Firewall, teoreticky

• buzzword (hardwarový/softwarový: všechno jsou to krabičky s dírami)
• konfigurovatelná část kernelu rozhodující o osudu síťového provozu
  blokovat, nechat projít, nebo nějak změnit
• na úrovni hlaviček (např. TCP/IP) dělá rozhodnutí typicky kernel
  Konfigurace probíhá userspaceovou utilitou.

Univerzální řešení: pro každý paket se vyhodnocuje sada správcem definovaných pravidel:

• "pro jaký provoz pravidlo platí"

   "on $interface", "from/to", "tagged"

  "-A", "-i/-o" "-s/-d" "--mark ?"

• "co se s ním stane"

   "pass/block", "nat-to/rdr-to", "keep state", "tag"

   "-j", "--set ?" 

Firewall, prakticky

• jak se to ovládá?

  pfctl(8), pfsync(4)

  iptables(8), ip6tables(8), conntrack(8), ipset(8)

  # emerge -av iptables conntrack-tools ipset

• jak vypíšu aktuálně používaná pravidla?

  # pfctl -sr	[-a název-anchoru]	## "show rules"

  # iptables -nvL	[název-chainu]		## "neresolvuj + verbose list"

• jak se to persistentně nastavuje?

  pf.conf(5);	pfctl -nf /etc/pf.conf == "jen otestuj, jestli to půjde"
  (většinou)# vi /etc/pf.conf
  (většinou)# pfctl [-a název-anchoru] -f /etc/pf.conf

  záleží na distribuci; iptables-save(8), iptables-restore(8)
  (většinou)# <pokusy-na-živém-systému>
  (většinou)# /etc/init.d/ip[6]tables save

• dále budou části z OpenBSD nezačínající # znamenat pravidla v pf.conf(5)

Vytváření pravidel

• nejjednodušší předdefinované akce:

  (keyword)	pass	block [return|drop]	match	anchor bez quick
  (chain name)	ACCEPT	REJECT, DROP		RETURN

• jak pravidla vypadají?

  block return [quick] [parametry]
  block in  ## spoiler!

  ## přidá na konec src-chainu
  # iptables -A <src-chain> [parametry] -j <dst-chain>
  # iptables -A INPUT -j DROP  ## spoiler!
  
  ## vloží jako 42. pravidlo src-chainu
  # iptables -I <src-chain> 42 [parametry] -j <dst-chain> 

• pravidel může být hodně a právě tehdy je vhodné je nějak logicky rozdělit a seskupovat:

  ## standardně, když nic neřeknete (žádné -a), je vše v kořenovém anchoru
  anchor "zvenku" in on egress { [pravidla] };

  ## musíte si vybrat minimálně z INPUT, OUTPUT, FORWARD
  # iptables -N chain_zvenku && iptables -A INPUT -i eth0 -j chain_zvenku

  Chainy se navíc dělí do "tabulek" filter, nat, mangle. Neřešte to.

Vyhodnocování pravidel

• matchnutí pravidla == splněny všechny podmínky
• jak si mám představit, že se ta sada pravidel vyhodnocuje?
  1. Prohledej stavovou tabulku (klicem v RBtree je (src+dst addr+port, rdomain, af, l4-proto))
     Není-li spojení tam, začni vyhodnocovat ruleset.
  2. Matchne-li pravidlo bez quick, nastav paketu "akci" a nakonec použij poslední matchující akci.
     Pravidlo quick se aplikuje hned a zbytek se vynechá.
  3. Nematchne-li nic, pass no state → dělejte záchytná pravidla.

     pass	## defaultně implikuje "keep state"

  Toto se děje jednou při vstupu a podruhé při výstupu. Ve skutečnosti se to takhle neděje a celé je to složitější. První video, další video
  1. Začni vyhodnocovat INPUT nebo OUTPUT při paketu pro mě; jinak, mám-li ip_forward=1, FORWARD
  2. Matchne-li pravidlo, přejdi na "target".
  3. Nematchne-li nic, nastane "policy" (výchozí je ACCEPT).

     # iptables -P ACCEPT <jaký-chain?>

  Stavovou tabulku nejen, že si musíme řešit sami, ale dokonce ji ani nemusíme mít v jádře! Zato je ale máme dvě: conntrack a state

  ## novější
  # iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
  ## nebo starší
  # iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

  Ve skutečnosti je to složitější, než si dokážete představit. Zjednodušený pohled.

Modifikace pravidel

• úprava

  # vi /etc/pf.conf
  # pfctl -f /etc/pf.conf

  # iptables -R
  # iptables -D
  # iptables --line-numbers
  

• flush

  # pfctl -Fr	## "flush rules" 

  # iptables -F INPUT

• zero

  # pfctl -z

  # iptables -Z [chain [rule]]

Směr provozu

• při neuvedení směru pravidlo matchne v obou směrech
• v Linuxu to by design jde jen ve FORWARD, takže musíte duplikovat (nebo vytvářet společné chainy)

• pass in
  block out
  pass 

  neni stejne jako

  # iptables -A INPUT -j ACCEPT
  # iptables -A OUTPUT -j DROP
  

• můžete samozřejmě specifikovat konkrétní interface (nebo negaci)

  pass out on ! em0
  block in on egress	## implicitně vytvořená skupina: ifs s default routami
  pass in on vnitrni	## ifconfig em0 group vnitrni
  match on ct4 
  set skip on lo	# lo je skupina všech interfaceů "lo0, lo1, ..."

  # iptables -A OUTPUT ! -o eth0 -j ACCEPT
  # < netuším jak >
  # < netuším jak >
  # iptables -A FORWARD -{i,o} ct4
  # < netuším jak elegantněji, než na správná místa dát
      -i/o lo -j ACCEPT a potom si jich nevšímat >

• pravidla můžete omezit na konkrétní AF a L4 protokol

  block on em0 inet6
  pass in on em0 inet6 proto icmp6

  # ip6tables -A INPUT -i em0 -j DROP
  # ip6tables -A INPUT -i em0 -p icmp6 -j ACCEPT

L3+L4 filtering

• af from/to proto+port, implicitně všechno (pass == pass all == pass from any to any)

• pass from 192.168.99.0/24
  block proto tcp to ! 192.168.99.4 port smtp
  block proto tcp from os Windows to port smtp
  pass proto tcp to port >49151

  # iptables -A mychain -s 192.168.99.0/24 -j ACCEPT
  # iptables -A mychain ! -d 192.168.99.4 -p tcp --dport 25 -j DROP
  # < netuším jak: filter osf >
  # iptables -A mychain -p tcp --dports 49151:

• pf: za from/to patří adresa; dáte-li tam název interface, dějí se věci

  # expanduje se na všechny adresy
  pass in proto tcp to em0 port smtp
  # máte-li DHCP nebo měníte-li často konfiguraci, můžete nechat PF, aby se pokaždé podíval
  pass in to (em0)
  # self-explanatory
  pass in to em0:network
  # keyword "self" expanduje na všechny adresy přiřazené tomuto stroji; bývá jich hodně
  pass in to self
  pass from (self) 
  

• pf: zkratka: antispoof for em0 inet

  # expanduje se na 
  block drop in on ! em0 inet from { em0:network }
  block drop in inet from em0

  Dejte si na to pozor, nechcete to vždy! (redundance, překrývající se ranky + rdomains, ...)

pf.conf(5): usnadnění konfigurace

• ke zjednodušení konfigurace můžete v pf.conf(5) definovat makra

  moje_sit="192.168.99.0/24"
  muj_interface="fxp0"
  muj_limit="keep state (pflow max-src-conn 50)"
  pass on $muj_interface from $moje_sit $muj_limit

• nepřežeňte to!
• stejně tak můžete do pravidel dávat seznamy, které se automaticky expandují do více pravidel

  moje_site="{ 192.168.99.0/24, 192.168.199.0/24 }"
  pass proto tcp to $moje_site port { smtp, domain, www }

• pomocí include nebo load anchor můžete mít konfiguraci ve více souborech

L3+L4 rewriting

• nat-to/rdr-to/binat-to vs SNAT/MASQUERADE/NETMAP + REDIRECT
• důležitá věc: "match rules differ from block and pass rules in that parameters are set every time a packet matches the rule, not only on the last matching rule." (pf.conf(5))
• zde je na čase objevovat hlubiny návrhu iptables a objevit "tabulku" nat
• občas je potřeba přepsat nějakou adresu

  match out inet on egress nat-to (egress)

  # iptables -t nat -A POSTROUTING -o $ext -j MASQUERADE
  # iptables -t nat -A POSTROUTING -o $ext -j SNAT --to vaše.ip.adresa

• nebo přesměrovat provoz jinam (např. na "Captive portal")

  match in proto tcp from <neplatici> to ! <banky> port www rdr-to 127.0.0.1 port 88

  # iptables -t nat -A PREROUTING -j DNAT --to-destination 127.0.0.1
  ## tohle umi presmerovat jen na lokalni stroj, na adresu iface, odkud to prislo
  # iptables -t nat -A PREROUTING -j REDIRECT --to-port 88

• Nemusíte se omezovat jen na privátní adresy! O to nebezpečnější to je...

  dmz="198.442.14.32/27"
  nouzovy_poskytovatel="32.16.8.4"
  pass out quick from $dmz nat-to $nouzovy_poskytovatel

• Nemusíte se omezovat v principu vůbec na nic (ne jenom match in all rdr-to, případně match out all nat-to), ale většinou si pod sebou řežete větev.
• bitmask/rr/source-hash/sticky

Tabulky

• Problém: sítě se mění (minimálně rozrůstají) a bylo by zbytečné kvůli přidání něčího laptopu reloadovat celý ruleset
• Částečné řešení: tabulky adres, ve kterých se rychle vyhledává (Patricia tree z routovací tabulky)

  table <tabulka>
  table <uvnitr>	const { 192.168.77.0/24, 192.168.177.0/24, 192.168.199.0/24 }
  table <moje-tabulka>	file "/etc/fw/moje_tabulka"

  # ipset create tabulka <co-do-ní-chci-dávat>
  # iptables -A INPUT -m set --match-set tabulka (src|dst) -j ACCEPT

• Úpravy za chodu

  # pfctl -sT [-a anchor] ## na tabulky v anchorech pozor!
  # pfctl -t tabulka -T show [-a anchor]
  # pfctl -t tabulka -T add 10.16.16.16/28
  # pfctl -t tabulka -T delete 10.16.16.16/28
  # pfctl -f /etc/jeden/zaznam/na/radek -t tabulka -T add 
  

• máte-li u sebe více než 6 stejných pravidel s různými adresami, pfctl(8) je sloučí do tabulky __automatic_<hash_cosi>
• význam const a persist je nutný ke zkoušce

L3+L4 stateful options

• keep/modulate/synproxy, limity, floating/if-bound
• proti útočníkům je dobré omezit počet navázaných spojení za časový úsek

  pass in proto tcp to port ssh keep state (max-src-conn-rate 3/2)
  # můžeme specifikovat tabulku, do které se budou házet neposlušní
  pass in proto tcp to port ssh keep state (max-src-conn-rate 3/2 overload <bruteforce>)
  

logging!

• options + tcpdump
• match log
• pflogd(8)
• labels

CARP + pfsync(4): high-availability

• buzzwords: redundance, failover, HA
• umíme: carp(4) je protokol inspirovaný patentovaným VRRP, doplněný o bezpečnostní mechanismus (heslo, které změní hash posílaných adres a tím znemožní útočníkovi převzít nad námi kontrolu)
• carp(4) posílá po multicastu (224.0.0.18, 01:00:5e:00:00:12) advertisementy
  VHID, IP adresy, časovače a demote counter.
• když je chytí někdo se stejně nastaveným carp interfacem nad nějakým skutečným, porovná časovače se svými a podle toho se nastaví
• když do časového limitu nic nechytí, stane se sám MASTER
• carp(4) zajišťuje jenom dostupnost daných adres, něco jako IPv6 anycast
  Když odstavíme firewall, provoz poteče jinudy, ale s prázdnou tabulkou stavů!
• pfsync(4) posílá změny stavové tabulky po síti (standardně 224.0.0.240)

  pass keep state (no-sync)

• set skip on $pfsync_parent_device
  pass quick on em0 proto carp keep state (no-sync) prio 7

• zapneme preempci carp:

  sysctl net.inet.carp.preempt=1

• # echo "vhid <vaše-NN> carpdev vic0 advskew 16 pass mekmitasdigoat" > /etc/hostname.carp0
  # echo "inet vaše.ip.adresa" >> /etc/hostname.carp0
  # sh /etc/netstart carp0 	## na obou strojích (na jednom vyšší advskew)
  
  # ifconfig pfsync0 create syncdev em0 syncpeer <jednoznačná adresa druhého stroje> up
  

• poslední záchrana (abyste na 120 interfacech nemuseli měnit parametry) == demote counter

  # ifconfig -g carp carpdemote 42
  # ifconfig -g carp -carpdemote 42

• v módu active-active a patřičně nastaveným CARPem umí dokonce využívat oba stroje současně (nad rámec)
• conntrackd
• Krisztian Kovacs - Netfilter HA

Redundance jednoduše jen vypadá...

...ale uvědomělý admin si toho musí uvědomovat víc...

• pravidla obou firewallu nemusí být stejná, ale když nebudou aspoň podobná, potom vám pfsync(4) rozhlásí stavy spojení, které po vypršení nepůjdou znovu navázat
  → Problémy typu "před půl minutou to šlo a už to nejde; kdyže jste tu gateway měnili? Před týdnem?".
• pfsync(4) je optimalizován na malé změny v krátkém čase; velká tabulka se načítá třeba 15minut
  → # ssh pfctl -S /dev/stdout | pfctl -L /dev/stdin
• stejně jako všude v sítích, je i zde třeba uvažovat ze všech možných stran komunikace
  → Když bude jeden ze strojů BACKUP, jak bude komunikovat se zbytkem světa? Než něco nastavím, neovlivní to situaci v případě, že se stroj stane MASTERem?
  • mám na každém stroji vlastní adresu → carpdev /24, carp_if /32 - kvůli dosažitelnosti celé té sítě v době, kdy je carp_if BACKUP
  • mám jenom jednu a musím se o ni dělit -> carp_if /24 a náhradní routa s nízkou prioritou (např.)

advanced

• default deny!
• queueing? fakt?
• zminka o venemovych tcp wrapperech hosts.allow(5)
• zminka o divert + proxies? authpf(8)?
• ferm.foo-projects.org

WIP, advanced: Port knocking v pf(4)

- "Knock, knock.
- Who's there?
- The Doctor.
- Doctor Who?"

• port knocking je variantou tzv. security through obscurity → NEFUNGUJE
• analogie z reálného světa: "schovka v bludišti s pikolou ve vrtulníku"
• pf(4) + (vnořené?) anchory + skriptíky v inetd (porty zavírat pomocí cron(8)/at(1))

Knocking done right - authpf(8)

TODO: Jak to co nejrychlejc nastavit, pravni pozadavky, ukazka one-click shortcutu na putty s predvyplnenym klicem/menem, co se po zavreni odpoji. Nezapomenout osetrit tu chranenou sluzbu (cache browseru, session IDs, problem dual-auth, revokace tiketu/sessions po ukonceni authpf spojeni, co s visejicima spojenima (prednastavit keepalive v putty), ukazat puttygen pri te prilezitosti)

WIP, advanced: Nejen CARPem živá je redundance

• některé protokoly mají svá interní data, která je třeba synchronizovat:
  dhcpd(8), sasyncd(8), spamd(8) + spamlogd(8)
• některé protokoly mohou informaci o stavu CARP interfejsů využívat ke své funkci:
  bgpd, ospfd/ospf6d, ifstated, relayd
• nezapomeňte vhodně synchronizovat konfiguraci! jen zkopírovat soubory nestačí, minimálně je potřeba

   echo "/advskew $OLD/s/advskew $OLD/advskew $NEW/\nw" | ed -s /etc/hostname.carpX