Lezione Uno: Indirizzi privati, NAT e PAT Nei primi anni di diffussione dei protocolli della pila TCP/IP, non prevedendone il successo, gli indirizzi

Transcript

1 Lezione Uno: Indirizzi privati, NAT e PAT Nei primi anni di diffussione dei protocolli della pila TCP/IP, non prevedendone il successo, gli indirizzi ip sono stati assegnati in modo indiscrimintao e di consiguenza si è presto paventato il rischio di un imminente termine degli indirizzi stessi. Il problema è stato risolto in due modi: il primo, a breve termine, consistenva nel adotarre delle tecniche che portassero a risparmiare gli indirizzi rimasti, il secondo consistre nel passaggio alla versione 6 del protocollo IP che prevede indirizzi da 128 bit anziché 32. Per rispariare gli indirizzi versione 4 la RFC 198 del febbraio 1996 intrdoduceva gli indirizzi privati e gli indirizzi pubblici. Indirizzi Privati e Pubblici Inizialmente a tutte le reti locali, che appertenevano ad aziende o università, veniva assegnata una rete (cioè un range di indirizzi) che permettevano di distinguere in modo unico su tutta la rete internet, ogni singolo nodo della lan. Introdurre gli indirizzi privati prevede 3 range di indirizzi IP che non verranno mai assegnati a nessuno e che tutte le reti locali utilizzaranno per distinguere le macchine solo al loro interno. I tre range di indirizzi privati fissati dalla RCFC sono: da a (cioè la rete /8) da a (cioè la rete /12) da a (cioè la rete /16) Ogni lan anziché un indirizzo pubblico per ogni pc ne avrà uno solo sull interfaccia del proprio router principale che si affaccia su internet. Tale situazione è visualizzata in figura.

2 Supponiamo ora che il PC1 dell azienda A invii una richiesta di visualizzazione di una pagina web al sito ; per quanto abbiamo visto fino ad ora nessun router nel percorso dal pc al server destinatario modifica alcunchè del pacchetto; ciò significa che al server arriverà una richiesta con IP sorgente e il router risponderà con un pacchetto avente il suddetto IP come destinazione. Risulta evidente che la rete è impossibilitata a recapitare la risposta in quanto non può sapere se l indirizzo corrisponde al PC1 dell azienda A, al PC1 dell azienda B o a tutti gli altri PC con il medesimo indirizzo sparsi in tutte le lan connesse alla rete. Dall esempio risulta evidente che gli indirizzi privati possono essere ritenuti validi solo all interno della lan a cui appartengono. La rfc, infatti, prescrive che il router che collega una lan con indirizzi privati, alla rete globale effettui il Network Address Translation (NAT); cioè sostituisca l indirizzo sorgente, che corrisponde all indirizzo privato del nodo che ha generato la richiesta, con il proprio indirizzo pubblico. Nel precedente esempio, quindi, il router RA ha cambiato l indirizzo sorgente della richiesta da (indirizzo privato del nodo che ha richiesto la pagina) in (indirizzo pubblico di RA e della rete azienda A ). A questo punto il server ha risposto inviando un messaggio con destinazione e la rete non ha alcuna difficoltà a recapitare tale risposta al router RA. Supponiamo ora che un altro nodo della stessa rete (per esempio quello con indirizzo ) invii una richiesta ad un altro server; entrambe le risposte vengono recapitate all indirizzo e quindi al router RA. Come fa RA a restituirle in modo corretto a chi ne aveva fatto richiesta? Per rispondere a tale domanda ricordiamo che una richiesta, oltre che un idirizzo IP di sorgente/ destinazione, che indica il nodo mittente/destinatario, ha anche una porta mittente e destinataria che indica l applicazione. RA, oltre a modificare l indirizzo IP mittente modifica anche il numero di porta e tiene traccia degli indirizzi IP e porte originali associandoli al numero di porta modificato. All arrivo della risposta garzie alla porta a cui è indirizzata saprà recuperare l indirizzo IP e le porte originali. Cerchiamo di capire meglio questo meccanismo con un esempio. Il PC1 della rete azienda A (indirizzo IP ) richiede la pagina il browser apre una sua porta tra quelle libere (per esempio 7171) e qundi genera un pacchetto con i seguenti parametri. IP sorgente: Porta sorgente 7171 IP destinatario: indirizzo IP di Porta destinatario: 80 Il pacchetto passa attraverso R1 che sceglie una delle sua porte libere (per esempio 1212) e modifica l indirizzo IP sorgente, sostituendolo con il suo indirizzo pubblico ( ), e la porta sorgente sostituendola con la porta da lui scelta. Il pacchetto viene quindi modificato come illustrato in seguito. IP sorgente: Porta sorgente IP destinatario: indirizzo IP di Porta destinatario: 80 Allo stesso tempo R1 memorizza in una sua tabella che alla porta 1212 corrisponde una richiesta generata dall indirizzo ip porta Il contenuto della tabella è illustrato di seguito. Porta Esterna IP Interno Porta Interna (porta modificata) (IP originale) (porta originale)

3 Supponiamo ora che, prima che arrivi la risposta, il PC2 della rete azienda A (indirizzo IP ) richieda la pagina e il brower di pc2 scelga la porta Anche in questo caso R1 sceglierà una porta libera (non la 1212) e,supponendo che la porta scelta sia la 1213, modificherà indirizzo ip e porta sorgente come indicato. IP sorgente: Porta sorgente IP destinatario: indirizzo IP di Porta destinatario: 80 Inoltre R1 aggiungerà un ulteriore riga alla sua tabella Porta Esterna (porta modificata) IP Interno (IP originale) Porta Interna (porta originale) Ad un certo punto arriverà ad R1 la risposta da che l avrà inviata all indirizzo IP porta R1 dopo aver consultato la sua tabella scoprirà che la richiesta era stata generata dall indirizzo interno porta 7171 e quindi inoltrerà la risposta al browser del pc1 cancellando la prima riga della tabella e liberando la porta Lo stesso meccanismo verrà ripetuto quando arriverà la risposta sulla porta 1213 da parte di Questo meccanismo permette di poter collegare un numero arbitrario di client alla rete internet con un solo indirizzo pubblico. Con un meccanismo simile è possibile fornire alla rete l accesso ad un server web collocato con un indirizzo privato all interno di una lan. Supponiamo, per esempio, che il server web sia attivo all indirizzo privato e che l indirizzo pubblico del router che collega la lan ad internet sia Internet, ovviamente, dovrà poter raggiungere il server web attraverso l indirizzo ip e non attraverso l indirizzo in quanto non univoco. Il router che collega la lan alla wan dovrà, ogni volta che arriva un pacchetto sulla porta 80 (porta strandard per il servizio www) girarlo all indirizzo ip interno porta 80; sara quindi sufficiente avere la stessa tabella vista prima con la seguente riga. Porta Esterna IP Interno Porta Interna La differenza rispetto al caso precedente è data dal fatto che la riga deve essere configurata dall amministratore di rete e, ovviamente, non cancallarsi al primo pacchetto in arrivo sulla porta 80 in quanto il server web deve essere sempre attivo. In definitiva nel caso in cui ci si collega come client le voci sono temporanee e aggiornate real time dal router ogni qualvolta fa uscire una richiesta e riceve la risposta. Nel caso in cui si voglia fornire un servizio le voci devono essere fisse in modo tale da poter girare al reale indirizzo del server tutte le richieste che arrivano sulla porta standard associata al servizio. Nel primo caso, come già detto, si parla di NAT (Network Address Translation); nel secondo caso si parla di PAT (Port Address Translation) La soluzione che introduce indirizzi privati con NAT e PAT è stata, da alcuni, fortemente criticata in quanto violava il principio, ribadito da noi più volte in precedenza, che gli indirizzi IP memorizzati nelle testate devono giungere immodificati alla destinazione finale in quanto solo gli indirizzi e le testata MAC possono essere sostituiti ad ogni hop.

4 Lezione Due: Configurazione del livello di rete in Linux (riga di comando) Dopo averi visto come pianificare l indirzzamento IP e l instradamento in una lan vediamo come è possibile configurare con opportuni comandi quanto si è pianificato su carta. Ovviamente sui nodi bisogna configurare: Indirizzo ip del nodo e relativa maschera indirizzo del gateway del nodo Per i router è necessario configurare indirizzo IP e maschera per ognuna delle interfacce di rete la tabella di instradamento inserendo per ogni riga: destinazione, prossimo nodo e interfaccia Vedremo dunque dei comandi linux che permettono di: configurare indirizzo IP e maschera di un nodo (comando ifconfig) impostare il gateway di un nodo (comando route ) aggiungere una riga alla tabella di instradamento di un router (comando route) inserire delle regole che permettano di accettare o scartare determinati pacchetti, per effettuare un rudimentale firewall (comando iptables) realizzare il NAT (comando iptables -t nat ) Configurazione indirizzo IP (comado ifconfig) La sintassi del comando è: ifconfig interfaccia indirizzoip netmask maschera di sottorete up dove: in grassetto le parole chiave interfaccia: indica la scheda di rete per cui si sta configurando l indirizzo IP (in genere eth0 se ce n è una sola o eth1, eth2 per le seguenti) indirizzoip: l indirizzo ip che si vuole dare al nodo maschera: la maschera di sottorete legata all indirizzo Il comando permette anche di utilizzare la notazione sintetica per indicare la maschera diventando quindi: ifconfig interfaccia indirizzoip/maschera sintetica up dove: in grassetto le parole chiave interfaccia: indica la scheda di rete per cui si sta configurando l indirizzo IP (in genere eth0 se ce n è una sola o eth1, eth2 per le seguenti) indirizzoip: l indirizzo ip che si vuole dare al nodo maschera sintetica: indica la maschera nella sua forma sintetica (numero di bit a 1) Esempio: Supponiamo di avere il nodo con indirizzo ip e maschera per impostare questa configurazione digiteremo: ifconfig eth netmask up o in modo del tutto equivalente ifconfig etho /24 Configurazione gateway e tabella di instradamento (comado route) Supponiamo ora che il suddetto nodo abbia come gateway l indirizzo Prima di vedere come procedere alla configurazione è necessario osservare che per linux anche i nodi semplici (non router quindi) hanno una tabella di instradamento che contiene (ovviamente) solo due righe:

5 la prima riga ha per destinazione la rete a cui è direttamente collegata la scheda e ha come prossimo nodo la destinazione finale (tale riga si configura in automatico impostando l indirizzo ip sulla scheda) la seconda è quella di default che ha come prossimo nodo il gateway Se ci si ferma un attimo a riflettere si capisce come ciò sia perfettamente logico in quanto o un pacchetto è destinato alla stessa rete del nodo, e in tal caso segue la prima riga, o è destinato ad un altra rete e allora segue la seconda riga cioè viene inviato al gateway. Quindi impostare il gateway equivale ad aggiungere una riga alla tabella di instradamento. Per aggiungere una riga alla tabella di instradamento si utilizza il comando route che ha la seguente sintassiroute add -net indirizzo di rete netmask maschera di sottorete gw gateway dev scheda di rete dove: in grassetto le parole chiave indirizzo di rete: indica l indirizzo della rete che si sta aggiungendo (prima colonna della tabella di instradamento) maschera di sottorete: maschera associata all indirizzo di rete (NB come per il comando if config si può sostituire indirizzo rete netmask maschera con indirizzo rete/maschera sintetica gateway: indirizzo ip del prossimo nodo scheda di rete: interfaccia da cui il pacchetto deve uscire Particolarità: se si vuole configurare la rete di default bisogna usare default come indirizzo di rete e come netmask. Dunque per aggiungere il gateway al nodo da cui è partita la spiegazione bisogna digitare il comando: route add -net default netmask gw dev eth0 Lo stesso comando si utilizza per aggiungere ogni singola riga della tabella di istradamento di un router. ESEMPIO Scriviamo i comandi per configurare il nodo N1 e il router RA Configurazione del nodo N1

6 Indirizzo ip: maschera: gateway: Per configurare indirizzo ip e maschera scriveremo ifconfig eth /24 up Per configurare il gateway scriveremo route add -net default netmask gw dev eth0 Configurazione del router RA inizialmente bisognerà configurare gli indirizzi ip e le maschere sulle due interfacce di rete ( /24 per eth1 e per eth0) attraverso i comandi: ifconfig eth /24 up ifconfig eth /24 up Successivamente bisognerà configurare la tabella di istradamento che, visto lo schema di rete in figura, sarà Indirizzo di rete/maschera Prossimo nodo Interfaccia /24 Destinazione Finale /24 Destinazione Finale / / default Come noto le prime due righe vengono aggiunte in automatico alla configurazione degli indirizzi ip sulle schede di rete. Per configurare la terza riga si digiterà il comando: route add -net /24 gw dev eth0 per configurare la quarta riga si digiterà il comando: route add -net /24 gw dev eth0 per configurare la quinta riga si digiterà il comando: route add -net default netmask gw dev eth0 Configurazione Firewall per filtraggio pacchetti (iptables) Packet Filter: Si limita a valutare gli header dei pacchetti IP/TCP decidendo, sulla base di alcune regole impostate, quali far passare e quali no. Alcuni Pachet Filter possono anche agire sulla testata trasporto filtrando sul tipo di protocollo o sulla porta o sul fatto che sia il primo pacchetto di una connessione TCP. In generale un pachet filtering funziona con un insieme di regole cosi espresse: Regola: Pacchetti a cui applicare la regola comportamento da tenere. Dove il comportamento può essere uno o più tra: Lascia passare Scarta Logging In genere si imnposta un insieme ORDINATO di regole che vengono valutate una alla volta dalla prima all ultima. La prima che rispecchia il pacchetto, viene applicata. Considerazione importante in quanto alcune regole possono essere in contraddizione. Esempio voglio che un nodo veda solo la pagina web del d aronco; impostero le seguenti due regole Regola 1

7 Pacchetti a cui applicare la regola: i pacchetti destinati all indirizzo ip corrispondente a con porta destinazione 80 e protocollo tcp comportamento: lascia passare Regola 2 Pacchetti a cui applicare la regola: tutti i pacchetti destinati sulla porta 80 (qualsiasi IP) con protocollo tcp Comportamento: Rifiuta/cancella Se scritte in quest ordine raggungiamo l obiettivo desiderato se scritte in ordine opposto NO IPTABLES è il comando del kernel di linux che permette, in un router, di gestire il filtro dei pacchetti in Entrata (pacchetti DESTINATI al router) Uscita (pacchetti GENERATI dal router) Transito (pacchetti che vengono instradati dal router) IPTABLES gestisce tre insiemi (code) di regole diverse chiamate INPUT (pacchetti in entrata) OUTPUT (pacchetti in uscita) FORWARD (pacchetti in transito) Ogni regola specifica: I pacchetti a cui deve venir applicata in base a Indirizzo IP sorgente/destinatario (anche raggruppati in reti o con indicazione dell'indirizzo logico) Protocollo di utilizzo Porta di destinazione/sorgente Interfaccia di rete di Ingresso/Uscita Il comportamento da tenere Accetta (ACCEPT) Elimina (DROP) Registra (LOG) Ovviamente ad un pacchetto possono venir applicate più regole in tal caso Le regole hanno un ordine di valutazione e se ad un pacchetto possono venir applicate più regole viene applicata la PRIMA. In pratica quando si trova una corrispondenza si applica la regola e non si prosegue con la valutazione delle regole seguenti. (IMPORTANTE SE SI VUOLE RAGGIUNGERE UN DETERMINATO SCOPO). NOTA ECCETTO PER LOG. Sintassi del comandi IPTABLES IPTABLES -COMANDO parametri (dipendenti dal comando) Comandi Impostazione del default della CODA(CATENA) IPTABLES -P CODA COMPORTAMENTO Esempio IPTABLES -P INPUT ACCEPT IPTABLES -P OUTPUT ACCEPT IPTABLES -P FORWARD DROP

8 Vengono fatti passare tutti i pacchetti in ingresso e uscita e vengono bloccati tutti i pacchetti in transito. Nota queste regole vengono sempre valutate per ultime (default solo se non si sono trovate corrispondenze). Due approcci Permetti tutto poi nega quello che ti interessa (applicato per le code INPUT e OUTPUT) Nega tutto poi permetti ciò che serve (CODA FORWARD) Cancellazione di tutte le regole di una CODA(CATENA) IPTABLES -F CODA Cancellazione di una regola di una CODA(CATENA) IPTABLES -D CODA numero regola Visualizzazione delle regole di una catena IPTABLES -L CODA Aggiunta di una nuova regola IPTABLES -A CODA criteri di scelta dei pacchetti -J comportamento da tenere Come specificare i pacchetti a cui applicare le regole -o interfaccia eth d'uscita -i interfaccia eth d'ingresso -p protocollo --dport porta destinazione (possibile intervallo da-a) --sport porta sorgente (possibile intervallo da-a) -s indirizzo ip sorgente. Possibile anche rete -s indirizzo rete/netmask -d indirizzo ip destinazione. Possibile anche rete -s indirizzo rete/netmask Ovviamente si possono combinare tra di loro Esempi: Vogliamo non far entrare nella nostra rete tutto ciò che arriva dall'indirizzo IP accettando tutto il resto IPTABLES -P FORWARD ACCEPT IPTABLES -A FORWARD -s j DROP Vogliamo non far entrare nella nostra rete tutto ciò che arriva dall'indirizzo IP e che non è inviato da un server web. Accettiamo tutto il resto IPTABLES -P FORWARD ACCEPT IPTABLES -A FORWARD -s p tcp sport 80 -j ACCEPT IPTABLES -A FORWARD -s j DROP Vogliamo isolare la nostra rete scartando tutto ciò che arriva dall'esterno IPTABLES -A FORWARD -i ETH0 -j DROP Altre opzioni di iptables 1) -p tcp syn Questo flag inserito nella parte di selezione pacchetti è in grado di trovare il primo pacchetto di una connessione tcp. Poichè l iniziativa parte sempre e solo dai client questa opzione viene utilizzata per permettere il flag syn a uno solo ai pacchetti che vanbno dalla rete locale alla lan; i pacchetti che provengono dalla wan con flag syn a 1 verrano dunque scartati (a meno che non si stia fornendo servizi verso la wan). 2) -m limit limit x/s

9 Seleziona solo x pacchetti al secondo. Utilizzato per prevenire attacchi di tipo DoS (Deny Of Service). Configurazione NAT/PAT (iptables -t nat) Fino ad ora IPTABLES è stato utilizzato solo per ispezionare ed eventualmente filtrare i pacchetti in realtà il comando permette più funzionalità di cui il filtraggio è il default. La funzionalità è il primo parametro da specificare (-t filtrer per il filtraggio che viene dato per scontato se -t è omesso) Tra le funzionalità c'è NAT che permette di modificare gli indirizzi IP di destinazione/sorgente IPTABLES -t nat -operazione (aggiungi, lista, cancella, etc) CATENA selezione pacchetti -j comportamento In questo caso le catene sono: PREROUTING la variazione degli indirizzi viene fatta PRIMA DI INSTRADARE IL PACCHETTO (e prima dell'eventuale filtro) POSTROUTING la variazione degli indirizzi viene fatta DOPO AVER INSTRADATO IL PACHETTO (e dopo l'eventuale filtro) Selezione pacchetti come per filtraggio COMPORTAMENTI DNAT (modifica ip destinazione) seguito dall'opzione to SNAT (modifica ip sorgente) seguito dall'opzione to Esempio router con unico indirizzo IP si vuole applicare il NAT ai pacchetti in uscita e si vuole applicare il PAT del server web verso IPTABLES -t nat -A POSTROUTING -o ETH0 -j SNAT to IPTABLES -t nat -A PREROUTING -i ETH0 -p tcp -dport 80 -j DNAT to Lezione Tre: Esercizi svolti su ifconfig/route/iptables

10 Esercizi su ROUTE/IPTABLES: Testo Esercizi 1. Si supponga di avere un router/firewall con sistema operativo linux che collega la rete wan(eth0) con la rete lan1(eth1) e lan2(eth2). Scrivere i comandi che permettono di Filtrare il traffico che passa dalla rete lan1 alla lan2 e viceversa Filtrare tutti i pacchetti provenienti dalla lan1 e destinati all'indirizzo IP Filtrare tutti i pacchetti provenienti dalla rete internet di classe C che sono destinati alla rete lan1 ad eccezione dei paccheti generati da un server web Bloccare tutti i servizi di posta elettronica Con riferimento al seguente schema di rete si scrivano i comandi che permettono di eseguire le seguenti configurazioni indicando anche il router su cui si scrivono. Blocchi i tentativi di connessione dalla rete wan alla rete client su (porta dest.) porte standard e da (porta sorg.) porte non standard. Blocchi i tentativi di connessione del client 1 verso facebook. Filtrare tutti i pacchetti provenienti dalla rete internet di classe C che sono destinati alla rete client ad eccezione dei pacchetti generati da un server web Una scuola dispone di 5 reti di seguito descritte: Rete amministritativa ( /24) che comprende tutti i PC degli uffici Rete Registro elettronico ( /24) che comprende tutti i pc presenti nelle classi (30). Rete didattica dei laboratori ( /24) suddivisa in ulteriori 5 sottoreti, una per ciascun laboratorio. Un Pc per laboratorio (primo indirizzo) è riservato al docente Rete di collegamento che interconnette tra di loro le sottoreti elencate nei punti precedenti Si disegni uno schema per la rete descritta indicando tutti gli indirizzi IP dei diversi router, la configurazione di uno dei nodi per ognuna delle sottoreti e la tabella di instradamento di uno dei router Con riferimento al precedente esercizio: Si scrivano i comandi linux per configurare almeno uno dei nodi della rete Si scrivano i comandi linux per configurare la tabella di instradamento di uno dei router della rete Con riferimenro al terzo esercizio, utilizzando il comando iptables, si soddisfino le seguenti richieste di filtraggio pacchetti: Laboratori, Uffici isolati da internet e ma comunicanti al loro interno e tra di loro; solo rete registro elettronico collegata ad internet ma collegata alle altre reti Come la precedente ma rete registro elettronico ispolata dalle altre Come la precedente ma con i pc dei docenti dei laboratori che hanno gli stessi privilegi dei pc del registro elettronico I 5 laboratori devono essere isolati tra di loro, non possono raggiungere la rete registo elettronico e amministrativa, possono navigare su internet (servizio www) solo su un elenco di siti registrato nel file di testo white-list.txt. gli altri servizi della wan sono disabilitati dai cinque laboratori. La rete amministrativa è isolata da tutto; accede ad internet solo sulla intranet ministeriale (si supponga che corrisponda alla rete /24). Come il precendente (laboratori isolati dalle altre reti interne) con la possibilità da parte dei laboratori di accedere a tutti i servizi tranne una black-list di indirizzi web.

11 Esercizi su ROUTE/IPTABLES: Schema di rete per esercizio 1 Esercizi su ROUTE/IPTABLES: Schema di rete per esercizio 2

12 Esercizi su ROUTE/IPTABLES: Soluzione esercizi 1,2,5 1A) iptables -P FORWARD ACCEPT iptables -A FORWARD -s /24 -d /24 -j DROP iptables -A FORWARD -s /24 -d /24 -j DROP 1B) iptables -P FORWARD ACCEPT iptables -A FORWARD -i ETH1 -d j DROP 1C) iptables -P FORWARD ACCEPT iptables -A FORWARD -s /24 -p tcp sport 80 -o eth1 -j ACCEPT iptables -A FORWARD -s /24 -o eth1 -j DROP 1D) iptables -A FORWARD -p tcp dport 110 -j DROP (lo stesso per le altre porte del servzio mail) 2A) Su RA iptables -a FORWARD -s /24 -p tcp sport 1:1024 dport 1024: j DROP 2B) su RA iptables -A FORWARD -s d -p tcp dport 80 5A) Sul router Main iptables -P FORWARD ACCEPT iptables -A FORWARD -s /24 -j DROP iptables -A FORWARD -s /24 -j DROP 5B) Sul router main iptables -P FORWARD ACCEPT iptables -A FORWARD -s /24 -j DROP iptables -A FORWARD -s /24 -j DROP Su ogni router registro elettronico iptables -A FORWARD -d /24 -j DROP iptables -A FORWARD -d /24 -j DROP iptables -A FORWARD -s /24 -j DROP iptables -A FORWARD -s /24 -j DROP 5C) come la precedente ma aggiungere sul router main (prima del terzo comando) iptables -A FORWARD -s j ACCEPT iptables -A FORWARD -s j ACCEPT iptables -A FORWARD -s j ACCEPT iptables -A FORWARD -s j ACCEPT iptables -A FORWARD -s j ACCEPT 5D) Sui Rouer LABORATORI #Impostazione politica di default: RIFIUTA iptables -P FORWARD DROP #Accetta i pacchetti destinati ai server web dei siti ammessi nella white-list num=`wc --lines white-list.txt grep -o '[0-9]'`

13 let i=1 let num++ while [ $i -le $num ] do str=`head -$i white-list.txt tail -1` `iptables -A FORWARD -d $str -p tcp dport 80 -j ACCEPT` `iptables -A FORWARD -s $str -p tcp sport 80 -j ACCEPT` echo $str let i++ done 5E) Sui router laboratori #Impostazione politica di default: ACCEPT iptables -P FORWARD ACCEPT #Permetti il traffico web iptables -A FORWARD -p tcp dport 80 -j ACCEPT #Rifiuta i pacchetti destinati ai server web dei siti ammessi nella black-list num=`wc --lines black-list.txt grep -o '[0-9]'` let i=1 let num++ while [ $i -le $num ] do str=`head -$i black-list.txt tail -1` `iptables -A FORWARD -d $str -p tcp dport 80 -j DROP` echo $str let i++ done

14 Lezione Quattro: La sicurezza in una rete client La sicurezza in uns rete locale è più facilmente gestibile se la rete viene divisa in zone cioè in sottoreti. Uno o più firewall possono così controllare il passaggio da una sottorete ad un altra. Nel caso più semplice noi disponiamo solo di due reti: la nostra LAN e la Wan (internet) a cui vogliamo collegarci. Il firewall può venir caricato su una macchina che ha solo questo scopo oppure venir implementato direttamente sul router che collega le reti. Le seguente figura evidenzia le due possibilità. Nella nostra trattazione, per semplicità, seguiremo la seconda possibilità anche se risulta più efficace la prima. Vediamo ora qualche piccolo esempio di attacchi che possono arrivare dalla wan e, per ognuno di essi come ci si può proteggere utilizzando le possibilità di filtraggio dei pacchetti offerte da iptables. Un esterno potrebbe far arrivare dei pacchetti, sull interfaccia verso la wan del nostro router, con indirizzo sorgente appartenente a reti private in modo che la nostra lan lo consideri come un pacchetto interno. Proteggersi da questo attacco è relativamente semplice in quanto è sufficiente cancellare tutti i pacchetti in arrivo dall interfaccia di rete affaciata sulla wan (supponiamo sia l eth0) con indirizzo sorgente appartenente alle reti di indirizzi privati ( /8, /12, /16). Implementare questi filtri con comandi iptables è semplice e lo si lascia come esercizio. Un altro possibile attacco è dato dal fatto che un qualsiasi nodo potrebbe tentare di aprire connessioni tcp su porte vulnerabili dei nostri pc. Per ripararsi da questo attacco è sufficiente ricordare che, al momento, la nostra LAN deve utilizzare la rete wan esclusivamente come client conseguentemente il pacchetto di richiesta di apertura connessione (che parte sempre e solo dal client) deve esssere lasciato passare solo nella direzione lan wan. Si dovrà, quindi, filtrare i pacchetti provenienti dalla wan (in ingresso su eth0) con flag syn pari a uno. Per ulteriore garanzia è bene accettare solo i pacchetti che arrivano dalla wan con porta sorgente standard e porte destinazione non standard. Allo stesso modo in direzione opposta (dalla lan alla wan) verranno fatti passare solo i pacchetti con porta sorgente non standard e porta destinazione standard. Un ultima protezione consiste nel tenere aggiornata una lista nera di indirizzi IP e non permettere l ingresso nella lan a tutti i pacchetti provenienti da indirizzi IP inseriti in lista nera. Riassumendo quanto detto un minimo livello di sicurezza da implementare al confine tra lan e wan richiede che:

15 venga bloccato il traffico in provenienza dalla wan con indirizzo ip privato vengano bloccati i pacchetti provenienti dalla wan con porta sorgente non standard e porta destinazione standard vengano bloccati i pacchetti provenienti dalla lan e diretti verso la wan con porta sorgente standard e porta destinanzione non standard vengano bloccati i pacchetti provenienti dalla wan con flag syn a 1 vengano bloccatti tutti i pacchetti con ip sorgente inserito in una lista nera. Le suddette richieste possono venir esposte, in modo più tecnico e meno discorsivo, dalla seguente tabella in cui si assume che l interfaccia di rete verso la wan sia l eth0 e l interfaccia di rete verso la lan sia l eth1. IP Sorgente IP Destinazione Porta sorgente Porta destinazione Interfaccia Ingresso Interfaccia Uscita Syn Comportamen to Inseriti in black list + indirizzi appartenenti a reti private tutte Etho Scarta 1025:65000 Eth0 Eth1 Scarta 1:1024 Eth1 Eth0 Scarta Eth0 Eth1 SYN a Scarta 1 Implementare i suddetti filtri con comandi iptables è semplice; ogni riga della tabella corrisponderà ad un semplice comando di aggiunta regola sulla catena di forward.lezione Quattro: Lezione Cinque: La DMZ In alcuni casi, tuttavia, la situazione può essere più complessa di quanto visto finora. La rete LAN, infatti, potrebbe dover offrire alcuni servizi (ad esempio il servizio web) all esterno. IN questo caso si parla di housing in quanto si ospitano i server all interno della propria lan. Nel caso opposto si parla di hosting e la ditta anziché mettere i server nella propria rete si limita a caricare il proprio sito su un server esterno. Nel caso di housing il discorso di sicurezza fatto in precedenza si complica. Risulta, infatti, evidente che le politiche pensate per la lan che deve collegarsi solo come client non sono adeguate nel caso in cui ci siano dei server. La soluzione consiste nel dividere la rete in due sottoreti: la sottorete client per la quale le politiche viste fino ad ora sono adeguate, e la sottorete server per la quale è necessario ripensare ad altre politiche. La sottorete server viene chiamata De-Militred-Zone (DMZ). La DMZ è un segmento di rete, che non appartiene né alla rete pubblica (Wan) né alla rete privata, utilizzato per ospitare i server che devono dare dei servizi all esterno. Vediamo quali possono essere le richieste di sicurezza minime per una DMZ Bloccare richieste provenienti da siti inseriti in black list Accettare richieste solo aventi porta destinazione relativa ai servizi offerti (se offro solo il servizio web accetto in entrata verso la DMZ solo pacchetti con porta destinazione 80) Far uscire dalla DMZ solo pacchetti che hanno porta sorgente collegata ai servizi offerti Accettare (a differenza di quanto visto per la LAN client ) pacchetti con flag syn pari a 1 Preveire attacchi di tipo DoS (deny of Service) Nei server caricare solo lo stretto indispensabile ad offrire il servizio richiesto (meno software c è in esecuzione meno possibilità di buchi ) Utilizzare host bastioni

16 Una DMZ può veni collegata in diversi modi; i pricipali sono: come vicolo cieco o come zona cuscinetto. DMZ come vicolo cieco La DMZ si trova un segmento di rete isolato a cui arriva solo il traffico a lei destinato. La DMZ come zona cuscinetto può venir implementata in due modi: Con un router a tre interfaccie: una verso la wan, una verso la DMZ e una verso la lan client Con una rete di collegamento che unisce WAN, LAN e DMZ. Le seguenti figure illustrano le due possibilità; negli esempi supponiamo, per semplicità, che l unico servizio che si vuole offrire sia il servizio web. Prendiamo in considerazioner il primo esempio (1 router con tre interfaccie) e vediasmo come configurare le regole per avere le politiche adatte sia verso la DMZ sia verso la LAN. Prima di procedere riassumiamo le richieste viste in precedenza Richeste da garantire per la dmz Bloccare richieste provenienti da siti inseriti in black list Accettare richieste solo aventi porta destinazione relativa ai servizi offerti (se offro solo il servizio web accetto in entrata verso la DMZ solo pacchetti con porta destinazione 80) Far uscire dalla DMZ solo pacchetti che hanno porta sorgente collegata ai servizi offerti Accettare (a differenza di quanto visto per la LAN client ) pacchetti con flag syn pari a 1 Preveire attacchi di tipo DoS (deny of Service) Richieste da gaantire per la lan bloccare il traffico in provenienza dalla wan con indirizzo ip privato bloccare i pacchetti provenienti dalla wan con porta sorgente non standard e porta destinazione standard

17 bloccare i pacchetti provenienti dalla lan e diretti verso la wan con porta sorgente standard e porta destinanzione non standard bloccare i pacchetti provenienti dalla wan con flag syn a 1 vengano bloccatti tutti i pacchetti con ip sorgente inserito in una lista nera. La seguenta tabella descrive in modo più tecnico le regole da impostare sul firewall; si dà per scontato che sul router siano impostate le funzioni di nat e pat per cambiare l indirizzo sorgente ai pacchetti in uscita e per girare al server web le richieste in arrivo alla porta 80 dell indirizzo pubblico. IP Sorgente IP Destinazione Porta sorgente Porta destinazione Interfaccia Ingresso Interfaccia Uscita Syn/Dos Comportamento Inseriti in black list + indirizzi appartenen ti a reti private tutte Etho Scarta Indirizzo server web (NOTA IL PAT è fatto in prerouting) Non standard 80 (o altra porta) Eth0 Eth1 Indirizzo server web Eth0 Eth1 Scarta Indirizzo server web (NAT in postroutin g) 80 Eth1 Accetta Indirizzo server web (NAT in postroutin g) Eth1 Scarta Limite di tempo Accetta (se n al secondo n+1 non si applica questa regola e si applica la successiva si scarta /1 Non 6 standard Eth0 Eth2 Scarta /1 6 Standard Eth0 Eth2 Scarta /1 6 Eth0 Eth2 SYN Scarta Si noti che per distinguare ciò che è destinato alla lan da cio che è destinato alla DMZ si è utilizzata l interfaccia d uscita. L implementaione di queste politiche attraverso i comandi iptebles è lasciata per esercizio. Prendiamo ora in considerazione il secondo esempio, quello che prevede la rete di collegamento, per implementare le politiche richieste dalla lan e dalla dmz si può procedere in due modi

18 applicare le regole comuni nel router tra la wan e la rete di collegamento, le regole apposite per la lan nel router tra la lan e la rete di collegamento e le regole apposite per la dmz net router tra lan e dmz applicare tutte le regole nel router tra la wan e la rete di collegamento; in questo caso le regole saranno del tutto simili a quanto visto nel primo esempio con la differenza che, per distinguare i pacchetti che riguardano la lan da quelli che riguardano la dmz, bisognerà guardare gli indirizzi ip al posto delle interfaccie ( /16 anziché eth2 per la lan; /16 ancichè eth0 per la dmz) La compilazione delle tabelle e dei relativi comandi iptables è lasciata per esercizio. DMZ come zona cuscinetto La DMZ si pone come rete di collegamento tra la wan e la lan. Anche in questo caso si assume che sul router tra wan e dmz siano impostate le funzioni di nat e pat per cambiare l indirizzo sorgente ai pacchetti in uscita e per girare al server web le richieste in arrivo alla porta 80 dell indirizzo pubblico. Per implementare le politiche di sicurezza viste, come nel caso precedente, si può agire solo sul router/firewall esterno, distinguendo i pacchetti in base agli indirizzi IP per capire se riguardano la lan o la dmz, oppure dividere le regole tra il router/firwal esterno e quello tra DMZ e lan. Anche in questo caso si proceda alla definizione delle regole per esercizio. Un ultima variante è data dal fatto che la nostra azienda potrebbe acquisire una piccola rete di indirizzi pubblici anziche un sono indirizzo. Si supponga, per esempio che la nostra azienda disponga della rete pubblica /29. Tale rete viene assegnata alla DMZ e quindi i suoi indirizzi (da a ) verrano utilizzati per il server web, l interfaccia eth0 del router che collega la dmz alla lan e l interfaccia eth1 del router che collega la dmz alla wan. L esempio descritto è riportato nella figura seguente. Si noti che in questo caso il nat avviene solo sul router/firewall che collega la lan alla DMZ in quanto già in DMZ ci sono indirizzi pubblici; si noti inoltre che all interfaccia eth0 del router che collega wan e dmz verrà assegnato un ulteriore indirizzo pubblico verso cui internet instraderà tutto il traffico destinato alla rete /29. si noti inoltre come, in questo caso, sia più semplice applicare tutte le regole sul router esterno in quanto il traffico destinato alla lan avrà come indirizzo destinazione

19