Операционные системы -> Linux -> Иммунитет для Linux

Иммунитет для Linux

Перед всеми, кто пользуется сетевыми коммуникациями, встает достаточно серьезная задача сетевой безопасности. Если компьютер подключен к Интернету, то пользователя всегда волнует вопрос: будут или нет взламывать систему? Но подобная формулировка, пожалуй, неверна. Точнее было бы спросить: когда же попытаются ее взломать? Ответ таков: сразу же, как только вы подключитесь к Интернету. Низкий моральный уровень определенного слоя обитателей Сети, доступность автоматизированных программных средств исследования и взлома систем, а также самостоятельные сетевые <черви> и вирусы, охотники за корпоративными секретами, войны, развязываемые хакерами, - все это и многое другое превращает Интернет в довольно небезопасное место, некое подобие мегаполиса, где новейшие технологии используются в бандитских разборках.

Проект Iptables

Основателем и идейным вдохновителем этого проекта стал Пауль Рассел. Сейчас проект развивается и поддерживается группой из пяти разработчиков, задающих основное направление, и множеством энтузиастов Linux. Основная часть функций пакетной фильтрации Iptables, вошедшая в код ядра операционной системы, может быть скомпилирована либо как часть ядра, либо в виде отдельных модулей. Брандмауэр распространяется бесплатно, по условию соблюдения GNU GPL (GPL, General Public License - стандартная публичная лицензия). Web-сайт разработчиков - www.iptables.org.

Использование Iptables предоставляет возможности:

• пакетной фильтрации сетевого трафика - функции брандмауэра;
• маскировки или преобразования IP-адресов (DNAT, SNAT, MASQUERADE);
• прозрачного проксирования трафика;
• изменения параметров IP-заголовка сетевого пакета (например, изменение параметра TOS - Type Of Service - позволяет установить определенный вариант маршрутизации).

Получение и установка

Последняя доступная на момент публикации статьи версия Iptables 1.2.7a была обнародована 26 августа 2002 г. Переписать дистрибутив брандмауэра, файл с цифровой подписью и PGP-ключом можно по ссылкам: http://www.iptables.org/files/iptables-1.2.7a.tar.bz2 (брандмауэр), http://www.iptables.org/files/iptables-1.2.7a.tar.bz2. sig (цифровая подпись), http://www.iptables.org/files/coreteam-gpg-key.txt (PGP-ключ).

Чтобы установить брандмауэр, включите поддержку Iptables в ядре, а также те опции Iptables, которые вы собираетесь использовать в составе ядра или отдельных модулей. Нужно обратить внимание на перечисленные ниже параметры сборки ядра:

CONFIG_PACKET - требуется для приложений, работающих непосредственно с сетевыми устройствами, например tcpdump или snort.

CONFIG_NETFILTER - необходим тогда, когда компьютер служит сетевым экраном (firewall) или шлюзом (gateway) в Интернете.

CONFIG_IP_NF_CONNTRACK - модуль для трассировки соединений, также используется при трансляции сетевых адресов и маскарадинге (NAT и Masquerading). Так что если вы решили строить сетевой экран - брандмауэр для локальной сети, то вам определенно потребуется эта опция.

CONFIG_IP_NF_FTP - модуль трассировки FTP-соединений. Обмен по FTP происходит слишком интенсивно, чтобы можно было использовать обычные методы трассировки.

CONFIG_IP_NF_IPTABLES - необходим для выполнения операций фильтрации, преобразования сетевых адресов (NAT) и маскарадинга (masquerading).

CONFIG_IP_NF_MATCH_LIMIT - модуль не обязателен. Он предоставляет возможность ограничения количества проверок для некоторого правила. Например, -m limit -limit 3/minute указывает, что заданное правило может пропустить не более трех пакетов в минуту. Таким образом, данный модуль способен защитить от нападений типа Отказ в обслуживании.

CONFIG_IP_NF_MATCH_MAC - модуль позволяет строить правила, основанные на MAC-адресации. Поскольку каждая сетевая карта имеет собственный уникальный Ethernet-адрес, то можно блокировать пакеты, поступающие с определенных MAC-адресов, или выполнять привязку IP-адреса к MAC-адресу карты.

CONFIG_IP_NF_MATCH_MARK - необязательная функция маркировки пакетов (MARK). С ее помощью можно помечать требуемые пакеты, а затем в других таблицах в зависимости от значения метки принимать решение о маршрутизации такого пакета.

CONFIG_IP_NF_MATCH_MULTIPORT - модуль позволяет строить правила с проверкой на принадлежность пакета к диапазону номеров портов источника/приемника.

CONFIG_IP_NF_MATCH_TOS - модуль помогает строить правила на основе состояния поля TOS (Type Of Service) в пакете, а также устанавливать или сбрасывать биты этого поля в правилах таблицы mangle.

CONFIG_IP_NF_MATCH_TCPMSS - опция добавляет возможность проверки поля MSS для TCP-пакетов.

CONFIG_IP_NF_MATCH_STATE - одно из самых серьезных усовершенствований по сравнению с ipchains. Этот модуль предоставляет возможность управления TCP пакетами на основе их состояния (state).

CONFIG_IP_NF_MATCH_UNCLEAN - модуль реализует проведение дополнительной проверки IP-, TCP-, UDP- и ICMP-пакетов для обнаружения в них несоответствий, <странностей>, ошибок.

CONFIG_IP_NF_FILTER - модуль реализации таблицы filter, где в основном и происходит фильтрация и где находятся цепочки INPUT, FORWARD и OUTPUT. Он обязателен, если вы планируете осуществлять фильтрацию пакетов.

CONFIG_IP_NF_TARGET_REJECT - добавляется действие REJECT, обеспечивающее передачу ICMP-сообщения об ошибке в ответ на входящий пакет, отвергаемый заданным правилом. TCP-соединения, в отличие от UDP и ICMP, всегда завершаются или отвергаются пакетом TCP RST.

CONFIG_IP_NF_TARGET_MIRROR - возможность отправки обратно полученного пакета, поменяв местами адреса отправителя и получателя (отражение).

CONFIG_IP_NF_NAT - NAT, т. е. трансляция сетевых адресов в различных ее видах. С помощью этой опции вы сможете предоставить выход в Интернет всем компьютерам локальной сети при наличии лишь одного уникального IP-адреса.

CONFIG_IP_NF_TARGET_MASQUERADE - маскарадинг, в отличие от NAT используемый тогда, когда IP-адрес в Интернете неизвестен заранее, т.е. для DHCP, PPP, SLIP или какого-либо другого способа подключения, подразумевающего динамическое получение IP-адреса. Маскарадинг несколько повышает высокую нагрузку на компьютер по сравнению с NAT, однако он работает в таких ситуациях, когда нельзя заранее указать собственный внешний IP-адрес.

CONFIG_IP_NF_TARGET_REDIRECT - перенаправление. Вместо того чтобы просто пропустить пакет дальше, это действие перенаправляет его на другой порт сетевого экрана. Обычно это действие применяется совместно с proxy. Иными словами, есть возможность выполнять <прозрачное проксирование>.

CONFIG_IP_NF_TARGET_LOG - модуль добавляет действие LOG в iptables, фиксирует отдельные пакеты в системном журнале (syslog), что бывает весьма полезно при отладке сценариев.

CONFIG_IP_NF_TARGET_TCPMSS - опция, помогающая преодолевать ограничения, накладываемые отдельными провайдерами (Internet Service Providers), блокирующими пакеты ICMP Fragmentation Needed.

CONFIG_IP_NF_COMPAT_IPCHAINS - добавляет совместимость с более старой технологией ipchains. Вполне возможно, что совместимость подобного рода будет сохранена и в ядрах серии 2.6.x.

CONFIG_IP_NF_COMPAT_IPFWADM - обеспечивает совместимость с ipfwadm, несмотря на то, что это очень старое средство построения брандмауэров.

Информация по конфигурированию и установке брандмауэра находится в файле INSTALL. В данном случае установка выглядит так:

$ bzip2 -cd iptables-1.2.7a.tar.bz2 | tar
 -xvf -
$cd iptables-1.2.7a
$make KERNEL_DIR=/usr/src/linux
$/bin/su root
# make install KERNEL_DIR=/usr/src/linux

В переменной KERNEL_DIR следует указать путь к исходнным текстам ядра.

Если требуется установить файлы для разработчика: дополнительные библиотеки и документацию, выполните:

# make install-devel

Хотите использовать статическую компиляцию библиотек Iptables к ядру, что освобождает от необходимости загружать модули при запуске, выполните:

$make NO_SHARED_LIBS=1

Если нужно установить систему по определенному пути, отличному от используемого по умолчанию (/usr/local/bin, /usr/local/lib, /usr/local/man), то:

$make BINDIR=/usr/bin LIBDIR=/usr/lib
 MANDIR=/ usr/man
$make BINDIR=/usr/bin LIBDIR=/usr/lib
 MANDIR=/ usr/man install

После изменения конфигурации ядра его необходимо перекомпилировать и установить.

Методика работы

Когда пакет приходит на брандмауэр, то сначала он попадает на сетевое устройство, перехватывается соответствующим драйвером и направляется в ядро. Далее пакет проходит ряд таблиц (Mangle, Nat, Filter) и цепочек в составе этих таблиц (например, предопределенные цепочки PREROUTING, OUTPUT, POSTROUTING в таблице Nat) и либо передается локальному приложению, либо переправляется на другую машину. Порядок следования пакета приведен в табл. 1.

Значит, прежде чем пакет будет перенаправлен далее, он пройдет несколько этапов. Причем на каждом из них пакет может быть остановлен, будь то цепочка Iptables или что-либо еще, но нас интересует Iptables. Заметьте, что нет никаких цепочек, специфичных для отдельных интерфейсов или чего-либо подобного. Цепочку FORWARD проходят все пакеты, перемещающиеся через наш брандмауэр/роутер. Не используйте цепочку INPUT для фильтрации транзитных пакетов, они туда просто не попадают. Через эту цепочку движутся только те пакеты, которые предназначены данному хосту!

А теперь рассмотрим порядок движения пакета, предназначенного локальному процессу/приложению (он приведен в табл. 2).

Важно помнить, что на этот раз пакеты идут через цепочку INPUT, а не через FORWARD. И в заключение рассмотрим порядок движения пакетов, созданных локальными процессами (табл. 3).

Более подробную информацию о видах таблиц и цепочек можно получить из документации, поставляемой с системой, или из приведенных ниже источников.

Вопросы и примеры

?Каким образом с помощью одного внешнего сетевого адреса могут работать в Интернете все клиенты локальной сети?

Это классический случай применения SNAT. Использовать действие MASQUERADE целесообразно лишь в случае получения динамического IP-адреса.

#!/bin/sh
IPTABLES="/usr/local/sbin/iptables"
INET_IFACE = eth0
INET_IP_1="XXX.XXX.XXX.XXX"
...

#включить здесь или в sysctl.conf разрешение на пересылку пакетов - необходимо для шлюза

echo "1">/proc/sys/net/ipv4/ip_forward
...
$IPTABLES -t nat -A POSTROUTING -o
 $INET_IFACE -j SNAT -to-source $INET_IP_1

?Как поступить, если один адрес из локальной сети ($INNER) нужно транслировать во внешнюю сеть отдельно от остальных в случае, когда есть несколько внешних IP-адресов?

Необходимо создать фиктивный внешний интерфейс (например, когда имеется реальный интерфейс eth0, то фиктивный будет eth0:0) и присвоить ему требуемый IP-адрес ($INET_IP_2). Дальнейшие действия в Iptables:

$IPTABLES -t nat -A POSTROUTING
 -s $INNER -j SNAT -to-source $INET_IP_2
$IPTABLES -t nat -A POSTROUTING
 -o $INET_IFACE -j SNAT
-to-source $INET_IP_1

?Как перенаправить сетевой трафик на локальный порт?

Все это выполняется действием Redirect. Перенаправление производится на другой порт той же самой машины. Действие может выполняться только в цепочках и подцепочках PREROUTING и OUTPUT таблицы Nat.

Действие REDIRECT очень удобно для прозрачного проксирования (transparent proxying), когда машины в локальной сети даже не подозревают о существовании прокси. В частности, пакеты, поступающие на HTTP-порт можно перенаправить на порт HTTP proxy, например:

$IPTABLES -t nat -A PREROUTING -p tcp
 -dport 80 -j REDIRECT -to-ports 3128

Можно произвести перенаправление на диапазон портов, указываемый ключом, например:

-to-ports 40000-40100.

В этом случае необходимо указать используемый протокол (TCP или UDP) ключом -protocol.

?Как перенаправить сетевой трафик на порт удаленного сервера?

Для выполнения данной операции следует в цепочке PREROUTING таблицы Nat изменить адрес и порт получателя полученного сетевого пакета (действие DNAT). Затем нужно разрешить прохождение транзитного трафика между отправителем и новым получателем в цепочке FORWARD. И наконец, требуется заменить адрес отправителя пакета (действие SNAT) в цепочке POSTROUTING таблицы Nat.

В приведенном отрывке скрипта показан пример перенаправления smtp- и pop-трафика с одного сервера на другой.

$cat rc.add2mail
#!/bin/sh
#
IPTABLES="/usr/local/sbin/iptables"
MAILEXT="XXX.XXX.XXX.XXX"
MAILINT="YYY.YYY.YYY.YYY"
# для сети 192.168.1.0/24
# pop3-сервис
$IPTABLES -t nat -I PREROUTING -i eth1
 -s 192.168.1.0/24 -d $MAILEXT -p tcp
 -dport 110
 -j DNAT -to $MAILINT:110
$IPTABLES -I FORWARD -s 192.168.1.0/24
 -d $MAILINT -i eth1 -o eth1
 -p tcp -dport 110 -j ACCEPT
# smtp-сервис
$IPTABLES -t nat -I PREROUTING -i eth1
 -s 192.168.1.0/24 -d $MAILEXT -p tcp
 -dport 25
 -j DNAT -to $MAILINT:25
$IPTABLES -I FORWARD -s 192.168.1.0/24
 -d $MAILINT
 -i eth1 -o eth1 -p tcp -dport 25 -j ACCEPT
# общая часть
$IPTABLES -t nat -I POSTROUTING -o eth1
 -s 192.168.1.0/24 -d $MAILINT -j SNAT
 -to 192.168.1.5

Поддержка

Если в процессе работы возник сложный вопрос по Iptables, то, вероятно, вас с удовольствием просветит ближайший Linux-гуру, а Linux-сайты часто являются местными фан-клубами Iptables. В сети выложено множество материалов, тематически связанных с Iptables, так что прежде чем изобретать велосипед, проверьте, вдруг он уже придуман, отлажен и выпускается серийно. Если же ваша задача так и не разрешилась, обратитесь к разработчикам. Посмотрите, кто был автором того модуля, с которым связаны ваши затруднения, и обращайтесь прямо к нему.

Заключение

Сетевая безопасность - комплексный вопрос. После настройки брандмауэра не стоит забывать об уязвимости сетевых сервисов. Можно проверить надежность, исследовав защиту с внешней стороны и попробовав ее взломать. Если взлом не увенчается успехом, то все равно рано радоваться. Не исключено, что просто вам не хватило квалификации. Кроме того, не забывайте про пользователей в вашей локальной сети и социальную инженерию. Бывает, деятельность отдельных самонадеянных индивидов просто приводит всех в изумление. Так что, возможно, установка и настройка брандмауэра будут самыми несложными задачами.

В общей сложности нужно контролировать не только сетевой трафик (пакетная фильтрация), но и содержимое потоков обмена данными на уровне приложений (например, для Web и трафика e-mail это элементы ActiveX, Java-аплеты, cookies и т. д.), а также сетевую активность системных сервисов и пользовательских приложений (возможные <троянские> программы и вирусы). В общем, задача обеспечения сетевой безопасности насколько интересная, настолько и сложная. Она требует постоянного внимания, и вряд ли удастся ее окончательно решить, не предприняв такие кардинальные меры, как отключение от сети, выключение питания, разбивка жесткого диска и установка охраны.

Об авторе
Александр Красоткин - программист, системный администратор, начальник отдела предоставления Интернет-услуг ОАО <ТМБЦ>.
С автором можно связаться по адресу: shura@tibc.ru

Ссылки и дополнительные материалы

В рамках одной ознакомительной статьи нельзя подробно осветить обширную тему, затрагивающую построение межсетевых экранов, фильтрацию и операции с сетевыми пакетами. Поэтому имеет смысл обратить внимание на следующие ресурсы и документы.

С этого нужно начинать
http://www.tldp.org/LDP/solrne/ Securing-Optimizing-Linux-TheUltimate-Solution-v2.0.pdf

Руководство по Iptables. Автор Oskar Andreasson
http://www.iptables.org/documentation/ tutorials/blueflux/

Часто задаваемые вопросы по Iptables
http://www.iptables.org/documentation/ FAQ/netfilter-faq.html

Packet Filtering HOWTO
http://www.iptables.org/documentation/ HOWTO//packet-filtering-HOWTO.html

Networking Concepts HOWTO
http://www.iptables.org/documentation/ HOWTO/networking-concepts-HOWTO.html

NAT HOWTO
http://www.iptables.org/documentation/ HOWTO/NAT-HOWTO.html

Разное
Securing & Optimizing Linux: The Ultimate Solution
http://www.tldp.org/LDP/solrhe/ Securing-Optimizing-Linux-The-Ultimate-Solution-v2.0.pdf

Сайты
http://www.linuxguruz.org/iptables/

Другие брандмауэры
Ipchains
Ipfw
IPFilter для OpenBSD
Packet Filter

Дополнительные программы

Наряду с продуктами, рассмотренными в статье, рекомендую обратить внимание на несколько достаточно важных и интересных программ.

Nessus - сетевой сканер вторжения. Предназначен для поиска уязвимых и слабо защищенных сетевых сервисов. Сканер разработан по технологии клиент - сервер. Применяется модульная архитектура, расширяющая функциональность сканера. Для описания уязвимых мест используется специальный язык NASL (Nessus attack script language). Материал о сетевом сканере Nessus см.в <Мире ПК>, №3/03. Сайт разработчика: www.nessus.org.

Nmap - сетевой сканер портов. Рекомендуется для определения доступных и закрытых брандмауэром сетевых сервисов. В процессе работы доступны несколько оригинальных методик сканирования. Позволяет с высокой степенью точности произвести оценки типа и версии операционной системы сканируемого хоста. Изначально разработанный для UNIX-систем, сканер был портирован на Windows-платформу. Сайт разработчика: www.nmap.org. Существует локализованная версия nmap с некоторыми дополнениями на русском языке (www.nmap.ru).

Snort - система анализа сетевого трафика системы. Позволяет по характерным признакам распознавать попытки проведения сетевых атак, сканирования системы и сетевой активности <троянских> программ. Имеется возможность оповещения администратора в случае обнаружения атаки. На базе snort можно построить свою систему IDS (Intrusion Detection System - система обнаружения вторжения). Сайт разработчика: www.snort.org

Все рассмотренные программные продукты распространяются свободно, в исходных кодах на условиях лицензии GNU GPL (General Public License).