 -p tcp --sport smtp -j ACCEPT iptables -A $DMZ_LAN_CHAIN -s $IP_DMZ2 -d $IP_LAN1 -p tcp --sport imap -j ACCEPT iptables -A $DMZ_LAN_CHAIN -p tcp -j REJECT --reject-with tcp-reset iptables -A $DMZ_LAN_CHAIN -j LOG --log-prefix "DMZ-LAN dropped packets" - --log-ip-options Le seguenti prime tre righe consentono di accedere ai servizi smtp, http e https forniti dalle macchine in DMZ dall esterno (internet); le restanti regole permettono il traffico H323 dalla DMZ a INTERNET per effettuare videoconferenze (netmeeting, ecc..). echo "# regole dmz-internet #" iptables -A $DMZ_INTERNET_CHAIN -s $IP_DMZ1 -p tcp --sport smtp -j ACCEPT iptables -A $DMZ_INTERNET_CHAIN -s $IP_DMZ2 -p tcp --sport http -j ACCEPT iptables -A $DMZ_INTERNET_CHAIN -s $IP_DMZ2 -p tcp --sport https -j ACCEPT

22 iptables -A $DMZ_INTERNET_CHAIN -s $DMZ_IP_RANGE -p tcp --sport 389 -j ACCEPT #H323 iptables -A $DMZ_INTERNET_CHAIN -s $DMZ_IP_RANGE -p tcp --sport j ACCEPT #H323 iptables -A $DMZ_INTERNET_CHAIN -s $DMZ_IP_RANGE -p tcp --sport 552 -j ACCEPT #H323 iptables -A $DMZ_INTERNET_CHAIN -s $DMZ_IP_RANGE -p tcp --sport j ACCEPT #H323 iptables -A $DMZ_INTERNET_CHAIN -s $DMZ_IP_RANGE -p tcp --sport j ACCEPT #H323 iptables -A $DMZ_INTERNET_CHAIN -p tcp -j REJECT --reject-with tcp-reset iptables -A $DMZ_INTERNET_CHAIN -j LOG --log-prefix "DMZ-INTERNET dropped packets" --log-ip-options Come sopra, in modo duale. Inoltre controlliamo preventivamente che la destinazione del traffico verso la DMZ riporti il corretto range ip di destinazione. echo "# regole internet-dmz #" iptables -A $INTERNET_DMZ_CHAIN -d! $DMZ_IP_RANGE -j DROP iptables -A $INTERNET_DMZ_CHAIN -d $IP_DMZ1 -p tcp --dport smtp -j ACCEPT iptables -A $INTERNET_DMZ_CHAIN -d $IP_DMZ2 -p tcp --dport http -j ACCEPT iptables -A $INTERNET_DMZ_CHAIN -d $IP_DMZ2 -p tcp --dport https -j ACCEPT iptables -A $INTERNET_DMZ_CHAIN -d $DMZ_IP_RANGE -p tcp --dport 389 -j ACCEPT #H323 iptables -A $INTERNET_DMZ_CHAIN -d $DMZ_IP_RANGE -p tcp --dport j ACCEPT #H323 iptables -A $INTERNET_DMZ_CHAIN -d $DMZ_IP_RANGE -p tcp --dport 522 -j ACCEPT #H323 iptables -A $INTERNET_DMZ_CHAIN -d $DMZ_IP_RANGE -p tcp --dport j ACCEPT #H323 iptables -A $INTERNET_DMZ_CHAIN -d $DMZ_IP_RANGE -p tcp --dport j ACCEPT #H323 iptables -A $INTERNET_DMZ_CHAIN -p tcp -j REJECT --reject-with tcp-reset iptables -A $INTERNET_DMZ_CHAIN -j LOG --log-prefix "INTERNET-DMZ dropped packets" --log-ip-options Le macchine in LAN vengono nattate in modo da uscire su INTERNET con l indirizzo ip pubblico del firewall.

23 echo "# NAT lan -> internet #" iptables -t nat -A POSTROUTING -o $DEV_FW_INTERNET -s $LAN_IP_RANGE -j SNAT --to-source $IP_FW_INTERNET Le due macchine in DMZ che offrono i servizi, devono essere accessibili da INTERNET attraverso i loro rispettivi ip pubblici. echo "# NAT internet -> dmz #" iptables -t nat -A PREROUTING -i $DEV_FW_INTERNET -d $IP_DMZ1_INTERNET -p tcp --dport -smtp -j DNAT --to-destination $IP_DMZ1 iptables -t nat -A PREROUTING -i $DEV_FW_INTERNET -d $IP_DMZ2_INTERNET -p tcp --dport -http -j DNAT --to-destination $IP_DMZ2 iptables -t nat -A PREROUTING -i $DEV_FW_INTERNET -d $IP_DMZ2_INTERNET -p tcp --dport -https -j DNAT --to-destination $IP_DMZ2 Come sopra in modo duale. ########################## echo "# dmz -> internet #" ########################## iptables -t nat -A POSTROUTING -o $DEV_FW_INTERNET -s $IP_DMZ1 -p tcp --sport smtp -j -SNAT --to-source $IP_DMZ1_INTERNET iptables -t nat -A POSTROUTING -o $DEV_FW_INTERNET -s $IP_DMZ2 -p tcp --sport http -j -SNAT --to-source $IP_DMZ2_INTERNET iptables -t nat -A POSTROUTING -o $DEV_FW_INTERNET -s $IP_DMZ2 -p tcp --sport https -j -SNAT --to-source $IP_DMZ2_INTERNET Finito di specificare le nostre regole del firewall, non ci resta che attivare le interfacce di rete e settare il default gateway.

24 ########### echo "# attivazione interfacce di rete #" ########### ( for INTERFACE in $DEV_FW_LAN $DEV_FW_DMZ $DEV_FW_INTERNET do ip link set up dev $INTERFACE done; ) &>/dev/null ip route add default via $IP_DEF_GATEWAY Settiamo i file di proc in modo che il nostro sistema sia pronto ad accogliere il firewall. I file di proc che ci interessano si trovano nella cartella /proc/sys/net. Questi file ci consentono di modificare il comportamento della nostra macchina in rete, cioè di modificare molti dei parametri usati dal kernel per prendere le decisioni sui pacchetti. In pratica, ad ogni file corrisponde una variabile, che può assumere come valore 1 o 0 (attivo o inattivo). # echo "# settaggio file /proc #" # echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts echo 1 > /proc/sys/net/ipv4/ip_forward echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter echo "FIREWALL STARTED CORRECTLY"

25 Creazione dello script di stop del firewall Nello script di stop eliminiamo tutte le catene e le regole da noi impostate, ripristinando la situazione iniziale, salvata sul file default-iptables-rules riportante la configurazione di default in cui iptables accetta qualunque cosa. #!/bin/bash ###################### echo "# elimina tutte le catene e tutte le regole #" ###################### for table in nat mangle filter do iptables -t $table --flush iptables -t $table --delete-chain done cat default-iptables-rule iptables-restore echo "FIREWALL STOPPED CORRECTLY"