Architekturen für echte Firewalls I. (C) ist eine typische Architektur mit einer Bastion (D) Hat eine Mini-DMZ, die aus einem Crossover-Kabel (A)

Transkript

1 eth1 eth0 eth1 eth1 Architekturen für echte Firewalls I (A) (C) ist eine typische Architektur mit einer Bastion (D) Hat eine Mini-DMZ, die aus einem Crossover-Kabel besteht PF = Packet Filter (B) 2

2 Architekturen für echte Firewalls II Um die Beispiele konkreter zu machen, werden bestimmte Konstellationen angenommen: Auf der Firewall laufen keine Server. Dies kann etwas aufgeweicht werden, wenn z.b. auf der Firewall ein Cache-DNS-Server läuft, ein NTP-Server läuft. Die Firewall wird als statefull Packet-Filter konzipiert. Es gibt keine öffentlichen Web-, DHCP- und keinen FTP-Server im LAN. In der Konstellation (A) erhält die Firewall ihre IP-Adresse von Außen per DHCP (über PPPoE vom Provider, z.b.). In der Konstellation (B) hat die Firewall eine fest definierte IP- Adresse, denn für das Innennetz ist sie der Router. 3 Forward-Chain I - Wiederholung 4

3 Forward-Chain II - Wiederholung Wenn ein Packet innerhalb des Hosts geroutet wird, durchläuft es die Forward-Chain. Verbleibt es im System die Input-Chain. 5 Bemerkungen Routing hat zwei Bedeutungen 1)Wegwahl für Transport zwischen verschiedenen Schnittstellen innerhalb des Systems 2) Wegwahl für Transport zwischen Systemen innerhalb eines Netzes Für das Routing des 1. Falls gibt es folgende Möglichkeiten: Kernel anhand seiner Routing-Tabelle Benutzung von Proxies FORWARD-Regeln mit Setzen der Kernelvariablen ip_forward Für das Routing des 2. Falls gibt es üblicherweise die Möglichkeit der Benutzung der Routing-Tabelle(n) der betroffenen Router. 6

4 Routing I Im folgenden wird das Vorgehen bei einem Router mit optionalem NAT, der keine FORWARD-Regeln und auch keine Proxies benutzt, besprochen. M.a.W. das Folgende gilt nur für echte Router... 7 Routing II 8

5 Routing III - Tabelle für Router A Ziel Netzmaske Router Gateway Schnittstelle eth eth eth ppp ppp0 Der letzte Eintrag betrifft die Default-Route. 9 Routing IV Ablauf Ist es für den Router selbst bestimmt: INPUT-Chain Verlässt das Paket den Router: Ist der Router-Eintrag leer, wird mit ARP die MAC-Adresse im angrenzenden LAN gesucht und das Paket gesendet. Ist ein Router angegeben, wird die MAC-Adresse vom angegebenen Router zum Senden benutzt In beiden Fällen bleibt die Destination-Adresse unberührt. Bei Konflikten wird immer der Eintrag mit der spezielleren Adressangabe benutzt. 10

6 Packet-Filter I Im folgenden wird ein statefull Packetfilter mit Routing-Funktionen besprochen, d.h. keine Benutzung von Proxies. Die Nicht-Beachtung der Routing-Tabelle setzt voraus, dass die Weitergabe der Pakete nach Außen/Internet "automatisch" realisiert wird, z. B. über PPPoE bei DSL, also bei Konstellation (A). Ansonsten muss eine Default-Route eingetragen werden (Konstellation (B)): route add default gw IPAdresse-des-nächsten-Routers 11 Packet-Filter II Es ist (fast) dasselbe Skript wie bei der Personal-Firewall, nur dass aus den beiden INPUT/OUTPUT-Regeln eine FORWARD-Regel mit zwei Angaben der Schnittstellen -i und -o werden. Allerdings müssen ein paar Beschränkungen bzgl. der Absenderadresse beachtet werden. Weiterhin müssen andere Kernelmodule geladen und andere Kernelparameter gesetzt werden: Kernelvariable Erläuterung ip_forward Einschalten des Routings mit FORWARD-Regeln Kernelmodul Erläuterung ip_conntrack_ftp Passives FTP (und auch NAT) ip_nat_ftp Aktives FTP und NAT Laden eines Kernelmoduls mit z.b. "modprobe ip_conntrack_ftp". 12

7 Einfaches Beispiel - DNS I iptables -A FORWARD -i $INNER -o $OUTER -p udp -s $INNERADDR --sport $OPEN_PORT -d $NAMESERVER --dport 53 -j ACCEPT iptables -A FORWARD -i $OUTER -o $INNER -p udp -s $NAMESERVER --sport 53 -d $INNERADDR --dport $OPEN_PORT -j ACCEPT Mit Makros $SEND und $RECEIVE: $SEND -p udp -s $INNERADDR --sport $OPEN_PORT -d $NAMESERVER --dport 53 -j ACCEPT $RECEIVE -p udp -s $NAMESERVER --sport 53 -d $INNERADDR --dport $OPEN_PORT -j ACCEPT 13 Makros Name Bedeutung SEND iptables -A FORWARD -i $INNER -o $OUTER RECEIVE iptables -A FORWARD -i $OUTER -o $INNER INNER Schnittstelle nach Innen: eth1 INNERNET INNERNET_BROADCAST INNERADDR /16 bzw. /12 OPEN_PORT "1024:65535" PRIVAT_PORT "0:1023" Die Makros INNER* beschreiben den Adressraum des inneren Netzes. 14

8 Einfaches Beispiel - DNS II zustandslose Version $SEND -p udp --sport $OPEN_PORT -d $NAMESERVER --dport 53 -j ACCEPT $RECEIVE -p udp -s $NAMESERVER --sport 53 --dport $OPEN_PORT -j ACCEPT Das ist eventuell zu offen, daher: $SEND -p udp -s $INNERADR --sport $OPEN_PORT -d $NAMESERVER --dport 53 -j ACCEPT $RECEIVE -p udp -s $NAMESERVER --sport 53 -d $INNERADDR --dport $OPEN_PORT -j ACCEPT Wer allen DNS-Servern vertraut, lässt -d $NAMESERVER weg. 15 Das Packet-Filter Script I Im folgenden wird in Auszügen ein Packet-Filter-Script beschrieben, das vollkommen analog wie die Personal-Firewall aufgebaut ist. Die globalen Durchlassregeln für aufgebaute Verbindungen heißen nun: iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT $SEND -m state --state ESTABLISHED,RELATED -j ACCEPT $RECEIVE -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -m state --state INVALID -j DROP iptables -A OUTPUT -m state --state INVALID -j DROP $SEND -m state --state INVALID -j DROP $RECEIVE -m state --state INVALID -j DROP 16

9 Das Packet-Filter Script II iptables --policy INPUT DROP iptables --policy OUTPUT DROP iptables --policy FORWARD DROP iptables -t nat --policy PREROUTING ACCEPT iptables -t nat --policy OUTPUT ACCEPT iptables -t nat --policy POSTROUTING ACCEPT iptables -t mangle --policy PREROUTING ACCEPT iptables -t mangle --policy OUTPUT ACCEPT Für NAT-Tabellen ist ACCEPT die Policy! Die Mangle- Tabelle wird nicht benutzt Wie gehabt aber nun sind die Gründe anders. Bei der NAT-Tabelle wird mit Absicht eine andere Policy verwendet, während die Mangle-Tabelle nicht benutzt wird. 17 Ergänzung der Ketten (Chains) 18

10 Das Packet-Filter Script III Das Vorfiltern von Schrott und Scanns wird nun über die PREROUTING- Kette realisiert: $PREFILTER -p tcp --tcp-flags ALL NONE -j DROP $PREFILTER -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP $PREFILTER -p tcp --tcp-flags SYN,RST SYN,RST -j DROP $PREFILTER -p tcp --tcp-flags FIN,RST FIN,RST -j DROP $PREFILTER -p tcp --tcp-flags ACK,FIN FIN -j DROP $PREFILTER -p tcp --tcp-flags ACK,PSH PSH -j DROP $PREFILTER -p tcp --tcp-flags ACK,URG URG -j DROP Bei diesen Regeln gibt es keine Einschränkungen auf die Schnittstelle, so dass diese Regeln für alle gelten, d.h. an allen Schnittstellen gehen keine Scanns... Das Makro PREFILTER hat folgende Definition: PREFILTER="iptables -t nat -A PREROUTING" 19 Das Packet-Filter Script IV $PREFILTER -i $OUTER -s $CLASS_A -j DROP $PREFILTER -i $OUTER -s $CLASS_B -j DROP $PREFILTER -i $OUTER -s $CLASS_C -j DROP Das muss entsprechend den benutzten Netzen angepasst werden. $PREFILTER -i $OUTER -s $LOOPBACK -j DROP # Drop reserved addresses from outside $PREFILTER -i $OUTER -s $CLASS_E -j DROP $PREFILTER -i $OUTER -s /8 -j DROP $PREFILTER -i $OUTER -s /16 -j DROP $PREFILTER -i $OUTER -s /24 -j DROP Der rot gekennzeichnete Block fängt noch weitere unsinnige Pakete ab (als bei der Personal Firewall). 20

11 DNS I zustandsbehaftete Version $SEND -p udp -s $INNERADR --sport $OPEN_PORT -d $NAMESERVER --dport 53 -m state --state NEW -j ACCEPT $SEND -p udp -s $INNERADR --sport $OPEN_PORT -d $NAMESERVER --dport 53 -j ACCEPT $RECEIVE -p udp -s $NAMESERVER --sport 53 -d $INNERADR --dport $OPEN_PORT -j ACCEPT Dies ist hier der Code aus dem obigen Beispiel. Der untere eingerahmte Bereich realisiert das Fall Back in den stateless mode, der vielleicht nicht erwünscht ist DNS II zustandsbehaftete Version # Das Ganze noch einmal für TCP $SEND -p tcp -s $INNERADR --sport $OPEN_PORT -d $NAMESERVER --dport 53 -m state --state NEW -j ACCEPT $SEND -p tcp -s $INNERADR --sport $OPEN_PORT -d $NAMESERVER --dport 53 -j ACCEPT $RECEIVE -p tcp -s $NAMESERVER --sport 53 -d $INNERADR --dport $OPEN_PORT -j ACCEPT Der untere eingerahmte Bereich realisiert das Fall Back in den stateless mode, der vielleicht nicht erwünscht ist... 22

12 DNS III Jetzt besteht noch das Problem, dass die Firewall selbst DNS benutzen möchte: Das wird dadurch gelöst, dass INPUT/OUTPUT-Regeln wie bei der Personal-Firewall benutzt werden, denn alle auf der Firewall laufenden Programme benutzen die INPUT/OUTPUT-Ketten. Weiterhin sollte nur der DNS-Server im eigenen lokalen Netz den Zugriff nach außen haben; bei den bisher angegebenen Regeln können alle Maschinen des LAN DNS-Requests senden. Dies wird dadurch erreicht, dass der DNS-Zugriff nur von einem Gerät mit einer festen IP-Adresse (nämlich die vom lokalen DNS- Server) erlaubt ist. Dazu wird ein weiteres Makro eingeführt, das diese IP-Adresse beinhaltet: $INNERDNS 23 DNS III $SEND -p udp -s $INNERDNS --sport $OPEN_PORT -d $NAMESERVER --dport 53 -m state --state NEW -j ACCEPT $SEND -p udp -s $INNERDNS --sport $OPEN_PORT -d $NAMESERVER --dport 53 -j ACCEPT $RECEIVE -p udp -s $NAMESERVER --sport 53 -d $INNERDNS --dport $OPEN_PORT -j ACCEPT Und dann noch einmal für TCP... So, jetzt fehlt nur noch die Schleife für das Generieren von Regeln für mehrere DNS-Server (siehe oben). 24

13 Vorgehen und Umgehen mit ICMP Nach diesem Schema wird Dienst für Dienst definiert entsprechend den Tabellen. Das Skript hat denselben Aufbau wie bei der Personal Firewall. Der Umgang mit ICMP verläuft analog, z. B. #--Fragmentierte Pakete auf allen Schnittstellen iptables -A INPUT --fragment -p icmp -j LOG --log-prefix "Fragmented ICMP: " iptables -A INPUT --fragment -p icmp -j DROP iptables -A FORWARD --fragment -p icmp -j LOG --log-prefix "Forward Fragmented ICMP: " iptables -A FORWARD --fragment -p icmp -j DROP 25 NAT - Network Address Translation I Unidirektionales NAT Address -> Address (einfaches NAT) Address/Port -> Address/Port (NAPT) Masquerading (1 Öffentliche Adresse : N lokale Adressen) Bidirektionales NAT Öffentliche Adresse ist "Alias" für interne Adresse Doppeltes NAT Wenn äußerer und innerer Adressbereich sich überlappen Namen für iptables Übersetzung der Absender-Adresse SNAT Übersetzung der Ziel-Adresse DNAT 26

14 NAT - Network Address Translation II Es wird die NAT-Tabelle benutzt, die vollkommen getrennt von der Filter-Tabelle ist. Übersetzung der IP-Adressen erfolgt: Vor dem Routing: PREROUTING-Chain Nach dem Routing: POSTROUTING-Chain NAT für die Absenderadresse: POSTROUTING-Chain für geroutete Pakete OUTPUT-Chain für lokal erzeugte Pakete NAT für die Zieladresse: PREROUTING-Chain vor dem Routing Die OUTPUT-Chain der Filter- und der NAT-Tabelle sind unterschiedlich, obwohl sie denselben Namen haben. 27 Die Ketten (Chains) 28

15 Wo wann welche Adresse? Zieladressen-NAT Regeln der PREROUTING-Chain benutzen die ursprünglichen Zieladressen (vor dem Routing) Regeln der INPUT/FORWARD-Chain benutzen die durch PREROUTING veränderten Zieldressen. Das gilt auch für die POSTROUTING-Chain. Absenderadressen-NAT Regeln der POSTROUTING-Chain benutzen die ursprünglichen Absenderadressen. Das Umsetzen der Absenderadresse erfolgt unmittelbar vor dem Verlassen des Systems. Das gilt auch für alle anderen Chains. 29 Masquerading (SNAT-Variante) iptables -t nat -A POSTROUTING -o $OUTER... -j MASQUERADE Als externe Adresse wird immer die aktuell gültige Adresse von $OUTER verwendet (über DHCP gesetzt). Weitere Bedingungen... schränken die Anwendbarkeit für NAT ein. Automatisch erfolgt die Adressumsetzung in der Gegenrichtung. Der Tabelleneintrag für NAT wird erst durch das erste Paket erzeugt. 30

16 Beispiel: Internetanbindung über PPP iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE iptables -A FORWARD -i eth0 -o ppp0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i ppp0 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT Das NAT wird natürlich nur in der Variante (A) benutzt. Eine Firewall zwischen zwei LANs benötigt dies nicht. 31 Proxy-Firewall Es werden Proxies installiert, die zwischen eth0 und eth1 die Daten kopieren und dabei protokollspezifisch Tests bzw. Modifikationen durchführen. Die Regeln der Personal Firewall werden auf die beiden Schnittstellen entsprechend den Diensten ausgerichtet. Die Proxies führen selbst NAT durch. Das Firewall-Skript beschränkt sich daher auf ICMP-Behandlung Kernel-Initialisierung Logging Portumleitung 32

17 Portumleitung Für den Fall, dass ein Proxy auf einem bestimmten Port auf der Firewall arbeitet, können durchlaufende Pakete an einen anderen Port ohne Änderung umgelenkt werden. Dann laufen die Pakete nicht durch die FORWARD-, sondern als lokal empfangene Pakte durch die INPUT-Chain. Beispiel für http-proxy SQUID: iptables -t nat -A PREROUTING -p tcp -i $INNER --dport http -j REDIRECT --to-port 3128 Das führt zu einem transparenten Proxy, d.h. die Clients arbeiten intern mit Port Was noch getan werden könnte... Weiterleiten von System-Log-Einträgen an benachbarte Maschinen, z.b. UDP auf Port 514. Hierzu müssten entsprechende OUTPUT-Regeln dies erlauben. Falls erwünscht kann ein in der Firewall laufender Cache-DNS- Server benutzt werden: dnsmasq Dieser kann auch DHCP, so dass DNS und DHCP von der Firewall abgedeckt werden. Dann müssen die DNS-Pakete von Innen nach Außen gesperrt werden, jedoch von der Firewall nach Außen erlaubt sein. Per DHCP wird dann die Firewall als Router und DNS-Server bekannt gemacht. 34

18 Nun wieder etwas entspannen... 35