1. Linux Firewall (iptables) Standard NUR BIS FEDORA 17!

Transkript

1 Linux - Linux Firewall (iptables) Standard NUR BIS FEDORA 17! - 1 / Linux Firewall (iptables) Standard NUR BIS FEDORA 17! In der Regel wird bei der Installation der Distribution das Paket iptables (und Paket iptables-ipv6) standardmäßig mit installiert. Hierbei handelt es sich jedoch nicht um die Firewall selbst, denn diese ist in den Kernel integriert, sondern um das Administrationstool für die Firewall. Seit Fedora 17 wird ebenso wie bei CentOS 7 stattdessen der firewalld Daemon standardmäßig benutzt. Es kann aber weiterhin iptables genutzt werden, firewalld muss dann deaktiviert werden (achten Sie darauf, dass während der Umstellung nicht kritische Netzwerkschnittstellen aktiv sind): 1. Installiere das Paket iptables-services. 2. Deaktiviere und stoppe firewalld: service firewalld stop systemctl disable firewalld.service Alternativ bzw. zusätzlich kann, muss aber nicht, der Dienst maskiert werden (symbolischer Link firewalld.service zeigt auf /dev/null): systemctl mask firewalld 3. Aktiviere und starte iptables: service start iptables service start ip6tables systemctl enable iptables systemctl enable ip6tables 4. Um wieder firewalld statt iptables zu nutzen, gehen Sie entsprechend vor (systemctl unmask firewalld aktiviert wierder den Link). Beachte: Hier wird nur die Einrichtung von iptables für IPv4 gezeigt. Entsprechend muss mit ip6tables die Firewall für IPv6 eingerichtet werden. Die Firewall ist ein Dienst (Daemon) und kann daher mit dem Kommando service gestartet und gestoppt werden, bzw. dessen Status ermittelt werden. Die Auswirkungen des Kommandos service sind etwas anders als bei anderen Diensten, da die Linux Firewall in den Kernel integriert ist und somit nicht wie ein eigenständiges Serverpro - gramm einfach gestartet und beendet wird: service iptables stop Firewall wird so konfiguriert, dass alle Verbindungen über alle Schnittstellen erlaubt sind (alle Richtungen Ausgang und Eingang), Policy ACCEPT. service iptables start Konfigurationsdatei /etc/sysconfig/iptables wird geladen und damit die Firewall mit den Regeln konfiguriert. service iptables restart Konfigurationsdatei /etc/sysconfig/iptables wird mit ihren Regeln neu geladen, nachdem zuvor alle Verbindungen auf keinerlei Beschränkung, Policy ACCEPT, zurückgesetzt wurden. Aus Sicherheitsgründen sollte die Firewall immer aktiv sein. Nie ohne Firewall ins Netz - Kontrolle: $ service iptables status Redirecting to /bin/systemctl status iptables.service iptables.service - IPv4 firewall with iptables Loaded: loaded (/lib/systemd/system/iptables.service; enabled) Active: active (exited) since Fri, 23 Mar :45: ; 11min ago Main PID: 861 (code=exited, status=0/success) CGroup: name=systemd:/system/iptables.service Mit dem Kommando systemctl kann festgelegt werden, ob die Firewall bei Bootvorgängen die Firewall startet (aus Sicherheitsgründen sollte dies immer geschehen). Kontrolle: # ls -l /etc/systemd/system/basic.target.wants/iptables.service lrwxrwxrwx. 1 root root Mär 23:06 /etc/systemd/system/basic.target.wants/iptables.service -> /lib/systemd/system/iptables.service Falls Link nicht existiert: # systemctl enable iptables.service ln -s '/lib/systemd/system/iptables.service' '/etc/systemd/system/basic.target.wants/iptables.service'

2 Linux - Linux Firewall (iptables) Standard NUR BIS FEDORA 17! - 2 / Konfigurationen erstellen. Die Konfigurationsdatei /etc/sysconfig/iptables wird jedoch nie direkt editiert, sondern man geht wie folgt vor: Beim Bootvorgang wird eine Firewall mit restriktiven Regeln gestartet, die in /etc/sysconfig/iptables vorliegen. Die laufende Firewall wird mit diversen iptables Kommandos konfiguriert. Die laufende Firewall mit ihren neuen Regeln wird mit dem Kommando iptables-save in eine Datei geschrieben. Mit dem Kommando iptables-restore können beliebige Konfigurationsdateien geladen werden. Die Firewall besitzt Tabellen. Eine davon, die Standardtabelle filter, dient mit ihren Ketten (engl. chain) INPUT, FORWARD, OUTPUT zur Überwachung der Verbindungen. Die Tabelle filter ist Standard und braucht nicht im Kommando iptables mit der -t Option aufgeführt werden, wenn sie bearbeitet werden soll. Die weiteren Tabellen sind: nat (mit Ketten PREROUTING, OUT- PUT, POSTROUTING) Network Address Translation, mangle (mit Ketten PREROUTING, INTPUT, FORWARD, POSTROUTING) für Änderungen an Paketen, raw (mit Ketten PREROUTING, OUTPUT) zur Optimierung. 1.2 Firewall Table filter (die Standardtabelle). Die Firewall ist nach der Installation von Fedora standardmäßig aktiviert. Hat man auch den SSH Zugriff auf den eigenen Rechner gesperrt, was evtl. zu empfehlen ist, arbeitet die Firewall in der Tabelle filter nach folgenden Regeln, die sich mit Kommando iptables -S anzeigen lassen (genauer mit Kommando iptables -L -v): Wenn Sie die Firewall von Grund auf neu konfigurieren, sollten Sie der Sicherheit wegen alle Schnittstel - len mit Ausnahme von lo mit dem Kommando ifdown deaktivieren, um nicht Ihren Host ungeschützt im Netzwerk zu belassen! Mit Kommando ifup können Sie die Schnittstellen später wieder aktivieren. # ifconfig p33p1 Link encap:ethernet Hardware Adresse 00:0F:EA:BF:BA:B8 inet Adresse: Bcast: Maske: UP BROADCAST MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 Kollisionen:0 Sendewarteschlangenlänge:1000 RX bytes:0 (0.0 b) TX bytes:0 (0.0 b) Interrupt:20 lo Link encap:lokale Schleife inet Adresse: Maske: inet6 Adresse: ::1/128 Gültigkeitsbereich:Maschine UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:1247 errors:0 dropped:0 overruns:0 frame:0 TX packets:1247 errors:0 dropped:0 overruns:0 carrier:0 Kollisionen:0 Sendewarteschlangenlänge:0 RX bytes: (187.3 KiB) TX bytes: (187.3 KiB) # ifdown p33p1 # ifconfig lo Link encap:lokale Schleife inet Adresse: Maske: inet6 Adresse: ::1/128 Gültigkeitsbereich:Maschine UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:1277 errors:0 dropped:0 overruns:0 frame:0

3 Linux - Linux Firewall (iptables) Standard NUR BIS FEDORA 17! - 3 / 10 - TX packets:1277 errors:0 dropped:0 overruns:0 carrier:0 Kollisionen:0 Sendewarteschlangenlänge:0 RX bytes: (191.8 KiB) TX bytes: (191.8 KiB) Um das vorkonfigurierte Regelwerk der Tabelle filter nochmals aufzubauen, gehe man wie folgt vor: 1. Alle bisherigen Regeln löschen, Option F (engl. Flush). # iptables -F 2. Da man nicht sicher sein kann, daß die Policies der 3 Ketten auf Target ACCEPT stehen, wenn Sie Ihre neuen Regeln anwenden wollen (wird im nachfolgendem dadurch simuliert, daß die Kette INPUT zuerst auf Target RE- JECT gestellt wird), sollte man sie explizit auf Target ACCEPT stellen, Option -P Chain Target. Als Targets können u.a. verwendet werden: ACCEPT (erlauben) und DROP (verwerfen). # iptables -P INPUT DROP -P INPUT DROP # iptables # iptables # iptables 3. Es werden die Regeln für die Ketten INPUT, FORWARD und OUTPUT festgelegt. Diese werden von der Firewall so abgearbeitet, wie sie festgelegt werden. Dazu verwendet man die Option -A (engl. add), allgemein iptables -A Chain Regel. Als Regel lassen sich u.a. verwenden: -i Interface Input Interface (lo, p33p1, eth0, eth1, eth+, usw.). Wird ein + statt der Interfacenummer angegeben, so gilt es für alle Interfaces dieser Art. So bedeutet eth+ alle Ethernetschnittstellen. -m Modulname Match Extensions ("Erweiterung von Übereinstimmungen") werden durch zusätzliche Module eingeleitet. Ein Modul von vielen ist das Modul mit dem Namen state, das als einzige Option --state status,... aufweist. Der Status kann sein: ESTABLISHED Für Pakete in Zusammenhang mit einer bestehenden Verbindung (in beide Richtungen). NEW Für Pakete in Zusammenhang einer noch nicht bestehenden Verbindung (in beide Richtungen). RELATED Für Pakete in Zusammenhang mit einer noch nicht bestehenden Verbindung, die auf einer existierenden Verbindung basieren (zum Beispiel passiver FTP Daten Transfer oder ICMP Fehlermeldungen). INVALID Für Pakete die nicht identifiziert werden können. Weitere Module sind tcp und udp mit u.a. den Optionen: --sport Port[:Port] Quell-Port (engl. source) oder Bereich von Ports (von:bis). --dport Port[:Port] Ziel-Port (engl. destination) oder Bereich von Ports (von:bis).! --syn (nur Modul tcp) Pakete mit SYN Bit dienen dazu, einen Verbindungsaufbau zu initiieren. So würde die Option! --syn eine neue Verbindung

4 Linux - Linux Firewall (iptables) Standard NUR BIS FEDORA 17! - 4 / 10 - verhindern. Das Modul multiport in Verbindung mit den Protokollen tcp und udp hat u.a. die folgenden Optionen: --sports Port Port:Port,...,... Durch Komma getrennte Liste (keine Leerzeichen erlaubt) von Quell-Ports (engl. source) oder Bereich von Ports (von:bis) mit maximal 15 Ports bzw. Portbereichen. --dports Port Port:Port,...,... Durch Komma getrennte Liste (keine Leerzeichen erlaubt) von Ziel-Ports (engl. destination) oder Bereich von Ports (von:bis) mit maximal 15 Ports bzw. Portbereichen. Über das Modul icmp läßt sich mit der Option --icmp-type Typenname der ICMP-Typ festlegen. Gültige Typnamen bekommt man mit dem Kommando iptables -p icmp -h angezeigt. Der Typenname any steht für alle ICMP Typen. -o Interface Output Interface (lo, p33p1, eth0, eth1, eth+, usw.). Wird ein + statt der Interfacenummer angegeben, so gilt es für alle Interfaces dieser Art. So bedeutet eth+ alle Ethernetschnittstellen. -p Protokoll Als Protokoll kann angegeben werden: tcp, udp, icmp, usw. (Namen aus /etc/protocols) oder all (für alle). Das Protokoll icmp bedeutet Internet Control Message Protocol und steht für Austausch von Status- und Fehlerinformationen (Beispiele: Kommando ping sendet das ICMP Paket echo-request und bekommt im Erfolgsfall das ICMP Paket echo-reply zurück). -j Target Sprung (engl. jump) zu einem Target wie ACCEPT (erlauben), REJECT (abweisen), DROP (verwerfen), LOG (Logbucheintrag in Datei /var/log/messages) oder eigene deklarierte Targets. Der Unterschied zwischen REJECT und DROP besteht darin, daß bei REJECT eine Rückmeldung an den entfernten Host gesendet wird, bei DROP keine. Im Falle von REJECT muß noch der Typ der Rückmeldung mit --reject-with Typ angegeben werden: icmp-net-unreachable Netz nicht erreichbar. icmp-host-unreachable Rechner nicht erreichbar. icmp-port-unreachable Port nicht erreichbar. icmp-proto-unreachable Protokoll nicht erreichbar. icmp-net-prohibited Netz gesperrt. icmp-host-prohibited Rechner gesperrt. Im Falle von LOG kann vor dem Eintrag in /var/log/messages zusätzlicher Text bis zu 29 Zeichen mit der Option --log-prefix "Text" festgelegt werden. Beispiel zur Einrichtung der Firewall wie von Fedora durch die Installation der Distribution: # iptables # iptables # iptables # iptables # iptables Damit ist die Firewall wie von Fedora selbst eingerichtet worden.

5 Linux - Linux Firewall (iptables) Standard NUR BIS FEDORA 17! - 5 / Nun muss die neue aktuelle Firewall Konfiguration in eine Konfigurationsdatei mit dem Kommando iptables-save geschrieben werden. Da das Kommando iptables-save nur eine Bildschirmausgabe erzeugt, ist diese in eine Datei umzulenken: iptables-save > Datei # iptables-save > /root/iptables-fc # cat /root/iptables-fc # Generated by iptables-save v on Mon Jun 29 11:31: *raw :PREROUTING ACCEPT [7:1370] :OUTPUT ACCEPT [7:1370] COMMIT # Completed on Mon Jun 29 11:31: # Generated by iptables-save v on Mon Jun 29 11:31: *mangle :PREROUTING ACCEPT [7:1370] :INPUT ACCEPT [7:1370] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [7:1370] :POSTROUTING ACCEPT [14:2740] COMMIT # Completed on Mon Jun 29 11:31: # Generated by iptables-save v on Mon Jun 29 11:31: *nat :PREROUTING ACCEPT [0:0] :POSTROUTING ACCEPT [6:1136] :OUTPUT ACCEPT [6:1136] COMMIT # Completed on Mon Jun 29 11:31: # Generated by iptables-save v on Mon Jun 29 11:31: *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [7:1370] COMMIT # Completed on Mon Jun 29 11:31: Zuletzt wird die Schnittstelle wieder aktiviert: # ifup p33p1 # ifconfig p33p1 Link encap:ethernet Hardware Adresse 00:0F:EA:BF:BA:B8 inet Adresse: Bcast: Maske: UP BROADCAST MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 Kollisionen:0 Sendewarteschlangenlänge:1000 RX bytes:0 (0.0 b) TX bytes:0 (0.0 b) Interrupt:20 lo Link encap:lokale Schleife inet Adresse: Maske: inet6 Adresse: ::1/128 Gültigkeitsbereich:Maschine UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:894 errors:0 dropped:0 overruns:0 frame:0 TX packets:894 errors:0 dropped:0 overruns:0 carrier:0 Kollisionen:0 Sendewarteschlangenlänge:0 RX bytes: (189.9 KiB) TX bytes: (189.9 KiB) Will man Konfigurationen der Firewall mit detailliertem Regelwerk entwickeln, erweist es sich als vorteilhaft, die Re - geln nicht immer wieder einzeln mit dem Kommando iptables eingeben zu müssen. Deshalb schreibt man die Regeln als Shell Script, zum Beispiel in die Datei /root/bin/firewall.sh (zur Ausführung muß das x Attribut für diese Datei gesetzt sein). Nach jeder Änderung der Regeln oder Neuaufnahme von Regeln in der Datei führt man das Shellscript aus. In das Shellscript ist als neue Regel aufgenommen worden, alle abgewiesenen INPUT Verbindungen als Logbucheinträge in /var/log/messages zu schreiben.

6 Linux - Linux Firewall (iptables) Standard NUR BIS FEDORA 17! - 6 / 10 - # ls -l ~/bin/firewall.sh -rwx root root Jun 12:19 /root/bin/firewall.sh # cat ~/bin/firewall.sh #!/bin/bash iptables -F iptables iptables iptables iptables iptables iptables iptables -A INPUT -j LOG --log-prefix "DENY IN " iptables iptables # ~/bin/firewall.sh -A INPUT -j LOG --log-prefix "DENY IN " 1.3 Konfigurationen laden. Eine mit iptables-save geschriebene Konfigurationsdatei läßt sich mit dem Kommando iptables-restore Datei wieder laden. Werden keine weiteren Optionen angegeben, werden die bisherigen Regeln gelöscht und der Paket- und Bytezähler auf 0 zurück gesetzt. -A INPUT -j LOG --log-prefix "DENY IN " # iptables-restore ~/iptables-fc Wird die abgespeicherte Konfigurationsdatei zur Datei /etc/sysconfig/iptables, läßt sie sich mit dem Kommando service iptables restart laden und wird, falls mit Kommando chkconfig eingerichtet, ab dem nächsten Bootvorgang beim Systemstart geladen.

7 Linux - Linux Firewall (iptables) Standard NUR BIS FEDORA 17! - 7 / Konfiguration einzelner Dienste am Beispiel SSH. Beispiel für erlaubten Zugriff auf den am eigenen Host ( ) laufenden SSH Server (Port 22) nur vom entfernten Host (vom komplettem lokalen Netzwerk wäre es /24) via TCP. Aktuelle Konfiguration Host : -A INPUT -j LOG --log-prefix "DENY IN " SSH Zugriff von auf nicht möglich: [kubi@uranus ~]$ ssh ssh: connect to host port 22: No route to host Am Host wurde der unerlaubte Zugriff in Datei /var/log/messages geloggt:... Jun 29 14:09:03 orion kernel: DENY IN IN=p33p1 OUT= MAC=00:0f:ea:bf:ba:b8:00:0f:b5:47:c5:32:08:00 SRC= DST= LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=20625 DF PROTO=TCP SPT=36996 DPT=22 WINDOW=5840 RES=0x00 SYN URGP=0... Am Host wird SSH Zugriff in Firewall eingerichtet: # cat ~/bin/firewall.sh #!/bin/bash iptables -F iptables iptables iptables iptables iptables iptables iptables -A INPUT -s i p33p1 -p tcp -m tcp --dport 22 -j ACCEPT iptables -A INPUT -j LOG --log-prefix "DENY IN " iptables iptables # ~/bin/firewall.sh -A INPUT -s /32 -i p33p1 -p tcp -m tcp --dport 22 -j ACCEPT -A INPUT -j LOG --log-prefix "DENY IN " Der SSH Zugriff von auf ist jetzt möglich: [kubi@uranus ~]$ ssh kubi@ kubi@ 's password: Last login: Mon Jun 29 09:36:

8 Linux - Linux Firewall (iptables) Standard NUR BIS FEDORA 17! - 8 / 10 - [kubi@orion ~]$ logout logout Connection to closed Besonderheiten bei FTP (auch bei Clients!). Bei FTP wird vom Client eine Verbindung zum FTP Server Port 21 aufgebaut. Eine Besonderheit bei FTP ist, daß für die eigentliche Datenübertragung eine weitere Verbindung aufgebaut wird. Dabei muß zwischen aktiven und passiven FTP unterschieden werden: Aktives FTP: Der FTP Server öffnet die weitere Verbindung vom Server-Port 20 aus zum Portbereich 1024:65535des Clients. Dies muß auch beim Client im bisherigen Regelwerk der INPUT Kette der Firewall berücksichtigt werden! Notwendige Regel am Client: -A INPUT -i p33p1 -p tcp -m tcp --sport 20 --dport 1024: j ACCEPT Läuft am Client selbst ein Dienst auf hohem Port, so ist dieser im Bereich nicht aufzuführen! Wenn zum Beispiel das Administrationstool Webmin läuft, ist der Port auszunehmen! Passives FTP: Beim passiven FTP öffnet der Client selbst, Portbereich 1024:65535, für die weitere Verbindung zum FTP Server, Portbereich 1024:65535.

9 Linux - Linux Firewall (iptables) Standard NUR BIS FEDORA 17! - 9 / Webmin als nützliches Tool zur Erstellung des Regelwerkes. Beispiel 1: Firewall eines Client Rechners, der alle eingehenden Verbindungen mit Ausnahme des IMCP Protokolls und des Loopback Device blockiert (alle ausgehenden Verbindungen sind erlaubt):

10 Linux - Linux Firewall (iptables) Standard NUR BIS FEDORA 17! - 10 / 10 - Beispiel 2: Firewall eines Clients mit Logging aller abgewiesener Verbindungen. Über die Ethernetschnittstelle p33p1 zum LAN werden alle eingehenden Verbindungen aus dem privaten Netz der Klasse C akzeptiert, über einen UMTS Surfstick (an sich Schnittstelle ppp0, aber sicherheitshalber alle ppp Schnittstellen) werden nur eingehende Verbindungen für aktives FTP akzeptiert (alle ausgehenden Verbindungen sind erlaubt): p33p1