Introducción. Qué es iptables?

Transcripción

1 Objetivos Entender lo que es un firewall Comprender lo que es iptables Conocer la tecnología de iptables para la implementación de firewalls Usar líneas de ejemplo de iptables para reforzar el conocimiento Introducción La seguridad de una red es una consideración primaria en cualquier desición de hospedar un sitio web, dado que los accesos son cada vez más amplios y persistentes cada día. Uno de los métodos para proveer protección adicional es invertir en un firewall. Aunque los precios están siempre a la baja,en algunos casos seremos capaces de crear una unidad comparable usando el paquete iptables de Linux. En un servidor existente, con un mínimo o ningún gasto adicional. Este capítulo muestra cómo convertir un servidor Linux en: Un firewall mientras simultáneamente sea servidor de web, mail, DNS, etc. Un ruteador que usará NAT y port forwarding para: proteger su red privada y tener otro web server en la red privada mientras se comparte la IP pública del firewall. Crear un script de firewall iptables requiere algunos pasos, pero con la ayuda de ciertas guías, podremos completar una configuración relativamente rápido. Fig 1. Esquema típico de un Firewall Qué es iptables? Originalmente, el paquete más popular para firewall/nat en Linux era ipchains, pero tenía algunas deficiencias. Para rectificarlas, la organización Netfilter decidió crear un nuevo producto llamado iptables, ofreciendo algunas mejoras como: Mejor integración con el kernel de Linux con la capacidad de cargar módulos específicos de iptables diseñados para mejorar la velocidad y confiabilidad. Inspección completa de paquetes por su estado. Esto significa que el firewall mantiene el rastro de cada conexión que pasa y en ciertos casos podrá hasta ver el contenido de flujos de datos en un intento de anticipar la siguiente acción de ciertos protocolos. Esta es una característica importante en el soporte de DNS y FTP activos, así como de otros muchos servicios de red. Filtrado de paquetes basado en dirección MAC y los valores de las banderas en el encabezado TCP. Esto es de mucha ayuda al prevenir ataques usando paquetes malformados y en la restricción de acceso de servidores locales a otras redes sin importar la dirección IP.

2 Logueo al sistema que provee la opción de ajustar el nivel de detalle de reportes. Mejor traducción de direcciones de red (NAT). Soporte para integración transparente con programas de proxy Web como Squid. Característica de límite por rango que ayuda al iptables a bloquear algunos tipos de ataque de denegación de servicio (DoS). Considerada una más rápida y segura alternativa a ipchains, iptables se ha convertido en el paquete de firewall instalado por defecto en las distros RedHat and Fedora. El firewall por defecto de Linux Antes de comenzar hay que revisar que el paquete iptables esté instalado, lo cual es lo más típico en RedHat y sus clones: # rpm -q iptables Luego podremos dar arranque al firewall por defecto y/o configurar su arranque por defecto al arrancar el sistema: # chkconfig iptables on Para determinar el estado del firewall por defecto podemos usar: # service iptables status Para continuar pero, deberemos asegurarnos de que el firewall por defecto está detenido y no arrancará por defecto al iniciar el sistema, dado que en lo subsecuente veremos cómo personalizar un firewall a medida: # service iptables stop # chkconfig iptables off Procesamiento de Paquetes en iptables Todos los paquetes son inspeccionados por iptables a través de una secuencia de tablas incluídas en él (colas) para su procesamiento. Cada una de estas colas se dedica a un tipo particular de actividad de paquete y es controlada por una cadena asociada de transformación/filtrado de paquetes. Existen tres tablas en total. La primera es la tabla mangle la cual es responsable de la alteración de los bits de calidad de servicio (QoS) en el encabezado TCP. Esta tabla difícilmente se usa en un entorno hogareño o SOHO. La segunda tabla es la filter queue la cual es responsable del filtrado de paquetes. Tiene tres cadenas incluidas en las cuales se pueden poner las reglas de políticas del firewall: Forward chain: Filtra los paquetes hacia servidores protegidos por el firewall. Input chain: Filtra los paquetes destinados al firewall. Output chain: Filtra los paquetes originados en el firewall La tercera tabla es la nat queue que es responsable de la traducción de direcciones de red. Tiene dos cadenas incluidas: Pre-routing chain: Los paquetes NAT cuando la dirección de destino del

3 paquete debe ser cambiada. Post-routing chain: Los paquetes NAT cuando la dirección de origen del paquete debe ser cambiada. Tabla 1. Procesamiento para Paquetes Ruteados por el Firewall Tipo Cola Función Cola Cadena de transformación de paquete en la Cola Función de la Cadena Filter Filtrado de paquetes FORWARD Filtra paquetes hacia servidores accesibles por otra NIC en el firewall. INPUT Filtra paquetes destinados al firewall. OUTPUT Filtra paquetes originados en el firewall Nat Traducción de direcciones de red PREROUTING La traducción ocurre antes del ruteo. Facilita la transformación de la dirección IP de destino para ser compatible con la tabla de ruteo del firewall. Se usa con el NAT de las direcciones IP de destino, también conocida como destination NAT o DNAT. POSTROUTING La traducción ocurre luego del ruteo. Esto implica que no hubo necesidad de modifica la dirección IP de destino del paquete, como en el pre-routing. Se aplica con el NAT de las direcciones de origen usando NAT unoa-uno o muchos-a-uno. Se conoce también como source NAT o SNAT. OUTPUT Traducción de direcciones de red para paquetes generados por el firewall. (Raramente usada en entornos SOHO) Mangle Modificación de encabezados TCP PREROUTING POSTROUTING OUTPUT INPUT FORWARD Modificación de los bits de calidad de servicio (QoS) del paquete TCP antes de que el ruteo ocurra. (Raramente usada en entornos SOHO) Se debe especificar la tabla y la cadena para cada regla de firewall que se cree. Existe una excepción: La mayoría de reglas están relacionadas con el filtrado, entonces el iptables asume que cualquier regla que está definida sin una tabla asociada será parte de la tabla filter. Entonces la tabla filter es la por defecto. Para hacer esto más claro, hay que analizar la forma en la que los paquetes son manejados por iptables. En la figura 2 un paquete desde Internet arriva a la interface del firewall en la red A para crear una conexión de datos. El paquete primero es examinado por tus reglas en la cadena PREROUTING de la tabla mangle, si existe alguna. Entonces es inspeccionada por las reglas en la cadena PREROUTING de la tabla nat para ver si el paquete requiere DNAT. Entonces es ruteado.

4 Si el paquete está destinado a una red protegida, entonces es filtrado por las reglas en la cadena FORWARD de la tabla filter y, de ser necesario, el paquete pasa a SNAT en la cadena POSTROUTING llegando a la red B. Cuando el servidor de destino decide responder el paquete pasa la misma secuencia de pasos. Tanto la cadena FORWARD como la POSTROUTING pueden ser configuradas para implementar características de calidad de servicio (QoS) en sus tablas mangle, pero esto no se hace usualmente en entornos SOHO. Si el paquete está destinado al firewall mismo, entonces pasa a través de la cadena INPUT de la tabla mangle, si está configurada, antes de ser filtrada por las reglas en la cadena INPUT de la tabla filter. Si pasa exitosamente estas pruebas, entonces es procesado por la aplicación prevista en el firewall. En algún punto, el firewall necesita responder. Esta respuesta es enrutada e inspeccionada por las reglas de la cadena OUTPUT en la tabla mangle, de existir. A continuación, las reglas en la cadena OUTPUT de la tabla nat determinan si DNAT es requerido y las reglas en la cadena OUTPUT en la tabla filter son inspeccionadas para ayudar a restringir paquetes no autorizados. Finalmente, antes de que el paquete sea enviado de vuelta al Internet, el mangling SNAT y QoS es ejecutado por la cadena POSTROUTING. Figura 2. Diagrama de flujo de paquetes en Iptables Ahora es tiempo de discutir las formas en las que se agregarán reglas a estas cadenas.

5 Destinos y Saltos Cada regla de firewall inspecciona cada paquete IP y entonces trata de identificarlo como el destino (target) de alguna operación. Una vez que el destino es identificado, el paquete necesita saltar (jump) sobre hacia él para su posterior procesamiento. La tabla 2 lista los destinos incluidos que iptables usa. Tabla 2. Descripciones de los Targets más comunmente usados. destino Descipción Opciones Más Comunes ACCEPT iptables detiene el procesamiento posterior El paquete es entregado a la aplicación final o el sistema operativo para su procesamiento N/A DROP iptables detiene el procesamiento posterior El paquete es bloqueado N/A LOG El paquete de información se envía al demonio syslog para logging iptables continúa procesando con la siguiente regla en la tabla Como no se puede hacer log y drop al mismo tiempo, es común que haya dos reglas similares en secuencia. La primera logueará el paquete, la segunda lo desecha. REJECT Trabaja igual que el destindo DROP, pero también retornará un mensaje de error al host que envió el paquete indicando el rechazo. --log-prefix "string" Le dice a iptables que coloque el prefijo definido por string en todos los mensajes de log. Se usa frecuentemente para indicar porqué el paquete logueado fue desechado. --reject-with qualifier El calificado le inidica qué tipo de mensaje de denegación es retornado. Los calificadores incluyen: icmp-port-unreachable (default) icmp-net-unreachable icmp-host-unreachable icmp-proto-unreachable icmp-net-prohibited icmp-host-prohibited tcp-reset echo-reply

6 DNAT Usado para hacer destination network address translation. Ejm. Reescribir la dirección IP de destino del paquete. --to-destination ipaddress Le dice a iptables cuál debería ser la dirección IP de destino SNAT Usado para hacer source network address translation reescribiendo las direcciones origen del paquete La dirección IP origen es definida por el usuario --to-source <address>[-<address>][:<port>- <port>] Especifica la dirección de origen y puertos a ser usados por SNAT. MASQUERADE Used to do Source Network Address Translation. By default the source IP address is the same as that used by the firewall's interface [--to-ports <port>[-<port>]] Specifies the range of source ports to which the original source port can be mapped. Operaciones de switch de Comandos de Iptables Cada línea en un script de iptables no sólo tiene un jump, además tiene un número de opciones de línea de comandos que coinciden con tus características definidas de los paquetes, tales como la dirección IP de origen y el puerto TCP. Además hay opciones que pueden usarse para solamente limpiar una cadena de tal forma que se pueda empezar de cero, la siguiente tabla lista las opciones más comunes. Tabla 2. Criterios Generales de coincidencia de Iptables Comando de switch Descripción -t <-table-> Si no se especifica una tabla, entocnes la tabla filter es asumida. Como se dicutió anteriormente, las posibles tablas incuyen: filter, nat y mangle -j <target> Salta al destino especificado en la cadena target cuando el paquete coincide con la regla actual. -A Agrega una regla al final de la cadena -F Limpia. Borra todas las reglas en la tabla seleccionada -p <protocol-type> Coincidencia de protocolo. Los tipos incluyen, icmp, tcp, udp y all -s <ip-address> Coincide con la dirección IP de origen -d <ip-address> Coincide con la dirección IP de destino

7 -i <interface-name> Coincide con la interface "input" por la cual el paquete entra. -o <interface-name> Coincide con la interface "output" por la cual el paquete sale. En este ejemplo de comando de switcheo # iptables -A INPUT -s 0/0 -i eth0 -d p TCP -j ACCEPT iptables es configurado para permitir al firewall aceptar los paquetes TCP viniendo a través de la interface eth0 desde cualquier dirección IP con destino a la dirección IP del firewall La representación 0/0 de una dirección IP siginifica cualquiera. Tabla 4. Criterios Comunes de coincidencia TCP y UDP Switch Descripción -p tcp --sport <port> Puerto TCP origen. Puede ser un valor simple o un rango en el formato: numero-puerto-incio:numero-puerto-fin -p tcp --dport <port> Puerto TCP destino. Puede ser un valor simple o un rango en el formato: numero-puerto-incio:numero-puerto-fin -p tcp --syn Usedo para identificar un nuevo pedido de conexióntcp.! --syn significa, no es un nuevo pedio de conexión. -p udp --sport <port> Puerto UDP origen. Puede ser un valor simple o un rango en el formato: numero-puerto-incio:numero-puerto-fin -p udp --dport <port> Puerto UDP destino. Puede ser un valor simple o un rango en el formato: numero-puerto-incio:numero-puerto-fin En este ejemplo: iptables -A FORWARD -s 0/0 -i eth0 -d o eth1 -p TCP \ --sport 1024: dport 80 -j ACCEPT iptables es configurado para permitir al firewall aceptar paquetes TCP para ruteo cuando entran por la interface eth0 desde cualquier dirección IP y están destinados pata la dirección IP que es alcanzable vía la interface eth1. El puerto de origen es un rango entre 1024 y y el puerto de destino es 80 (www/http). Tabla 5. Critero común de coincidencia ICMP (Ping) Switch --icmp-type <type> Descripción Los tipos más comúnmente usados son echo-reply y echo-request En este ejemplo: iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT iptables es configurado para permitir al firewall enviar pedidos de eco ICMP (pings) y de vuelta, aceptar las respuestas de eco ICMP.

8 Considerar este otro ejemplo: iptables -A INPUT -p icmp --icmp-type echo-request \ -m limit --limit 1/s -i eth0 -j ACCEPT La característica limit en iptables, especifica el múmero promedio máximo de coincidencias a permitirse por segundo. Se puede especificar intervalos de tiempo en el formato /second, /minute, /hour o /day, o se pueden usar abreviaciones de tal forma que 3/second es lo mismo que 3/s. En este ejemplo, las peticiones ICMP de echo están restringidas a no más de una por segundo. Cuando se ajusta correctamente, esta característica permite filtrar usualmente altos volúmenes de tráfico que caracterizan los ataques de denegación de servicios (DOS) y gusanos de Internet. iptables -A INPUT -p tcp --syn -m limit --limit 5/s -i eth0 -j ACCEPT Tabla 6. Criterios Comunes de Coincidencias Extendidas Switch -m multiport --sport <port, port> -m multiport --dport <port, port> -m multiport --ports <port, port> Desciption Una variedad de puertos de origen TCP/UDP separados por comas. A diferencia de cuando -m no es usado, los puertos no deben estar en un rango. Una variedad de puertos de destino TCP/UDP separados por comas. A diferencia de cuando -m no es usado, los puertos no deben estar en un rango. Una variedad de puertos TCP/UDP separados por comas. A diferencia de cuando -m no es usado, los puertos no deben estar en un rango. -m --state <state> Los estados más frecuentemente probados son: ESTABLISHED: El paquete es parte de una conexión que ha visto paquetes en ambas direcciones. NEW: El paquete es el inicio de una nueva conexión RELATED: El paquete está inciando una nueva conexión secundaria. Esta es una característica común de protocolos como transferencia de datos FTP, o un error ICMP. INVALID: El paquete no puede ser identificado. Puede deberse a recursos insuficientes del sistema, o errores ICMP que no concuerdan con nigún flujo de datos existente. Esta es una expansión al ejemplo anteriormente expuesto: iptables -A FORWARD -s 0/0 -i eth0 -d o eth1 -p TCP \ --sport 1024: m multiport --dport 80,443 -j ACCEPT iptables -A FORWARD -d 0/0 -o eth0 -s i eth1 -p TCP \ -m state --state ESTABLISHED -j ACCEPT

9 Aquí iptables está siendo configurado para permitir a firewall aceptar paquetes TCP para ser enrutados cuando entren por la interface eth0 desde cualquier IP destinados para la dirección que es alcanzable por la interface eth1. El puerto de origen está en el rango de 1024 a y los puertos de destino son 80 (www/http) y 443 (https). Los paquetes retornados desde son permitidos/aceptados también. En lugar de usar rangos de puertos de destino incio-fin, puede simplemente permitir los paquetes relacionados a conexiones establecidas usando las opciones -m state y --state ESTABLISHED.