Estudio, diseño e implementación de un Firewall CARLOS GUSTAVO MORALES TEJEDA

Transcripción

1 Estudio, diseño e implementación de un Firewall CARLOS GUSTAVO MORALES TEJEDA Septiembre 2002

2 Abstracto Los firewall son los componentes más importantes a la hora de proteger una red de datos, ya que se encargan de filtrar los datos que pasan a través de él. El objetivo de este TFC es crear un firewall de filtrado de paquetes bajo un entorno Unix. La dificultad reside en la programación a bajo nivel dentro del sistema operativo, en la que cualquier error de programación supone una parada del ordenador y porque toda modificación requiere compilar el kernel de nuevo y rebotar la máquina donde se está ejecutando el firewall

3 Resumen Un firewall es el componente más importante a la hora de proteger una red de ordenadores. Es un sistema incorporado dentro del sistema operativo, encargado de filtrar los datos que pasan a través de él. El objetivo de este proyecto es hacer un estudio teórico de los firewalls en un entorno Unix-Linux, para luego poder diseñar e implementar uno. Así pues, esta memoria está dividida principalmente en dos partes: una parte teórica y una práctica. Dentro de la parte teórica hay un breve estudio de los protocolos TCP/IP, que son los protocolos que usan las redes de datos. El siguiente tema es una introcución a los firewalls, donde se narra las características y los posibles tipos de firewalls. Se hace un especial incapié en el filtrado de paquetes pues se le dedica un capítulo entero ya que es el tipo de firewall que se va a implementar. Los firewalls de filtrado de paquetes se basan en las cabeceras de los paquetes de datos para decidir si deben filtrarse. En el siguiente capítulo se repasa el sistema operativo Linux ya que la programación del firewall va muy ligado con este. Hay un resumen de sus características principales, de las herramientas que disponemos y del viaje que realiza un paquete desde que se captura en la misma tarjeta de red hasta que llega a las apliaciones de los usuarios. El último capítulo es un estudio del diseño, para poder modelar correctamente cualquier proyecto. La programación dentro del sistema operativo es muy compleja, llamado hacking del kernel, ya que es la parte que se encarga de controlar el ordenador, y cualquier fallo significa la parada absoluta del mismo, por eso se hace necesario poder averiguar que hace en todo momento el kernel mientras se está ejecutando. El siguiente capítulo aborda el diseño de la aplicación, que comprende tanto los esquemas del modelado como la explicación de como se ha programado el firewall. Después hay un capítulo llamado implementación del firewall, donde se explican los escenarios que se ha necesitado tanto para desarrollar como para probar los resultados finales. Los últimos capítulos comprenden las conclusiones, las líneas de futuro que pueden seguirse, el coste del proyecto y la bibliografía que se ha necesitado.

4 Índice I Teoría 1 1. Introducción 1 2. TCP/IP Introducción Capas Encapsulación IP: Internet Protocol Introducción Cabecera IP UDP: User Datagram Protocol Introducción Cabecera UDP TCP: Transmisión Control Protocol Introducción Cabecera TCP Introducción a los firewalls Qué es un Firewall? Qué puede hacer Donde localizar las decisiones Refuerza políticas Registrar la actividad Limita la exposición Qué no puede hacer Dentro de la red Conexiones que no van a través de él Virus Tipos de Firewalls Filtrado de paquetes

5 Servicios proxy Combinación de técnicas Arquitecturas Firewall Dual-Homed Host Screened Host Screened Subnet Variaciones posibles Filtrado de paquetes Introducción Características Ventajas Proteger toda la red Transparencia Disponibilidad Latencia Desventajas Protocolos difíciles Polítcas que no pueden aplicarse Spoofing Configuración Bidireccionalidad Inbound y Outbound Permitir por defecto versus denegar por defecto Que hacer Logging Paquetes ICMP Filtrado por dirección Introducción Riesgos El Sistema Operativo Linux Introducción

6 Historia Linux Características El Kernel Introducción Modos Módulos Procesos Sincronización Comunicación entre procesos Control de la Memoria El código Numeración Compilación del núcleo Herramientas Editores de texto Herramientas de desarrollo Navegación Manipuladores Control de versiones Netfilter en los kernels Ventajas Inconvenientes Viaje de un paquete Introducción Tarjeta de red Proceso de red Softirq para NET_RX Tratar los paquetes IP Estudio del Diseño ( UML) Introducción al UML Historia

7 Objetivos Participantes en UML Áreas conceptuales Diagramas Diagramas estructurales Diagramas de comportamiento Diagramas de Objetos Oid (Object Identifier) Características alrededor de un objeto Diagramas de Clases Relaciones entre clases Diagramas de Caso de Uso Actores Diagramas de Estado Estado Envío de mensajes Acciones Diagramas de actividades Notación Diagramas de Interacción Colaboración Interacción Patrón Diagramas de Componentes Componentes Diagramas de Despliegue Los paquetes II Práctica Hacking del kernel Introducción Uso del debugador

8 7.3. printk Oops Máquinas virtuales Debugando con dos máquinas Diseño de la aplicación Esquemas UML Casos de uso Diagramas de actividades Diagrama de secuencia Exclusión mutua La importancia de los semáforos Locks de lectura Locks de escritura Filtrado de paquetes ip_input.c ip_forward.c ip_output.c El sk_buff Operaciones Implementación del firewall Desarrollo Debugar Semáforos Escenario Hardware Compilar kernel Configurar el firewall Configurar la red Resultados Conclusiones 152

9 11. Líneas de futuro Coste del trabajo 155 III Anexo A sk_buff 159 IV Anexo B Coding Style 162

10 1 INTRODUCCIÓN Parte I Teoría 1. Introducción En construcción de edificios, un muro de fuego (firewall en inglés) se diseña para mantener el fuego separado de una parte de un edificio a otra. En teoría, un firewall de Internet sirve con el mismo propósito: previene de peligros de Internet a la red interna. El firewall protege la red filtrando toda la información que pasa a través de él y decidiendo si el tráfico se acepta según las políticas de seguridad. El firewall es el elemento más importante a la hora de asegurar una red, no es el único ni tampoco previene de todos los posibles ataques y peligros, pero es un componente básico. Siguiendo la comparativa de la construcción, el firewall hace la misma función que la puerta de nuestra casa, que solo deja pasar a las personas que tengan una llave que corresponda con la cerradura, al resto de personas no les dejará entrar. Igual que en cualquier casa tener una puerta muy segura no implica que sea segura, pueden haber otras amenazas como incendios, puertas traseras, etc. Pero una buena puerta sigue siendo el elemento más importante y un componente básico. El objetivo de este trabajo es construir un firewall desde cero. El firewall debe insertarse dentro del sistema operativo, filtrar los paquetes IPv4 según la dirección origen y destino, según el número de puerto origen y destino, según la interfaz y el sentido del paquete respecto esa misma interfaz. 1

11 2 TCP/IP 2. TCP/IP 2.1. Introducción Es fundamental explicar el conjunto de protocolos que nos sirven para comunicar varios equipos, ya que entendiendo cómo funciona sabremos qué políticas necesitamos para diseñar la seguridad en una red, bloqueando las transmisiones no deseadas, que al fin y al cabo es lo que hace un firewall. La suite de protocolos TCP/IP permite a ordenadores de todos los tipos, de diferentes fabricantes, corriendo sistemas operativos completamente diferentes comunicarse entre ellos. Lo que empezó a finales de los 1960 como un proyecto de investigación financiado por el gobierno en una red de ordenadores del tipo packet switching, se ha convertido en el protocolo de red más usado entre ordenadores. Es tal su relevancia que el firewall se construirá sólo y exclusivamente para redes IP. Hay muchas publicaciones que hablan de esta suite. Forman las bases para lo que es llamado la Internet mundial, o simplemente Internet, una wide area network (WAN) de varios millones de ordenadores que envuelven literalmente el globo Capas Los protocolos de red se desarrollan normalmente en capas, cada una de las capas es responsable para una faceta diferente de las comunicaciones. Una suite de protocolos como es el caso de TCP/IP, es la combinación de diferentes protocolos en varias capas, que normalmente se le considera un sistema de 4 capas o layers. 2

12 2 TCP/IP 2.1 Introducción Cada capa tiene diferentes responsabilidades. 1. La capa link, llamada normalmente data-link layer es la interfaz de red que incluye el driver del sistema operativo para la tarjeta de red. Juntos pueden tratar todos los detalles del hardware e interactuar físicamente con el cable o con el medio que se esté usando en cada caso. 2. Capa de red o Network Layer, se encarga del movimiento de paquetes a través de la red. Para el enrutado de paquetes se usa IP (Internet Protocol), ICMP (Internet Control Message Protocol) y el IGMP (Internet Group Managment Protocol). 3. La capa de transporte se encarga del flujo de datos entre dos ordenadores, para la capa de aplicaciones. En la suite de TCP/IP hay dos protocolos muy diferentes entre sí en la capa de transporte: TCP (Transmisión Control Protocol) y UDP (User Datagram Protocol). Para el caso de TCP este provee un flujo asegurado entre dos ordenadores. Se encarga de dividir los datos pasados desde las aplicaciones en trozos de tamaño correcto para la capa de red, aceptando los paquetes recibidos, marcando tiempos para asegurar que 3

13 2 TCP/IP 2.1 Introducción los paquetes de acknowledge enviados, entre otros. Al ser un flujo de datos asegurado la capa de aplicación puede ignorar estos detalles. En cambio UDP provee una forma mucho más simple de comunicarse. Este simplemente envía paquetes de datos llamados datagramas de un host a otro, pero no esta garantizado que los datagramas lleguen a la otra parte. Cualquier control debe añadirse en la capa de aplicación. 4. La última capa, la capa de aplicación trata los detalles del una aplicación en particular. Podemos encontrar dentro de todas las aplicaciones: telnet para hacer logins remotos, http para la web, ftp para transferir ficheros, smtp para enviar correo electrónico, etc Cada capa tiene uno o más protocolos para comunicarse con las capas vecinas del mismo nivel entre ordenadores. Un protocolo, por ejemplo el TCP permite comunicarse entre la parte del emisor y del receptor. IP es el protocolo principal en la capa de red. Es usado por los protocolos TCP y UDP. Cada dato de estos protocolos se transfiere a través de la capa de red usando el protocolo IP, este proceso se llama Encapsulación y se pasa a explicar en el siguiente punto Encapsulación Cuando una aplicación envía datos usando TCP, los datos son enviados abajo y los almacena en la pila del protocolo, y así sucesivamente a través de cada capa, hasta que son enviados como un conjunto de bits por la red. Cada capa o layer añade información a los datos, normalmente antecediendo a los datos o a veces añadiendo unos pocos datos al final. La unidad de datos que TCP envía a la pila de IP se llama un segmento TCP. La unidad de datos que envía IP en la capa 3 a la capa 2, la de red, se llama un datagrama IP. Y por último el flujo de bits que pasan por la red Ethernet se llaman frames. IP debe añadir algún tipo de identificador en la cabecera IP que genera para indicar a qué capa pertenece. Esto se trata guardando un valor del tamaño de 8 bits en su cabecera llamado campo de protocolo. Si el valor es 1 es para ICMP, si es 2 es para IGMP, 6 indica TCP y 17 es UDP. Esto nos será muy útil a la hora de bloquear los paquetes que no se deseen. 4

14 2 TCP/IP 2.2 IP: Internet Protocol De forma similar, todas las aplicaciones que usan TCP o UDP deben identificarse. La capa de transporte guarda un identificador en la cabecera que genera para identificar la aplicación. Ambos protocolos el TCP y el UDP usan números de puerto de 16 bits para identificar aplicaciones. Se guarda el puerto de origen y el de destino para identificarlos. Aunque no sea interesante para el proyecto del firewall también indicar que los frames de la capa de red que recibe el driver de la tarjeta Ethernet, tienen también un campo de 16 bits para indicar que capa del protocolo generó los datos IP: Internet Protocol Introducción IP es la herramienta principal dentro de la suite TCP/IP. Todos los datos TCP, UDP, ICMP e IGMP son transmitidos como datagramas IP. Un dato importante es que el protocolo IP es un protocolo NO orientado a conexión (conectionless) y NO asegurado. Por no asegurado se entiende que el protocolo IP no garantiza la llegada a su destino de los datagramas. IP provee un servicio de mejor esfuerzo (best effort). Cuando algo va mal como por ejemplo un router no tiene más capacidad en los buffers de entrada, IP tiene un algoritmo para tratar el error muy sencillo: no hace caso del datagrama e intenta enviar un mensaje ICMP al origen. Ser un protocolo no orientado a conexión significa que IP no mantiene ningún estado de información de los datagramas consecutivos. Cada datagrama es tratado de forma separada de todos los otros datagramas. Significa que los datagramas pueden llegar de manera desordenada. Por ejemplo, si un equipo envía dos datagramas consecutivos al mismo destino, y cada uno va por un camino diferente pueden llegar en un orden distinto al de salida. El protocolo IP está diseñado para ser retransmitido para ser usado en sistemas interconectados en redes de comunicaciones packet-switched. Los hosts se identifican por una dirección fija, tanto los ordenadores destinos como los ordenadores origen, llamadas direcciones IP. Y como he comentado antes no hay mecanismos para el proceso de conexiones de control de flujo, secuencia de paquetes y otros mecanismos que se encuentran en protocolos orientados a conexión. 5

15 2 TCP/IP 2.2 IP: Internet Protocol Las funciones básicas del protocolo según la especificación RFC0791 son dos: direccionar y fragmentar. Para direccionar se usan las direcciones que se encuentran en la cabecera. La selección del camino para la transmisión se llama routing. Lo que interesa de todo esto para el firewall es que el protocolo IP trata a cada datagrama como una entidad independiente a cualquier otro datagrama. No hay conexiones ni circuitos virtuales Cabecera IP Dentro de la especificación RFC 791, publicada en septiembre del 1981 ( encuentra la especificación de la cabecera del datagrama version ip_v header length type of service ip_tos total length ip_len 20 bytes cabecera time to live ip_ttl identificación protocolo ip_p flags and fragment offset ip_off header chacksum ip_sum dirección IP origen 32 bits ip_src dirección IP destino 32 bits ip_dst opciones (si las hay) datos Versión: 4 bits El campo de versión indica el formato de la cabecera de Internet. Esta cabecera corresponde a la versión 4. IHL: 4 bits Internet Header Lenght o tamaño de la cabecera, es el tamaño de la cabecera en palabras de 32 bits, tras la cual empiezan los datos. El valor mínimo de la cabecera es 5. TOS: 8 bits 6

16 2 TCP/IP 2.2 IP: Internet Protocol Type Of Service o tipo de servicio indica los parámetros para la calidad de servicio deseado. Estos parámetros suelen usarse para ser una guía del tipo de servicio que se está retransmitiendo en el datagrama. Tamaño total: 16 bits El tamaño total es el tamaño del datagrama, medido en octetos, incluyendo el tamaño de la cabecera y de los datos. El tamaño de 16 bits permite que el datagrama sea hasta octetos. El tamaño de dichos datagramas es impracticable en la mayoría de redes y ordenadores. Todos los ordenadores tienen que estar preparados para aceptar datagramas de hasta 576 octetos.si se quiere saber más sobre la configuración de LILO, hay que obtener la versión más reciente de servidor FTP favorito y siga las instrucciones que le acompañan Identificación: 16 bits Una valor de identificación asignado por el emisor para poder ensamblar los diferentes fragmentos de un datagrama. Flags: 3 bits 1. Bits de control: Bit 0: reservado. Tiene que ser cero. Bit 1: (DF) 1 = Don t Fragment, 0 = May Fragment. Bit 2: (MF) 1 = More Fragments, 0 = Last Fragment. Fragment Offset : 13 bits Este campo indica a que parte del datagrama pertenece este fragmento. El tamaño del fragmento se mide en unidades de 6 octetos (64 bits). Para indicar el primer fragmento de un datagrama este campo tiene que ser cero. Time To Live: 8 bits 7

17 2 TCP/IP 2.2 IP: Internet Protocol Este campo indica el tiempo máximo que se le permite a un datagrama mantenerse en Internet. Si este valor contiene un valor de cero, entonces el datagrama tiene que ser destrozado. Este campo es modificado al procesar las cabeceras. Su tiempo está medido en unidades de segundo, pero cada módulo tiene que decrecer el valor de TTL como mínimo por uno incluso si se ha tardado menos de un segundo en procesar el datagrama. La intención es que los datagramas que no puedan ser entregados sean descartados. Protocolo: 8 bits Este campo indica el siguiente nivel del protocolo usado por el datagrama. Los valores ya se han comentado anteriormente. Y son 1 si es para ICMP, si es 2 es para IGMP, 6 indica TCP y 17 es UDP. Header Checksum: 16 bits Un checksum de solo la cabecera. Como hay campos en la cabecera que cambian (Ej. Time to live), este valor se recalcula y verifica cada vez que es procesada la cabecera.#howto El resultado del algoritmo de checksum es el complemento de 16 bits a uno con la suma de todas las palabras de 16 bits de la cabecera. Exceptuando el valor de checksum que tiene el valor de cero. Dirección origen: 32 bits Es la dirección IP origen de 32 bits. Dirección destino: 32 bits Es la IP del dispositivo destino, también de 32 bits. Opciones: variable Las opciones pueden o no aparecer en los datagramas. Deben ser implementados por todos los módulos IP. Lo que es opcional es su transmisión en cualquier datagrama, pero no su implementación. 8

18 2 TCP/IP 2.3 UDP: User Datagram Protocol 2.3. UDP: User Datagram Protocol Introducción UDP es simple, orientado a datagrama, y está encuadrado en la capa de trasporte. Cada operación de envío por un proceso produce exactamente un datagrama UDP, lo que causa que sólo un datagrama IP sea enviado. Es diferente a un protocolo orientado a conexiones (stream-oriented protocol) como es el caso de TCP donde la cantidad de datos enviados por una aplicación puede tener pequeñas diferencias a lo que en realidad es enviado en un datagrama IP. En la siguiente figura se enseña la Encapsulación de un datagrama UDP en el datagrama IP. La especificación oficial de UDP es la RFC 768, publicada en Agosto del 1980, por J.Postel y se puede encontrar en ( UDP no provee una conexión fiable (no reliability): envía el datagrama que la aplicación escribe a la capa IP, pero no garantiza que llegue a su destino, es un protocolo que no está orientado a conexión. La falta de confianza hace pensar que deberíamos dejar de usar UDP y usar siempre el protocolo fiable como TCP. Pero lejos de eso UDP se usa para muchos protocolos, como pueden ser DNS, TFTP, BOOTP, SNMP y NFS entre otros Cabecera UDP Como se ha comentado anteriormente la cabecera y su especificaciones pueden encontrarse en el RFC Dirección origen Dirección destino ceros protocolo UDP length Datos Número de puerto origen: 16 bits 9

19 2 TCP/IP 2.4 TCP: Transmisión Control Protocol Identifica el proceso que envía el datagrama. Tanto este campo como el siguiente nos sirven para poner reglas de filtrado en el firewall. Número de puerto destino: 16 bits Identifica de la misma manera el proceso que debe recibir el datagrama. Este campo se usa para multiplexar los datagramas que llegan a la máquina y pasarlos a la aplicación que se necesita. La pila de IP ya se encarga de dividir los paquetes entre los TCP y los UDP, así que es el propio UDP quien mira el puerto destino y también implica que los puertos TCP y UDP son independientes entre ellos. Tamaño UDP: 16 bits Es el tamaño de la cabecera UDP y de los datos, la cantidad es en Bytes. El valor mínimo es 8 bytes (Como resultado de enviar los 8 bytes de la cabecera sin datos). Aunque este valor es redundante ya que este valor es el campo de tamaño que se encuentra en la cabecera IP menos el tamaño de la cabecera IP. Checksum: 16 bits Este checksum cubre tanto la cabecera UDP como sus datos. A diferencia del checksum de IP que solo cubre la cabecera de IP y no cubre los datos que contiene el datagrama. Tanto UDP como TCP cubren con sus checksum sus cabeceras y los datos. Para poder hacer el checksum puede añadirse un relleno para que cuadren las palabras de 16 bits TCP: Transmisión Control Protocol Introducción La especificación original para TCP es la RFC 793, publicada por Postel en Septiembre de 1981 para DARPA (Defense Advanced Research Projects Agency). Aún estando TCP y UDP en la misma capa de transporte y usar la misma capa de red (IP), TCP provee un servicio completamente diferente al de UDP. TCP es un servicio orientado a conexión, fiable y un servicio de flujo de bytes (byte stream service). 10

20 2 TCP/IP 2.4 TCP: Transmisión Control Protocol Por el término orientado a conexión se entiende que dos aplicaciones usando TCP tienen que establecer una conexión entre ellos antes de poder intercambiar datos. Una analogía parecida es una llamada de teléfono: se marca, se espera que la otra parte responda a la llamada, decir un hola y quien es, tras ello comienza la conversación. Al decir que es fiable (reliability) se indica lo siguiente: 1. Los datos de la aplicación se separan en lo que TCP considera que es el mejor tamaño. Completamente diferente a UDP, donde cada vez que escribía la aplicación generaba un datagrama UDP de ese mismo tamaño. La unidad de información pasada por TCP a IP se llama segmento. 2. Cuando TCP envía un segmento mantiene un temporizador, esperando para que la otra parte envíe un segmento con su acuse de recibo (acknowledge). Si no se recibe el acuse de recibo tras esperar un rato, el segmento es retransmitido. 3. Cuando TCP recibe datos de la otra parte de la conexión este envía un acuse de recibo. Que no aunque no se envía inmediatamente pues sigue una estrategia. 4. TCP se encarga del checksum de su cabecera y de los datos. En el caso de recibir un segmento con su checksum erróneo TCP lo descarta y no envía ningún acuse de recibo. 5. Al encapsular TCP dentro de IP, y como los datagramas IP pueden llegar en desorden, los segmentos pueden llegar también en desorden. Se encarga también TCP de reordenarlos en caso de ser necesario, pasando los datos recibidos en el orden correcto a la aplicación. 6. Como un datagrama IP puede llegar duplicado, los segmentos TCP duplicados deben ser descartados. 7. TCP también mantiene un control del flujo de datos. Cada parte en la conexión TCP tiene el espacio del buffer de entrada finito. Lo que significa que TCP solo permite que la otra parte envíe los datos que tiene reservados. Esto 11

21 2 TCP/IP 2.4 TCP: Transmisión Control Protocol previene de que un ordenador rápido llene todos los buffers de un ordenador lento. Cuando hablamos de un servicio de flujo de bytes (byte stream service) nos referimos a que TCP envía un flujo de bytes a través de la conexión, no hay marcas que identifiquen cuando el emisor envió los datos. Significa que si una aplicación envía 20 bytes, luego envía otros 35 bytes seguido por otros 25 bytes, la aplicación de la otra parte no podrá identificar los tamaños de las diferentes escrituras, solo recibe 80 bytes en cuatro lecturas de 20 bytes, por ejemplo. Una parte pone un flujo de bytes a la pila TCP y este mismo flujo lo recibe la otra parte de la conexión. Además, TCP no interpreta el contenido de los bytes que envía. TCP no tiene ni idea si los datos corresponden a datos en binario, a caracteres ASCII, caracteres EBCDIC o lo que sea. La interpretación de los bytes retransmitidos es función de la aplicación que se encuentra en una capa superior a la de transporte de TCP Cabecera TCP Los segmentos TCP se envían mediante datagramas IP. La cabecera TCP sigue a la cabecera IP, añadiendo información específica para el protocolo TCP Puerto Origen Puerto Destino Número Secuencia Acknowledge Number Data Off Reserved bits Ventana Opciones Padding Datos Puerto de origen: 16 bits Número de puerto de origen. 12

22 2 TCP/IP 2.4 TCP: Transmisión Control Protocol Puerto de origen: 16 bits Puerto destino que indica a qué aplicación va dirigido el segmento. Número de secuencia: 32 bits El número de secuencia del primer octeto de datos. En el caso de estar el bit de SYN presente el número de secuencia es el número inicial de secuencia (initial sequence number ISN)y el primer octeto de datos es ISN+1. Número de Acknowledgment: 32 bits Si el bit de control ACK está activo este campo contiene el valor del siguiente número de secuencia que se espera recibir. Y una vez se ha establecido la conexión siempre se envía. Data Offset: 6 bits Reservado para uso futuro. Debe ser cero. Bits de control: 6 bits (de izquierda a derecha) 1. URG: Urgent Pointer field significant. 2. ACK: Acknowledgment field significant. 3. PSH: Push Function. 4. RST: Reset the connection. 5. SYN: Synchronize sequence numbers. 6. FIN: No más datos por parte del emisor. Ventana (window): 16 bits El número de octetos de datos empezando por el número indicado en el campo de acknowledgment que el emisor del segmento esta esperando recibir. 13