Опубликован: 21.09.2006 | Уровень: для всех | Доступ: платный | ВУЗ: Московский государственный университет имени М.В.Ломоносова
Лекция 3:

Пример пакетных фильтров в ОС FreeBSD 6.0

Набор правил Stateful

В следующем наборе правил без NAT показано, как реализовать включающий пакетный фильтр. Включающий пакетный фильтр разрешает только те сервисы, которые соответствуют правилам, и блокирует по умолчанию все остальные. Все пакетные фильтры имеют как минимум два интерфейса, на каждом из которых должны быть указаны правила.

Как и все UNIX-системы, FreeBSD разработана с использованием интерфейса lo0 и IP-адреса 127.0.0.1 для внутреннего взаимодействия с ОС. Правила пакетного фильтра должны разрешать свободную пересылку этих внутренних пакетов.

Будем предполагать, что один интерфейс соединен с Интернетом. Для этого интерфейса должны быть определены правила управления доступом в Интернет и из Интернета. Это может быть РРР tun0 интерфейс или сетевая карта, которая соединяется с Интернетом.

В случае наличия более одной сетевой карточки, которые соединены с локальными сетями, расположенными позади пакетного фильтра, эти интерфейсы должны иметь правила, разрешающие свободную пересылку пакетов с этих интерфейсов.

Первым делом правила должны быть разбиты на три основных раздела:

  • Правила для интерфейсов, на которых не определено управление доступом.
  • Правила для интерфейсов, на которых определено управление доступом для исходящего трафика.
  • Правила для интерфейсов, на которых определено управление доступом для входящего трафика.

Порядок, в котором правила указываются для конкретного интерфейса, должен быть такой, чтобы более часто используемое правило было бы размещено выше, чем редко используемое. Последнее правило должно блокировать все пакеты на данном интерфейсе.

Раздел для исходящего трафика в следующем наборе правил содержит только правила allow, определяющие значения выбора, которые уникально идентифицируют сервис, разрешенный в Интернете. Все правила имеют proto, port, in/out, via и keep state опции. proto tcp правила имеют опцию setup, определяющую начальный пакет запроса установления сессии для передачи этой информации в таблицу поддержки состояния.

Раздел для входящего трафика первым делом блокирует все нежелательные пакеты. Должно иметься правило, которое явно блокирует пакеты, получаемые редко, и информацию о которых нет необходимости заносить в лог. В результате они не будут обработаны последним правилом в разделе, которое блокирует и заносит в лог все пакеты, не соответствовавшие ни одному правилу.

В данном случае отправителю не возвращается ответ, эти пакеты просто удаляются. При таком подходе у атакующего нет информации о том, что его пакеты достигли системы.

Пример включающего набора правил

Следующий не содержащий NAT набор правил является полным набором правил включающего типа. Следует изменить название интерфейса dc0 в каждом правиле на название интерфейса сетевой карточки, который используется в системе для соединения с Интернетом. Например, для РРР пользователей следует указать tun0.

Рассмотрим пример, используемый в данных правилах:

  • Все утверждения, которые запрашивают начало сессии в Интернете, используют поддержку состояния ( keep-state ).
  • Все сервисы, полученные из Интернета, которым разрешен доступ, имеют опцию limit для предотвращения наводнения ( flooding ).
  • Все правила используют in или out для указания направления пересылки пакета.
  • Все правила используют название интерфейса после ключевого слова via для указания интерфейса, через который проходит пакет.

Следующие правила указываются в /etc/ipfw.rules.

################ Start of IPFW rules file ######################
# Flush out the list before we begin.
ipfw -q -f flush
# Set rules command prefix
cmd="ipfw -q add"
pif="dc0"   # public interface name of NIC
     # facing the public Internet
#################################################################
# No restrictions on Inside LAN Interface for private network
# Not needed unless you have LAN.
# Change xl0 to your LAN NIC interface name
#################################################################
#$cmd 00005 allow all from any to any via xl0

#################################################################
# No restrictions on Loopback Interface
#################################################################
$cmd 00010 allow all from any to any via lo0

#################################################################
# Allow the packet through if it has previous been added to the
# the "dynamic" rules table by a allow keep-state statement.
#################################################################
$cmd 00015 check-state
#################################################################
# Interface facing Public Internet (Outbound Section)
# Interrogate session start requests originating from behind the
# firewall on the private network or from this gateway server
# destine for the public Internet.
#################################################################
# Allow out access to my ISP's Domain name server.
# x.x.x.x must be the IP address of your ISP.s DNS
# Dup these lines if your ISP has more than one DNS server
# Get the IP addresses from /etc/resolv.conf file
$cmd 00110 allow tcp from any to x.x.x.x 53 out via $pif setup keep-state
$cmd 00111 allow udp from any to x.x.x.x 53 out via $pif keep-state

# Allow out non-secure standard www function
$cmd 00200 allow tcp from any to any 80 out via $pif setup keep-state

# Allow out secure www function https over TLS SSL
$cmd 00220 allow tcp from any to any 443 out via $pif setup keep-state

# Allow out send & get email function
$cmd 00230 allow tcp from any to any 25 out via $pif setup keep-state
$cmd 00231 allow tcp from any to any 110 out via $pif setup keep-state

# Allow out ping
$cmd 00250 allow icmp from any to any out via $pif keep-state

# Allow out Time
$cmd 00260 allow tcp from any to any 37 out via $pif setup keep-state

# Allow out secure FTP, Telnet, and SCP
# This function is using SSH (secure shell)
$cmd 00280 allow tcp from any to any 22 out via $pif setup keep-state

# deny and log everything else that.s trying to get out.
# This rule enforces the block all by default logic.
$cmd 00299 deny log all from any to any out via $pif

#################################################################
# Interface facing Public Internet (Inbound Section)
# Interrogate packets originating from the public Internet
# destine for this gateway server or the private network.
#################################################################

# Deny all inbound traffic from non-routable reserved address spaces
#RFC1918 private IP
$cmd 00300 deny all from 192.168.0.0/16 to any in via $pif  $cmd 00301 deny all from 172.16.0.0/12 to any in via $pif  #RFC 1918 private IP
$cmd 00302 deny all from 10.0.0.0/8 to any in via $pif  
$cmd 00303 deny all from 127.0.0.0/8 to any in via $pif #loopback
$cmd 00304 deny all from 0.0.0.0/8 to any in via $pif #loopback
$cmd 00305 deny all from 169.254.0.0/16 to any in via $pif 
#DHCP auto-config
$cmd 00306 deny all from 192.0.2.0/24 to any in via $pif 

# Deny public pings
$cmd 00310 deny icmp from any to any in via $pif

# Deny ident
$cmd 00315 deny tcp from any to any 113 in via $pif

# Deny all Netbios service. 137=name, 138=datagram, 139=session
# Netbios is MS/Windows sharing services.
# Block MS/Windows hosts2 name server requests 81
$cmd 00320 deny tcp from any to any 137 in via $pif
$cmd 00321 deny tcp from any to any 138 in via $pif
$cmd 00322 deny tcp from any to any 139 in via $pif
$cmd 00323 deny tcp from any to any 81 in via $pif
# Deny any late arriving packets
$cmd 00330 deny all from any to any frag in via $pif

# Deny ACK packets that did not match the dynamic rule table
$cmd 00332 deny tcp from any to any established in via $pif
# Allow in standard www function because I have apache server
$cmd 00400 allow tcp from any to me 80 in via $pif setup limit src-addr 2

# Allow in secure FTP, Telnet, and SCP from public Internet
$cmd 00410 allow tcp from any to me 22 in via $pif setup limit src-addr 2

# Allow in non-secure Telnet session from public Internet
# labeled non-secure because ID & PW are passed over public
# Internet as clear text.
# Delete this sample group if you do not have telnet server 
# enabled.
$cmd 00420 allow tcp from any to me 23 in via $pif setup limit src-addr 2

# Reject &Log all incoming connections from the outside
$cmd 00499 deny log all from any to any in via $pif

# Everything else is denied by default
# deny and log all packets that fell through to see what they are
$cmd 00999 deny log all from any to any
################ End of IPFW rules file ########################
3.2.
Пример совместного использования NAT и Stateful

Существуют некоторые дополнительные конфигурационные утверждения, которые дают возможность активизировать функцию NAT в IPFW. В ядро должно быть добавлено утверждение option divert.

В дополнение к обычным опциям IPFW в /etc/rc.conf необходимо добавить следующее:

natd_enable="YES"   # Enable NATD function
natd_interface="rl0"  # interface name of public Internet NIC
natd_flags="-dynamic -m" # -m = preserve port numbers if possible

Использование правил поддержки состояния вместе с правилом divert natd для трансляции сетевых адресов существенно усложняет логику правил. Взаимное расположение правил проверки состояния и divert natd становится очень критичным. Уже не используется простая логика последовательного прохождения правил. Определено новое действие, называемое skipto. При использовании skipto необходимо знать номер каждого правила, чтобы точно указать номер того правила, на которое следует перейти.

Рассмотрим пример использования NAT и поддержки состояния, чтобы понять последовательность прохождения пакета через наборы правил.

Анализ пакета на соответствие правилам начинается с первого правила в файле правил и продолжается по одному правилу вниз по файлу до тех пор, пока не будет достигнут конец или не будет найдено соответствие пакета критериям выбора. После этого пакет покидает пакетный фильтр. Важно помнить о расположении правил с номерами 100, 101, 450, 500 и 510. Они управляют преобразованием исходящих и входящих пакетов, а именно эти записи в динамической таблице поддержки состояния всегда регистрируют частные IP-адреса локальной сети. Далее, важно помнить, что во всех разрешающих и запрещающих правилах указывается направление прохождения пакета (входящий или исходящий) и интерфейс. Также следует помнить, что все запросы начала исходящей сессии всегда переходят на правило 500 для выполнения трансляции сетевого адреса.

Пусть локальный пользователь использует браузер для получения web-страницы. Web-сервер для взаимодействия использует порт 80 (см. пример набора правил №1). Когда пакет поступает в пакетный фильтр, он не соответствует правилу 100, потому что снабжен заголовком out, а не in. Он передается правилу 101. Этому правилу пакет также не соответствует, потому что это первый пакет и он еще не передается в динамическую таблицу поддержки состояния. Наконец, пакет поступает в правило 125, которому он соответствует. Пакет выходит через сетевую карточку, которая подключена к Интернету. Пакет все еще имеет IP-адрес локальной сети в качестве IP-адреса источника. При обнаружении соответствия данному правилу выполняются два действия. Опция keep-state передает информацию в таблицу динамических правил поддержки состояния. После этого выполняется действие skipto rule 500. Правило 500 применяет NAT для IP-адреса пакета и отправляет его в Интернет. Данный пакет поступает к получателю и возвращается обратно для завершения установления ТСР-соединения. При этом пакет попадает в первое правило из набора правил. В этот момент он соответствует правилу 100, и его IP-адрес получателя преобразуется обратно в IP-адрес локальной сети. Затем он будет передан правилу проверки состояния. При этом он будет найден в таблице как соответствующий открытой сессии и передан в локальную сеть. Пакет передается на рабочую станцию в локальной сети, которая его посылала. Новый пакет посылается для запроса данных от удаленного сервера. В тот момент, когда он получен, он проверяется правилом проверки состояния, и если запись для данного исходящего пакета существует, указанное действие skipto 500 выполняется. Пакет переходит на правило 500, выполняется NAT, и пакет покидает пакетный фильтр.

Для входящего потока все пакеты рассматриваются как часть открытия существующей сессии, автоматически обрабатываются правилом проверки состояния и применяют правила NAT. В результате этого все плохие пакеты отбрасываются и пропускаются только пакеты для разрешенных сервисов.

Рассмотрим другой пример. Пусть существует сервер Apache, выполняющийся на том же хосте, что и пакетный фильтр, и мы хотим, чтобы имелся доступ из Интернета к web-сайту. Пакет запроса нового входящего соединения соответствует правилу 100, и его IP-адрес преобразуется в локальный IP-адрес для хоста пакетного фильтра. Затем пакет проверяется снова на соответствие всем опасным признакам, которые следует проверять, и, наконец, определяется, что пакет соответствует правилу 420. После этого происходит следующее. По этому правилу пакет передается в динамическую таблицу поддержки состояния, при этом количество новых запросов создания сессии, исходящих от того же самого IP-адреса источника, не должно превышать двух. Это предохраняет от DoS-атак на сервис, выполняющийся по конкретному номеру порта. Пакет пропускается. При возврате правило проверки состояния распознает пакет как принадлежащий существующему открытию сессии и посылает его правилу 500 для выполнения NAT и передачи на исходящий интерфейс.

Пример набора правил № 1:

#!/bin/sh
cmd="ipfw -q add"
skip="skipto 500"
pif=rl0
ks="keep-state"
good_tcpo="22,25,37,43,53,80,443,110,119"

ipfw -q -f flush

$cmd 002 allow all from any to any via xl0  # exclude LAN traffic
$cmd 003 allow all from any to any via lo0  #exclude loopback traffic

$cmd 100 divert natd ip from any to any in via $pif
$cmd 101 check-state
# Authorized outbound packets
$cmd 120 $skip udp from any to xx.168.240.2 53 out via $pif $ks
$cmd 121 $skip udp from any to xx.168.240.5 53 out via $pif $ks
$cmd 125 $skip tcp from any to any $good_tcpo out via $pif setup $ks
$cmd 130 $skip icmp from any to any out via $pif $ks
$cmd 135 $skip udp from any to any 123 out via $pif $ks

# Deny all inbound traffic from non-routable reserved address spaces
$cmd 300 deny all from 192.168.0.0/16 to any in via $pif 
#RFC1918private IP
$cmd 301 deny all from 172.16.0.0/12 to any in via $pif  
#RFC 1918 private IP
$cmd 302 deny all from 10.0.0.0/8  to any in via $pif  
#RFC 1918 private IP
$cmd 303 deny all from 127.0.0.0/8  to any in via $pif  
#loop-back
$cmd 304 deny all from 0.0.0.0/8   to any in via $pif  
#loop-back
$cmd 305 deny all from 169.254.0.0/16 to any in via $pif 
#DHCP auto-config
$cmd 306 deny all from 192.0.2.0/24  to any in via $pif  
#reserved for docs
$cmd 307 deny all from 204.152.64.0/23 to any in via $pif  
#Sun cluster
$cmd 308 deny all from 224.0.0.0/3  to any in via $pif  
#Class D & E multicast

# Authorized inbound packets
$cmd 400 allow udp from xx.70.207.54 to any 68 in $ks
$cmd 420 allow tcp from any to me 80 in via $pif setup limit src-addr 1

$cmd 450 deny log ip from any to any

# This is skipto location for outbound stateful rules
$cmd 500 divert natd ip from any to any out via $pif
$cmd 510 allow ip from any to any
 
######################## end of rules  ##################
3.3.

Следующий пример аналогичен предыдущему, но содержит большее количество комментариев.

Пример набора правил № 2:

#!/bin/sh
################ Start of IPFW rules file #######################
# Flush out the list before we begin.
ipfw -q -f flush
# Set rules command prefix
cmd="ipfw -q add"
skip="skipto 800"
pif="rl0"     # public interface name of NIC
             # facing the public Internet

#################################################################
# No restrictions on Inside LAN Interface for private network
# Change xl0 to your LAN NIC interface name
#################################################################
$cmd 005 allow all from any to any via xl0

#################################################################
# No restrictions on Loopback Interface
#################################################################
$cmd 010 allow all from any to any via lo0

#################################################################
# check if packet is inbound and nat address if it is
#################################################################
$cmd 014 divert natd ip from any to any in via $pif

#################################################################
# Allow the packet through if it has previous been added to the
# the "dynamic" rules table by a allow keep-state statement.
#################################################################
$cmd 015 check-state

#################################################################
# Interface facing Public Internet (Outbound Section)
# Interrogate session start requests originating from behind the
# firewall on the private network or from this gateway server
# destine for the public Internet.
#################################################################
# Allow out access to my ISP's Domain name server.
# x.x.x.x must be the IP address of your ISP's DNS
# Dup these lines if your ISP has more than one DNS server
# Get the IP addresses from /etc/resolv.conf file
$cmd 020 $skip tcp from any to x.x.x.x 53 out via $pif setup keep-state

# Allow out secure www function https over TLS SSL
$cmd 050 $skip tcp from any to any 443 out via $pif setup keep-state

# Allow out send & get email function
$cmd 060 $skip tcp from any to any 25 out via $pif setup keep-state
$cmd 061 $skip tcp from any to any 110 out via $pif setup keep-state

# Allow out ping
$cmd 080 $skip icmp from any to any out via $pif keep-state

# Allow out Time
$cmd 090 $skip tcp from any to any 37 out via $pif setup keep-state

# Allow out secure FTP, Telnet, and SCP
# This function is using SSH (secure shell)
$cmd 110 $skip tcp from any to any 22 out via $pif setup keep-state

# Allow ntp time server
$cmd 130 $skip udp from any to any 123 out via $pif keep-state

#################################################################
# Interface facing Public Internet (Inbound Section)
# Interrogate packets originating from the public Internet
# destine for this gateway server or the private network.
#################################################################

# Deny all inbound traffic from non-routable reserved address 
# spaces
#RFC
$cmd 300 deny all from 192.168.0.0/16 to any in via $pif   
1918 private IP
$cmd 301 deny all from 172.16.0.0/12 to any in via $pif  
$cmd 302 deny all from 10.0.0.0/8  to any in via $pif  
$cmd 303 deny all from 127.0.0.0/8  to any in via $pif  
#loopback
$cmd 304 deny all from 0.0.0.0/8   to any in via $pif  
#loopback
$cmd 305 deny all from 169.254.0.0/16 to any in via $pif  
#DHCP auto-config

# Deny ident
$cmd 315 deny tcp from any to any 113 in via $pif

# Deny all Netbios service. 137=name, 138=datagram, 139=session
# Netbios is MS/Windows sharing services.
# Block MS/Windows hosts2 name server requests 81
$cmd 320 deny tcp from any to any 137 in via $pif
$cmd 321 deny tcp from any to any 138 in via $pif
$cmd 322 deny tcp from any to any 139 in via $pif
$cmd 323 deny tcp from any to any 81  in via $pif

# Deny any late arriving packets
$cmd 330 deny all from any to any frag in via $pif

# Deny ACK packets that did not match the dynamic rule table
$cmd 332 deny tcp from any to any established in via $pif

# Allow in standard www function because I have Apache server
$cmd 370 allow tcp from any to me 80 in via $pif setup limit src-addr 2

# Allow in secure FTP, Telnet, and SCP from public Internet
$cmd 380 allow tcp from any to me 22 in via $pif setup limit src-addr 2

# Allow in non-secure Telnet session from public Internet
# labeled non-secure because ID & PW are passed over public
# Internet as clear text.
# Delete this sample group if you do not have telnet server 
# enabled.
$cmd 390 allow tcp from any to me 23 in via $pif setup limit src-addr 2

# Reject & Log all unauthorized incoming connections from the 
# public Internet
$cmd 400 deny log all from any to any in via $pif

# Reject & Log all unauthorized out going connections to the 
# public Internet
$cmd 450 deny log all from any to any out via $pif
# This is skipto location for outbound stateful rules
$cmd 800 divert natd ip from any to any out via $pif
$cmd 801 allow ip from any to any

# Everything else is denied by default
# deny and log all packets that fell through to see what they are
$cmd 999 deny log all from any to any
################ End of IPFW rules file #######################
3.4.
Нияз Сабиров
Нияз Сабиров

Здравствуйте. А уточните, пожалуйста, по какой причине стоимость изменилась? Была стоимость в 1 рубль, стала в 9900 рублей.

Елена Сапегова
Елена Сапегова

для получения диплома нужно ли кроме теоретической части еще и практическую делать? написание самого диплома требуется?

Игорь Касаткин
Игорь Касаткин
Россия, Москва
Зарина Каримова
Зарина Каримова
Казахстан, Алматы, Гимназия им. Ахмета Байтурсынова №139, 2008