IPTables: Filtrado de paquetes en Linux

Transcripción

1 : Filtrado de paquetes en Linux Roberto Gómez Cárdenas Lámina 1 Netfilter/ Las dos piezas principales de producto firewall disponibles gratuitamente para distribuciones Linux es usado para construir las reglas. Netfilter es puente entre núcleo linux y las es como se conoce al módulo Netfilter herramienta estándar actual de firewall de Linux Administradores especifican que reglas que protocolos o tipos de tráficos se deben seguir. cuando empieza conexión con protocolos añade una entrada de estado para la conexión en cuestión Lámina 2 Cárdenas 1

2 Las tres tablas de y sus cadenas de base Tabla filter Tabla nat Tabla mangle INPUT OUTPUT PREROUTING OUTPUT PREROUTING INPUT FORWARD FORWARD POSTROUTING OUTPUT POSTROUTING Lámina 3 Las tablas de Tabla constituida de un numero arbitrario e ilimitado de cadenas Una cadena es una secuencia lineal de reglas Las reglas estas constituidas por un patrón: reconocer paquetes de acuerdo a un número indeterminado de criterios una acción (llamado target) a tomar en caso de reconocer el paquete Lámina 4 Cárdenas 2

3 Seleccionando la tabla Cada regla a añadir a necesita insertarse o adjuntarse en una cadena de alguna de las tres tablas. tablas disponibles depende configuración núcleo. Opción -t comando iptables permite elegir la tabla iptables -t filter -A INPUT --source j DROP si no se propociona la regla será insertada en la tabla filter que es la tabla por defecto. Lámina 5 Las cadenas Dos tipos de cadenas cadenas de base (builtin): cadenas por dafault de la tabla cadenas usuario: cadenas creadas a partir de las necesidades propias del administrador Cadenas de base existen siempre y estan asociadas a una tabla Cada tabla posee sus cadenas propias asociadas a los hooks que trabajan Cuando paquete entra en una tabla es enviado a la cadena de base asociada a la tabla actual Lámina 6 Cárdenas 3

4 Cadenas usuario Cadena creada sobre demanda Se envia los paquetes especificando su nombre como criterio de acción se dice que la cadena llama la cadena usario iptables -t filter -A INPUT --source j CADENA_TOTO Paquete la atraviesa como una cadena de base: una regla despues de la otra Si paquete llega al final de la cadena, o encuentra la acción RETURN este regresa a la cadena donde fue llamada Lámina 7 Ejemplo llamada cadena usuario INPUT FORWARD OUTPUT 1. Regla 2. Regla 3. Regla [ ] 15. -j user 16 Regla 1. Regla 2. Regla 3. Regla [ ] 15. -j RETURN [ ] 1. Regla 2. -j user 3. Regla 1. -j user 2. Regla 10. Regla Lámina 8 Cárdenas 4

5 Acciones por default Cadenas de base cuentan con una política por default Cuando paquete llega al final de una cadena es posible aplicarle una acción por default Acciones posibles: DROP o ACCEPT Ejemplo iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT Cadenas usuario no cuentan con política por default Lámina 9 Operaciones manejo cadenas usuario iptables [ t tabla ] comando -N crear una nueva cadena usuario -X borrar una cadena vacía -P cambiar la política por default de una cadena base -L listar las reglas de una cadena usuario -F vaciar las reglas de una cadena usuario -Z poner a cero el contador de paquete y de byte en todas las reglas en una cadena -E vieja nueva: renombra la cadena vieja a la cadena nueva Lámina 10 Cárdenas 5

6 Manipulación reglas dentro cadenas iptables comando [match] [ objetivos / saltos] -A añadir una nueva regla a una cadena -I Insertar una nueva regla en alguna posición en una cadena -R Reemplazar una regla en alguna posición en una cadena -D Anular una regla en alguna posición en una cadena -D Anular la primera regla que se cumple en una cadena Lámina 11 Ejemplo alta de regla Un ping normal y un ping bloqueado # ping -c PING ( ): 56 data bytes 64 bytes from : icmp_seq=0 ttl=64 time=0.2 ms ping statistics packets transmitted, 1 packets received, 0% packet loss round-trip min/avg/max = 0.2/0.2/0.2 ms # iptables -A INPUT -s p icmp -j DROP # ping -c PING ( ): 56 data bytes Lámina 12 # ping statistics packets transmitted, 0 packets received, 100% packet loss Cárdenas 6

7 Ejemplo borrando regla Podemos borrar la regla de dos maneras. Primero, como es la única regla en la cadena, podemos usar un borrado por número: # iptables -D INPUT 1 # La segunda manera es repetir la orden A pero cambiando -A por -D. útil cuando se tiene una compleja cadena de reglas y no se quiere invertir tiempo en saber que número regla es Lámina 13 # iptables -D INPUT -s p icmp -j DROP # Construcción de una regla Una regla se divide en cuatro partes una tabla de aplicación de la cadena filter si no se precisa ninguna una cadena de aplicación un patrón de reconocimiento una acción representando la decisión a tomar tabla cadena patrón de reconocimiento acción -t filter -A input -p tcp -s sport dport 21 -j ACCEPT Lámina 14 Cárdenas 7

8 El patron de reconocimiento Paquete es comparado con un patron de reconocimiento Patrón compuesto de un número variable de critérios, de acuerdo la finesa deseada Algunas opciones están implementadas directamente en el código de iptables, mientras que otras opciones más complejas necesitan cargar los módulos necesarios en el núcleo para estar disponibles. La disponibilidad de estas opciones extendidas depende de la configuración del núcleo Lámina 15 Las acciones Define que hacer si paquete cumple con regla. El objetivo se define con la opción: j <target> [target-options] al final de la regla. Hay dos tipos de reglas, terminales y no terminales. Si un objetivo es terminal, el paquete no pasará a otras reglas al cumplir con esta. por ejemplo: DROP Un ejemplo de regla no terminal es LOG le dice al núcleo de escribir en el registro del sistema (syslog) los paquetes que verifican esta regla. Lámina 16 Cárdenas 8

9 Acciones más comunes ACCEPT dejar el paquete pasar DROP tirar el paquete QUEUE pasar el paquete a espacio usuario (si esta soportado por el nucleo) RETURN regreso a la cadena que activo la llamada LOG, ULOG almacenamiento en bitacora Lámina 17 Otras acciones DNAT Destination Network Address Translation MARK marcar valores que estan asociadaos con paquetes en específico MASQUERADE direcciones DHCP, igual que SNAT MIRROR invertir campos fuente y destino en el encabezado IP REDIRECT redireccionar paquetes y streams a la misma máquina} SNAT Source Network Address Translation TOS asignar valor del campo Type of Service TTL modificar valor el Time To Live en el encabezado IP Lámina 18 Cárdenas 9

10 Criterios patrón reconocimiento Las principales criterios de patrón de reconocimiento para formar una regla son s: indica un dominio o IP (rango de Ips) de origen sobre el que se evalúa la condición de la regla d: igual anterior, solo que sobre dirección destino i: interfaz entrada para aplicar regla o: interfaz salida sobre la que se aplica la regla p: especifica el protocolo del datagrama a analizar valores válidos: tcp, udp o icmp, o un número f para tratar con paquetes fragmentados! invierte el valor lógico de la condición de regla Lámina 19 La IP origen y destino La dirección puede ser el nombre de una red, el de un servidor, una dirección de red IP (con la máscara adjunta), o una simple dirección IP. nota: especificar un nombre que tenga que resolverse con una consulta remota a un DNS es una mala idea La máscara puede ser una máscara de red o bien un simple número. p.e. la máscara 24 equivale a El comando! antes de la dirección sirve para invertir el sentido de la dirección. El argumento --src es un alias para esta opción. Lámina 20 Cárdenas 10

11 Ejemplos direcciones iptables -A INPUT --source j ACCEPT iptables -A INPUT --src j ACCEPT La especificación de la direccion destino es similar en uso a la de origen. iptables -A INPUT --destination! /24 -j ACCEPT iptables -A INPUT --dst! /24 -j ACCEPT Lámina 21 El protocolo El protocolo puede ser tcp, udp, icmp, o todos puede ser un valor numérico, que represente estos o algún otro protocolo. También es válido cualquier nombre de protocolo incluido en /etc/protocol. Argumento! anterior al protocolo invierte la prueba. Número cero es equivalente a todos los protocolos. El protocolo all (todos) es el que se usa por defecto cuando esta opción no aparece. Ejemplos: iptables -A INPUT --protocol! udp -j LOG Lámina 22 iptables -A INPUT --protocol tcp -j ACCEPT Cárdenas 11

12 Verificando campos encabezado paquetes TCP sport puerto origen del datagrama, posible especificar rango indicando limites superior e inferior ( : ) dport igual que anterior solo que puerto destino tcp-flags [!] mascara comp especifica si las bandareas de estan activas syn regla verifica que bit SYN valga 1 y los bits ACK y FIN valgan ambos 0, abreviatura de tcp-flags SYN,RST,ACK SYN tcp-option [!] <numero> verica si la opcion TCP esta activa mss <valor>[:valor] paquetes TCP SYN o SYN/ACK con el valor MSS especificado (o en el rango) Lámina 23 Verificando encabezados protocolos UDP e ICMP Extensiones UDP --sport puerto origen del datagrama -- dport puerto destino del datagrama Extensiones ICMP -- icmp-type especificar tipo mensaje ICMP tanto por su número como por los siguientes indicadores: echo-request, echo-reply, sourcequench, time-exceeded, destination-unreachable, network-unreachable, host-unreachable, protocolunreachable y port-unreachable Lámina 24 Cárdenas 12

13 Verificando puerto origen/destino iptables -A INPUT --protocol tcp --source-port 22:12 -j LOG iptables -A POSTROUTING --protocol tcp --destination-port! j DROP El puerto origen-destino o un rango de puertos. Se puede poner un nombre de servicio o un número de un puerto. También se puede poner un intervalo, poniendo puerto:puerto. Si se omite el primer puerto, se asume el valor "0". Si se omite el segundo, se supone el valor Lámina 25 Extensión de aplicar a Múltiples Puertos (Multiport Match) iptables -A INPUT --protocol tcp --match multiport --source-ports 22,21,20,80 -j LOG iptables -A INPUT --protocol udp --match multiport --destination-ports 20,80,10 -j LOG iptables -A INPUT --protocol tcp --match multiport --ports 20,50,1660 -j LOG Esta extensión permite definir una lista de hasta 15 puertos en una regla TCP o UDP cualquiera. Esto sirve para ahorrar algo de escritura al especificar más de un puerto por regla. Lámina 26 Cárdenas 13

14 Verificando banderas TCP` iptables -A INPUT --protocol tcp --tcp-flags! SYN,ACK,FIN SYN,ACK -j LOG iptables -A FORWARD --p tcp --tcp-flags SYN,ACK,FIN,RST SYN Lámina 27 Cuenta con dos argumentos tcp-flags [!] mask comp Primer argumento son las banderas a examinar escritas como una lista separadas por coma Segundo argumento es una lista separada por comas de las banderas que deberian estar activas Banderas: SYN ACK FIN RST URG PSH ALL NONE Si se desea invertir la regla, se debe usar! Interfaz de entrada/salida iptables -A INPUT --in-interface eth0 -j LOG iptables -A OUTPUT --out-interface! ippp1 -j DROP Nombre de la interfaz por medio de la cual se va a recibir un paquete sólo para los paquetes que entran en las cadenas INPUT, FORWARD y PREROUTING. Para invertir el sentido de la regla, poner "!" delante del nombre de la interfaz. Si el nombre de la interfaz termina con "+", entonces la regla se aplicará a cualquier interfaz que comience con este nombre. Si se omite esta opción, entonces se aplicará a cualquier interfaz. Lámina 28 Cárdenas 14

15 Dirección MAC de origen iptables -A INPUT --match mac --mac-source 12:E4:86:FA:5C:54 -j ACCEPT Se aplica a la dirección MAC de origen. Tiene que tener la forma XX:XX:XX:XX:XX:XX. Notar que esta regla sólo se aplica para paquetes que vengan de una interfaz Ethernet y que entren en las cadenas INPUT, FORWARD o PREROUTING. Esta opción es muy útil como protección contra ataques de persona-en-el-medio, es posible combinarla con la opción --source y así dar protección contra arp-spoofing. Lámina 29 Stateful Firewalls Firewalls que intentan dar seguimiento a una conexión cuando se tiene filtrado de paquetes. Se pueden considerar entre un filtro de paquetes y un proxie. Predominantemente examinan capa 4 e información paquetes más baja frecuentemente verifican solo capa 7 (aplicación) Si paquete coincide con regla del firewall que permite su paso, se crea una entrada en la tabla de estados paquetes posteriores de la misma conexión son permitidos sin realizar más inspecciones Lámina 30 Cárdenas 15

16 Dynamic State Table IP Source IP Dest. Port Source Port Dest. Num. Seq. Seguridad Informárica Inspección Stateful New connection? Application Layer NO Inspect reject? Engine Packet part of an existing connection in connections Application table? Layer YES YES Compare connection to rule base Pass packet Transport Layer Transport Layer Add connection Accept or to connections Internet ACCEPT Layer table Internet Layer REJECT NO Reject packet Application Layer Transport Layer Internet Layer Host Host to to Network Layer Host to to Network Layer Host to to Network Layer Lámina 31 Concepto de estado Concepto confuso puede tener diferentes significados en diferentes situaciones Definición básica la condición en que se encuentra una determinada sesión de comunicación Diferentes vendedores dan una definición diferente de lo que es un estado. Dispositivos que dan seguimiento a un estado lo hacen a través de una tabla. tabla mantiene entradas de lo que representa una sesión de comunicación individual. Lámina 32 Cárdenas 16

17 Valores estado de un paquete iptables -A INPUT --match state --state RELATED,ESTABLISHED -j ACCEPT INVALID el paquete no esta asociado a ninguna conexión ESTABLISHED el paquete esta asociado con una conexión que ha intercambiado paquetes en ambas direcciones, NEW significa que el paquete ha comenzado una conexión RELATED significa que el paquete ha comenzado una conexión, pero que esta está asociada a una conexión ya existente, como por ejemplo una transferencia de datos vía FTP, o un error ICMP. Lámina 33 Ejemplo reglas salida y regreso Ejemplo de regla de salida define que tráfico puede salir a través firewall iptables A OUTPUT p tcp m state - - state NEW, ESTABLISHED -j ACCEPT comunicación aceptada, (opción j) tráfico nuevo (NEW) y establecido (ESTABLISHED) es permitido Ejemplo de regreso iptables A INPUT p tcp m state - - state ESTABLISHED -j ACCEPT idéntico al anterior solo que es una regla de entrada y que solo se permite tráfico de conexiones establecidas Lámina 34 Cárdenas 17

18 Ejemplos UDP e ICMP Ejemplo de UDP básico iptables A OUTPUT p udp m state - - state NEW, ESTABLISHED -j ACCEPT iptables A INPUT p udp m state - - state ESTABLISHED -j ACCEPT Ejemplo de ICMP iptables A OUTPUT p icmp m state - - state NEW, ESTABLISHED, RELATED -j ACCEPT iptables A INPUT p icmp m state - - state ESTABLISHED, RELATED -j ACCEPT diferencia principal: la opción p y la entrada RELATED de la opción - -state Lámina 35 TOS: Tipo de Servicio iptables -A INPUT --match tos --tos Minimize-Delay -j ACCEPT iptables -A INPUT --match limit --limit 2/hour --limit-burst 10 -j LOG Este módulo se usa para examinar los 8 bits del campo Tipo de Servicio en la cabecera del paquete IP (se incluyen los bits de precedencia). El argumento a corresponder es o bien un nombre estándar, o un valor numérico. Lanzar iptables -m tos -h para ver la lista de nombres permitidos. Lámina 36 Cárdenas 18

19 Previniendo algunos ataques Protección contra Syn-flood (inundación mediante Syn): # iptables -A FORWARD -p tcp --syn -m limit 1/s -j ACCEPT Furtivo buscando puertos (port scanner): # iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit 1/s -j ACCEPT Ping de la muerte: # iptables -A FORWARD -p icmp --icmp-type echo-request -m limit 1/s -j ACCEPT Lámina 37 Ejemplos otras opciones especificar cualquier dirección IP, se debe usar «/0», de esta manera: # iptables -A INPUT -s 0/0 -j DROP # Descartar todo fragmento dirigido a : # iptables -A OUTPUT -f -d j DROP # Deben examinar todos los indicadores («ALL» es sinónimo de «SYN,ACK,FIN,RST,URG,PSH»), pero sólo deben estar activos SYN y ACK. # iptables -A INPUT --protocol tcp --tcp-flags ALL SYN,ACK -j DENY # Lámina 38 Cárdenas 19

20 Bitácoras Acción LOG Regresa información sobre los paquetes, como encabezados IP y otra informacion se hace via syslog Información puede ser leida con dmesg o de las bitácoras de syslogd Util para verificar que reglas estan actuando sobre ciertos paquetes Nota: mensajes no se envian a consola a menos syslog diga lo contrario. La acción cuenta con cinco opciones Lámina 39 Opciones acción LOG --log-level le indica a syslog que nivel usar iptables -A FORWARD -p tcp -j LOG - -log-level debug --log prefix mensajes seran antecedidos por prefix iptables -A INPUT -p tcp -j LOG --log-prefix "INPUT packets" --log-tcp-sequence se almacenera los numeros de secuencia TCP iptables -A INPUT -p tcp -j LOG --log-prefix "INPUT packets" --log-tcp-options almacena las diferentes opciones del paquete TCP iptables -A FORWARD -p tcp -j LOG --log-tcp-options --log-ip-options almacena las diferentes opciones del paquete IP iptables -A FORWARD -p tcp -j LOG --log-ip-option Lámina 40 Cárdenas 20

21 Bitácoras con ULOG Proporcion manejo de bitacoras a nivel espacio de usuario Si un paquete coincide con la regla y la acción ULOG esta activo información paquete es enviado en multicast con todo el paquete a través de un socket Uno o más procesos en espacio usuario pueden subscribirse a varios grupos de multicast y recibir el paquete. Posible enviar logs a bases de datos MySQL y otras bases de datos. Lámina 41 Ejemplos y opciones ULOG --ulog-nlgroup indica a donde enviar el paquete iptables -A INPUT -p TCP --dport 22 -j ULOG - -ulog-nlgroup 2 --ulog-prefix mismo que prefix en LOG iptables -A INPUT -p TCP --dport 22 -j ULOG - -ulog-prefix "SSH connection attempt: " --ulog-cprange cuantos bytesdel paquete enviar al demonio en modo usuario iptables -A INPUT -p TCP --dport 22 -j ULOG --ulog-cprange ulog-qthreshold bytes paquete a dejar en el núcleo antes de enviarlo al espacio usuario iptables -A INPUT -p TCP --dport 22 -j ULOG --ulog-qthreshold 10 Lámina 42 Cárdenas 21

22 Ejemplo bitácoras # iptables -A INPUT -s j LOG -log-prefix Test: # Indica añadir una regla a la cadena de INPUT (-A INPUT) que verifique los paquetes que vengan de (-s ) y brinca a la fuente log (-j LOG) con una línea que empieza con los caracteres Test: La bitácora generada es detallada y completa Un ejemplo sería: Test:IN=ppp0 OUT= SRC= DST= LEN=100 TOS=0x00 PREC=0x00 TTL=253 ID=0 PROTO=ICMP TYPE=8 CODE=0 ID=56 SEQ=58 Lámina 43 Cárdenas 22