Impostazione di un firewall di rete

E' un dispositivo hardware o un programma software venduto commercialmente da compagnie come Symantec che dichiarano che rende sicuro un home o desktop computer con accesso Internet. Questo tipo di firewall è altamente rilevante per utenti che non sanno come ai loro computer si può accedere via Internet o come disabilitare questo accesso, specialmente se essi sono sempre online e connessi attraverso connessioni broadband.

Questo è un sistema messo tra Internet e una intranet. Per minimizzare il rischio di compromettere lo stesso firewall esso generalmente deve avere solo un ruolo: quello di proteggere la intranet. Sebbene non completamente privo di rischi, i lavori di fare l'instradamento e il mascheramento IP (riscrivere gli header IP dei pacchetti che esso instrada da client con indirizzi IP privati nella Internet così che essi sembrino venire dallo stesso firewall) sono comunemente considerati relativamente sicuri.

Si tratta spesso di un vecchio computer che può essere stato accantonato e mai dimenticato, che esegue funzioni di mascheramento o instradamento, ma che offre servizi non firewall come una web-cache o posta. Esso può essere usato per reti casalinghe, ma non è considerato sicuro quanto una macchina solo firewall, poiché la combinazione di server e router/firewall su una macchina aumenta la complessità del setup.

Questa box esegue mascheramento o instradamento, ma garantisce accesso pubblico a certi rami della propria rete che, a causa di IP pbblici e una struttura fisicamente separata, è essenzialmente una rete separata con accesso diretto ad internet. I server su questa rete sono quelli che devono essere facilmente accessibili sia da Internet che da intranet. Il firewall protegge entrambe le reti. Questo tipo di firewall ha un minimo di tre interfacce di rete.

Questo tipo di firewall fa instradamento o mascheramento, ma non mantiene una una tabella pubblica dei flussi entranti di comunicazione. E' veloce, ma piuttosto limitato nella sua abilità di bloccare pacchetti inappropriati senza bloccare i pacchetti desiderati.

/etc/rc.d/init.d/iptables start

Un Personal Firewall è disegnato per permettere l'accesso a tutti i servizi offerti in Internet, ma mantenendo la propria postazione sicura e i propri dati privati.

Di seguito c'è una versione leggermente modificata delle raccomandazioni di Rusty Russell dal Linux 2.4 Packet Filtering HOWTO. Esse sono applicabili anche ai kernel Linux 2.6.

cat > /etc/rc.d/rc.iptables << "EOF"
#!/bin/sh

# Begin $rc_base/rc.iptables

# Insert connection-tracking modules
# (not needed if built into the kernel)
modprobe ip_tables
modprobe iptable_filter
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ipt_state
modprobe ipt_LOG

# Enable broadcast echo Protection
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

# Disable Source Routed Packets
echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route

# Enable TCP SYN Cookie Protection
echo 1 > /proc/sys/net/ipv4/tcp_syncookies

# Disable ICMP Redirect Acceptance
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects

# Don¹t send Redirect Messages
echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects

# Drop Spoofed Packets coming in on an interface, where responses
# would result in the reply going out a different interface.
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter

# Log packets with impossible addresses.
echo 1 > /proc/sys/net/ipv4/conf/all/log_martians

# be verbose on dynamic ip-addresses  (not needed in case of static IP)
echo 2 > /proc/sys/net/ipv4/ip_dynaddr

# disable Explicit Congestion Notification
# too many routers are still ignorant
echo 0 > /proc/sys/net/ipv4/tcp_ecn

# Set a known state
iptables -P INPUT   DROP
iptables -P FORWARD DROP
iptables -P OUTPUT  DROP

# These lines are here in case rules are already in place and the
# script is ever rerun on the fly. We want to remove all rules and
# pre-exisiting user defined chains before we implement new rules.
iptables -F
iptables -X
iptables -Z

iptables -t nat -F

# Allow local-only connections
iptables -A INPUT  -i lo -j ACCEPT

# Free output on any interface to any ip for any service
# (equal to -P ACCEPT)
iptables -A OUTPUT -j ACCEPT

# Permit answers on already established connections
# and permit new connections related to established ones
# (e.g. port mode ftp)
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Log everything else. What's Windows' latest exploitable vulnerability?
iptables -A INPUT -j LOG --log-prefix "FIREWALL:INPUT "

# End $rc_base/rc.iptables
EOF

Questo script è piuttosto semplice, esso scarta tutto il traffico in ingresso al proprio computer che non è partito dalla propria postazione, ma nel momento in cui si sta semplicemente navigando in Internet difficilmente si supereranno i suoi limiti.

Se si incontrano di frequente certi rallentamenti nell'accesso a server ftp, dare un'occhiata a BusyBox example number 4.

Anche se si hanno demoni o servizi in funzione sul proprio sistema questi saranno inaccessibili ovunque ma dal proprio stesso computer. Se si vuole permettere l'accesso ai servizi sulla propria macchina, come ssh o ping, dare un'occhiata presso BusyBox.

Un vero firewall ha due interfacce, una connessa a una intranet, in questo esempio eth0, e una connessa a Internet, qui ppp0. Per fornire la massima sicurezza per il firewall stesso assicurarsi che non ci siano server inutili in funzione, come X11 ed altri. Come principio generale il firewall stesso non deve accedere a nessun servizio non sicuro (si pensi a un server remoto che dà risposte che causano un crash del demone sul proprio sistema o, anche peggio, che implementa un worm attraverso un buffer-overflow).

cat > /etc/rc.d/rc.iptables << "EOF"
#!/bin/sh

# Begin $rc_base/rc.iptables

echo
echo "You're using the example configuration for a setup of a firewall"
echo "from Beyond Linux From Scratch."
echo "This example is far from being complete, it is only meant"
echo "to be a reference."
echo "Firewall security is a complex issue, that exceeds the scope"
echo "of the configuration rules below."
echo "You can find additional information"
echo "about firewalls in Chapter 4 of the BLFS book."
echo "http://www.linuxfromscratch.org/blfs"
echo

# Insert iptables modules (not needed if built into the kernel).

modprobe ip_tables
modprobe iptable_filter
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ipt_state
modprobe iptable_nat
modprobe ip_nat_ftp
modprobe ipt_MASQUERADE
modprobe ipt_LOG
modprobe ipt_REJECT

# Enable broadcast echo Protection
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

# Disable Source Routed Packets
echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route

# Enable TCP SYN Cookie Protection
echo 1 > /proc/sys/net/ipv4/tcp_syncookies

# Disable ICMP Redirect Acceptance
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects

# Don¹t send Redirect Messages
echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects

# Drop Spoofed Packets coming in on an interface where responses
# would result in the reply going out a different interface.
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter

# Log packets with impossible addresses.
echo 1 > /proc/sys/net/ipv4/conf/all/log_martians

# Be verbose on dynamic ip-addresses  (not needed in case of static IP)
echo 2 > /proc/sys/net/ipv4/ip_dynaddr

# Disable Explicit Congestion Notification
# Too many routers are still ignorant
echo 0 > /proc/sys/net/ipv4/tcp_ecn

# Set a known state
iptables -P INPUT   DROP
iptables -P FORWARD DROP
iptables -P OUTPUT  DROP

# These lines are here in case rules are already in place and the
# script is ever rerun on the fly. We want to remove all rules and
# pre-exisiting user defined chains before we implement new rules.
iptables -F
iptables -X
iptables -Z

iptables -t nat -F

# Allow local connections
iptables -A INPUT  -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# Allow forwarding if the initiated on the intranet
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD  -i ! ppp+ -m state --state NEW      -j ACCEPT

# Do masquerading
# (not needed if intranet is not using private ip-addresses)
iptables -t nat -A POSTROUTING -o ppp+ -j MASQUERADE

# Log everything for debugging
# (last of all rules, but before policy rules)
iptables -A INPUT   -j LOG --log-prefix "FIREWALL:INPUT  "
iptables -A FORWARD -j LOG --log-prefix "FIREWALL:FORWARD"
iptables -A OUTPUT  -j LOG --log-prefix "FIREWALL:OUTPUT "

# Enable IP Forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
EOF

Con questo script la propria intranet dovrebbe essere ragionevolmente sicura contro attacchi esterni. Il fatto che nessuno sia in grado di impostare una nuova connessione a qualunque servizio interno, se esso è mascherato, rende la propria intranet invisibile a Internet. Inoltre il proprio firewall dovrebbe essere relativamente sicuro, poiché non ci sono in funzione servizi che un cracker possa attaccare.

Questo scenario non è molto differente da Mascheramento del router, ma offre in più alcuni servizi alla propria intranet. Esempi di questo possono essere quando si vuole amministrare il proprio firewall da un altro host sulla propria intranet o usarlo come proxy o name server.

Siate cauti. Ogni servizio abilitato rende il proprio setup più complesso e il proprio firewall meno sicuro. Si è esposti al rischio di servizi mal configurati o di eseguire un servizio con un bug sfruttabile. Un firewall normalmente non deve eseguire nessun servizio extra. Vedere l'introduzione al Mascheramento del router per alcuni ulteriori dettagli.

Se si vogliono aggiungere servizi come Samba o name server, che non necessitano di per sè un accesso ad Internet, le dichiarazioni aggiuntive sono piuttosto semplici e dovrebbero ancora essere accettabili dal punto di vista della sicurezza. Aggiungere semplicemente le seguenti linee allo script prima delle regole di log.

iptables -A INPUT  -i ! ppp+  -j ACCEPT
iptables -A OUTPUT -o ! ppp+  -j ACCEPT

Se demoni, come Squid, hanno di per sé accesso ad Internet generalmente si può aprire OUTPUT e restringere INPUT.

          iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT                                     -j ACCEPT

Tuttavia in generale non è consigliabile lasciare OUTPUT senza alcuna restrizione. Si perde qualunque controllo su trojan che vogliono "chiamare casa", e un po' di ridondanza nel caso si abbia (mal-)configurato un servizio in modo che esso annunci al mondo la sua esistenza.

Per raggiungere questo bisogna restringere INPUT e OUTPUT su tutte le porte ad eccezione di quelle che è assolutamente necessario avere aperte. Quali porte si hanno aperte dipende dai propri bisogni: per lo più le si troveranno cercando gli accessi falliti nei propri file di log.

Questi sono solo esempi per mostrare alcune delle capacità del codice firewall in Linux. Dare un'occhiata alla man page di iptables. Lì si troveranno molte più informazioni. I numeri delle porte necessari per questo possono essere trovati in /etc/services, nel caso essi non siano stati trovati nel proprio log file.