Firewalls

Ondřej Kozina, 120781(zvnč)mail(tčk)muni(tčk)cz

Obsah

Klasifikace firewallů
Netfilter
Nástroj iptables
Literatura

Klasifikace firewallů

Obecně lze jako firewall označit zařízení (soustavu zařízení) nebo software, které regulují síťová spojení a přenos mezi některými komponentamy počítačové sítě. Obvyklý scénář si lze představit jako ochranu lokální sítě proti nedovoleným připojením z vnějších sítí, případně regulovat odchozí spojení z lokální sítě do internetu. Rozlišují se různé úrovně, na kterých lze provoz regulovat:

Aplikační firewally

Aplikační firewally regulují přístup konkrétních aplikací nebo služeb. Je možné to zařídit buď formou host-based firewallů, které sledují konkrétní aplikace služby na stroji na kterém jsou spuštěny. Např. proces XY se pokusí připojit (ustavit soketové spojení) k serveru. Firewall odchytí systémové volání, které souvisí s ustavením soketu a nadále rozhoduje podle toho, komu bude patřit vytvořené soketové spojení (př.: může wget stahovat data z portu 80 na hostu videoserver.org ?)

Druhá varianta je tzv. network-based nebo proxy server firewall. Tyto firewally vystupují jako prostředník při komunikaci klienta se serverem. Klient se nejprve připojí k proxu serveru a ten zprostředkuje spojení s hostem. Proxy server rozhoduje na základě pravidel, zda komunikaci povolí nebo nikoliv. Důsledkem těchto firewallů je NAT a server tak nikdy neví kdo je pravým původcem požadavku (všechny spojení jdou z proxy serveru). Nevýhodou takového řešení je poměrně silná zátěž stroje, který hostuje proxy server, v intenzivním síťovém provozu.

Paketové firewally

Paketové filtry posuzují jednotlivé pakety (v OSI modelu do úrovně 3) a rozhodují, jak s nimi naloží bez ohledu na to, kterému spojení pakety patří. Rozhodnutí o tom, zda bude paket firewallem propuštěn jsou dělána na základě čísel portů, typů transportních protokolů a na základě IP adres zdroje a cíle. Aby se paketové firewally bezpečně odlišily od třetího modelu, říká se jim někdy také bezstavové firewally.

Stavové firewally

Jde v podstatě o rozšíření druhého typu firewallů o možnost odlišit již ustavené spojení od nově navazovaných. Výhodou stavových firewallů je, že CPU intenzivní část posuzovaní paketů se obvykle provádí pouze při ustavovaní spojení, zatímco pakety které patří již existujícímu spojení jsou rozhodnuty poměrně levně. Navázané spojení se ukládá do tabulky, ze které jsou smazána po vypršení časového limitu. U UDP se obvykle první příchozí paket posuzuje jakoby se jednalo o SYN paket a ostatní jsou automaticky zařazeny k ESTABLISHED.

Netfilter

Netfiter je framework pro filtrování a manipulaci s pakety uvnitř jádra Linuxu. Počátky projektu jsou z roku 1998. Netfilter navhrl Paul "Rusty" Russel, autor ipchains v jádře 2.2. ipchains byly založeny na projektu ipfw z BSD a šlo o běžný paketový (bezstavový) firewall.

Netfilter hooks

Paket přijatý na síťové rozhraní prochází několik přípojných bodů Netfilteru (tzv. hooks)

    --->[1]--->[ROUTE]--->[3]--->[4]--->
                  |            ^
	          |            |
		  |         [ROUTE]
                  v            |
                 [2]          [5]
                  |            ^
                  |            |
                  v            |

NF_IP_PRE_ROUTING [1] - tímto bodem prochází paket pokud projde základními testy (checksum, apod.)
NF_IP_LOCAL_IN [2] - bodem prochází pakety, které vypadnou z [ROUTE] jako určené k lokálnímu přijetí (směrovač = cíl).
NF_IP_FORWARD [3] - bodem prochází pakety určené k přesměrování. Pozn.: sem projdou pouze pakety o kterých jádro ví kam je poslat.
NF_IP_POST_ROUTING [4] - bodem procházejí pakety tesně před tím, než jsou poslány síťové vrstvě k odeslíní po síti.
NF_IP_LOCAL_OUT [5] - odchozí pakety vzniklé lokálně na směrovači

Do jádra je možné psát moduly, které poslouchají na přípojných bodech a odebírají, zpracovávají a někdy i vracejí pakety zpět do zpracování.

Moduly Iptables

Iptables se skládají ze tří Netfilter modulů. Tabulky filter,nat a mangle zajišťují tři různé činnosti:

mangle - tabulka, která manipuluje s pakety obvykle s TOS, TTL u paketu a MARK. (registruje všechny hooks)
filter - tabulka s pravidly, které definují reakci na paket na přípojných bodech LOCAL_IN, FORWARD, LOCAL_OUT
nat - tabulka (dělená na SNAT, DNAT), která manipuluje s adresami paketu (PRE_ROUTING, POST_ROUTING)

Moduly iptables využívají služeb modulu conntrack a dohromady tvoří stavový firewall v Linuxu.

Modul conntrack

Modul zprostředkovává evidenci TCP spojení (svým způsobem simuluje i UDP spojení - vysvětlím) a mapuje pakety do těchto kategorií:

NEW - první UDP paket, TCP paket s flagem SYN=1, ACK=0
ESTABLISHED - ustavené spojení (následující pakety UDP)
RELATED - nová spojení, které mají souvislost s již ustaveným spojením (ESTABLISHED). Např. data přes FTP v PASV módu. V jádře musí být příslušný Netfilter modul, který nf_conntrack_ftp. V RELATED jsou také odpovědi na SYN požadavek k portu, který je zavřený apod.
INVALID - například TCP paket s ACK=1 bez přechozího SYN=1 nebo např. ICMP Echo Reply bez předchozího ICMP Echo Request.

Nástroj iptables

iptables jsou také userspace nástroj pro manipulaci s moduly Netfilteru (pro IPv6 je ip6tables). Příkaz má následující syntax:

iptables [tabulka] [akce] [chain] [ip_část] [match] [target] [target_info]

Nejprve se přepínačem -t vybere tabulka netfilter modulu, kterou budeme upravovat. Implicitně je to filter. Následuje jedna z akcí [akce] nad rětezcem [chain]:

-A, --append - Přidá nové pravidlo na konec řetězce [chain]
-D, --delete [chain] rule_num - Smaže pravidlo číslo rule_num (nebo přesně specifikovat)
-R, --replace [chain] rule_num rules_spec - Nahrazení pravidla
-I, --insert [chain] rule_num - Vložení nového pravidla na začátek řetězce nebo před pravidlo rulen_num
-L, --list [chain]- Vypsání všech pravidel v řetězci. Pokud není zadán řetězec, vypíšou se všechny řetězce + jejich pravidla
-F, --flush [chain]- Vyprázdní všechna pravidla v řetězci nebo všechny řetězce pro modul
-N, --new-chain - Vytvoří userdefined řetězec
-X, --delete-chain - Smažeme si vlastní řetěz (nejde smazat výchozí)
-P, --policy - Výchozí politika řetězce
-E, --rename-chain - Přejmenování vlastního řetězce

V [ip_části] se popisují pravidla, která rozhodují zda bude řádek v řetězci vybrán jako odpovídající na základě IP protokolu (případně transportního protokolu).

-p, --protocol - TCP, UDP, ICMP kombinace nebo ALL
-s, --src, --source - zdrojová IP adresa. Lze psát rozsahy, subnety i negace s předřazeným !
-d, --dst, --destination - cílová IP adresa. Lze psát rozsahy, subnety i negace s předřazeným !
-i, --in-interface - příchozí síťový interface (př. eth0)
-o, --out-interface - příchozí síťový interface (př. eth0)

Nakonec se rozhodne, jak pokračovat v případě, že paket spadne do příslušného pravidla. Jsou dva přepínače -g, --goto a -j, --jump. Asi nejlepší vysvětlení je citát z diskuze na root.cz:

"Programátorsky: --jump se chová jako CALL, neboli volání subrutiny se zapamatováním návratové adresy, --goto se chová jako JUMP, neboli skok bez zapamatování návratové adresy. :-)"

Jsou základní cíle ([target]) pro přepínače -j a -g: ACCEPT, DROP a REJECT pro tabulku filter. ACCEPT paket přijme v daném řetězci a pokračuje ve zpracování. DROP paket prostě zahodí a REJECT paket odmítne s příslušnou odpovědí prostřednictvím ICMP. Cílem může být také řetězec nebo uživatelem definováný řetězec (pozn. zdroj!=cíl). Pro tabulky nat se používají cíle MASQUERADE, SNAT a DNAT pro přepisování zdrojových nebo cílových adres.

Existuje spousta rozšíření, kterými lze podrobněji specifikovat pravidlo řetězce. Asi nejpoužívanější rozšíření je -m state --state, po kterém následuje výčet kategorií z modulu conntrack, podle kterých lze rozlišovat stav spojení.

Dalším používaným rozšířením je porovnávání zdrojových (--sport 2000:2005) a cílových (--dport 80) portů.