Linux-Firewalls mit iptables & Co.

Transkript

1

2 Ralf Spenneberg Linux-Firewalls mit iptables & Co. Sicherheit mit Kernel 2.4 und 2.6 für Linux-Server und -Netzwerke An imprint of Pearson Education München Boston San Francisco Harlow, England Don Mills, Ontario Sydney Mexico City Madrid Amsterdam

3 Inhaltsverzeichnis Vorwort Einleitung I Firewall-Grundlagen 35 1 Firewall-Geschichte Der Anfang des Internets Der Morris-Wurm Die erste Firewall Firewalls heute Firewall-Technologien Paketfilter Zustandsorientierte Paketfilter Curcuit Relay Application-Level-Gateway (Proxy) Network Address Translation Firewall-Architekturen Screening-Router DMZ Multiple DMZ Wahl der Architektur Bedrohungen bei der Vernetzung von Systemen Angreifer und Motivation Der klassische Hacker Script-Kiddies Insider Mitbewerber

4 Inhaltsverzeichnis Geheimdienste Terroristen und organisierte Kriminalität Tendenzen und Entwicklungen Schutzziele Angriffsmethoden Denial-of-Service (DoS) Spoofing Session Hijacking Bufferoverflow Formatstring-Angriffe Race-Condition SQL-Injektion Welchen Schutz bietet eine Firewall? II Firewalls mit Iptables Einführung 79 5 Eine einfache Firewall mit Iptables Netfilter und Iptables Der Iptables-Befehl und die Filter-Tabelle Ihr erstes Firewall-Skript Fehlersuche Einbindung in den Boot-Prozess Connection Tracking und Netzwerkverbindungen Der zustandslose Paketfilter IPchains IPchains und UDP IPchains und TCP IPchains und ICMP IPchains und Masquerading Iptables und Conntrack Filter-Regeln Die NAT-Tabelle und -Regeln

5 Inhaltsverzeichnis Source-NAT Destination-NAT NAT-Beispiel Die Mangle-Tabelle Die Raw-Tabelle Einstellungen des Kernels Protokollierung Test der Firewall Härtung eines Linux-Systems Warum sollte eine Firewall gehärtet werden? Installation des Linux-Systems Updates Debian-Updates SUSE-Updates Red Hat-Updates Fedora Core-Updates Deaktivieren überflüssiger Dienste Startskripten Internet-Super-Server Cron-Daemon Entfernen überflüssiger Software Sicherheit auf Dateisystemebene Sicherheit beim Bootvorgang Bastille-Linux Mandatory-Access-Control-Systeme (MAC) Intrusion-Detection- und -Prevention-Systeme Intrusion-Detection-Systeme Intrusion-Prevention-Systeme

6 Inhaltsverzeichnis III Typische Firewall-Konfigurationen Eine lokale Firewall Wieso eine lokale Firewall? Die Ketten Der Owner-Match Kombination mit Gateway-Regeln Aufbau einer DMZ DMZ-Architekturen Dreibeiniger Paketfilter mit DMZ Optimierung mit benutzerdefinierten Ketten Anwendung der benutzerdefinierten Ketten DMZ mit zwei Paketfiltern Der äußere Paketfilter Der innere Paketfilter IV Werkzeuge Zentrale Protokollserver Einrichtung eines zentralen Protokollservers Modular Syslog Installation des Msyslogd Konfiguration von msyslogd Syslog-ng Zentrale Zeitsynchronisation Das Zeitsynchronisationsprotokoll NTP Der ntpd-zeitserver Der Client Der Server Sicherheit Symmetrische Authentifizierung Asymmetrische Authentifizierung

7 Inhaltsverzeichnis 12 Protokollanalyse Fwlogwatch Installation von Fwlogwatch Konfiguration von Fwlogwatch IP Tables State (IPTState) Webfwlog Firewall Log Analyzer Scanulog und ulog-acctd Nulog EpyLog Log Analyzer Administrationsoberflächen Firewall Builder Firestarter Shorewall (Shoreline Firewall) Das Shorewall-Konzept Die Shorewall-Dateien Weitere Shorewall-Eigenschaften Distributionswerkzeuge Fedora Core OpenSUSE Debian IPCop Das IPCop-Konzept IPCop-Installation IPCop-Web-Interface Smoothwall Smoothwall-Installation Smoothwall-Web-Interface

8 Inhaltsverzeichnis 15 Testmethoden und -werkzeuge Test der Regeln Nmap Nmap-Installation Einfache Scans Fortgeschrittene Anwendung Nmap-Hilfswerkzeuge Nmap-Audit NDiff Nmap-Parser nmaplr Fe3d Nessus V Fortgeschrittene Konfiguration Die Iptables-Standardtests Eingebaute Tests p, protocol s, source d, destination i, in-interface o, out-interface f, fragment TCP-Tests sourceport destinationport tcp-flags syn tcp-options

9 Inhaltsverzeichnis 16.3 UDP-Tests sourceport destinationport ICMP-Tests addrtype ah comment connbytes connmark conntrack dccp dscp ecn esp hashlimit helper iprange length limit mac mark multiport owner physdev pkttype realm recent sctp state string tcpmss

10 Inhaltsverzeichnis tos ttl Alle Standardziele ACCEPT CLASSIFY CLUSTERIP CONNMARK DNAT DROP DSCP ECN LOG MARK MASQUERADE NETMAP NFQUEUE NOTRACK QUEUE REDIRECT REJECT RETURN SAME SNAT TCPMSS TOS TTL ULOG Patch-O-Matic Was ist Patch-O-Matic? Wie bekomme ich Patch-O-Matic,und wie wende ich es an?

11 Inhaltsverzeichnis 18.3 Base-Patches IPV4OPTSSTRIP connlimit expire NETMAP fuzzy ipv4options nth osf psd quota random set time u Extra-Patches ACCOUNT IPMARK ROUTE TARPIT TRACE XOR account condition connrate geoip goto h323-conntrack-nat ip_queue_vwmark ipp2p policy und IPsec-Patches

12 Inhaltsverzeichnis mms-conntrack-nat mport owner-socketlookup pptp-conntrack-nat quake3-conntrack-nat rpc rsh sip talk-conntrack-nat tproxy unclean Connection Tracking Connection Tracking Überblick Das TCP-Connection Tracking Das UDP-Connection Tracking Das ICMP-Connection Tracking Das Connection Tracking für alle weiteren Protokolle Das ip_conntrack-kernelmodul TCP-Window-Tracking /proc-variablen ip_conntrack_buckets ip_conntrack_count ip_conntrack_generic_timeout ip_conntrack_icmp_timeout ip_conntrack_log_invalid ip_conntrack_max ip_conntrack_tcp_be_liberal ip_conntrack_tcp_loose ip_conntrack_tcp_max_retrans ip_conntrack_tcp_timeout_close ip_conntrack_tcp_timeout_close_wait

13 Inhaltsverzeichnis ip_conntrack_tcp_timeout_established ip_conntrack_tcp_timeout_fin_wait TCP-Zustände Die NAT-Tabelle Die NAT-Tabelle und ihre Ketten Source-NAT Destination-NAT MASQUERADE NETMAP SNAT SAME DNAT REDIRECT TPROXY NAT-Helfermodule CONNMARK-Target Die Mangle-Tabelle Die Ketten der Mangle-Tabelle Aktionen der Mangle-Tabelle CLASSIFY CONNMARK DSCP ECN IPMARK IPV4OPTSSTRIP MARK ROUTE TOS TTL XOR

14 Inhaltsverzeichnis 22 Die Raw-Tabelle Die Raw-Tabelle Das /proc-dateisystem Einführung in /proc /proc/net/ ip_conntrack ip_conntrack_expect ip_tables_* /proc/sys/net/ipv icmp_* igmp_* inet_peer_* ip_* ipfrag_* tcp_* /proc/sys/net/ipv4/conf accept_redirects accept_source_route arp_announce arp_filter arp_ignore bootp_relay disable_policy disable_xfrm force_igmp_version forwarding log_martians mc_forwarding medium_id promote_secondaries

15 Inhaltsverzeichnis proxy_arp rp_filter secure_redirects send_redirects shared_media tag /proc/sys/net/ipv4/neigh /proc/sys/net/ipv4/netfilter /proc/sys/net/ipv4/route /proc/sys/net/ipv Fortgeschrittene Protokollierung Das ULOG-Target Das ipt_ulog-kernelmodul Der Ulogd-Daemon [OPRINT] [LOGEMU] [MYSQL] [PGSQL] [PCAP] [SQLITE3] [SYSLOG] Der Specter-Daemon Ipset ipset und iptables Die Ipset-Typen ipmap portmap macipmap iphash nethash

16 Inhaltsverzeichnis ipporthash iptree Das Kommando ipset Hochverfügbare Firewalls Was ist Hochverfügbarkeit, und wo ist das Problem? Einfache Hochverfügbarkeit Hochverfügbarkeitbei zustandsorientierten Firewalls Praktische Implementierung mit KeepAlived Hochverfügbarkeit und Masquerading/NAT Zustandssynchronisation mit ct_sync Installation Funktion von ct_sync Aufbau des ct_sync-clusters Nfnetlink und Kernel Der conntrack-befehl nf-hipac Was ist nf-hipac? VI Transparente Firewalls ProxyARP Wie funktioniert ProxyARP? ProxyARP-Konfiguration Filterung mit Iptables Fazit Iptables auf einer Bridge Wie funktioniert die Bridge? Bau einer Bridge mit Linux Filtern auf der Bridge mit iptables

17 Inhaltsverzeichnis 30.4 Filtern auf der Bridge mit arptables Fazit Ebtables Ebtables-Installation Konfiguration des Linux-Kernels Installation des Userspace-Werkzeugs Die Ebtables-Tabellen Der Rahmen erreicht über ein Bridge-Interface das System Der Rahmen erreicht über ein Nicht-Bridge-Interface das System Ein lokal erzeugtes Paket verlässt das System über die Bridge Die broute-tabelle Die ebtables-syntax Start einer Bridge auf Fedora Core VII Protokolle und Applikationen Behandlung einzelner Protokolle DHCP Das DHCP-Protokoll Iptables-Regeln DNS Das DNS-Protokoll Iptables-Regeln HTTP/HTTPS/Proxy Iptables-Regeln ELSTER Iptables-Regeln Telnet Iptables-Regeln

18 Inhaltsverzeichnis 32.6 SSH Iptables-Regeln P2P: Edonkey Iptables-Regeln P2P: KaZaA Iptables-Regeln P2P: BitTorrent Iptables-Regeln FTP Das FTP-Protokoll Die Stateful Inspection des FTP-Protokolls Iptables-Regeln SNMP Iptables-Regeln Amanda Das Amanda-Protokoll Iptables-Regeln PPTP Iptables-Regeln SMTP Das SMTP-Protokoll Iptables-Regeln IRC Iptables-Regeln TFTP Iptables-Regeln IMAP Iptables-Regeln POP Iptables-Regeln

19 Inhaltsverzeichnis NTP Iptables-Regeln NNTP Iptables-Regeln H Iptables-Regeln SIP Iptables-Regeln IPsec IPsec Iptables-Regeln zum Durchleiten von IPsec KLIPS sec Transport-Modus Tunnel-Modus Filterung mit Firewall-Markierung Filterung mit dem policy-match ICMP ICMP ICMP destination-unreachable ICMP fragmentation-needed ICMP source-quench ICMP redirect ICMP time-exceeded ICMP parameter-problem ICMP router-advertisment/router-solicitation ICMP timestamp-request/timestamp-reply ICMP address-mask-request/address-mask-reply ICMP echo-request/echo-reply (Ping)

20 Inhaltsverzeichnis Traceroute Optimierung der ICMP-Regeln IPv Filterung mit ip6tables Neue IPv6-Targets HL Neue IPv6-Matches dst eui hbh hl ipv6header rt A Postfix- -Relay A.1 Postfix als -Relay A.2 Adressverifizierung A.3 Amavisd-New B Firewall-Skript B.1 Stopp der Firewall C Netzwerkgrundlagen C.1 TCP/IP C.2 IP C.2.1 Version C.2.2 Header-Länge C.2.3 Type-of-Service C.2.4 Gesamtpaketlänge C.2.5 Identifikationsnummer C.2.6 Flaggen C.2.7 Fragment-Offset

21 Inhaltsverzeichnis C.2.8 Time To Live (TTL) C.2.9 Protokoll C.2.10 Prüfsumme C.2.11 Quell-IP-Adresse C.2.12 Ziel-IP-Adresse C.2.13 IP-Optionen C.3 UDP C.4 TCP C.4.1 Auf- und Abbau einer TCP-Verbindung C.4.2 TCP-Header C.4.3 Fortgeschrittene Eigenschaften von TCP C.5 Explicit Congestion Notification C.6 ICMP C.6.1 Destination Unreachable C.6.2 Source Quench C.6.3 Time Exceeded C.6.4 Redirect C.6.5 Parameter Problem C.6.6 Echo-Request und Reply C.6.7 Address Mask Request und Reply C.6.8 Timestamp Request und Reply C.6.9 Router Solicitation und Advertisement C.7 ARP Literaturverzeichnis Stichwortverzeichnis Über den Autor