Para explicar el funcionamiento de iptables introduciremos los siguientes términos, necesarios para comprender su semántica

Transcripción

1 Linux - Seguridad_iptables - # 31 Seguridad iptables Introducción Cuando nos referimos a seguridad informática no relacionada con la protección de datos ni con la seguridad física de instalaciones, estamos suponiendo implícitamente conectividad en red. Es obvio, de lo contrario sería imposible acceder de un modo no permitido a un sistema. Por lo tanto, es un factor fundamental a la hora de definir las políticas de seguridad, el establecer protocolos relacionados con la seguridad en la red. El concepto de seguridad en redes abarca, prácticamente en su totalidad, la pila de protocolos TCP/IP, desde la capa física (es posible intervenir cables, ondas de radio, e incluso fibras ópticas), hasta los protocolos de la capa de aplicación (SQL Injection, Backdoors, etc.). En consecuencia deberá de disponerse de medidas de protección en cada nivel de la arquitectura de red. En el contexto de Linux, como Sistema Operativo, disponemos de herramientas para implementar medidas de seguridad a partir del nivel de red. Específicamente en las capas de red y transporte (TCP/IP), cuyo código viene implementado como parte del kernel de Linux. Por encima de estas capas podemos instalar y configurar sistemas de seguridad, como aplicaciones externas al kernel, a la cuales se hace comúnmente referencia mediante el término de proxy (proxies o bastiones de seguridad). El kernel de Linux integra desde hace tiempo una herramienta del tipo Firewall, término que se refiere a un mecanismo de protección basado en la concesión y denegación de conexiones TCP/UDP y comandos IP, basadas en listas de direcciones de red IP y puertos TCP/UDP. Es un término bastante común en el argot de la administración de sistemas y todo el mundo conoce, al menos la mayoría, el hecho de que es una medida ineludible de protección ante los intrusos. En los Kernels a partir del 2.3 se integra una herramienta conocida como netfilter y su comando de administración iptables, la cual desempeña la funcionalidad de Firewall en los sistemas Linux. Ese necesario, al menos, conocer sus fundamentos y modo de operación. Existe un comando de gestión asociado, con el mismo nombre iptables, que se utiliza para definir y mantener las reglas de filtrado de Firewall. También se dispone de herramientas, gráficas y por líneas de comando, para editar esas reglas de un modo más cómodo y menos centrado en el propio mecanismo de funcionamiento de iptables. Por ejemplo, webmin, ufw... Funcionamiento de iptables Para explicar el funcionamiento de iptables introduciremos los siguientes términos, necesarios para comprender su semántica TABLA Una tabla es un contexto de aplicación de las reglas de iptables. Hay dos tablas principales, la tabla FILTER, tabla predeterminada que establece los criterios de filtrado de las comunicaciones, y la tabla NAT, que establece los criterios de acceso en la frontera de red externa/interna, controlando los accesos a este nivel y las políticas de traducción de dirección IP pública a dirección privada. También se dispone de otras tablas menos utilizadas, como son las tablas RAW Y MANGLE. PILA O CADENA Cuando se procesa un paquete de red éste sigue un itineario a través de un conjunto de CADENAS en las cuales se van aplicando las REGLAS definidas en el Firewall. Las Cadenas constituyen, por tanto, puntos de control en los que un paquete puede ser procesado por netfilter a través de un conjunto definido de reglas. Dentro de una Cadena o Pila las reglas se procesan en orden secuencial, cuando un paquete entra en una Cadena se van aplicando una por una las reglas definidas en ella. Si el paquete verifica la condición especificada en los parámetros de la regla, entonces se ejecuta la acción asociada a la misma. Cuando un paquete verifica una regla no se ejecuta ninguna de las otras, salvo en el caso de la acción LOG, que permitiría que el paquete fuese procesado por reglas subsiguientes. Cuando el paquete no verifica ninguna de las reglas entonces se aplica la POLÍTICA (Policy) por defecto de la Cadena, la cual se define con el comando: iptables -P <CADENA> DROP, por ejemplo: iptables -P INPUT DROP En este caso la opción por defecto sería DROP (hacer desaparecer el paquete de forma silenciosa). Otras definiciones de políticas y acciones usadas comúnmente son: ACCEPT: Aceptar el paquete LOG: Guardar registro del paquete /7

2 REJECT: Rechazar pero enviando notificación al emisor del paquete DROP: Rechazo del paquete sin notificación Las cadenas principales manejadas por iptables son, en orden de secuencia del itinerario de un paquete de red, las siguientes: Para un paquete que entra: PREROUTING->INPUT->(Aplicación destino u origen del paquete)->output->postrouting Para un paquete que se renvía (router): PREROUTING->FORWARD->POSTROUTING A continuación se muestran las Cadenas asociadas a las Tablas Filter y NAT: Tabla Filter INPUT: Las reglas definidas en esta Cadena o Pila se aplican cuando el paquete entra de la interfaz de Red a alguna aplicación local. Un paquete con dirección de destino una de las IPs del host entrará por INPUT OUTPUT: Las reglas definidas en esta Cadena o Pila se aplican a paquetes que salen de alguna aplicación local hacia la interfaz de Red. Un paquete con dirección de origen una de las IPs del host saldrá por OUTPUT FORWARD: Las reglas definidas en esta Cadena o Pila se aplican cuando el paquete es reenviado por la interfaz de Red (aplica a máquinas que actúan como enrutadores). Un paquete cuya dirección de origen o destino no coincida con ninguna IP del host, será reenviado (FORWARD) Tabla NAT PREROUTING: Las reglas definidas en esta Cadena o Pila se aplican cuando el paquete se procesa tras entrar en la interfaz de Red. Permite controlar aspectos de traducción de la red externa a la red interna, por ejemplo para hacer la traducción de dirección pública/privada. INPUT OUTPUT: Las reglas definidas en esta Cadena o Pila se aplican también en la Tabla NAT para redirigir un puerto en la máquina local (junto con el tarjet REDIRECT) POSTROUTING: Las reglas definidas en esta Cadena o Pila se aplican cuando el paquete va hacia la interfaz de Red de salida, después de haber sido encaminado. Permite controlar aspectos de enmascaramiento de la red interna al exterior, por ejemplo concediendo salida a Internet a los equipos a través de una IP pública /7

3 REGLA Especificación de una directiva del Firewall. Una regla está compuesta por un contexto de aplicación a una cadena: INPUT, OUTPUT, FORWARD, PREROUTING, POSTROUTING y se construye a base de una sintaxis que indica cómo será tratado un determinado paquete en la cadena correspondiente en función de una serie de parámetros que éste debe verificar y de una acción asociada. Dentro de la especificación de una regla, tenemos: Parámetro: Los parámetros definen los criterios de aplicación de la regla, es decir, indican a qué elementos en la red se aplican. Se pueden combinar para establecer criterios complejos Acción o Target: Las acciones establecen las medidas a tomar en caso de que se verifique la condición establecida por los parámetros Sintaxis de iptables y parámetros iptables -L: Muestra el estado de la tabla predeterminada (filter). Con la opción -L -n muestra las reglas de la tabla con indicadores numéricos (direcciones IP), pues por defecto utiliza expresiones textuales. iptables -A <parámetros> -j <acción>: Añade reglas al firewall estableciendo una acción iptables -D <parámetros> -j <acción>: Elimina reglas al firewall estableciendo una acción iptables -F: Limpia la tabla del firewall iptables -P <parámetros> <acción>: Permite establecer una acción predeterminada sobre una pila (Política) NOTA: la opción -j, que indica la acción asociada a la regla es la abreviatura de jump Listado de parámetros -t nat: Especifica una regla sobre la tabla NAT en lugar de sobre la FILTER (usada por defecto) -i <interfaz>: Interfaz de entrada -o <interfaz>: Interfaz de salida -s <dir_red>: Red origen -d <dir_red>: Red destino -p <tipo>: Tipo de protocolo. Valores: TCP, UDP, ICMP --dport <puerto>: Puerto de destino --sport <puerto>: Puerto de origen -m state --state <tipo>: Estado de la conexión. Valores: NEW, INVALID, RELATED y ESTABLISHED -j <accion>: Acción que se va a realizar con un tipo de tráfico: Acciones posibles en la tabla FILTER -j ACCEPT: Acepta el tráfico -j DROP: Elimina el tráfico -j REJECT: Rechaza el tráfico -j LOG -log-prefix "IPTABLES_L": Registra el tráfico que cumple los criterios en /var/log Acciones posibles en la tabla NAT -j DNAT --to <ip>: Traducción de IP pública a IP interna -j MASQUERADE: Enmascaramiento del tráfico (NAT) para salir con la IP de pública del router Manejo de estados El parámero -m state --state <ESTADO> permite indicar en la regla que se aplica solamente a aquellos paquetes en el estado indicado por el parámetro. Por ejemplo: iptables -A OUTPUT -p tcp --dport 80 -m state --state ESTABLISHED, RELATED -j ACCEPT /7

4 indicaría que se permite la salida de paquetes con puerto de destino tcp/80 (servicio web remoto) para aquellas conexiones en estado ESTABLISHED, es decir, conexiones tcp establecidas con el servidor previamente y RELATED, es decir aquellas que guarden relación con alguna conexión legítima ya establecida... la cuestión es: Para qué sirve esto?. Hay varias respuestas, algunas son: Evitamos que se acepten paquetes en reglas de conexiones no legítimas. Si la regla anterior no tuviese la condición indicada por -m state, se permitiría el envío de paquetes con puerto destino el tcp/80, independientemente de que fueran legítimos o no, es decir, de que correspondieran a conexiones previa y legítimamente establecidas. De este modo se previene el envío, o recepción (para el caso equivalente de una regla en la cadena INPUT), de paquetes sospechosos o correspondientes a conexiones no solicitadas. Evitamos sobrecarga en el procesamiento: Ubicando al principio de la Cadena correspondiente (INPUT o OUTPUT) una regla del tipo anterior conseguimos que todos los paquetes correspondientes a conexiones ya iniciadas de modo legítimo sean procesado rápidamente, sin descender por las reglas de la Cadena. De este modo agilizamos el procesamiento de paquetes por iptables. ANEXO: Habilitar el forwarding Para poder permitir que unas interfaces reenvíen el trafico a otras, lo cual es necesario para encaminar paquetes a interfaces directamente conectadas, por ejemplo en equipos que actúen como routers, ejecutamos lo siguiente: 1. Abrimos el archivo /etc/sysctl.conf en modo edición 2. Descomentamos la línea: net.ipv4.ip_forward=1 3. Reiniciamos la carga de variables del kernel /etc/init.d/procps restart Para comprobar que el reenvío está habilitado cat /proc/sys/net/ipv4/ip_forward Ejemplos iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT: Acepta el tráfico de entrada por la interfaz eth0 hacia el puerto 80 iptables -A FORWARD -j ACCEPT: Permite todo el tráfico reenviado iptables -A FORWARD -s /24 -j ACCEPT: Permite reenviar solo el tráfico desde la red /24 iptables -A FORWARD -s /24 -p TCP --dport 80 -j ACCEPT: Permita reenviar el el tráfico de la red interna /24 que viaja hacia el puerto 80 de alguna de las redes directamente conectadas iptables -F: Borra la configuración de la tabla FILTER iptables -t nat -F: Borra la configuración de la tabla NAT iptables -t nat -A POSTROUTING -s /24 -d 0/0 -o eth0 -j MASQUERADE: La red interna tiene salida al exterior por NAT por la interfaz eth0 iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to :80: Redirige el tráfico que entra por el puerto 80 en la interfaz de red externa eth0 al puerto 80 del servidor de la red interna iptables -A OUTPUT -t nat -d p tcp --dport 80 -j REDIRECT --to-ports 8006: Permite redirigir el tráfico desde el puerto 80 en localhost al puerto 8006 Es posible guardar la configuración de iptables en un archivo, mediante el comando siguiente: iptables-save > /etc/iptables.rules /7

5 O bien recuperar la configuración de un archivo: iptables-restore < /etc/iptables.rules La carga de reglas de iptables puede realizarse durante el arranque del sistema en un script de inicio o más concretamente e el archivo rc.local- Otra opción es definir su carga en el archivo /etc/network/interfaces mediante la directiva post-up en la definición de una interfaz de red Borrado de reglas Para borrar todas las reglas definidas en todas las tablas iptables -F Poner a 0 el contador de reglas iptables -Z Añadiendo la opción -t especificaríamos una tabla concreta Es posible borrar reglas de iptables con la opción -D. Un modo muy útil es ejecutar un comando como iptables -L INPUT --line-numbers Que mostraría una lista (-L) de la cadena INPUT (si se omite se muestra de todos), precedidos por números de línea ( --line-numbers) lo cual permite borrarlas haciendo referencia a ese número, por ejemplo del siguiente modo iptables -D INPUT 2 Dónde hace referencia a borrar la regla con número 2 del listado que se obtendría con el comando anterior Caso práctico Vamos a ver un ejemplo de como configurar netfilter con iptables con los siguientes requisitos: 1. La política por defecto será rechazar silenciosamente (DROP) 2. Se permitirá el acceso a servidores web, http y https desde el servidor 3. Se permitirá la recepción de peticiones http y https al servidor y ssh Vamos a ello. En primer lugar la política por defecto (trabajaremos como root) iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP /7

6 A continuación las reglas de envío de paquetes desde el servidor iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -p tcp -m multiport --dport 80,443 -m state --state NEW -j ACCEPT Las dos primeras líneas permiten el tráfico de paquetes de conexiones ya establecidas, en estados ESTABLISHED y RELATED. Esto simplifica la administración de las reglas del Firewall. Lo que hay que gestionar, como puede verse en la línea siguiente, es simplemente la concesión de acceso para el primer paquete de una conexión, que tendrá estado NEW. Según esa regla permitimos todas las conexiones hacia los puertos tcp 80 (http) y 443 (https). Notar que el parámetro -m multiport permite especificar varios puertos en --dport (puerto destino) o --sport (puerto origen). Este conjunto de reglas permiten, por tanto, el establecimiento de conexiones hacia los protocolos http y https de servidores externos. Los paquetes de vuelta de esas conexiones, en estado ESTABLISHED o RELATED tendrán garantizado el acceso gracias a la segunda regla. Reglas para responder peticiones al servidor iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -p tcp -m multiport --dport 80,443,22 -m state --state NEW -j ACCEPT En este caso las dos primeras reglas al igual que en el ejemplo anterior permiten el flujo de los paquetes de conexiones ya establecidas. La última regla permite el establecimiento de conexiones nuevas a los servicios internos http(80) https(443) y ssh(22) NOTA: En el caso de permitir el acceso a servicios http y https externos tendrá sentido permitir la resolución de nombres del servidor, por ese motivo debemos añadir las reglas correspondientes para permitir la comunicación con servidores DNS iptables -A OUTPUT -p udp --dport 53 -j ACCEPT iptables -A INPUT -p udp --sport 53 -j ACCEPT Notar que en este caso no tiene sentido incorporar en la regla parámetros de estado pues se trata de un servicio, DNS, que utiliza el protocolo udp, el cual no tiene estado. Si solo quisieramos permitir las conexiones a determinados servidors DNS, por ejemplo el , deberíamos especificarlo en la regla iptables -A OUTPUT -p udp --dport 53 -d j ACCEPT iptables -A INPUT -p udp --sport 53 -s j ACCEPT Firewall Builder Firewall Builder es una herramienta de tipo GUI que permite definir las reglas de un firewall de modo fácil e intuitivo. El uso directo del comando iptables resulta complejo y propenso a errores, por lo que esta herramienta constituye una gran ayuda a la hora de simplificar el procedimiento de creación de las reglas. Mediante esta herramienta definimos las políticas del firewall de modo gráfico para, una vez definidas, compilarlas para una plataforma firewall concreta, como iptables, ya que Firewall Builder soporta una gran variedad de sistemas firewall. Una vez compiladas se procede a crear un script de inclusión de las reglas en el sistema destino, el cual se transfiere por ssh desde el propio Firewall Builder. Referencias Firewall Builder /7

7 Powered by TCPDF ( Ficheros cadenas_iptables.png 186 KB Javier Fernández /7