LINUX- REITITIN / PALOMUURI LINUX-KURSSIN SEMINAARITYÖ Marko Oras

Transkriptio

1 LINUX- REITITIN / PALOMUURI LINUX-KURSSIN SEMINAARITYÖ

2 Linux-palomuuri 2 SISÄLLYSLUETTELO 1 PALOMUURI PALOMUURIN TOIMINTAPERIAATE PALOMUURIN YLLÄPITO ASENTAMINEN LAITTEISTO LINUX RED HAT DHCP ja SSH PALOMUURI TESTIVERKKO TESTAUS LISÄMATERIAALI LÄHTEET...14 LIITTEET

3 Linux-palomuuri 3 1 PALOMUURI Rakentamisessa on tunnettu termi palomuuri jo ammoisista ajoista lähtien. Sen tehtävänä on ollut estää tulen leviäminen rakennuksen osasta toiseen. Teoriassa palomuuri tietotekniikassa toimii samassa tehtävässä: se estää Internetin vaaratekijöiden leviämisen sisäverkkoon. [1] Palomuuri on verkko-ohjelma (sekä laitteisto), jolla pyritään rajoittamaan sen lävitse kulkeva liikenne organisaation tietoturvapolitiikan mukaiseksi. Palomuuria käytetään erityisesti yksityisissä verkoissa (Intranet), jotka ovat kytkeytyneet Internetiin reitittimen avulla. Myös yritysten välisissä tai saman yrityksen sisäisissä epäluotettavissa yhteyksissä voidaan käyttää palomuuria. Palomuurilla voidaan esimerkiksi erottaa sairaalan potilastietoja sisältävä verkon osa muusta verkosta. Palomuurin pääajatus on keskittää turvallisuuden hallinta yhteen paikkaan. Tyypillisimmässä tapauksessa palomuuri kytketään Internetin ja yritysverkon väliin. Tällöin liikenne kulkee yhden pisteen kautta, mistä seuraa se, että liikennettä voidaan tehokkaasti ja keskitetysti rajoittaa palomuurissa. Tämä helpottaa turvallisuuden hallintaa, koska näin yksittäisten verkossa olevien palvelinten ja työasemien turvallisuutta palomuurin takana olevaan maailmaan nähden voidaan hallita palomuurissa. 1.1 PALOMUURIN TOIMINTAPERIAATE Palomuurit voidaan jakaa toimintaperiaatteen mukaan kahteen luokkaan: pakettisuotimet ja Proxy-palomuurit. Pakettisuodin tutkii jokaisen sisäisen ja ulkoisen verkon välissä kulkevan datapaketin vertaamalla paketin tietoja ns. Access-listaan. Tuossa listassa määritellään lähettäjän ja vastanottajan IP -osoitteiden, käytettävän protokollan sekä yhteyden tilan perusteella, sallitaanko liikenne tietyillä em. parametrien arvoilla vai ei.

4 Linux-palomuuri 4 Pakettisuotimen turvallisuudessa on kuitenkin heikkouksia, joita tunkeilijat voivat käyttää hyväksi. Lisäksi ulkopuolinen kone voi käyttää suoraan sisäisen verkon palveluja, kun pakettisuodin on hyväksynyt yhteyden. Tämän takia sisäisessä verkossa on huolehdittava vielä erikseen jokaisen isäntäkoneen turvallisuudesta, mikä lisää verkonhallinnan työmäärää. Pakettisuodin voi toimia fyysisesti ohjelmistona esim. reitittimen yhteydessä. Proxy-palvelin-palomuuri tutkii läpikulkevaa liikennevirtaa yhteytenä sisäisen verkon palveluihin. Proxy tarjoaa korkeamman tason liikenteen suodatusta kuin pakettisuodin, mikä näkyy suurempana turvallisuusparametrien joukkona. Edellä mainittujen parametrien lisäksi esim. käyttäjän tunnistus, datan salaus päästä päähän, rajoitukset tiedostonimen tai kellonajan perusteella sekä tietojen salaus sisäisestä verkosta on mahdollista. Jokaisesta sisäisen ja ulkoisen verkon välillä kommunikoivaa sovellusta varten on palomuurissa oma itsenäinen sovellus nimeltään proxy. Esim. FTP -tiedonsiirtoa varten muodostetaan uusi esiintymä, vaikka samaa protokollaa tarkkailevia Proxy-prosesseja olisikin jo käynnissä. Siten yksi Proxy-esiintymä tarkkailee elinaikanaan tietyn protokollan liikennettä vain kahden isäntäkoneen välissä. Kaikki liikenne kulkee proxyn kautta niin, että suora liikennöinti kahden koneen välillä ei ole mahdollista. Tästä johtuen proxy on pakettisuodatukseen perustuvaa palomuuria turvallisempi. Koska turvallisuustoiminnot voidaan keskittää yhteen koneeseen, on Proxy-palomuurin ylläpito ja konfigurointi pakettisuodatinta helpompaa. [2] 1.2 PALOMUURIN YLLÄPITO Kuten mitä tahansa laitetta, niin varsinkin palomuuria täytyy ylläpitää säännöllisesti. Ylläpitäjän täytyy seurata maailmalla esiintyviä uhkia ja reagoida niihin aina tarpeen mukaan. Ohjelmisto- ja laitevalmistajien turvatiedotteet on hyvä lukea säännöllisesti, sekä itselleen kannattaa tilata muutaman kattavan postituslistan tiedotteet esimerkiksi CERT.FI ja SecurityFocuksen tiedotepalvelut toimivat loistavasti. Jokainen palomuuri

5 Linux-palomuuri 5 säännön lisäys ja muuttaminen tulee testata ja dokumentoida hyvin. Ylläpitäjällä täytyy olla selvillä mitä muutos tekee ja mihin se vaikuttaa. 2 ASENTAMINEN Ennen varsinaisen asentamisen aloittamista täytyy olla määritettynä se mitä palomuurilta halutaan ja mitä sen tulee suojata. Asentaminen täytyy aloittaa tietenkin laitteiston hankinnalla ja tällöin punnitaan se hankitaanko ohjelmallinen palomuuri, laite-pohjainen ratkaisu vai mahdollisesti Linux-käyttöjärjestelmään perustuva palomuuri, johon tämä esitys perustuu. 2.1 LAITTEISTO Laitteiston ei tarvitse olla Linux-reititin / palomuuri ratkaisussa huippuluokkaa, vaan siihen riittää ihan hyvin vanhempikin laitteisto. Tietysti isoissa verkoissa täytyy jo tehoakin olla, mutta silloin suositellaan jo laitteistopalomuurin hankintaa. Testattu laitteisto koostuu seuraavista osista: - 2 kpl SMC EZ PCI 10/100 verkkokortteja. Korteilla ei sinänsä ole väliä kunhan ne vaan on PCI kortteja ja Linux tukee niitä. - Intel Pentium 200 MMX - 64 Mb keskusmuistia Lisäksi laitteistossa on kiintolevy ja näytönohjain, mutta niillä ei ole oleellista merkitystä, koska testissä ei asenneta ollenkaan graafista käyttöliittymää. Laitteistossa ei myöskään ole kytkettynä näyttöä, näppäimistöä tai hiirtä, koska kaikki konfigurointi tapahtuu SSH - yhteyden kautta. Liitteessä 3 on ifconfig komennon tuloste, josta selviää verkkokorttien konfiguraatiot. 2.2 LINUX Linux-käyttöjärjestelmästä on olemassa useita eri jakeluversioita eli distroja, tähän työhön valitsin kuitenkin yleisimmin käytetyn eli Red Hat 8.0 version.

6 Linux-palomuuri RED HAT 8 Red Hat -käyttöjärjestelmän asentamiseen löytyy Internetistä paljon ohjeita. Testissä ei varsinaisesti ohjeita tarvittu, vaikka ei Linux osaamista ollutkaan. Windows-maailmasta ja yleisesti tietotekniikassa opitut asiat auttavat käyttöjärjestelmän asentamisessa ja automaattinen levyn osiointi-työkalu auttaa myös paljon. Hyvä ohje asentamiseen on Tomi Pahulan tekemä ohje osoitteessa: Myös käyttöjärjestelmän oma englanninkielinen ohje on hyvä, joka löytyy osoitteesta: Asennuksen kuluessa valittiin palomuuri-kohdasta kaikkein tiukimmat asetukset, kysyttäessä millaisia paketteja asennetaan, niin valittiin Server eli palvelin-kohta ja minimi pakettimäärä, koska ei tarvittu graafisia eikä muitakaan ylimääräisiä ohjelmia. Kun laitteisto saatiin asennettua ja käynnistettyä poistettiin kaikki turhat palvelut käytöstä komennolla setup. Käyntiin jättiin vain seuraavat palvelut: - anacron - atd - autofs - crond - dhcpd - httpd - iptables - keytable - network - random - rawdevices - snmpd - sshd - syslog

7 Linux-palomuuri DHCP ja SSH Dhcpd eli dhcp-palvelua täytyi muuttaa siten, että se jakaa IP-osoitteita vain sisäverkkoon ja /ect/dhcpd.conf näyttää nyt seuraavanlaiselta: ddns-update-style interim; ignore client-updates; subnet netmask { } option routers ; option subnet-mask ; option domain-name "kymp.net"; option domain-name-servers ; range dynamic-bootp ; default-lease-time 21600; max-lease-time 43200; Lisätietoa dhcpd-palvelun konfiguroinnista saa komennolla man dhcpd.conf. Sshd eli ssh-palvelun konfiguraatiosta täytyi muuttaa yhtä riviä, jotta se ei vastaisi kuin sisäverkon puolella. Tiedosto löytyy /etc/ssh/sshd.conf tiedostosta ja muutettu rivi tältä: ListenAddress PALOMUURI Kuten alussa jo mainittiin, voidaan palomuurit toteuttaa periaatteessa kahdella tavalla, joko pakettisuodatus tai Proxy-periaatteella. Tässä työssä on käytetty Linuxjärjestelmän pakettisuodatus ominaisuuksia. Tämä voidaan toteuttaa kolmella eri tavalla ipfwadm, ipchains ja iptables, johon tämä työ myös perustuu. Ipfwadm oli Linuxin ensimmäinen palomuuri toteutus ja se ilmestyi kernelin versiossa 2.0. Ipchains seurasi ipfwadmia ja se ilmestyi kernelin versiossa 2.2. Tämä toteutus oli jo huomattavasti parempi kuin varsin huono ipfwadm. Ipchainsin parannettu versio iptables tuli kernelin versiossa 2.4 ja se oli jälleen huomattavasti paremmin toteutettu kuin edeltäjänsä. Iptables on niin sanottu tilatietoinen (stateful) jota kutsutaan myös connection tracking -ominaisuudeksi. [3] Iptables komennon syntaksi on seuraavanlainen:

8 Linux-palomuuri 8 iptables t [taulu] -[optio] [ketju] [kriteerit] [laajennetut kriteerit] [laajennetun kriteerin määritelmä] [kohde] Oletuksena on Filter taulu, jolloin t [taulu] optiota ei tarvitse antaa. Iptables-komennolle voi antaa seuraavat optiot[5]: A, Append - Lisää yhden tai useamman säännön valitun ketjun loppuun. D, Delete - Poistaa yhden tai useamman säännön valitusta ketjusta. Komennosta on kaksi eri versiota: komento voidaan kohdistaa tiettyyn kohtaan ketjussa tai tiettyyn sääntöön, joka täsmää komentoon R, Replace - Korvaa säännön tietyssä ketjussa. Säännöt numeroidaan 1 alkaen I, Insert - Lisää yhden tai useamman säännön annettuun valittuun kohtaan tietyssä ketjussa L, List - Listaa kaikki säännöt valitussa ketjussa, jos ei ketjua anneta listaa kaikkien ketjujen säännöt. F, Flush - Tyhjentää valitun ketjun Z, Zero - Nollaa kaikki paketti- ja bittilaskurit kaikista ketjuista N, New-chain - Luo uuden käyttäjän määrittämän ketjun annetulla nimellä X, Delete-chain - Poistaa tietyn käyttäjän määrittämän ketjun P, Policy - Asettaa politiikat annetulle ketjulle tietyssä kohteessa E, Rename-chain - Nimeää uudelleen käyttäjän määrittämän ketjun annetulla nimellä Optioiden A,D,R,I kanssa voidaan käyttää seuraavia parametreja, kaikissa muissa paitsi j, jump parametrissa voidaan käyttää huutomerkkiä (!) invertoimaan parametri esim.!tcp

9 Linux-palomuuri 9 p, protocol - Protokolla tai paketti jonka sääntö tarkistaa. Tietty protokolla voi olla tcp, udp, icmp tai kaikki. s, source - Lähde määrittely. Osoite voi olla koneen nimi, verkon nimi tai puhdas IP-osoite. Verkkomaski voi olla normaali maski tai 1 bittien määrä. /24 on sama kuin d, destination - Kohde osoite. Muuten sama kuin s j, jump - Määrittää säännön kohteen. Esimerkiksi, mitä tehdään jos paketti täsmää tähän sääntöön i, in-interface - Valinnainen liitännän nimi, jonka kautta paketit vastaanotetaan o, out-interface - Valinnainen liitännän nimi, jonka kautta paketit lähetetään ulospäin Iptables komentojen esimerkkejä seuraavassa[4]. Palomuurini koko säännöstö on tämän työn liitteenä 1. IP forward -ominaisuus asetetaan seuraavasti. echo 1 > /proc/sys/net/ipv4/ip_forward NAT-ominaisuus saadaan asetettua iptables -komennolla iptables t nat A POSTROUTING o eth0 j MASQUERADE Listaus voimassa olevista säännöistä saadaan komennolla, esimerkki komennon tulosteesta on liitteessä 2. iptables L Missään tapauksessa ei kannata lähteä itse säätämään palomuuria ennen kuin on aivan varma mitä tekee ja mitä vaikutusta sillä on koko järjestelmän turvallisuuteen. Internetistä löytyy useita sivustoja, joissa voi muutamalla vastauksella saada itselleen hyvin toimivan konfiguraation palomuuriin. Sillä tavalla myös testi konfiguraatio on

10 Linux-palomuuri 10 tehty. Suomennettu konfiguraatio on tämän työn liitteenä 1, vaikkakaan se ei tietoturvan kannalta ole järkevää. Hyvä iptables-generaattori löytyy osoitteesta Palomuuri ei ole turvallinen vielä sen jälkeen kun siihen on syötetty hyvä konfiguraatio. Tietoturva ja sen kaikki osa-alueet ovat erittäin vaativa ja laaja alue, joten sitä ei tässä työssä käsitellä, mutta hyvä skriptikin pitää useimmat script-kidit ulkona. 2.4 TESTIVERKKO Testiverkkossa on yksi Windows XP-työasema, Windows XP / Red Hat 9.0- käyttöjärjestelmillä varustettu kannettava tietokone. Seuraavassa on esitetty kuva testiverkosta.

11 Linux-palomuuri 11 3 TESTAUS Testaus palomuuria vastaan suoritettiin kehutulla Nmap-ohjelmalla. Nmap on GNU lisensoitu ohjelmisto ja se on saatavissa lähes kaikille käyttöjärjestelmä-alustoille osoitteesta Molemmat liitynnät testattiin komennolla (root käyttäjänä) nmap ss v O p Tuloksena tuli seuraavanlainen tuloste: Starting nmap V ( ) Host ( ) appears to be up... good.

12 Linux-palomuuri 12 Initiating SYN Stealth Scan against ( ) Adding open port 80/tcp Adding open port 199/tcp Adding open port 22/tcp The SYN Stealth Scan took 13 seconds to scan ports. For OSScan assuming that port 22 is open and port 1 is closed and neither are firewalled Interesting ports on ( ): (The ports scanned but not shown below are in state: closed) Port State Service 22/tcp open ssh 80/tcp open http 199/tcp open smux Remote operating system guess: Linux Kernel Uptime days (since Sun Apr 6 16:59: ) TCP Sequence Prediction: Class=random positive increments Difficulty= (Good luck!) IPID Sequence Generation: All zeros Nmap run completed -- 1 IP address (1 host up) scanned in 21 seconds Ja ulkopuolelta testastattiin myös vastaavalla komennolla (root käyttäjänä) nmap ss v O p Tuloksena tästä skannauksesta tuli: Starting nmap V ( ) Host cs kotopas.fi ( ) appears to be up... good. Initiating SYN Stealth Scan against cs kotopas.fi ( ) The SYN Stealth Scan took 2787 seconds to scan ports. Warning: OS detection will be MUCH less reliable because we did not find at least 1 open and 1 closed TCP port Interesting ports on cs kotopas.fi ( ): (The ports scanned but not shown below are in state: filtered) Port State Service 22/tcp closed ssh Too many fingerprints match this host for me to give an accurate OS guess TCP/IP fingerprint: SInfo(V=3.00%P=i386-redhat-linuxgnu%D=4/8%Time=3E9316B8%O=-1%C=22) T5(Resp=Y%DF=Y%W=0%ACK=S++%Flags=AR%Ops=) T6(Resp=N)

13 Linux-palomuuri 13 T7(Resp=N) PU(Resp=N) Nmap run completed -- 1 IP address (1 host up) scanned in 2802 seconds Nmap komennosta saa lisätietoa joko man nmap tai nmap h komennoilla. Testaamisen yhteydessä täytyy myös testata kaikki sovellukset, joiden täytyy toimia myös varsinaisissa työasemissa. Ensimmäisenä huomattiin, että Internet selaimella ei enää päässyt mihinkään, sähköpostia ei voinut enää lukea POP3 protokollalla eikä news palvelut toiminut, tästä päätteltiin että konfiguraatio ei ollut oikein. Tai olihan se oikein, mutta se esti väärät asiat. Korjaamalla nämä pikku haittatekijät testausryhmä on ollut varsin tyytyväinen ratkaisuun sen lyhyen aikaa, mitä se on ollut toiminnassa tätä kirjoitettaessa. 4 LISÄMATERIAALI Aiheesta löytyy Internetistä ja kirjallisuudesta aivan valtavasti tietoa. Seuraavaan listaan testiryhmä on koonnut omasta mielestään parhaimpia tiedonlähteitä, joista osa on Internet-linkkejä ja osa on kirjoja. Lisämateriaalissa ei mikään toisaalta voita hyvää kaveria, jolla on vankka osaaminen tietoliikenteen ja Linuxin alueelta. - Internet-palomuurien rakentaminen, Satku.fi. Alkuperäinen teos englanniksi ja kirja onkin suomennettu hieman huonosti. - TCP/IP, IT Press - Hakkerin käsikirja, IT Press. Mielestäni loistava kirja tietoturvasta, vaikkakin käännös ei ole kovin hyvä. Alkuperäinen teos Maximum Security - Kymenlaakson ammattikorkeakoulun tietoliikennelaboratorion sivut - Iptables / netfilter kotisivut sivustot erityisesti iptables osio - nmap ohjelman kotisivut - sfnet.atk.linux.* ja sfnet.atk.turvallisuus uutispalvelut

14 Linux-palomuuri 14 5 LÄHTEET 1. Zwicky, Cooper, Chapman, 2001: Internet-palomuurien rakentaminen, Satku 2. Paula Viljamaa Jari Jokinen, Mikko Henttu, 2003: Linux palomuurit, Kyamk 4. Tomi Pahula, 2002: Linux-NAT konfigurointityö, Kyamk Tietoliikennelaboratorio 5. Iptables manpages LIITTEET Liite 1: Liite 2: Liite 3: Palomuurin konfiguraatio Iptables L komennon tuloste Ifconfig komennon tuloste

15 Linux-palomuuri LIITE 1 #!/bin/sh # # Generated iptables firewall script for the Linux 2.4 kernel # Script generated by Easy Firewall Generator for IPTables # copyright 2002 Timothy Scott Morizot # # Redhat chkconfig comments - firewall applied early, # removed late # chkconfig: # description: This script applies or removes iptables firewall rules # # This generator is primarily designed for RedHat installations, # although it should be adaptable for others. # # It can be executed with the typical start and stop arguments. # If used with stop, it will stop after flushing the firewall. # The save and restore arguments will save or restore the rules # from the /etc/sysconfig/iptables file. The save and restore # arguments are included to preserve compatibility with # Redhat's init.d script (at least in 7.x) if you prefer to use it. # Redhat asennus ohjeet # 1. Tallenna tämä skripti ja suorita si ladataksesi säännöt tästä tiedostosta. # 2. Jotta se sovellettaisiin käynnistyksen yhteydessä, kopioi tämä skirpti # /etc/init.d/iptables. Se hyväksyy stop, start, save, and restore # argumentit. (Voit haluta tallentaa alkuperäisen ensiksi.) # Paikalliset asetukset # sysctl location. If set, it will use sysctl to adjust the kernel parameters. # If this is set to the empty string (or is unset), the use of sysctl # is disabled. SYSCTL="/sbin/sysctl -w" # To echo the value directly to the /proc file instead # SYSCTL="" # IPTables sijainti - Säädä jos tarvetta IPT="/sbin/iptables" IPTS="/sbin/iptables-save" IPTR="/sbin/iptables-restore" # Internet liityntä INET_IFACE="eth0" # Paikallisen liitynnän tiedot LOCAL_IFACE="eth1" LOCAL_IP=" " LOCAL_NET=" /24" LOCAL_BCAST=" " # Localhost liityntä LO_IFACE="lo" LO_IP=" "

16 Linux-palomuuri LIITE 1 # Tallenna ja Palauta argumentit käsitellään tässä if [ "$1" = "save" ] then echo -n "Tallennetaan palomuuri /etc/sysconfig/iptables tiedostoon... " $IPTS > /etc/sysconfig/iptables echo "Valmis!" exit 0 elif [ "$1" = "restore" ] then echo -n "Palautetaan palomuuri /etc/sysconfig/iptables tiedostosta... " $IPTR < /etc/sysconfig/iptables echo "Valmis" exit 0 fi # Ladataan moduulit # echo "Ladataan kernel moduuleita..." # core netfilter module /sbin/modprobe ip_tables # the stateful connection tracking module /sbin/modprobe ip_conntrack # Kernel parametrien konfigurointi # # See # for a detailed tutorial on sysctl and the various settings # available. # Vaaditaan jotta IPv4 forwarding toimii. if [ "$SYSCTL" = "" ] then echo "1" > /proc/sys/net/ipv4/ip_forward else $SYSCTL net.ipv4.ip_forward="1" fi # The following kernel settings were suggested by Alex Weeks. Thanks! # Tämä kernel parametri ohjeistaa kernelin hylkäämään kaikki ICMP echo #request, jotka on lähetetty broadcast osoitteeseen. Tämä estää useita smurf # ja samankaltaiset DoS hyökkäykset if [ "$SYSCTL" = "" ] then echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts else $SYSCTL net.ipv4.icmp_echo_ignore_broadcasts="1" fi # This option can be used to accept or refuse source routed # packets. It is usually on by default, but is generally

17 Linux-palomuuri LIITE 1 # considered a security risk. This option turns it off. if [ "$SYSCTL" = "" ] then echo "0" > /proc/sys/net/ipv4/conf/all/accept_source_route else $SYSCTL net.ipv4.conf.all.accept_source_route="0" fi # This option accepts only from gateways in the default gateways list. if [ "$SYSCTL" = "" ] then echo "1" > /proc/sys/net/ipv4/conf/all/secure_redirects else $SYSCTL net.ipv4.conf.all.secure_redirects="1" fi # Tämä valinta kirjoittaa lokiin paketit jotka ovat mahdottomista osoitteista if [ "$SYSCTL" = "" ] then echo "1" > /proc/sys/net/ipv4/conf/all/log_martians else $SYSCTL net.ipv4.conf.all.log_martians="1" fi # Tyhjennetään kaikki mahdolliset vanhat säännöt echo "Tyhjennetään IPTABLES - säännöt..." # Aseta oletus politiikat $IPT -P INPUT ACCEPT $IPT -P FORWARD ACCEPT $IPT -P OUTPUT ACCEPT $IPT -t nat -P PREROUTING ACCEPT $IPT -t nat -P POSTROUTING ACCEPT $IPT -t nat -P OUTPUT ACCEPT $IPT -t mangle -P PREROUTING ACCEPT $IPT -t mangle -P OUTPUT ACCEPT # Tyhjennä kaikki $IPT -F $IPT -t nat -F $IPT -t mangle -F # Poista kaikki ei-oletus säännöt $IPT -X $IPT -t nat -X $IPT -t mangle -X if [ "$1" = "stop" ] then echo "palomuuri täydellisesti tyhjennetty! Nyt ei ole lainkaan palomuuria." exit 0 fi # Sääntöjen konfigurointi

18 Linux-palomuuri LIITE 1 # Suodatin taulu # Aseta politiikat $IPT -P INPUT DROP $IPT -P OUTPUT DROP $IPT -P FORWARD DROP # Käyttäjäkohtaiset ketjut # Luo käyttäjä ketjut vähentääksesi sääntöjen määrää, joka jokaisen paketin # täytyy kulkea echo "Luo and julkaise räätälöidyt sääntö ketjut..." # Luo ketju suodattaaksesi INVALID paketit $IPT -N huonot_paketit # Luo ketju suodattaaksesi huonot tcp paketit $IPT -N huono_tcp_p # Luo eriliset ketjut icmp,tcp (sisään ja ulos), # ja sisään tuleville udp paketeille $IPT -N icmp_p # Käytetään UDP paketeille jotka tulevat Internetistä $IPT -N udp_sisaan # Käytetään estämään ulospäin UDP palvelut sisäverkosta # Oletuksena kaikki sallitaan $IPT -N udp_ulos # Käytetään sallimaan sisäänpäin tulevat palvelut # jos niin halutaan $IPT -N tcp_sisaan # Käytetään estämään ulospäin UDP palvelut sisäverkosta # Oletuksena kaikki sallitaan $IPT -N tcp_ulos # Julkaise käyttäjän ketjut # huonot_paketit ketju # Pudota INVALID paketit välittömästi $IPT -A huonot_paketit -p ALL -m state --state INVALID -j LOG \ --log-prefix "palo=huonot_paketit:1 a=drop " $IPT -A huonot_paketit -p ALL -m state --state INVALID -j DROP # Tarkista tcp paketit jos niissä olisi vikaa $IPT -A huonot_paketit -p tcp -j huono_tcp_p # Kaikki kunnossa, joten palauta $IPT -A huonot_paketit -p ALL -j RETURN # huono_tcp_p chain # kaikki tcp paketit kulkevat tämän ketjun läpi # Kaikkien uusien yhteysyritysten tulee alkaa SYN paketilla

19 Linux-palomuuri LIITE 1 # jos ei niin se on todennäköisesti porttiskannausta $IPT -A huono_tcp_p -p tcp -i $LOCAL_IFACE -j RETURN $IPT -A huono_tcp_p -p tcp! --syn -m state --state NEW -j LOG \ --log-prefix "palo=huono_tcp_p:1 a=drop " $IPT -A huono_tcp_p -p tcp! --syn -m state --state NEW -j DROP # Kaikki hyvin, joten palaa $IPT -A huono_tcp_p -p tcp -j RETURN # icmp_p ketju # # Tämä ketju on sisään tuleville (internetistä) icmp paketeille ainostaan. # Type 8 (Echp Request) ei ole oletuksena hyväksytty # Salli se jos haluat etäkoneiden mahdollisesti tavoittaa sinut # 11 (Time Exceeded) on ainoa joka on sallittu # Katso: # jos haluat litätietoa ICMP tyypeistä. # ICMP pakettien tulisi mahtua Layer 2 kehykseen, joten niiden ei koskaan # tulisi fragmentoitua. Fragmentoituneet ICMP paketit on tyypillisesti # merkki DoS hyökkäyksestä $IPT -A icmp_p --fragment -p ICMP -j LOG \ --log-prefix "palo=icmp_p:1 a=drop " $IPT -A icmp_p --fragment -p ICMP -j DROP # Poista kommenttimerkko salliaksesi systeemisi pingaamisen # Poista LOG komennon komentti jos haluat kirjoittaa lokiin PING yrityket $IPT -A icmp_p -p ICMP -s 0/0 --icmp-type 8 -j LOG \ --log-prefix "palo=icmp_p:2 a=accept " $IPT -A icmp_p -p ICMP -s 0/0 --icmp-type 8 -j ACCEPT # Time Exceeded $IPT -A icmp_p -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT # Ei täsmää, joten palauta jotta se kirjoitetaan lokiin $IPT -A icmp_p -p ICMP -j RETURN # udp_sisaan ketju # This chain describes the inbound UDP packets it will accept. # It's applied to INPUT on the external or Internet interface. # Note that the stateful settings allow replies. # These rules are for new requests. # It drops netbios packets (windows) immediately without logging. $IPT -A udp_sisaan -p UDP -s 0/0 --destination-port 137 -j DROP $IPT -A udp_sisaan -p UDP -s 0/0 --destination-port 138 -j DROP # Dynaaminen osoite # jos DHCP, aloituspyyntö on broadcast. Vastaus ei täsmää ulosmenevään #pakettiin $IPT -A udp_sisaan -p UDP -s 0/0 --source-port 67 --destination-port 68 \ -j ACCEPT # ei täsmää, joten palauta kirjoitettavaksi lokiin $IPT -A udp_sisaan -p UDP -j RETURN # udp_ulos ketju # Tätä ketju käytetään yksityisverkon kanssa estämäään forwardointi # UDP pyynnöistä tietyillä protokollilla. sovelletaan FORWARD sääntöön

20 Linux-palomuuri LIITE 1 # sisäisestä verkosta # ICQ käyttää UDP 4000 $IPT -A udp_ulos -p UDP -s 0/0 --destination-port j REJECT # Ei täsmää, hyväksy $IPT -A udp_ulos -p UDP -s 0/0 -j ACCEPT # tcp_sisaan ketju # Tätä ketjua käytetään sallimaan sisäänpäin tulevat # TCP yhteydet. käytä varovasti. Oletuksena ei ole mitään. # sshd $IPT -A tcp_sisaan -p TCP -s 0/0 --destination-port 22 -j ACCEPT # Ei täsmää, joten palauta jotta voidaan kirjata lokiin $IPT -A tcp_sisaan -p TCP -j RETURN # tcp_ulos ketju # Tätä ketjua käytetään estämään yksityisverkkoja estämään forwadointi # pyynnöt tiettyihin protokolliin. Sovelletaan FORWARD säännössä sisä # verkkoon. Loppuu ACCEPTilla # Estä IRC $IPT -A tcp_ulos -p TCP -s 0/0 --destination-port 194 -j REJECT # Estä Ulosmenebä Telnet $IPT -A tcp_ulos -p TCP -s 0/0 --destination-port 23 -j REJECT # Estä FTP pääsy # Control $IPT -A tcp_ulos -p TCP -s 0/0 --destination-port 21 -j REJECT # Data $IPT -A tcp_ulos -p TCP -s 0/0 --destination-port 20 -j REJECT # Estä pikaviestintä # AIM $IPT -A tcp_ulos -p TCP -s 0/0 --destination-port j REJECT # AIM Images $IPT -A tcp_ulos -p TCP -s 0/0 --destination-port j REJECT # MSN Messenger $IPT -A tcp_ulos -p TCP -s 0/0 --destination-port j REJECT # Estä sähköposti pääsy ulkoisiin palvelimiin # SMTP $IPT -A tcp_ulos -p TCP -s 0/0 --destination-port 25 -j REJECT # IMAP4 $IPT -A tcp_ulos -p TCP -s 0/0 --destination-port 143 -j REJECT # ei täsmää, joten hyväksy $IPT -A tcp_ulos -p TCP -s 0/0 -j ACCEPT

21 Linux-palomuuri LIITE 1 # INPUT ketju # echo "Käsitellään INPUT ketju..." # Salli kaikki localhost liityntä $IPT -A INPUT -p ALL -i $LO_IFACE -j ACCEPT # Pudota huonot paketit $IPT -A INPUT -p ALL -j huonot_paketit $IPT -A INPUT -p ALL -d j DROP # Säännöt yksityisverkolle $IPT -A INPUT -p ALL -i $LOCAL_IFACE -s $LOCAL_NET -j ACCEPT $IPT -A INPUT -p ALL -i $LOCAL_IFACE -d $LOCAL_BCAST -j ACCEPT # Salli DHCP asiakkaan paketit sisään sisäverkosta $IPT -A INPUT -p UDP -i $LOCAL_IFACE --source-port 68 --destination-port 67 \ -j ACCEPT # Salli Käynnistetyt yhteydet $IPT -A INPUT -p ALL -i $INET_IFACE -m state --state ESTABLISHED,RELATED \ -j ACCEPT # Reitti lopuille sopiville käyttäjäketjuille $IPT -A INPUT -p TCP -i $INET_IFACE -j tcp_sisaan $IPT -A INPUT -p UDP -i $INET_IFACE -j udp_sisaan $IPT -A INPUT -p ICMP -i $INET_IFACE -j icmp_p # Pudota ilman lokkausta broadcastit jotka pääsevät näin pitkälle $IPT -A INPUT -p ALL -d j DROP # Kirjaa lokiin paketit jotka eivät silti täsmää $IPT -A INPUT -j LOG --log-prefix "palo=input:99 a=drop " # FORWARD ketju # echo "Käsitellään FORWARD ketju..." # Käytetään jos forwardoidaan sisäverkkoon # Pudota huonot paketit $IPT -A FORWARD -p ALL -j huonot_paketit # Hyväksy TCP paketit jotka forwardoidaan sisäverkkosta $IPT -A FORWARD -p tcp -i $LOCAL_IFACE -j tcp_ulos # Hyväksy UDP paketit jotka forwardoidaan sisäverkkosta $IPT -A FORWARD -p udp -i $LOCAL_IFACE -j udp_ulos # Jos ei estetty, hyväksy kaikki toiset paketit sisäverkosta $IPT -A FORWARD -p ALL -i $LOCAL_IFACE -j ACCEPT # Käsittele vastaukset Internetistä $IPT -A FORWARD -i $INET_IFACE -m state --state ESTABLISHED,RELATED \ -j ACCEPT # Kirjaa lokiin paketit jotka eivät silti täsmää $IPT -A FORWARD -j LOG --log-prefix "palo=forward:99 a=drop "

22 Linux-palomuuri LIITE 1 # OUTPUT Ketju # echo "Käsitellään OUTPUT ketju..." # Yleisesti luota palomuuriin ulospäin # Kuitenkin, huonot icmp paketit täytyy pudottaa # estämään mahdolliset exploitit $IPT -A OUTPUT -m state -p icmp --state INVALID -j DROP # Localhost $IPT -A OUTPUT -p ALL -s $LO_IP -j ACCEPT $IPT -A OUTPUT -p ALL -o $LO_IFACE -j ACCEPT # Sisäverkkoon $IPT -A OUTPUT -p ALL -s $LOCAL_IP -j ACCEPT $IPT -A OUTPUT -p ALL -o $LOCAL_IFACE -j ACCEPT # Internetiin $IPT -A OUTPUT -p ALL -o $INET_IFACE -j ACCEPT # Kirjaa lokiin paketit jotka eivät silti täsmää $IPT -A OUTPUT -j LOG --log-prefix "palo=output:99 a=drop " # nat taulu echo "Lataa säännöt nat tauluun..." # POSTROUTING ketju $IPT -t nat -A POSTROUTING -o $INET_IFACE -j MASQUERADE # mangle taulu echo "Lataa säännöt mangle tauluun..."

23 Linux-palomuuri LIITE 2 Chain INPUT (policy DROP) target prot opt source destination ACCEPT all -- anywhere anywhere huonot_paketit all -- anywhere anywhere DROP all -- anywhere ALL-SYSTEMS.MCAST.NET ACCEPT all /24 anywhere ACCEPT all -- anywhere ACCEPT udp -- anywhere anywhere udp spt:bootpc dpt:bootps ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED tcp_sisaan tcp -- anywhere anywhere udp_sisaan udp -- anywhere anywhere icmp_p icmp -- anywhere anywhere DROP all -- anywhere LOG all -- anywhere anywhere LOG level warning prefix `palo=input:99 a=drop ' Chain FORWARD (policy DROP) target prot opt source destination huonot_paketit all -- anywhere anywhere tcp_ulos tcp -- anywhere anywhere udp_ulos udp -- anywhere anywhere ACCEPT all -- anywhere anywhere ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED LOG all -- anywhere anywhere LOG level warning prefix `palo=forward:99 a=drop ' Chain OUTPUT (policy DROP) target prot opt source destination DROP icmp -- anywhere anywhere state INVALID ACCEPT all -- localhost.localdomain anywhere ACCEPT all -- anywhere anywhere ACCEPT all anywhere ACCEPT all -- anywhere anywhere ACCEPT all -- anywhere anywhere LOG all -- anywhere anywhere LOG level warning prefix `palo=output:99 a=drop ' Chain huono_tcp_p (1 references) target prot opt source destination RETURN tcp -- anywhere anywhere LOG tcp -- anywhere anywhere tcp flags:!syn,rst,ack/syn state NEW LOG level warning prefix `palo=huono_tcp_p:1 a=drop ' DROP tcp -- anywhere anywhere tcp flags:!syn,rst,ack/syn state NEW

24 Linux-palomuuri LIITE 2 RETURN tcp -- anywhere anywhere Chain huonot_paketit (2 references) target prot opt source destination LOG all -- anywhere anywhere state INVALID LOG level warning prefix `palo=huonot_paketit:1 a=drop ' DROP all -- anywhere anywhere state INVALID huono_tcp_p tcp -- anywhere anywhere RETURN all -- anywhere anywhere Chain icmp_p (1 references) target prot opt source destination LOG icmp -f anywhere anywhere LOG level warning prefix `palo=icmp_p:1 a=drop ' DROP icmp -f anywhere anywhere LOG icmp -- anywhere anywhere icmp echo-request LOG level warning prefix `palo=icmp_p:2 a=accept ' ACCEPT icmp -- anywhere anywhere icmp echo-request ACCEPT icmp -- anywhere anywhere icmp time-exceeded RETURN icmp -- anywhere anywhere Chain tcp_sisaan (1 references) target prot opt source destination ACCEPT tcp -- anywhere anywhere tcp dpt:ssh RETURN tcp -- anywhere anywhere Chain tcp_ulos (1 references) target prot opt source destination REJECT tcp -- anywhere anywhere tcp dpt:irc reject-with icmp-port-unreachable REJECT tcp -- anywhere anywhere tcp dpt:telnet reject-with icmp-port-unreachable REJECT tcp -- anywhere anywhere tcp dpt:ftp reject-with icmp-port-unreachable REJECT tcp -- anywhere anywhere tcp dpt:ftp-data reject-with icmp-port-unreachable REJECT tcp -- anywhere anywhere tcp dpt:5190 reject-with icmp-port-unreachable REJECT tcp -- anywhere anywhere tcp dpt:4443 reject-with icmp-port-unreachable REJECT tcp -- anywhere anywhere tcp dpt:1863 reject-with icmp-port-unreachable REJECT tcp -- anywhere anywhere tcp dpt:smtp reject-with icmp-port-unreachable REJECT tcp -- anywhere anywhere tcp dpt:imap reject-with icmp-port-unreachable ACCEPT tcp -- anywhere anywhere Chain udp_sisaan (1 references) target prot opt source destination DROP udp -- anywhere anywhere udp dpt:netbios-ns

25 Linux-palomuuri LIITE 2 DROP udp -- anywhere anywhere udp dpt:netbios-dgm ACCEPT udp -- anywhere anywhere udp spt:bootps dpt:bootpc RETURN udp -- anywhere anywhere Chain udp_ulos (1 references) target prot opt source destination REJECT udp -- anywhere anywhere udp dpt:4000 reject-with icmp-port-unreachable ACCEPT udp -- anywhere anywhere

26 Linux-palomuuri LIITE 3 eth0 eth1 lo Link encap:ethernet HWaddr 00:04:E2:3D:73:65 inet addr: Bcast: Mask: UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets: errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors: dropped:0 overruns:0 carrier: collisions:0 txqueuelen:100 RX bytes: ( Mb) TX bytes:0 (0.0 b) Interrupt:9 Base address:0xf000 Link encap:ethernet HWaddr 00:04:E2:3D:79:31 inet addr: Bcast: Mask: UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets: errors:0 dropped:0 overruns:0 frame:0 TX packets: errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:100 RX bytes: (119.7 Mb) TX bytes: ( Mb) Interrupt:10 Base address:0x4000 Link encap:local Loopback inet addr: Mask: UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:2104 errors:0 dropped:0 overruns:0 frame:0 TX packets:2104 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes: (136.2 Kb) TX bytes: (136.2 Kb)