Statefull Firewall for Virtlab System

(1)

Katedra informatiky

Nasazen´ı stavov ´eho filtru s´ıt’ov ´eho

provozu pro syst ´em Virtlab

Statefull Firewall for Virtlab System

(2)

(3)

(4)

dován´ı nástroje iptables a jeho moˇzn ých grafick ých a programov ých rozˇs´ıˇren´ı. V práci jsou shrnuty poznatky z´ıskanné pˇri této ˇcinnost a v ýsledeky z n´ı plynouc´ı.

Kl´ıˇcov á slova: Virtlab, paketov ý filtr, stavov ý paketov ý filtr, netfilter, iptables, linux

Abstract

The goal of this thesis is to create a state packet filter for the needs of the Virtlab and also conduct research of the iptables tool and its user intrface and programmatic extensions. In the paper, there are summarized the information gained during the research and its results.

(5)

Obsah

1 Uvod´ 4

2 Vysvˇetlen´ı pojmu firewall 5

3 Typy firewallu 6

3.1 Paketov ´y filtry . . . 6

3.2 Aplikaˇcn´ı br´ana . . . 6

3.3 Stavov ´y paketov ´y filtr . . . 6

3.4 Stavov ´y paketov ´y filtry s kontrolou protokol ˚u a IDS . . . 7

4 Netfilter/iptables 8 4.1 Tabulky iptables . . . 8

4.2 ˇRetˇezce iptables . . . 8

4.3 Tvorba vlastn´ıch ˇretezc ˚u . . . 9

4.4 Typy akc´ı firewallu . . . 9

4.5 Match extension . . . 9

4.6 Network Address Translation . . . 10

5 Ostatn´ı n´astroje pro spr´avu iptables 11 5.1 FwBuilder . . . 11

5.2 Guarddog . . . 13

6 Virtual Network Lab 14 6.1 Obecn´e informace o Virtual Network Lab . . . 14

6.2 Popis server ˚u s´ıtˇe Virtlab . . . 15

6.3 Virtlab - s´ıt’ov´a komunikace . . . 17

7 Stavov ´y firewall pro potˇreby Virtlab 18 7.1 popis jednotliv ´ych pravidel ve scriptu firewallu . . . 18

7.2 Kompletn´ı script pro vytvoˇren´ı firewallu . . . 23

8 Z´avˇer 36

(6)

Seznam obr ´azk ˚u

1 GUI-Firewall builder . . . 11 2 Fwbuilder-z´akladn´ı nastaven´ı . . . 12 3 GUI-Guarddog . . . 13

(7)

Seznam v ýpis ˚u zdrojov ého k ódu

1 Snytaxe pravidel v ip tables . . . 9

2 Nastaven´ı z´akladn´ıch parametr ˚u . . . 18

3 Nastaven´ı z´akladn´ıch parametr ˚u . . . 18

4 Nastaven´ı politik firewallu . . . 19

5 ˇretˇezec pro zpr´avu logov´an´ı . . . 19

6 ˇretˇezec pro ochranu proti spoofingu . . . 20

7 ˇretˇezec povoluj´ıc´ı porty pro vybran´e protokoly . . . 20

8 ˇretˇezec povoluj´ıc´ı porty pro potˇreby s´ıtˇe Virtlab . . . 20

9 ˇretˇezec povoluj´ıc´ı porty pro IPsec . . . 21

10 ˇretˇezec povoluj´ıc´ı porty pro m´enˇe uˇz´ıvan´e protokoly . . . 21

11 Ochrana proti AUTH protokolu . . . 22

12 Omezen´ı typ ˚u ICMP zpr´av . . . 22

13 Povolen´ı provozu na virtualn´ım rozhran´ı syst´emu . . . 22

14 Povolen´ı broadcastu z vnitˇrn´ı s´ıtˇe . . . 22

15 Povolen´ı broadcastu z vnitˇrn´ı s´ıtˇe . . . 23

16 Zahozen´ı veˇsker´eho nevyhovuj´ıc´ıho provozu . . . 23

(8)

1 Uvod

´

C´ılem této práce bylo vytvoˇren´ı firewallu, pomoc´ı linuxového programu IPTABLES. Teno firewall by mˇel b ýt nasazen v prostˇred´ı virtuáln´ı s´ıt’ové laboratoˇre, provozované VˇSB-TUO naz ývanou VirtLab. V tomto pˇr´ıpadˇe by se mˇelo jednat o stavov ý firewall na vnˇejˇs´ım rozhran´ı s´ıtˇe VirtLab.

(9)

2 Vysv ˇetlen´ı pojmu firewall

Firewall je s´ıt’ov ý prvek, kter ý slouˇz´ı k zabezpeˇcován´ı s´ıt’ového provozu mezi s´ıtˇemi a klienty s r ˚uznou úrovn´ı d ˚uvˇeryhodnosti a zabezpeˇcen´ım. Firewall lze také popsat jako kontroln´ı bod v s´ıti, kter ým procházej´ı pakety a jsou zde definována pravidla pro komu-nikaci mezi s´ıtˇemi, které jsou j´ım od sebe oddˇeleny. Dˇr´ıve k tvorbˇe tˇechto pravidel plnˇe dostaˇcovala znalost c´ılové a zdrojové ip adresy a portu, na kterém se komunikovalo.

V dneˇsn´ı dobˇe se vyuˇz´ıvá kromˇe tˇechto informac´ı, také informac´ı o stavu spojen´ı, znalost kontrolovan ých paket ˚u a pˇr´ıpadnˇe prvky Intrusion Detection System (Systém detekce pr ˚uniku)

Typy firewallu: • Paketov ý filtry • Aplikaˇcn´ı br ány • Stavové paketové filtry

(10)

3 Typy firewallu

3.1 Paketov ´y filtry

Jednou z nejjednoduˇsˇs´ıch a nejstarˇs´ıch pouˇz´ıvan ých moˇznost´ı nastaven´ı firewallu, je pa-ketov ý filtr, kde jsou jednotlivé pakety tˇr´ızeny podle ip adresy a portu zdroje a c´ıle, tato kontrola se provád´ı na tˇret´ı a ˇctvrté vrstvˇe ISO-OSI modelu. U tohoto typu firewallu se vˇsak vyskytuje nebezpeˇc´ı, u sloˇzitˇejˇs´ıch protokol ˚u jako napˇr´ıklad FTP. Jelikoˇz v tomto nastaven´ınen´ı v ˚ubec kontrolován obsah pˇrenáˇsen ých paket ˚u, mohou nekteré protokoly otevˇr´ıt námi nepˇredpokládané porty a smˇery, které mohou b ýt vyuˇzity pro nás neˇzádan ými protokoly.

Navzdory tˇemto nev ýhodám je tento firewall d´ıky své jednoduchosti, dosahovat u tohoto ˇreˇsen´ı vysoké rychlosti kontroly paket ˚u. Proto je toto ˇreˇsen´ı pouˇz´ıváno v m´ıstech, kde nen´ı vyˇzadována dukladná kontrola provozu a je kladen d ˚uraz na vysokou rychlost pr ˚uchodu velkého objemu dat pˇrez firewall.

Mezi pˇredstavitele paketov ých filtr ˚u patˇr´ı access listy dále jen ACL, které jsou vyuˇz´ıvány v systémech IOS nebo JunOS, nebo také napˇr´ıklad ipchains.

3.2 Aplika ˇcn´ı br ´ana

Tento typ firewallu oproti pˇredchoz´ımu modelu plnˇe oddˇeluje s´ıtˇe, mezi kter ými je vy-budován. Cel ý tento model funguje na principu klient-server, kde se ze zdrojové adresy iniciátora spojen´ı odeˇslou data na aplikaˇcn´ı bránu, nˇekdy také naz ývanou proxy firewall, kter ým je spracována a na základˇe poˇzadavku klienta, je vytvoˇreno nové spojen´ı na c´ılov ý server. Data která pak firewall obdrˇz´ı od c´ılového serveru, opˇet stejn ým zp ˚usobem pˇredá zpˇet klientovi. Cel ý tento proces se provád´ı na sedmé aplikaˇcn´ı vrstvˇe OSI modelu, odtud také název aplikaˇcn´ı brána. Vyuˇz´ıván´ı tohoto modelu má pak za následek to, ˇze klient nevid´ı pˇr´ımo adresu c´ılového serveru, ale vnˇejˇs´ı adresu aplikaˇcn´ı brány, z ˇcehoˇz plyne ˇze na aplikaˇcn´ı bránˇe dochaz´ı k pˇrekladu adres (NAT).

Nev ýhodou tohoto typu firewallu je jeho vysoká nároˇcnost na hardware, z které se odv´ıj´ı ˇrádovˇe vyˇsˇs´ı ˇcasová nároˇcnost na zpracován´ı paketu, a taky vyˇsˇs´ı latence neˇz u paketového filtru. Pro kaˇzd ý pouˇzit ý protokol je nutné napsán´ı speciáln´ı proxy, proto je také omezen´ı v poˇctu kontrolovan ých protokol ˚u. Mezi v ýhody naopak patˇr´ı vyˇsˇs´ı za-bezpeˇcen´ı sloˇzitˇejˇs´ıch protokol ˚u, a také kompletn´ı oddˇelen´ı jednotliv ých s´ıt’´ı.

3.3 Stavov ´y paketov ´y filtr

Stavov ý paketov ý filtr je vylepˇsenou verz´ı bˇeˇzného paketového filtru. Docház´ı v nˇem k jednoduché kontrole pˇr´ıchoz´ıch paket ˚u, na základˇe pravidel vztahuj´ıc´ıch se na ip adresy a po rty. Na rozd´ıl od klasického paketového filtru, se zde ukládaj´ı také informace o povolen ých spojen´ıch a ty jsou pak vyuˇz´ıvány pˇri rozhodovac´ım procesu firewallu. D´ıky tomuto je stavov ý paketov ý filter schopen zjiˇst’ovat, zda právˇe procházej´ıc´ı paket patˇr´ı do jiˇz otevˇreného spojen´ı, nebo zda mus´ı znovu proj´ıt rozhodovac´ım procesem fi-rewallu, t´ımto se velmi zrychluje zpracován´ı paketu, a také velmi zjednoduˇsuje

(11)

konfigu-raci paketového filtru, protoˇze jiˇz do pravidel nen´ı nutno nastavovat akci pro odpovˇedn´ı smˇer komunikace, ten je vytvoˇren automaticky. Napˇr´ıklad u protokolu FTP je tˇreba na-stavit pouze povolen´ı odchoz´ıho smˇeru a komunikace na portu 21, která je standartnˇe vyuˇz´ıvána pro komunikace u protokolu FTP. Odpovedn´ı smˇer na portu 21 je povolen automaticky, zárove ˇn je rovnˇeˇz povolena komunikace na portu 22, kter ý je pouˇz´ıván pro odes´ılán´ı soubor ˚u pomoc´ı protokolu FTP.

Mezi v ýhody tohoto typu firewallu patˇr´ı kromˇe vysoké rychlosti zpracován´ı paketu, coˇz je dáno jednak relativn´ı jednoduchost´ı paketového filtru a taky vyuˇzit´ım uloˇzen ých informac´ı o otevˇren ých spojen´ıch. Dalˇs´ı v ýhodou je snadnˇejˇs´ı konfigurace oproti pˇredeˇsl ým firewall ˚um, z d ˚uvodu odpadaj´ıc´ı nutnosti konfigurace pravidel pro odpovˇedn´ı smˇery, t´ım pádem i niˇzˇs´ı náchylnost k chybˇem pˇri pravidelné údrˇzbˇe.

Pˇr´ıkladem puˇzit´ı stavov ´ych paketov ´ych filtr ˚u je napˇr´ıklad Cisco IOS firewall nebo v prostˇred´ı linuxu program iptables.

3.4 Stavov ´y paketov ´y filtry s kontrolou protokol ˚u a IDS

[?] U tˇechto typ ˚u firewallu docház´ı kromˇe kontroly paketu na základˇe uˇzivatelem vy-tvoˇren ých pravidel a d´ıky conection trackingu také kontrole sloˇzitˇejˇs´ıch dobˇre znám ých protolo ˚u, jako napˇr´ıklad FTP, tak predevˇs´ım pˇrináˇs´ı oproti pˇredchoz ým variantám IDS (Deep Inspection nebo Application Intelligence podle v ýrobce firewallu), které umoˇzouje kontrolovat procházej´ıc´ı spojen´ı aˇz na úrove ˇn korektnosti procházej´ıc´ıch dat znám ých protokol ˚u i aplikac´ı. Mohou tak napˇr´ıklad zakázat pr ˚uchod http spojen´ı, v nˇemˇz ob-jev´ı indikátory, ˇze se nejedná o poˇzadavek na WWW server, ale tunelován´ı jiného pro-tokolu, coˇz ˇcasto vyuˇz´ıvaj´ı klienti P2P s´ıt´ı (ICQ, gnutella, napster, apod.), nebo kdyˇz data v hlaviˇcce e-mailu nespl ˇnuj´ı poˇzadavky RFC apod.

Nejnovˇeji se do firewall ˚u integruj´ı tzv. in-line IDS (Intrusion Detection Systems – systémy pro detekci útok ˚u). Tyto systémy pracuj´ı podobnˇe jako antiviry a pomoc´ı da-tabáze signatur a heuristické anal ýzy jsou schopny odhalit vzorce útok ˚u i ve zdánlivˇe nesouvisej´ıc´ıch pokusech o spojen´ı, napˇr. skenován´ı adresn´ıho rozsahu, rozsahu port ˚u, známé signatury útok ˚u uvnitˇr povolen ých spojen´ı apod.

V ýhodou tˇechto systém ˚u je vysoká úrove ˇn bezpeˇcnosti kontroly procházej´ıc´ıch pro-tokol ˚u pˇri zachován´ı relativnˇe snadné konfigurace, pomˇernˇe vysoká rychlost kontroly ve srovnán´ı s aplikaˇcn´ımi branami, nicménˇe je znát v ýznamné zpomalen´ı (zhruba o tˇretinu aˇz polovinu) proti stavov ým paketov ým filtr ˚um.

Nev ýhodou je zejména to, ˇze z hlediska bezpeˇcnosti designu je základn´ım pravidlem bezpeˇcnosti udrˇzovat bezpeˇcnostn´ı systémy co nejjednoduˇsˇs´ı a nejmenˇs´ı. Tyto typy fi-rewall ˚u integruj´ı obrovské mnoˇzstv´ı funkcionality a zvyˇsuj´ı tak pravdˇepodobnost, ˇze v nˇekteré ˇcásti jejich k ódu bude zneuˇzitelná chyba, která povede ke kompromitován´ı celého systému.

(12)

4 Netfilter/iptables

Iptables je linuxov ý program, kter ý slouˇz´ı v pˇr´ıkazovém ˇrádku pro ovládán´ı ˇcásti li-nuxového jádra Netfilter, kter ý se stará o vˇsechna pˇr´ıchoz´ı, odchoz´ı i procházej´ıc´ı spo-jen´ı, jin ými slovy se pomoc´ı iptables se tvoˇr´ı pravidla pro stavov ý firewall, obsaˇzen ý ve vˇetˇsinˇe systém ˚u zaloˇzen ých na linuxu. Nástroj iptables je pouˇz´ıván od verze jádra 2.4, kde nahradil v predchoz´ıch verz´ıch obsaˇzen ý ipchains a ipfwadm. Iptables manipuluje s Xtables, které následnˇe obsahuj´ı ˇretˇezce v nichˇz jsou jednotlivá pravidla pro paketov ý filtr.

4.1 Tabulky iptables

Iptables se skládaj´ı ze 4 základn´ıch tabulek, které následnˇe obsahuj´ı jednotlivé ˇretˇezce. Typy tabulek firewallu

• FILTER Implicitnˇe je nastavena tato tabulka. Tabulka obsahuje ˇretˇezce INPUT, OUT-PUT a FORWARD

• NAT Tabulka obsahuje ˇretˇezce POSTROUTING a PREROUTING. V této tabulce docház´ı k modifikaci paketu neboli NAT, které jiˇz proˇsli routovac´ı tabulkou. • MANGLE Obsahuje tyto tabulky INPUT, OUTPUT, FORWARD, PREROUTING

a POSTROUTING. Nach´azej´ı se v n´ı sady pravidel pro ´upravu hlaviˇcky paketu, napˇr´ıklad manipulace s TTL, TOS flagy.

• RAW ˇretˇezce PREROUTING, OUTPUT. Tato tabulka pˇreváˇznˇe obsahuje pravidla aplikovaná na spojen´ı, kteˇré nechceme zanáˇset do seznamu conntrack, tato tabulka je volána jeˇstˇe pˇred zápisem spojen´ı do tohoto seznamu.

4.2 Ret ˇezce iptablesˇ

ˇretˇezce v iptables jsou uspoˇrádané soubory jednotliv ých pravidel. U základn´ıch pˇredem definovan ých ˇretˇezc ˚u, napˇr´ıklad v tabulce FILTER jsou to OUTPUT, INPUT a FORWARD se nav´ıc definuj´ı jeˇstˇe politiky, coˇz jsou pravidla plat´ıc´ı obecnˇe pro cel ý ˇretˇezec a pouˇz´ıvaj´ı se jako v ýchoz´ı pravidlo pokud paket nevyhovuje ˇzádnému pravidlu v ˇretˇezci.

ˇretˇezec INPUT - t´ımto ˇretˇezcem procházej´ı vˇsechny pakety, které maj´ı v hlaviˇcce pa-ketu jako c´ılovou adresu zapsánu ip adresu serveru na kterém je firewall spuˇstˇen a nen´ı t´ımto strojem routován dále.

ˇretˇezec OUTPUT - do tohoto ˇretˇezce spadaj´ı pravidla ovliv ˇnuj´ıc´ı pakety v jejichˇz hlaviˇcce je zdrojová adresa shodná s adresou námi provozovaného stroje, takˇze t´ımto ˇretˇezcem procházej´ı vˇsechny odchoz´ı spojen´ı.

ˇretˇezec FORWARD - v tomot ˇretˇezci jsou obsaˇzena pravidla zab´ıvaj´ıc´ı se pakety, které pˇrez prvek na nˇemˇz je paketov ý filtr provozován pouze procházej´ı, neboli je t´ımto s´ıt’ov ým prvkem pouze routován dále do s´ıtˇe, takˇze je o nˇem záznam v routovac´ı tabulce.

(13)

4.3 Tvorba vlastn´ıch ˇretezc ˚u

Iptables poskytuje i moˇznost vytváˇren´ı vlastn´ıch ˇretˇezc ˚u. Tato moˇznost napomáhá k lepˇs´ı ˇskálovatelnosti a pˇrehlednosti navrhovaného firewallu. Mimo tyto v ýhody také velmi ulehˇcuje hardwaru firewallu, to z toho d ˚uvodu ˇze pravidla v jednotliv´ıch ˇretˇezc´ıch jsou kontrolována sekvenˇcnˇe, proto ˇc´ım ménˇe pravidel je v ˇretˇezci, tim je zpracován´ı to-hoto ˇretˇezce rychlejˇs´ı. U vetˇs´ıho moˇzstv´ı pravidel v jednom ˇretˇezci, pˇr´ıpadném ˇspatném uspoˇrádán´ı pravidel v ˇretˇezci ( velmi frekventovaná pravidla jsou uvedena mezi po-sledn´ımi a proto je nutné proj´ıt i mˇenˇe pouˇz´ıvaná pravidla, která jsou uvedena pˇred nimi) zatˇeˇzuje ne ˚umˇern ým zp ˚usobem hardware a m ˚uˇze m´ıt za následek sn´ıˇzen´ı propustnosti datového toku. S vyuˇzit´ım vlastn´ıch ˇretˇezc ˚u lze tuto vlastnost omezit, t´ım ˇze série pravi-del pro jednotlivé situace um´ıst’´ıme do samostatn ých ˇretˇezc ˚u, na které se pak odkazujeme pravidly z jednoho z defaultn´ıch ˇretˇezc ˚u jako INPUT, OUTPU, FORWARD atd., ˇc´ımˇz se rapidnˇe sn´ıˇz´ı poˇcet kontrolovan ých pravidel.

4.4 Typy akc´ı firewallu

Snytaxe pravidel v ip tables:

iptables [tabulka] [akce] [retezec] [ ip cst ] [match] [ cl ] [ cl info ]

V ´ypis 1: Snytaxe pravidel v ip tables

Pokud tedy paket vyhovuje pravidlu ve správné tabulce a ˇretˇezci, je moˇzno zjiˇst’ovat zda paket vyhovuje dalˇs´ım informac´ım obsaˇzen ým v hlaviˇcce kaˇzdého paketu, jako jsou napˇr´ıklad zdrojová,c´ıová adresa nebo zdrojov ý,c´ılov ý port pˇr´ıpadnˇe s´ıt’ové rozhran´ı zaˇr´ızen´ı.

Pokud tˇemto parametr ˚um paket nevyhovuje postupuje tento paket k dalˇs´ımu pravi-dlu v ˇretˇezci, pˇripadnˇe pokud jiˇz ˇzádné dalˇs´ı pravidlo nen´ı je na nˇej aplikována politika daného ˇretˇezce, v opaˇcném pˇr´ıpadˇe je toto pravidla na paket aplikováno a vykoná akci zadanou tv ˚urcem firewallu. Tˇechto akc´ı je nˇekolik:

• ACCEPT Paket je propuˇstˇen skrze firewall. • DROP Prost´e zahozen´ı paketu.

• REJECT Zahozen´ı paketu, s t´ım rozd´ılem, ˇze zpˇet na zdrojovou adresu, ze které paket priˇsel, je odeslána ICMP zpráva o zahozen´ı tohoto paketu.

• LOG Pˇri této akci dochaz´ı k tomu, ˇze paket po vykonán´ı tohoto pravidla neopust´ı fi-rewall jako u pˇredchoz´ıch akc´ı, ale pokraˇcuje dále v procházen´ı ˇretˇezce. Toto pravi-dlo bylo dodáno do pozdˇejˇs´ı verze kernelu. Pˇri této akci je do bˇeˇzného logu systému zapsána hlaviˇcka kontrolovaného paketu.

4.5 Match extension

Pro lepˇs´ı specifikaci jednotliv ých pravidel se vyuˇz´ıvá rozˇs´ıˇren ých moˇznost´ı iptables, které je moˇzno zapnou v jádru systému. Tˇechto modul ˚u je pomˇernˇe velké mnoˇzstv´ı, mezi ˇcasto

(14)

pouˇz´ıvané patˇr´ı napˇr´ıklad rozˇs´ıˇren´ı limity, které lze pouˇz´ıt k omezen´ı poˇctu vytvoˇren ých spojen´ı, nebo napˇr´ıklad poˇcetu zápis ˚u do logu za urˇcit ý ˇcasov ý úsek. V tomto pˇr´ıpadˇe pokud je shodn ých zápis ˚u v´ıce, lze i urˇcit poˇcet zápis ˚u z vytvoˇreného spojen´ı.

Mezi dalˇs´ı rozˇs´ıˇren´ı patˇr´ı platnost pravidla pouze po urˇcit ý ˇcasov ý úsek. Dalˇs´ım pod-statn ým modulem, kter ý pˇreváˇznˇe odliˇsuje iptables od jeho pˇredch ˚udce ipchain, je mo-dul tvoˇr´ıc´ı z iptables stavov ý firewall, kde m ˚uˇzeme urˇcit stav paket ˚u, jako NEW, REA-LETED, FIN, INVALID, které bude pravidlo vyuˇz´ıvat pˇri rozhodován´ı aplikaˇcn´ıho filtru.

Jako dalˇs´ı pˇr´ıklad rozˇs´ıˇren´ı lze uvést modul accont, kter ý nám umoˇzouje zaznamenáván´ı trafficu na s´ıt’ovém rozhran´ı firewallu, d´ıky následn ým úpravám lze z´ıskaná data pouˇz´ıt k vytvoˇren´ı grufu zátˇeˇze firewallu.

4.6 Network Address Translation

Network Address Translation neboli NAT se pouˇz´ıvá pˇri potˇrebˇe routru upravovat hlaviˇcky paket ˚u, které j´ım procház´ı. Tento proces se v iptables odehrává v tabulce NAT v ˇretˇezc´ıch PREROUTING kde se provád´ı DNAT neboli zmˇeny c´ılové adresy ˇci portu pˇr´ıpadnˇe pˇresmˇerován´ı na jinn ý port.

Obdobnˇe je tomu u SNAT, kter ý je provozován v tabulce NAT v ˇretˇezci POSTROU-TING a podobnˇe jako v pˇredchoz´ım pˇr´ıpadˇe zde docház´ı k modifikaci zdrojové ipadres a port ˚u paketu.

Technika NAT se v dneˇsn´ı dobˇe zaˇc´ınaj´ıc´ıho nedostatku voln ých, veˇrejn ých ip adres pouˇz´ıvá k takzvané maˇskarádˇe, kde je za routrem v´ıce adres a pomoc´ı NAT jsou pak hlaviˇcky paket ˚u upravovány tak, aby se vˇsechny adresy navenek z internetu jevily jako jedna veˇrejná adresa. Toto nastaven´ı pˇrináˇs´ı v ýznamnou úsporu ip adres, avˇsak nese se-bou jak zv ýˇsené nároky na hardware routru, tak také problémy urˇcit ých aplikac´ı pˇri ko-munikaci s vnˇejˇs´ı s´ıt´ı.

(15)

5 Ostatn´ı n ´astroje pro spr ´avu iptables

5.1 FwBuilder

FwBuilder je graficko uˇzivatelské rozhran´ı generuj´ıc´ı skripty pro tvorbu firewallu nad iptables. Kromˇe pravidel pro firewall má tento program ve své funkcionalitˇe také obsaˇzenu správu routovac´ıch a NATovac´ıch pravidel. Tento software je ˇs´ıˇren pod licenc´ı GNU/-GPL, takˇze je k dostán´ı zdarma.

Je obsaˇzen v bal´ıˇckovac´ıch systémech vˇetˇsiny bˇeˇzn ých distribuc´ı systému Linux. Kromˇe Linuxu lze toto GUI provozovat jak na systému, Windows tak také na OS X, OpenBSD, FreeBSD d´ıky této univerzálnosti je hojnˇe vyuˇz´ıván a usnad ˇnuje pˇrenáˇsen´ı nastaven´ı mezi tˇemito systémy, pomoc´ı funkce import/export.

V ýhodou Firewall Builderu je relativn´ı pˇrehlednost jednotliv ých pravidel firewallu. Kromˇe této v ýhody poskytuje tento program také automatické dopl ˇnován´ı reverzn´ıch pravidel v paketovém filtru, tato schopnost se hod´ı hlavnˇe v pˇr´ıpadech, kdy je z nˇejakého d ˚uvodu vypnut connection tracking.

Také odpadá nutná znalost jednotliv ých, dobˇre znám ých port ˚u pro pouˇzité protokoly, tyto porty jsou jiˇz v programu obsaˇzeny a slovnˇe popsány, z ˇcehoˇz plyne zjednoduˇsˇsen´ı konfigurace a pravidelné ˚udrˇzby firewallu a tud´ıˇz niˇzˇs´ı náchylnost ke vzniku chyby v d ˚usledku lidského faktoru.

(16)

5.1.1 Postup tvorby firewallu ve fwbuildru

Jednou z prvn´ıch vˇec´ı pˇri tvorbˇe nového firewallu v prostˇred´ı fwbuildru, je nutnost v ýbˇeru softwaru na kterém firewall pobˇeˇz´ı, na v ýbˇer je velké mnoˇzstv´ı softwaru od Cisco IOS ACL, pˇrez starˇs´ı ipfilter aˇz po novˇejˇs´ı iptables. Dalˇs´ım krokem je v ýbˇer operaˇcn´ıho systému na kterém firewall bˇeˇz´ı. Na v ýbˇer jsou nejr ˚uznˇejˇs´ı OS jako tˇreba klasické Win-dows pak také Linux, ale i ménˇe známé jako HP ProCurve nebo Sveasoft.

Následuj´ıc´ım krokem a zárove ˇn velk ý ulehˇcen´ım pro zaˇc´ınaj´ıc´ı administratory je moˇznost v ýbˇeru templatu, kde je na v ýbˇer z nˇekolika nejˇcastˇeji se vyskytuj´ıc´ıch konfigurac´ı, pro které jsou pˇripravena jednotlivá základn´ı pravidla jako napˇr´ıklad antispoof pravidla atd.

Obr´azek 2: Fwbuilder-z´akladn´ı nastaven´ı

Po nastaven´ı základn´ıch hodnot se jiˇz m ˚uˇzeme pˇrej´ıt k tvorbˇe jednoliv ých pravidel fi-rewallu. K pomoci pˇri tvorbˇe pravidel slouˇz´ı systém knihoven ve kter ých jsou uspoˇrádány jednotlivé sluˇzby funguj´ıc´ı na dobˇreznám ých portech, tak také rozsahy ip adress zaregis-trované spoleˇcenstv´ım IANA pro v ýhradn´ı pouˇzit´ı jako domác´ı s´ıtˇe a jiné. Sami uˇzivatelé si mohou tvoˇrit vlastn´ı knihovny, které se daj´ı pˇrenáˇset mezi jednotlivimy systémy. Po vy-tvoˇren´ı sady pravidel firewallu se m ˚uˇze pˇrej´ıt ke kompilaci pravidel a vyvy-tvoˇren´ı skriptu, kter ý se podle zvoleného softwaru a operaˇcn´ıho systému m ˚uˇze pouˇz´ıt na daném stroji. U kompilace lze v nastaven´ı také zapnout debuging ke snadnˇejˇs´ımu odhalován´ı chyb. FWbuilder obsahuje i nástroj k automatickému zaveden´ı zkompilovaného souboru na zvolen ý server, kter ý je pˇripojen ý k s´ıti.

(17)

5.2 Guarddog

Software 2.4 a 2.6 jádru a je ˇs´ıˇreno pod licenc´ı GNU/GPL a tud´ıˇz zdarma. V ýhodou to-hoto GUI je velké mnoˇzstv´ı pˇrednastaven ých vzor ˚u, které pak m ˚uˇze i ménˇe zkuˇsen ý uˇzivatel upravit a vytvoˇrit dobˇre funguj´ıc´ı firewall. Dalˇs´ı v ýhodou tohoto softwaru je moˇznost importu/exportu vytvoˇreného nastaven´ı a mezi dalˇs´ı v ýhody patˇr´ı kvalitn´ı technická dokumentace od tv ˚urc ˚u aplikace.

(18)

6 Virtual Network Lab

6.1 Obecn ´e informace o Virtual Network Lab

[?] Smyslem projektu Virtlab je zpˇr´ıstupnit laboratorn´ı prvky pro praktickou v ýuku poˇc´ıtaˇcov ých s´ıt´ı vzdálenˇe prostˇrednictv´ım Internetu. Studenti si mohou pomoc´ı WWW rozhran´ı

re-zervovat laboratorn´ı prvky na urˇcit ý ˇcasov ý interval a následnˇe k nim pˇristupovat po-moc´ı bˇeˇzného WWW prohl´ıˇzeˇce s podporou Java applet ˚u. Propojen´ı laboratorn´ıch prvk ˚u se uskuteˇcn´ı automaticky podle v ýbˇeru konkrétn´ı úlohy ze souboru nab´ızen ých labora-torn´ıch úloh, nebo si student m ˚uˇze zadat svou vlastn´ı topologii. Systém nyn´ı dovoluje spolupráci v´ıce lokalit vzájemnˇe sd´ılej´ıc´ıch s´ıt’ové prvky a realizaci virtuáln´ıch s´ıt’ov ých topologi´ı pˇres Internet. Fyzické s´ıt’ové prvky nutné pro vytvoˇren´ı studentem vybrané topologie jsou v dobˇe rezervace vyhledávány dynamicky ve vˇsech lokalitách.

6.1.1 Historie vzniku Virtlab

[?] Myˇslenka virtuáln´ı laboratoˇre se vyvinula z potˇreby poskytnout moˇznost ˇreˇsen´ı prak-tick ých laboratorn´ıch úloh student ˚um kombinovaného studia a také zpˇr´ıstupnit jinak ménˇe vyuˇzité a ˇcasto nákladné laboratorn´ı s´ıt’ové prvky pro samostatnou práci v ˇcasech mimo v ýuku.

Jej´ı vznik inicioval Petr Grygárek a postupnˇe ji realizuje s pomoc´ı diplomant ˚u, zejména inˇzen ýrského studia, na katedˇre informatiky. Základn´ı koncepce systému byla definována v roce 2005 v diplomové práci Pavla Nˇemce, kter ý implementoval i základn´ı prototyp aplikace. O rok pozdˇeji prototyp rozˇs´ıˇril formou diplomové práce Roman Kub´ın, kter ý implementoval bezpeˇcnostn´ı prvky, podporu práce student ˚u s tutorem a v návaznosti na Automatizovan ý systém správy s´ıt’ov ých konfigurac´ı (ASSSK a.k.a. Tatabazmek) vyvi-nut ý v rámci diplomové práce Davida Seidla moˇznost definice vlastn´ı topologie propo-jen´ı s´ıt’ov ých prvk ˚u podle pˇrán´ı studenta.

Koncepci automatizovaného systému pro spojován´ı topologi´ı poté Petr Grygárek zo-becnil, aby bylo moˇzné propojovat nejen sériové porty, ale i Ethernet porty vˇcetnˇe trunk spoj ˚u. Pˇr´ısluˇsné konfiguraˇcn´ı skripty implementoval Jiˇr´ı Dvoˇrák, ˇc´ımˇz vzniklo tzv. virtuáln´ı spojovac´ı pole. Pozdˇeji byla s pomoc´ı Tomáˇse Kuˇcery do systému implementovány pra-covn´ı stanice simulované s pouˇzit´ım instanc´ı User Mode Linux a za podpory Jiˇr´ıho Dvoˇráka také virtuáln´ı smˇerovaˇce Cisco 7200 realizované s pouˇzit´ım projektu DynaMIPS/Dy-naGen. Martin Milata následnˇe nahradil simulaci stanic pomoc´ı UML pouˇzit´ım XEN, kter ý se ukázal se systémem Virtlab lépe integrovateln ý (pˇr´ıstup na konzole pomoc´ı ˇcistého TCP spojen´ı).

Diplomant Ing. Davida Seidla Petr Sedláˇr v roce 2007 reimplementoval ASSSK-1 s pouˇzit´ım FPGA (nové zaˇr´ızen´ı je naz ýváno ASSSK-2), coˇz zjednoduˇsilo opakovanou rea-lizaci a ˇreˇsen´ı v ýraznˇe zlevnilo. Ve stejné dobˇe dokonˇcili diplomanti Jan Vavˇr´ıˇcek a Tomáˇs Hrabálek na distribuované verzi Virtlabu, která umoˇzouje vytváˇret rozsáhlejˇs´ı topologie z laboratorn´ıch prvk ˚u um´ıstˇen ých v nˇekolika lokalitách pˇripojen ých k Internetu a op-timálnˇe mapovat fyzické laboratorn´ı prvky pro topologie úloh paralelnˇe poˇzadovan ých r ˚uzn ými studenty. Jiˇr´ı Dvoˇrák reimplementoval podle návrhu Petra Grygárka konfiguraˇcn´ı

(19)

skripty spojovac´ıho pole pro podporu v´ıce lokalit, coˇz umoˇznilo vytváˇren´ı virtuáln´ıch topologi´ı pˇres Internet pomoc´ı tunelovac´ıho serveru Tomáˇse Hrabálka. Spojovac´ı systém je nyn´ı naz ýván distribuovan ým virtuáln´ım spojovac´ım polem, které dovoluje tunelo-vat provoz mezi segmenty virtuáln´ıho spojovac´ıho pole um´ıstˇen ými v jednotliv ých loka-litách.

6.2 Popis server ˚u s´ıt ˇe Virtlab 6.2.1 Virtlab - Rezerva ˇcn´ı server

[?] Rezervaˇcn´ı server je démon, kter ý bˇeˇz´ı vˇzdy na jednom serveru v kaˇzdé lokalitˇe dis-tribuovaného systému a tedy v celém systému bˇeˇz´ı tolik instanc´ı, kolik je definováno lokalit. Tento server má vˇzdy urˇceno jméno své lokality, jména vzdálen ých lokalit a IP adresy jejich rezervaˇcn´ıch server ˚u. Dále má ke kaˇzdé lokalitˇe uveden seznam s´ıt’ov ých prvk ˚u m´ıstn´ı lokality, které m ˚uˇze vzdálen ým lokalitám poskytnout k zarezervován´ı a to podle daného t ýdenn´ıho rozvrhu.

Kdyˇz ovládac´ı software chce zarezervovat urˇcité prvky, poˇsle rezervaˇcn´ımu serveru dotaz, které prvky jsou globálnˇe v celém distribuovaném systému pro nˇej v urˇceném ˇcase k dispozici. Rezervaˇcn´ı server ˇzádost zpracuje a odeˇsle i do vzdálen ých lokalit. Kaˇzdá lo-kalita má definován XML soubor s popisem vybaven´ı m´ıstn´ı laboratoˇre. Z nˇej rezervaˇcn´ı server vybere nezarezervované a povolené prvky a odeˇsle v ýsledn ý XML soubor tazateli. Rezervaˇcn´ı server, kter ý rozdistribuovával dotaz ovládac´ıho software, poskládá vˇsechny pˇrijaté XML popisy dostupného vybaven´ı do jediného souboru, kter ý vrát´ı tazateli. Nen´ı-li k dispozici ˇzádn ý s´ıt’ov ý prvek, je vrácen platn ý soubor, ovˇsem bez zaˇr´ızen´ı.

Ovládac´ı software XML soubor od Rezervaˇcn´ıho serveru zpracuje, vybere z nˇej vhodné prvky, a m ˚uˇze dále ˇzádat o zarezervován´ı seznamu s´ıt’ov ých prvk ˚u v daném ˇcasovém rozmez´ı. K tomu vygeneruje globálnˇe unikátn´ı rezervaˇcn´ı id ve tvaru ’celé ˇc´ıslo @ název lokality’. Rezervaˇcn´ı server ˇzádost rozdˇel´ı a poˇsle kaˇzdé vzdálené lokalitˇe v ˇzádosti jen ty prvky, které j´ı patˇr´ı. Aby se eliminovaly konflikty, ˇrekne m´ıstn´ı rezervaˇcn´ı server vzdálen ým koleg ˚um, aby onu rezervaci povaˇzovali za doˇcasnou. Povede-li se doˇcasná rezervace u vˇsech ˇzádan ých lokalit, je vˇsem rezervace potvrzena trvale. M ˚uˇze ovˇsem doj´ıt k tomu, ˇze si nˇekdo pˇred námi jiˇz dan ý s´ıt’ov ý prvek zarezervoval a nen´ı moˇzné rezervaci u nˇekter ých z rezervaˇcn´ıch server ˚u provést. Pak k potvrzen´ı samozˇrejmˇe nedojde, po dané ˇcasové prodlevˇe doˇcasné rezervace vyprˇs´ı a ˇzádost o rezervaci selˇze.

6.2.2 Virtlab - Mazac´ı server

[?] Uˇzivatelé, bˇehem rezervované úlohy, maj´ı moˇznost postupn ými kroky modifikovat poˇcáteˇcn´ı konfiguraci poskytnut ých laboratorn´ıch zaˇr´ızen´ı. Vytváˇrená konfigurace je bˇehem ˇreˇsen´ı úlohy souˇcást´ı celku, kter ý vˇsak v okamˇziku ukonˇcen´ı rezervace zaniká. Automa-ticky generovaná topologie, nad kterou uˇzivatel svou úlohu ˇreˇsil, je rozpojena a labora-torn´ı prvky jsou poskytovány v budouc´ıch rezervac´ıch, kde je modifikovaná konfigurace neˇzádouc´ı.

(20)

Konfiguraci, kterou uˇzivatel právˇe ukonˇcené rezervace nemusel korektnˇe odstranit, je zapotˇreb´ı, pˇred znova zapojen´ım daného s´ıt’ového prvku do nové topologie, vymazat. Prvek je potˇreba pˇred jeho znovu pouˇzit´ım uvést do definovaného poˇcáteˇcn´ıho stavu, kter ý bude dalˇs´ımu uˇzivateli nejv´ıce vyhovovat.

Mazac´ı server je zastoupen ve vˇsech lokalitách a jeho primárn´ım úkolem je odstra ˇnován´ı konfigurac´ı, které vznikly na zaˇr´ızen´ıch dané lokality bˇehem ˇreˇsen´ı rezervovan ých úloh. Mazac´ı server vˇzdy po skonˇcen´ı uˇzivatelem zarezervovaného ˇcasu uvede konfiguraci pouˇz´ıvan ých zaˇr´ızen´ı do dˇr´ıve definovaného, poˇcáteˇcn´ıho stavu.

6.2.3 Virtlab - Konzolov ´y server

[?] Jeho úkolem je zprostˇredkovat pˇr´ıstup k sériov ým nebo telnetov ým konzol´ım s´ıt’ov ých zaˇr´ızen´ı prostˇrednictv´ım jednoduchého protokolu nad TCP/IP. Je vyuˇz´ıván Java Apple-tem, kter ý bˇeˇz´ı ve webovém ovládac´ım rozhran´ı, coˇz umoˇz ˇnuje uˇzivateli jednoduch ý pˇr´ıstup k s´ıt’ov ým zaˇr´ızen´ım. Zárove ˇn slouˇz´ı i jako proxy server, kter ý zprostˇredkovává pˇr´ıstup k zaˇr´ızen´ım, která jsou pˇripojena ke vzdálen ým konzolov ým server ˚um, kam nemá m´ıstn´ı uˇzivatel pˇr´ım ý pˇr´ıstup. Také prostˇrednictv´ım speciáln´ıho PHP skriptu ovˇeˇruje, jsou-li poˇzadavky uˇzivatele oprávnˇené a t´ım konzoly prvk ˚u zabezpeˇcuje od neautorizo-vaného pˇr´ıstupu.

Zdrojov ý soubor server.c obsahuje hlavn´ı funkci (main), která po úvodn´ı inicializaci

volá v nekoneˇcném cyklu funkci obsluhujklienta().V ef unkciobsluhujklienta()jsoupaknaˇcteny4ˇrádkyparametr

V pˇr´ıpadˇe úspˇechu se nastav´ı alarm() a hned potom se dostane ke slovu funkce open-devfd(), která ovˇeˇr´ı, jestli zaˇr´ızen´ı jiˇz nen´ı pouˇz´ıváno jin ým apletem. Nen´ı-li, zamkne jej pro v ýluˇcn ý pˇr´ıstup a vrát´ı na nˇej deskriptor.

6.2.4 Virtlab - Tunelovac´ı server

[?] Tunelovac´ı server je démon bˇeˇz´ıc´ı na zvláˇstn´ım serveru, jeˇz je souˇcást´ı Distribuované virtuáln´ı laboratoˇre a jeho úkolem je zajistit propojen´ı (bridge) r ˚uzn ých VLAN mezi jed-notliv ými lokáln´ımi virtuáln´ımi laboratoˇremi a také r ˚uzn ých VLAN v rámci jednoho ethernetového segmentu.

Dané ethernetové rozhran´ı serveru je pˇripojeno trunk linkou k pˇr´ısluˇsnému pˇrep´ınaˇci (Cisco 3550) nebo i jinému zaˇr´ızen´ı, které podporuje standard IEEE 802.1q. Tunelovac´ımu serveru je nakonfigurována tabulka (tabulka pˇresmˇerován´ı), ve které je uvedeno vˇzdy VLAN ID rámce z lokán´ı s´ıtˇe, nové VLAN ID kam bude rámec poslán a ip adresa vzdáleného (nebo i lokáln´ıho) tunelovac´ıho serveru. Tunelovac´ı server pˇrepne rozhran´ı s trunk linkou do promiskuitn´ıho m ódu, coˇz umoˇzn´ı pˇrij´ımat veˇsker ý provoz na trunk lince. Následnˇe odchytává VLAN tagované ethernetové rámce a kontroluje, jestli jsou definovány v ta-bulce pˇresmˇerován´ı. Pokud ano, je VLAN ID pˇreˇc´ıslováno podle této tabulky a cel ý rámec je prostˇrednictv´ım UDP paketu odeslán na danou ip adresu. Zde jej tunelovac´ı server pˇr´ıjme, vybal´ı a opˇet v syrové formˇe ethernetového rámce a odeˇsle ven trunk lin-kou. T´ımto zp ˚usobem docház´ı k virtuáln´ımu propojen´ı ethernetu definovan ých VLAN a to i vzdálenˇe (pˇres Internet), tedy vznikne ethernetov ý tunel.

(21)

6.3 Virtlab - s´ıt’ov ´a komunikace

Virtlab z hlediskka s´ıt’ové komunikace vyuˇz´ıvá pˇri komunikaci s ”vnˇejˇs´ım svˇetem”bezpeˇcnostn´ı protokol IPSec. IPSec protokol poskytuje vysoké zabezpeˇcen´ı, které je aplikováno z po-hledu OSI modelu jiˇz na s´ıt’ové vrstvˇe spojen´ı.

IPsec tvoˇr´ı logick ý tunel, kter ý se navazuje mezi c´ılovou a zdrojovou ip, pro ostatn´ı je tento tunel ˇsifrován. V prostˇred´ı Virtlab je vyuˇz´ıván jak protokol SA (Security Associ-ations), tak protokol HA (Authentication Header),kter ý zajiˇst’uje autentizace odesilatele a pˇr´ıjemce, integritu dat v hlaviˇcce, ale vlastn´ı data nejsou ˇsifrována, o ˇsifrován´ı dat se stará protokol ESP.

Mezi dalˇs´ı pouˇz´ıvané prtokoly v prostˇred´ı Virtlab, patˇr´ı klasické s´ı´tové prtokoly:

• HTTP Hypertext Transfer Protocol bˇeˇzn ´y internetov ´y protokol komunikuj´ıc´ı v pro-tokolu TCP na portu 80

• HTTPS Hypertext Transfer Protocol Secure je zabezpeˇcen á verze HTTP protokolu. Prob´ıhaj´ıc´ı data jsou ˇsifrována pomoc´ı algroritmu TTL/TLS na stranˇe serveru a ko-munikace prob´ıhá na portu 443

• SSH Secure Shell je zabezpeˇcen ý komunikaˇcn´ı protokol, jedná se o náhradu ptozo-kolu telnet, kter ý je z d ˚uvodu n´ızke bezpeˇsnosti a snadného odposloucháván´ı ko-munikace, v prostˇred´ı virtlab neˇzádouc´ı. Jeho vysoká nebezpeˇcnost je zp ˚usobena neˇsifrován´ım datové komunikace v tomto protokolu ( pˇri odposloucháván´ı proto-kolu lze komunikace bezproblému zobrazit v plain textu). Z tˇechto d ˚uvod ˚u je telnet nahrazen protokolem SSH komunikuj´ıc´ı na TCP portu 22.

• (NTP [?] NTP (Network Time Protocol) je protokol pro synchronizaci vnitˇrn´ıch ho-din poˇc´ıtaˇc ˚u po paketové s´ıti s promˇenn ým zpoˇzdˇen´ım. Tento protokol zajiˇst’uje, aby vˇsechny poˇc´ıtaˇce v s´ıti mˇely stejn ý a pˇresn ý ˇcas.

• SNMP Simple Network Management Protocol Slou ˇz´ı potˇrebám správy s´ıtˇe. Umoˇzouje pr ˚ubˇeˇzn ý sbˇer nejr ˚uznˇejˇs´ıch dat pro potˇreby správy s´ıtˇe, a jejich nesledné vyhod-nocován´ı. Protokol je provozována UDP portu 161

• Dalˇs´ı vyu ˇz´ıvané protokoly pro vnitˇrn´ı komunikaci v prostˇred´ı Virtlab Mezi dalˇs´ı pouˇzité protokoly patˇr´ı port 5666, a porty vyuˇzité pro komunikaci s dalˇs´ımi ser-vervy v s´ıti virtlab: port 10000, 10001, 40001, 50001, 50002, 60002.

(22)

7 Stavov ´y firewall pro potˇreby Virtlab

7.1 popis jednotliv ´ych pravidel ve scriptu firewallu

configure interfaces () { :

# Configure interfaces

update addresses of interface ”eth1 192.168.1.1/24” ”” update addresses of interface ”lo 127.0.0.1/8” ” ” getaddr eth0 i eth0

getaddr6 eth0 i eth0 v6 }

V ´ypis 2: Nastaven´ı z´akladn´ıch parametr ˚u

Nastaven´ı ipadres a názv ˚u jednotliv ých s´ıt’ov ých rozhran´ı na servru s firewallem, loo-pback je nastaven na defaultn´ı adresu.

PATH=”/sbin:/usr/sbin :/ bin :/ usr/bin:${PATH}” export PATH LSMOD=”/sbin/lsmod” MODPROBE=”/sbin/modprobe” IPTABLES=”/sbin/iptables” IP6TABLES=”/sbin/ip6tables” IPTABLES RESTORE=”/sbin/iptables−restore” IP6TABLES RESTORE=”/sbin/ip6tables−restore” IP=”/sbin/ ip ” IFCONFIG=”/sbin/ifconfig” VCONFIG=”/sbin/vconfig” BRCTL=”/sbin/brctl” IFENSLAVE=”/sbin/ifenslave” IPSET=”/usr/sbin/ipset” LOGGER=”/usr/bin/logger”

V ´ypis 3: Nastaven´ı z´akladn´ıch parametr ˚u

Naˇcten´ı kernel modul ˚u pro rozˇs´ıˇrené funkce iptables. A nastaven´ı cesty k programu iptables. Jednotlivé moduly pro zapnut´ı finkce logován´ı v iptables, dále pak k zapnut´ı funkce REJECT - zahozen´ı paketu s odeslán´ım icmp zprávy na p ˚uvodn´ı zdrojovou ad-resu. Zaveden´ı modulu pro zapnut´ı connection tracking, sluˇz´ıc´ı k vytvoˇren´ı stavového paketového filtru.

Zapnut´ı rp filtru u d ˚uvodu ochrany proti ip spoofingu. IP spoofing znamená falˇsován´ı zdrojové IP adresy, ˇc´ımˇz se útoˇcn´ık snaˇz´ı pˇredst´ırat, ˇze je nˇekdo jin ý, nebo se snaˇz´ı za-maskovat svoji pravou IP adresu. Proto je ˇzádouc´ı, aby se na vstupu firewallu filtro-valy pakety, které jsou evidentnˇe podvrˇzené a jejich p ˚uvodce nem ˚uˇze m´ıt ˇcisté úmysly. Nejzákladnˇejˇs´ı ochranu pˇred IP spoofingem pˇredstavuje rpfilter. Jde o jednoduchou ochranu, která je vázána na konkrétn´ı s´ıt’ové rozhran´ı. Funguje tak, ˇze jádro zablokuje pakety se zdrojovou adresou, která by podle routovac´ı tabulky mˇela pˇrij´ıt z jiného dostupného roz-hran´ı.

(23)

$IPTABLES −P INPUT ACCEPT $IPTABLES −P OUTPUT ACCEPT $IPTABLES −P FORWARD ACCEPT

V ´ypis 4: Nastaven´ı politik firewallu

Nastaven´ı politik u jednotliv ých ˇretˇezc ˚u. Politika je pravidlo nastavuj´ıc´ı se u defaultn´ıch ˇretˇezc ˚u INPUT, OUTPUT, FORWARD, kter ým se tyto ˇretˇezce ˇr´ıd´ı pokud ˇzádné pravidlo v ˇretˇezci nevyhovuje ˇzádané specifikaci.

# Rule 0 (eth0) #

echo ”Rule 0 (eth0)” #

# anti spoofing log rule $IPTABLES −N In RULE 0

for i eth0 in $i eth0 list do

test −n ”$i eth0” && $IPTABLES −A INPUT −i eth0 −s $i eth0 −m limit −−limit 5/hour −− limit−burst 3 −j In RULE 0

done

$IPTABLES −A INPUT −i eth0 −s 192.168.1.1 −m limit −−limit 5/hour −−limit−burst 3 −j In RULE 0

$IPTABLES −A INPUT −i eth0 −s 10.0.0.0/8 −m limit −−limit 5/hour −−limit−burst 3 −j In RULE 0

test −n ”$i eth0” && $IPTABLES −A FORWARD −i eth0 −s $i eth0 −m limit −−limit 5/hour −−limit−burst 3 −j In RULE 0

done

$IPTABLES −A FORWARD −i eth0 −s 192.168.1.1 −m limit −−limit 5/hour −−limit−burst 3 −j In RULE 0

$IPTABLES −A FORWARD −i eth0 −s 10.0.0.0/8 −m limit −−limit 5/hour −−limit−burst 3 −j In RULE 0

$IPTABLES −A In RULE 0 −j LOG −−log−level warning −−log−prefix ”spoof”

V ýpis 5: ˇretˇezec pro zprávu logován´ı

Tento ˇretˇezec je ve firewalu obsaˇzen z d ˚uvodu nutnosti logován´ı pr ˚uchodu jednotliv ých paket ˚u, avˇsak z d ˚uvodu velkého mnoˇzstv´ı pˇr´ıchz´ıch paket ˚u se m ˚uˇze log soubor zvˇetˇsit, aˇz na neˇzádouc´ı velikost, proto d´ıky rozˇs´ıˇren´ı limit jsme omezily na zapsán´ı prvn´ıch tˇr´ı paket ˚u do logu maximálnˇe pˇetkrát do hodiny.

Dále je zde vidˇet vytvoˇren´ı uˇzivatelského ˇretˇezce, kter ý se od defaultn´ıho liˇs´ı t´ım, ˇze se u nich nepouˇz´ıvaj´ı polityky a spˇrehledouj´ı a zlepˇsuj´ı ˇskalovatelnost celého firewallu.

(24)

# Rule 1 (eth0) #

# anti spoofing rule

test −n ”$i eth0” && $IPTABLES −A INPUT −i eth0 −s $i eth0 −j DROP done

$IPTABLES −A INPUT −i eth0 −s 192.168.1.1 −j DROP $IPTABLES −A INPUT −i eth0 −s 10.0.0.0/8 −j DROP $IPTABLES −A INPUT −i eth0 −s 172.16.0.0/12 −j DROP $IPTABLES −A INPUT −i eth0 −s 192.168.0.0/16 −j DROP

test −n ”$i eth0” && $IPTABLES −A FORWARD −i eth0 −s $i eth0 −j DROP done

$IPTABLES −A FORWARD −i eth0 −s 192.168.1.1 −j DROP $IPTABLES −A FORWARD −i eth0 −s 10.0.0.0/8 −j DROP $IPTABLES −A FORWARD −i eth0 −s 172.16.0.0/12 −j DROP $IPTABLES −A FORWARD −i eth0 −s 192.168.0.0/16 −j DROP

V ´ypis 6: ˇretˇezec pro ochranu proti spoofingu

V tomto ˇretˇezci pokraˇcuje ochrana proti jiˇz v ýˇse zmi ˇnovaného spoofingu, zde jsou zakázány adresy, které josu v internetu jiˇz registrovány pro jiné uˇcely spoleˇcnost´ı IANA a proto se v internetu rozshy tˇechto ip adres volnˇe nepohybuj´ı a proto pokud se na s´ıt’ovém rozhran´ı nekterá z tˇechto adres objev´ı lze tuˇsit ˇze se jedná o útok na naˇsi s´ıt’. Vˇsechny tyto adresy jsou logovány z d ˚uvodu pozdˇejˇs´ıho dohledán´ı.

# Povolen´ı z ´akladn´ıch protokol ˚u

$IPTABLES −A INPUT −i eth0 −p tcp −m tcp −m multiport −−dports 22,53,80,443 −m state −−state NEW −m connlimit \! −−connlimit−above 50 −j ACCEPT

$IPTABLES −A INPUT −i eth0 −p udp −m udp −m multiport −−dports 53,161,162 −m state −−state NEW −m connlimit \! −−connlimit−above 50 −j ACCEPT

$IPTABLES −A FORWARD −i eth0 −p tcp −m tcp −m multiport −−dports 22,53,80,443 −m state −−state NEW −m connlimit \! −−connlimit−above 50 −j ACCEPT

$IPTABLES −A FORWARD −i eth0 −p udp −m udp −m multiport −−dports 53,161,162 −m state −−state NEW −m connlimit \! −−connlimit−above 50 −j ACCEPT

V ´ypis 7: ˇretˇezec povoluj´ıc´ı porty pro vybran´e protokoly

Zde jsou shrnuty pravidla pro povlen´ı vybran ých port ˚u pro jednotlivé protokoly, v tomto pˇr´ıpadˇe se jedná o porty pro protokoly SSH, HTTP, HTTPS,které jsou pouˇz´ıvány a také SNMP slouˇz´ıc´ı pro sbˇer informac´ı o daném s´ıt’ovém prvku. pro komunikaci s prvky uv-nitˇr s´ıtˇe Virtlab.

# Povolen´ı komunikace s jenotliv´ımy servery v prostˇred´ı virtlab $IPTABLES −A INPUT −i eth0 −p tcp −m tcp −m multiport −−dports

10000,10001,60002,40001,50001,50002,60001,1000,60003,40002,5666 −m state −− state NEW −m connlimit \! −−connlimit−above 45 −j ACCEPT

(25)

$IPTABLES −A INPUT −i eth1 −p tcp −m tcp −m multiport −−dports

$IPTABLES −A FORWARD −i eth0 −p tcp −m tcp −m multiport −−dports

$IPTABLES −A OUTPUT −o eth0 −p tcp −m tcp −m multiport −−dports

$IPTABLES −A FORWARD −o eth0 −p tcp −m tcp −m multiport −−dports

V ´ypis 8: ˇretˇezec povoluj´ıc´ı porty pro potˇreby s´ıtˇe Virtlab

Tento ˇretˇezec obsahuje povolovac´ı pravidla pro porty vyuˇz´ıvan´e pˇri komunikaci s prvky virtlabu.

# Povolen´ı ˇsifrovan ´eho provozu

$IPTABLES −A INPUT −i eth0 −p 50 −m state −−state NEW −m connlimit \! −−connlimit− above 60 −j ACCEPT

$IPTABLES −A INPUT −i eth0 −p ah −m state −−state NEW −m connlimit \! −−connlimit− above 60 −j ACCEPT

$IPTABLES −A FORWARD −i eth0 −p 50 −m state −−state NEW −m connlimit \! −− connlimit−above 60 −j ACCEPT

$IPTABLES −A FORWARD −i eth0 −p ah −m state −−state NEW −m connlimit \! −− connlimit−above 60 −j ACCEPT

V ´ypis 9: ˇretˇezec povoluj´ıc´ı porty pro IPsec

Tyto pravidla povoluj´ı jednotlivé protokoly zabezpeˇcen´ı aby bylo moˇzno vytvoˇrit IPsec spojen´ı kde protokol AH zajiˇst’uje zabezpeˇcen´ı hlaviˇcky paketu a protokol ESP se stará o ˇsifrován´ı dat v tomto paketu.

# Povolen´ı protokol ˚u potˇrebn´ych pro chod server ˚u

$IPTABLES −A INPUT −i eth0 −p icmp −m icmp −−icmp−type 0/0 −m state −−state NEW − m connlimit \! −−connlimit−above 10 −j ACCEPT

$IPTABLES −A INPUT −i eth0 −p udp −m udp −−dport 123 −m state −−state NEW −m connlimit \! −−connlimit−above 10 −j ACCEPT

(26)

$IPTABLES −A FORWARD −i eth0 −p icmp −m icmp −−icmp−type 0/0 −m state −−state NEW −m connlimit \! −−connlimit−above 10 −j ACCEPT

$IPTABLES −A FORWARD −i eth0 −p udp −m udp −−dport 123 −m state −−state NEW −m connlimit \! −−connlimit−above 10 −j ACCEPT

V ýpis 10: ˇretˇezec povoluj´ıc´ı porty pro ménˇe uˇz´ıvané protokoly

V tomto ˇretˇezci jsou povoleny porty, kter´e nesjou tak ˇcasto vol´any jako napˇr´ıklad ntp protokol pro synchronizaci ˇcasu.

# Ochrana pˇred auth pakety

$IPTABLES −A INPUT −i eth0 −p tcp −m tcp −−dport 113 −j REJECT $IPTABLES −A FORWARD −i eth0 −p tcp −m tcp −−dport 113 −j REJECT

V ´ypis 11: Ochrana proti AUTH protokolu

Nˇekteré programy pouˇz´ıvaj´ı protokol AUTH ke zjiˇstˇen´ı neˇzádouc´ıch informac´ı o firewallu, avˇsak pˇri klasickém zahozen´ı paketu (DROP) se mus´ı ˇcekat na vyprˇsen´ı ˇcasového limitu a t´ım se spomaluje komunikace. K odstranˇen´ı tohoto problému je tˇreba vyuˇz´ıt akci RE-JECT, k odeslán´ı icmp zprávy zpˇet na c´ılovou adresu. Samozˇrejmˇe vˇsechny pokusi o zjiˇstˇen´ı slabin s´ıtˇe jsou logovány.

$IPTABLES −A INPUT −i eth0 −p icmp −m icmp −−icmp−type 0/0 −m state −−state NEW −m connlimit \! −−connlimit−above 10 −j ACCEPT

V ´ypis 12: Omezen´ı typ ˚u ICMP zpr´av

Zde je omezen´ı ICMP zpráv pouze na zprávu ping, pomoc´ı které se mˇeˇr´ı doba odezvy od vzdáleného s´ıt’ového rozhran´ı.

echo ”Rule 2 (lo)” #

# Povolen´ı pˇr´ıstupu na loopback

$IPTABLES −A INPUT −i lo −m state −−state NEW −j ACCEPT $IPTABLES −A OUTPUT −o lo −m state −−state NEW −j ACCEPT

V ýpis 13: Povolen´ı provozu na virtualn´ım rozhran´ı systému Povolen´ı provozu na vnitˇrn´ım virtuáln´ım s´ıt’ovém rozhran´ı systému.

# Povolen´ı broadcast ˚u z vnitˇrn´ı s´ıt ˇe

$IPTABLES −A OUTPUT −o eth1 −d 255.255.255.255 −m state −−state NEW −j ACCEPT

(27)

V tomto pˇr´ıpadˇe jsou povoleny broadcasty z vnitˇrn´ı s´ıtˇe virtlabu, kter´e je zabezpeˇcen´a a proto m ˚uˇzeme broadcast pakety povolit.

$IPTABLES −A INPUT −d −m state −−state ESTABLISHED,RELATED −j ACCEPT

V ´ypis 15: Povolen´ı broadcastu z vnitˇrn´ı s´ıtˇe

U jiˇz vytvoˇren ých a provozovan ých spojen´ı v´ımˇze, ˇze jiˇz proˇsli pˇrez paketov ý filter a je proto bezpeˇcné tato spojen´ı pomoc´ı stavového paketového filtru povolit.

# Logovac´ı pravidlo zahozen´ych paket ˚u $IPTABLES −N RULE 10

$IPTABLES −A OUTPUT −m limit −−limit 12/hour −−limit−burst 5 −j RULE 10 $IPTABLES −A INPUT −m limit −−limit 12/hour −−limit−burst 5 −j RULE 10 $IPTABLES −A FORWARD −m limit −−limit 12/hour −−limit−burst 5 −j RULE 10

$IPTABLES −A RULE 10 −j LOG −−log−level info −−log−prefix ”RULE 10 −− CONTINUE ”

#

# Rule 11 (global) #

echo ”Rule 11 (global)” #

# Obecn ´e pravidlo pro zahozen´ı nevyhovuj´ıc´ıch paket ˚u $IPTABLES −A OUTPUT −j DROP

$IPTABLES −A INPUT −j DROP $IPTABLES −A FORWARD −j DROP }

V ´ypis 16: Zahozen´ı veˇsker´eho nevyhovuj´ıc´ıho provozu

Zde je posledn´ı pravidlo ve firewallu, které vzhledem k nastaven´ı politiky v ˇretˇezci IN-PUT na ACCEPT je nutné veˇsker ý ostatn´ı s´ıt’ov ý provoz nepropusti skrze firewall. Sa-mozˇrejmˇe se tyto zahozené pakety budou logovat, spˇr´ısloˇsn ým pˇr´ıznakem. Vzhledek k zajiˇstˇen´ı urˇcitého poˇctu log ˚u je pravidlo nastaveno pro vytvoˇren´ı maximálnˇe dvanácti log ˚u za hodinu.

7.2 Kompletn´ı script pro vytvoˇren´ı firewallu

#!/ bin/sh #

# This is automatically generated file . DO NOT MODIFY ! #

# Firewall Builder fwb ipt v4.2.0.3530 #

# Generated Fri Jul 22 12:45:50 2011 St?edn? Evropa (letn? ?as) by Admin #

# files : ∗ Virtlab .fw /etc/ Virtlab .fw #

# Compiled for iptables (any version) #

# This firewall has two interfaces . Eth0 faces outside and has a dynamic address; eth1 faces inside.

(28)

# Policy includes basic rules to permit unrestricted outbound access and anti−spoofing rules. Access to the firewall is permitted only from internal network and only using SSH. The firewall uses one of the machines on internal network for DNS. Internal network is configured with address 192.168.1.0/255.255.255.0

set −x

FWBDEBUG=””

PATH=”/sbin:/usr/sbin :/ bin :/ usr/bin:${PATH}” export PATH LSMOD=”lsmod” MODPROBE=”modprobe” IPTABLES=”iptables” IP6TABLES=”ip6tables” IPTABLES RESTORE=”iptables−restore” IP6TABLES RESTORE=”ip6tables−restore” IP=”ip” IFCONFIG=”ifconfig” VCONFIG=”vconfig” BRCTL=”brctl” IFENSLAVE=”ifenslave” IPSET=”ipset” LOGGER=”logger” log () { echo ”$1”

command −v ”$LOGGER” >/dev/null 2>&1 && $LOGGER −p info ”$1” } getInterfaceVarName() { echo $1 | sed ’s /\./ /’ } getaddr internal () { dev=$1 name=$2 af=$3

L=$($IP $af addr show dev $dev | sed −n ’/ inet /{s !.∗ inet6∗ !!; s !/.∗!! p}’ | sed ’s/peer.∗ // ’) test −z ”$L” && {

eval ”$name=’’”

return

}

eval ”${name} list=\”$L\”” }

getaddr() {

getaddr internal $1 $2 ”−4” }

(29)

getaddr6() {

getaddr internal $1 $2 ”−6” }

# function getinterfaces is used to process wildcard interfaces getinterfaces () {

NAME=$1

$IP link show | grep ” : $NAME” | while read L; do OIFS=$IFS IFS=” :” set $L IFS=$OIFS echo $2 done } diff intf () { func=$1 list1 =$2 list2 =$3 cmd=$4

for intf in $list1 do

echo $list2 | grep −q $intf || { # $vlan is absent in list 2

$func $intf $cmd } done } find program() { PGM=$1

command −v $PGM >/dev/null 2>&1 || { echo ”$PGM not found”

exit 1 } }

check tools() {

find program $IPTABLES find program $MODPROBE

find program $IP }

reset iptables v4 () {

$IPTABLES −P OUTPUT DROP $IPTABLES −P INPUT DROP $IPTABLES −P FORWARD DROP

cat /proc/net/ip tables names | while read table; do $IPTABLES −t $table −L −n | while read c chain rest; do

if test ”X$c” = ”XChain” ; then

$IPTABLES −t $table −F $chain fi

done

(30)

done }

reset iptables v6 () {

$IP6TABLES −P OUTPUT DROP $IP6TABLES −P INPUT DROP $IP6TABLES −P FORWARD DROP

cat /proc/net/ip6 tables names | while read table; do $IP6TABLES −t $table −L −n | while read c chain rest; do

if test ”X$c” = ”XChain” ; then

$IP6TABLES −t $table −F $chain fi done $IP6TABLES −t $table −X done } P2P INTERFACE WARNING=”” missing address() { address=$1 cmd=$2 oldIFS=$IFS IFS=”@” set $address addr=$1 interface=$2 IFS=$oldIFS

$IP addr show dev $interface | grep −q POINTOPOINT && {

test −z ”$P2P INTERFACE WARNING” && echo ”Warning: Can not update address of interface $interface. fwbuilder can not manage addresses of point−to−point interfaces yet”

P2P INTERFACE WARNING=”yes”

return

}

test ”$cmd” = ”add” && {

echo ”# Adding ip address: $interface $addr” echo $addr | grep −q ’:’ && {

$FWBDEBUG $IP addr $cmd $addr dev $interface } || {

$FWBDEBUG $IP addr $cmd $addr broadcast + dev $interface }

}

test ”$cmd” = ”del” && {

echo ”# Removing ip address: $interface $addr”

(31)

}

$FWBDEBUG $IP link set $interface up }

list addresses by scope() {

interface=$1

scope=$2 ignore list =$3

$IP addr ls dev $interface | \

awk −v IGNORED=”$ignore list” −v SCOPE=”$scope” \ ’ BEGIN {

split (IGNORED,ignored arr);

for (a in ignored arr) {ignored dict [ ignored arr [a]]=1;}

}

(/ inet | inet6 / && $0 ˜ SCOPE && !($2 in ignored dict)) {print $2;}’ | \

while read addr; do

echo ”${addr}@$interface” done | sort

}

update addresses of interface() { ignore list =$2 set $1 interface=$1 shift FWB ADDRS=$( for addr in $∗; do echo ”${addr}@$interface” done | sort )

CURRENT ADDRS ALL SCOPES=”” CURRENT ADDRS GLOBAL SCOPE=””

$IP link show dev $interface >/dev/null 2>&1 && {

CURRENT ADDRS ALL SCOPES=$(list addresses by scope $interface ’scope .∗’ ” $ignore list”)

CURRENT ADDRS GLOBAL SCOPE=$(list addresses by scope $interface ’scope global’ ” $ignore list”)

} || {

echo ”# Interface $interface does not exist” # Stop the script if we are not in test mode test −z ”$FWBDEBUG” && exit 1

}

diff intf missing address ”$FWB ADDRS” ”$CURRENT ADDRS ALL SCOPES” add diff intf missing address ”$CURRENT ADDRS GLOBAL SCOPE” ”$FWB ADDRS” del }

clear addresses except known interfaces() {

(32)

’ BEGIN {

split (IGNORED,ignored arr);

for (a in ignored arr) {ignored dict [ignored arr [a]]=1;}

}

(/ state / && !($2 in ignored dict ) ) { print $2;}’ | \

while read intf ; do

echo ”# Removing addresses not configured in fwbuilder from interface $intf” $FWBDEBUG $IP addr flush dev $intf scope global

$FWBDEBUG $IP link set $intf down done

}

check file () { test −r ”$2” || {

echo ”Can not find file $2 referenced by address table object $1” exit 1

} }

check run time address table files () { :

}

load modules() { :

OPTS=$1

MODULES DIR=”/lib/modules/‘uname −r‘/kernel/net/”

MODULES=$(find $MODULES DIR −name ’∗conntrack∗’ \! −name ’∗ipv6∗’|sed −e ’s/ˆ.∗\///’ − e ’s/$[ˆ\.]$\..∗/\1/’)

echo $OPTS | grep −q nat && {

MODULES=”$MODULES $(find $MODULES DIR −name ’∗nat∗’|sed −e ’s/ˆ.∗\///’ −e ’s /$[ˆ\.]$\..∗/\1/’)”

}

echo $OPTS | grep −q ipv6 && {

MODULES=”$MODULES $(find $MODULES DIR −name nf conntrack ipv6|sed −e ’s /ˆ.∗\///’ −e ’s/$[ˆ\.]$\..∗/\1/’)”

}

for module in $MODULES; do

if $LSMOD | grep ${module} >/dev/null; then continue; fi

$MODPROBE ${module} || exit 1 done

}

verify interfaces () { :

echo ”Verifying interfaces : eth0 eth1 lo”

for i in eth0 eth1 lo ; do

$IP link show ”$i” > /dev/null 2>&1 || { log ” Interface $i does not exist”

exit 1 }

done }

(33)

prolog commands() {

echo ”Running prolog script”

}

epilog commands() {

echo ”Running epilog script”

}

run epilog and exit () { epilog commands exit $1 } configure interfaces () { : # Configure interfaces

update addresses of interface ”eth1 192.168.1.1/24” ”” update addresses of interface ”lo 127.0.0.1/8” ” ” getaddr eth0 i eth0

getaddr6 eth0 i eth0 v6 }

script body () {

# ================ IPv4

# ================ Table ’filter’, automatic rules # accept established sessions

$IPTABLES −A INPUT −m state −−state ESTABLISHED,RELATED −j ACCEPT $IPTABLES −A OUTPUT −m state −−state ESTABLISHED,RELATED −j ACCEPT $IPTABLES −A FORWARD −m state −−state ESTABLISHED,RELATED −j ACCEPT

# ================ Table ’nat’, rule set NAT #

# Rule 0 (NAT) #

echo ”Rule 0 (NAT)” #

$IPTABLES −t nat −A POSTROUTING −o eth0 −s 192.168.1.0/24 −j MASQUERADE

# ================ Table ’filter’, rule set Policy #

# Rule 0 ( lo ) #

echo ”Rule 0 (lo)” #

# Povolen´ı pˇr´ıstupu na loopback

(34)

$IPTABLES −A OUTPUT −o lo −m state −−state NEW −j ACCEPT #

# Rule 1 (eth0) #

# Povolen´ı ˇsifrovan ´eho provozu

$IPTABLES −A INPUT −i eth0 −p 50 −m state −−state NEW −m connlimit \! −−connlimit− above 60 −j ACCEPT

$IPTABLES −A INPUT −i eth0 −p ah −m state −−state NEW −m connlimit \! −−connlimit− above 60 −j ACCEPT

$IPTABLES −A FORWARD −i eth0 −p 50 −m state −−state NEW −m connlimit \! −− connlimit−above 60 −j ACCEPT

$IPTABLES −A FORWARD −i eth0 −p ah −m state −−state NEW −m connlimit \! −− connlimit−above 60 −j ACCEPT

#

# Rule 2 (eth0) #

# Povolen´ı z ´akladn´ıch protokol ˚u

$IPTABLES −A INPUT −i eth0 −p tcp −m tcp −m multiport −−dports 53,80,443,22 −m state −−state NEW −m connlimit \! −−connlimit−above 50 −j ACCEPT

$IPTABLES −A INPUT −i eth0 −p udp −m udp −m multiport −−dports 53,161,162 −m state −−state NEW −m connlimit \! −−connlimit−above 50 −j ACCEPT

$IPTABLES −A FORWARD −i eth0 −p tcp −m tcp −m multiport −−dports 53,80,443,22 −m state −−state NEW −m connlimit \! −−connlimit−above 50 −j ACCEPT

$IPTABLES −A FORWARD −i eth0 −p udp −m udp −m multiport −−dports 53,161,162 −m state −−state NEW −m connlimit \! −−connlimit−above 50 −j ACCEPT

#

# Rule 3 (eth0,eth1) #

echo ”Rule 3 (eth0,eth1)” #

# Povolen´ı komunikace s jenotliv´ımy servery v prostˇred´ı virtlab $IPTABLES −A INPUT −i eth0 −p tcp −m tcp −m multiport −−dports

$IPTABLES −A INPUT −i eth1 −p tcp −m tcp −m multiport −−dports

(35)

#

# Rule 4 (eth0) #

# Povolen´ı protokol ˚u potˇrebn´ych pro chod server ˚u

$IPTABLES −A INPUT −i eth0 −p udp −m udp −−dport 123 −m state −−state NEW −m connlimit \! −−connlimit−above 10 −j ACCEPT

$IPTABLES −A FORWARD −i eth0 −p udp −m udp −−dport 123 −m state −−state NEW −m connlimit \! −−connlimit−above 10 −j ACCEPT

#

# Rule 5 (eth1) #

# Povolen´ı broadcast ˚u z vnitˇrn´ı s´ıt ˇe

$IPTABLES −A OUTPUT −o eth1 −d 255.255.255.255 −m state −−state NEW −j ACCEPT #

# Rule 6 (eth0) #

# Logovac´ı pravidlo pro ochranu pˇred AUTH pakety

$IPTABLES −A INPUT −i eth0 −p tcp −m tcp −−dport 113 −j LOG −−log−level info −−log− prefix ”RULE 6 −− CONTINUE ”

$IPTABLES −A FORWARD −i eth0 −p tcp −m tcp −−dport 113 −j LOG −−log−level info −− log−prefix ”RULE 6 −− CONTINUE ”

#

# Rule 7 (eth0) #

# Ochrana pˇred auth pakety

$IPTABLES −A INPUT −i eth0 −p tcp −m tcp −−dport 113 −j REJECT $IPTABLES −A FORWARD −i eth0 −p tcp −m tcp −−dport 113 −j REJECT #

# Rule 8 (eth0) #

(36)

# anti spoofing log rule

test −n ”$i eth0” && $IPTABLES −A INPUT −i eth0 −s $i eth0 −j LOG −−log−level warning −−log−prefix ”spoof”

done

$IPTABLES −A INPUT −i eth0 −s 192.168.1.1 −j LOG −−log−level warning −−log−prefix ” spoof”

$IPTABLES −A INPUT −i eth0 −s 10.0.0.0/8 −j LOG −−log−level warning −−log−prefix ” spoof”

$IPTABLES −A INPUT −i eth0 −s 172.16.0.0/12 −j LOG −−log−level warning −−log−prefix ” spoof”

$IPTABLES −A INPUT −i eth0 −s 192.168.0.0/16 −j LOG −−log−level warning −−log−prefix ”spoof”

test −n ”$i eth0” && $IPTABLES −A FORWARD −i eth0 −s $i eth0 −j LOG −−log−level warning −−log−prefix ”spoof”

done

$IPTABLES −A FORWARD −i eth0 −s 192.168.1.1 −j LOG −−log−level warning −−log− prefix ”spoof”

$IPTABLES −A FORWARD −i eth0 −s 10.0.0.0/8 −j LOG −−log−level warning −−log−prefix ”spoof”

$IPTABLES −A FORWARD −i eth0 −s 172.16.0.0/12 −j LOG −−log−level warning −−log− prefix ”spoof”

$IPTABLES −A FORWARD −i eth0 −s 192.168.0.0/16 −j LOG −−log−level warning −−log− prefix ”spoof”

#

# Rule 9 (eth0) #

# anti spoofing rule

test −n ”$i eth0” && $IPTABLES −A INPUT −i eth0 −s $i eth0 −j DROP done

$IPTABLES −A INPUT −i eth0 −s 192.168.1.1 −j DROP $IPTABLES −A INPUT −i eth0 −s 10.0.0.0/8 −j DROP $IPTABLES −A INPUT −i eth0 −s 172.16.0.0/12 −j DROP $IPTABLES −A INPUT −i eth0 −s 192.168.0.0/16 −j DROP

test −n ”$i eth0” && $IPTABLES −A FORWARD −i eth0 −s $i eth0 −j DROP done

$IPTABLES −A FORWARD −i eth0 −s 192.168.1.1 −j DROP $IPTABLES −A FORWARD −i eth0 −s 10.0.0.0/8 −j DROP $IPTABLES −A FORWARD −i eth0 −s 172.16.0.0/12 −j DROP $IPTABLES −A FORWARD −i eth0 −s 192.168.0.0/16 −j DROP #

(37)

# Logovac´ı pravidlo zahozen´ych paket ˚u

$IPTABLES −A OUTPUT −j LOG −−log−level info −−log−prefix ”RULE 10 −− CONTINUE ”

$IPTABLES −A INPUT −j LOG −−log−level info −−log−prefix ”RULE 10 −− CONTINUE ” $IPTABLES −A FORWARD −j LOG −−log−level info −−log−prefix ”RULE 10 −−

CONTINUE ” #

# Obecn ´e pravidlo pro zahozen´ı nevyhovuj´ıc´ıch paket ˚u $IPTABLES −A OUTPUT −j DROP

$IPTABLES −A INPUT −j DROP $IPTABLES −A FORWARD −j DROP }

ip forward () { :

echo 1 > /proc/sys/net/ipv4/ ip forward } reset all () { : reset iptables v4 } block action () { reset all } stop action () { reset all

$IPTABLES −P OUTPUT ACCEPT $IPTABLES −P INPUT ACCEPT $IPTABLES −P FORWARD ACCEPT }

check iptables() { IP TABLES=”$1”

[ ! −e $IP TABLES ] && return 151 NF TABLES=$(cat $IP TABLES 2>/dev/null) [ −z ”$NF TABLES” ] && return 152

return 0

}

status action () {

check iptables ” /proc/net/ip tables names” ret ipv4 =$?

check iptables ” /proc/net/ip6 tables names” ret ipv6 =$?

[ $ret ipv4 −eq 0 −o $ret ipv6 −eq 0 ] && return 0 [ $ret ipv4 −eq 151 −o $ret ipv6 −eq 151 ] && {

echo ”iptables modules are not loaded” }

(38)

[ $ret ipv4 −eq 152 −o $ret ipv6 −eq 152 ] && { echo ”Firewall is not configured”

} exit 3 }

# See how we were called.

# For backwards compatibility missing argument is equivalent to ’ start ’

cmd=$1 test −z ”$cmd” && { cmd=”start” } case ”$cmd” in start )

log ” Activating firewall script generated Fri Jul 22 12:45:50 2011 by Admin” check tools

prolog commands

check run time address table files

load modules ”nat ” configure interfaces verify interfaces reset all script body ip forward epilog commands RETVAL=$? ;; stop) stop action RETVAL=$? ;; status) status action RETVAL=$? ;; block) block action RETVAL=$? ;; reload) $0 stop $0 start RETVAL=$? ;;

(39)

interfaces ) configure interfaces RETVAL=$? ;; test interfaces ) FWBDEBUG=”echo” configure interfaces RETVAL=$? ;; ∗)

esac

exit $RETVAL