iptables

iptables, e-booki, Linux 1

[ Pobierz całość w formacie PDF ]
Filtrowaniestateful–inspection
wLinuksieiBSD
PawełKrawczyk
kravietz@aba.krakow.pl
27sierpnia2001
Wersja0.6
Spistre±ci
1Wst¦p 3
2Filtrypakietowe 3
3Filtrystateful–inspection 4
4Filtrywsystemachoperacyjnych 4
4.1Linux............................... 5
4.2BSD................................ 5
4.3Inne................................ 5
5Linux 5
5.1Wymagania............................ 5
5.2Podstawy............................. 6
5.3Najprostszakonfiguracjadlastacjiroboczej.......... 6
5.3.1Omodulestate...................... 7
5.3.2Innecechymodułustate................. 7
5.4ModułstateiFTP........................ 8
5.5StacjaroboczaaprotokołyIDENTiSOCKS......... 9
5.6Konfiguracjadlaserwera..................... 10
1
SPISTRECI
2
5.6.1Ping............................ 10
5.6.2Dost¦pdousług..................... 10
5.6.3Inneporty......................... 11
5.6.4Modułunclean...................... 11
5.7Konfiguracjarouterów...................... 11
5.8Filtrowanieruchuwychodz¡cego................ 13
5.9Jeszczeoruchuwychodz¡cym.................. 18
5.10Inneciekawefunkcje....................... 18
5.11Dokumentacja........................... 19
6BSD 19
6.1Najprostszyprzykład....................... 20
7Odautora 20
7.1Uwagiko«cowe.......................... 20
7.2Zmiany.............................. 21
1WSTP 3
1Wst¦p
Filtrypakietowes¡dost¦pnepraktyczniewewszystkichsystemachoperacyj-
nych.Stanowi¡podstaw¦ogranicze«dost¦pudolokalnychusług,coprzekłada
si¦bezpo±rednionamo»liwo±¢rozpoznaniaizablokowaniapróbataku.Do-
brzeadministrowanasie¢nigdynieudost¦pnianazewn¡trzusług,którenie
s¡niezb¦dne,nawetje±liwdanejchwilinies¡znane»adnedziurywobsłu-
guj¡cychjedemonach.
Celemtegoartykułujestprzybli»enieu»ytkownikomLinuksaisystemówz
rodzinyBSDstosunkowonowejibardzoprzydatnejtechniki,jak¡jestfiltro-
waniestateful–inspection.
Dwieuwagiodno±nietegoartykułu:popierwsze,jestonwfazieintensywnego
rozwojuido±¢cz¦stojestonuzupełnianyonowefunkcjeorazprzykłady.
Nasamymko«cujestinformacja,gdziemo»naznale¹¢aktualnewersjeoraz
jakiezmianyzostaływprowadzonedotejwersji.Podrugie,je±liprzymierzasz
si¦doskonfigurowaniafiltradladu»ejsieci,zdecydowanieprzeczytajcały
artykułiwszystkieprzykłady.S¡onetakskomponowane,»eka»dykolejny
zawieratylkokilkanowychfunkcjibyzbytnioniezaciemni¢towarzysz¡cych
imopisów.S¡onerównie»stopniowanewzgl¦demstopniaskomplikowania
oraz,coistotniejsze,skuteczno±ci.
2Filtrypakietowe
Klasycznyfiltrpakietowytozbiórregułokre±laj¡cychcosystempowinien
zrobi¢zpakietemprzychodz¡cymzsieci,lubdoniejwychodz¡cym.Filtrjest
sterowanyzbioremreguł,którychpodstawowymielementamis¡wzorceoraz
akcje,mówi¡cecozrobi¢zpakietempasuj¡cymdodanejreguły.Wskład
wzorcamog¡wchodzi¢cechycharakterystycznedlaprotokołuIP,takiejak
adres¹ródłowyidocelowypakietu,numeryportówprotokołówTCPiUDP,
rozmaiteflagi,typkomunikatuICMPiinne,wzale»no±ciodzaawansowania
ikompletno±cifiltra.
Przetwarzanietychregułodbywasi¦dlaka»degopakietuprzychodz¡cego
lubwychodz¡cegozdanegow¦zła.Pakietpasuj¡cydookre±lonegowdanej
regułcewzorcajesttraktowanyzgodniezprzypisan¡doniegoakcj¡.Zreguły
ograniczasi¦onadoprzepuszczenialubzablokowaniapakietu,zewentualnym
odesłaniemodpowiedniegokomunikatuICMP.
Klasycznefiltrypakietowemaj¡jedn¡charakterystyczn¡cech¦,amianowicie
ichregułys¡całkowicielubwwi¦kszo±cistatyczne,tojestrazskonfigurowane
przezadministratoradziałaj¡bezzmiana»dokolejnejjegoingerencji.Po-
dej±cietakiestwarzanierazkonieczno±¢takiegotworzeniaregułfiltra,które
nieimplementuj¡wszystkichwynikaj¡cychzpolitykibezpiecze«stwareguł,
3FILTRYSTATEFUL–INSPECTION 4
wymuszaj¡cpozostawieniewfiltrzeokre±lonychfurtek.
Niedoskonało±ciklasycznychfiltrówuniemo»liwiaj¡tak»ecałkowitezabezpie-
czenieserweraprzedskanowaniemportówiinnymiatakami,wykorzystuj¡-
cymicechyprotokołówTCP/IP.
3Filtrystateful–inspection
Filtrystateful–inspectionstoj¡ostopie«wy»ejodtradycyjnychzapórisku-
tecznieeliminuj¡ichniedogodno±ci.Podstaw¡ichdziałaniajestbie»¡ce±le-
dzenieianalizaprzechodz¡cychprzezdanyw¦zełpoł¡cze«,copozwalana
znacznieskuteczniejszekontrolowanieichlegalno±ci.Filtrcałyczasprzecho-
wujewpami¦ciinformacjenatemataktualnegostanuka»degopoł¡czenia,
wiedz¡cprzytymjakiekolejnestanys¡dozwolonezpunktuwidzeniazarówno
protokołu,jakipolitykibezpiecze«stwa.
Filtrytegotypupozwalaj¡naokre±leniemo»liwo±cidokonaniadanegopoł¡-
czeniabezkonieczno±cioperowaniaposzczególnymistanamiprotokołuTCP.
Doadministratoranale»ytylkookre±leniekierunkuorazpolitykiwzgl¦dem
rozpocz¦ciadanegopoł¡czenia,afiltrautomatycznieweryfikujekolejneetapy
jegonawi¡zywaniaipó¹niejszyprzebieg.
Taostatniacechapozwalarównie»naodrzucaniepakietów,któredodanej
sesjinienale»¡,cowpraktyceprzekładasi¦naskuteczneblokowanieprób
skanowaniaportówlubwprowadzaniasfałszowanychpakietów(spoofing).
Przykładowo,klasycznyfiltrpakietowydlaprzepuszczeniapełnegopoł¡cze-
niaTCPdodanegoserwerapotrzebowałconajmniejdwóchreguł:wpusz-
czaniapakietówdodanegoadresuiichwypuszczanianazewn¡trz.Rozbudo-
wywanietejpolitykinaprzykładokierunekdozwolonychpoł¡cze«(czyliz
którejstronymo»najezaczyna¢)wymagałodalszegorozbudowanialisty,na
przykładookre±lenie»erozpoczynaj¡cepoł¡czeniepakietyzflag¡SYNs¡
wpuszczanetylkowdanymkierunku.
Dlafiltrastateful–inspectionwtymwypadkuwystarczaj¡cajestwył¡cznie
jednareguła,amianowicie»epakietyzflag¡SYNs¡wpuszczanedoserwera
nadanymporcie.Pakietyb¦d¡cecz¦±ci¡poł¡czeniaid¡cewobukierunkach
b¦d¡przepuszczaneautomatycznie.Równocze±niejednakanalogiczne,alenie
b¦d¡cecz¦±ci¡dozwolonegopołaczeniapakietyzostan¡zablokowane.
4Filtrywsystemachoperacyjnych
Filtrystateful–inspections¡dost¦pnewchwiliobecnejwwi¦kszo±cisystemów
open–sourceorazwcz¦±ciproduktówkomercyjnych.
5LINUX 5
4.1Linux
Linuxprzeszedłdotejporyprzeztrzywersjefiltrapakietowego.Wkernelach
do2.0byłtoipfw,nast¦pnieipchainsw2.2oraziptableswkernelach2.4.
Tylkoostatniznichjestfiltremstateful–inspection,działajednakskutecznie
istabilnie.Wchwiliobecnejjesttojedenznajlepszychznanychmifiltrów
pakietowychna±wiecie.
4.2BSD
WeFreeBSDs¡dost¦pnedwafiltrypakietowe:ipfirewall/ipfworazipfilter/ipf,
wOpenBSDiNetBSDtylkotenostatni.Wostatnichwersjachobatefiltry
posiadaj¡funkcj¦±ledzeniapoł¡cze«,przyczymipfzdecydowaniewyró»nia
si¦elastyczno±ci¡konfiguracjiidojrzało±ci¡.Podwzgl¦demfunkcjonalnym
minimalnieust¦pujeiptables,wbrewtemuconalistachdyskusyjnychpo-
±wi¦conychBSDgłosz¡niekiedyzwolennicytegosystemu.
4.3Inne
Filtrystateful–inspections¡równie»spotykanewproduktachkomercyjnych.I
tak,popularnyCiscoIOSposiadat¦funkcj¦podnazw¡ContextBasedAccess
Control(CBAC).Filtremtegotypujestrównie»CheckPointFireWall–1.
5Linux
5.1Wymagania
•
Kernel2.4.x,niewiemktóredystrybucjezawieraj¡godomy±lnie
1
.
Samkompiluj¦ze¹ródeł.
•
Programiptables,dost¦pnyw¹ródłachna
lubjakopa-
kietdlaposzczególnychdystrybucji.
Je±likonfigurujemykernelsamodzielnie,toistotnes¡nast¦puj¡ceopcjew
menuNetworkingoptions:
•
Networkpacketfiltering(replacesipchains)
•
WchodzimydomenuIP:NetfilterConfiguration
1
U»ytkownicyDebianamog¡doinstalowa¢kernelwrazzkoniecznyminarz¦dziamiprzez
APT
.
[ Pobierz całość w formacie PDF ]