Product SiteDocumentation Site

14.2. Firewall o filtraggio dei pacchetti

FONDAMENTALI Firewall

Il firewall è un componente informatico provvisto di hardware e/o software che smista i pacchetti di rete in ingresso o uscita (che arrivano o lasciano la rete locale) e li lascia passare solo se soddisfano determinati criteri predefiniti.
Il firewall è un punto di filtraggio di rete ed è efficace solo per i pacchetti che devono transitare da esso. Perciò può essere efficace solo se il passaggio attraverso il firewall è l'unico instradamento possibile per quei pacchetti.
La mancanza di una configurazione standard (e il motto «processo, non prodotto») spiega l'assenza di una soluzione chiavi in mano. Ci sono, comunque, strumenti che semplificano la configurazione del firewall netfilter, con una rappresentazione grafica delle regole di filtraggio. fwbuilder tra questi è senza dubbio uno dei migliori.

CASO SPECIFICO Firewall Locale

Un firewall può essere limitato ad una particolare macchina (a differenza di un'intera rete), nel qual caso la sua funzione è quella di filtrare o limitare l'accesso ad alcuni servizi, oppure di impedire connessioni uscenti a software malevolo che un utente, volente o nolente, potrebbe aver installato.
The Linux kernel embeds the netfilter firewall. It can be controlled from user space with the iptables and ip6tables commands. The difference between these two commands is that the former acts on the IPv4 network, whereas the latter acts on IPv6. Since both network protocol stacks will probably be around for many years, both tools will need to be used in parallel.

14.2.1. Funzionamento di netfilter

netfilter utilizza quattro tabelle distinte nelle quali memorizza le regole che controllano tre tipologie di operazioni sui pacchetti:
  • filter riguarda le regole di filtraggio (accettare, rifiutare o ignorare un pacchetto);
  • nat concerns translation of source or destination addresses and ports of packages;
  • mangle riguarda altre trasformazioni sui pacchetti IP (inclusi il campo e le opzioni del ToS: Type of Service);
  • raw permette altre modifiche manuali sui pacchetti prima che giungano al sistema di monitoraggio delle connessioni.
Ogni tabella contiene delle liste di regole chiamate catene. Per gestire i pacchetti i firewall utilizzano catene standard in base a circostanze predefinite. L'amministratore può creare altre catene, che saranno utilizzate solo quando una delle catene standard vi fa riferimento (direttamente o indirettamente).
La tabella filter contiene tre catene standard:
  • INPUT: riguarda i pacchetti che hanno come destinazione il firewall stesso;
  • OUTPUT: riguarda i pacchetti emessi dal firewall;
  • FORWARD: riguarda i pacchetti che transitano attraverso il firewall (che non è né la sorgente, né la destinazione).
Anche la tabella nat contiene tre catene standard:
  • PREROUTING: per modificare i pacchetti non appena arrivano;
  • POSTROUTING: per modificare i pacchetti quando sono pronti per essere spediti;
  • OUTPUT: per modificare i pacchetti generati dal firewall stesso.
Relazione tra le catene netfilter

Figura 14.1. Relazione tra le catene netfilter

Ogni catena è una lista di regole; ogni regola è un insieme di condizioni e un'azione da intraprendere quando le condizioni sono soddisfatte. Quando viene analizzato un pacchetto, il firewall esamina la catena opportuna, regola per regola; quando le condizioni di una regola sono soddisfatte, esso, per continuare l'elaborazione, «salta» (da qui l'opzione -j dei comandi) all'azione specificata. Sono stati standardizzati i comportamenti più comuni ed esistono azioni dedicate per ognuno. Intraprendere una di queste azioni standard interrompe l'avanzamento nella catena, dato che il destino del pacchetto è già stato deciso (salvo l'eccezione descritta in seguito):

FONDAMENTALI ICMP

ICMP (Internet Control Message Protocol) is the protocol used to transmit complementary information on communications. It allows testing network connectivity with the ping command (which sends an ICMP echo request message, which the recipient is meant to answer with an ICMP echo reply message). It signals a firewall rejecting a packet, indicates an overflow in a receive buffer, proposes a better route for the next packets in the connection, and so on. This protocol is defined by several RFC documents; the initial RFC777 and RFC792 were soon completed and extended.
→ http://www.faqs.org/rfcs/rfc777.html
→ http://www.faqs.org/rfcs/rfc792.html
Per chiarezza, un buffer di ricezione è una piccola area di memoria che immagazzina i dati nel tempo che intercorre tra il loro arrivo dalla rete e la loro elaborazione da parte del kernel. Se quest'area si riempie, non possono esser ricevuti nuovi dati, e l'ICMP segnala il problema, così la sorgente può abbassare la velocità di trasferimento (che raggiungerà idealmente un equilibrio dopo un certo tempo).
Da notare che, anche se le reti IPv4 possono lavorare senza ICMP, ICMPv6 è strettamente necessario per le reti IPv6, dato che esse utilizzano molte funzioni che erano, per il mondo IPv4, fornite da ICMPv4, IGMP (Internet Group Membership Protocol) e ARP (Address Resolution Protocol). ICMPv6 è definito nella RFC4443.
→ http://www.faqs.org/rfcs/rfc4443.html
  • ACCEPT: permette al pacchetto di continuare per la sua strada;
  • REJECT: rifiuta il pacchetto con un pacchetto di errore ICMP (l'opzione --reject-with tipo di iptables permette di selezionare il tipo di errore);
  • DROP: elimina (ignora) il pacchetto;
  • LOG: registra (via syslogd) un messaggio con la descrizione del pacchetto; da notare che questa azione non interrompe l'elaborazione, e l'esecuzione della catena prosegue con la regola successiva, ed è per questo che per registrare i pacchetti rifiutati è necessario usare insieme una regola LOG e una REJECT o DROP;
  • ULOG: registra un messaggio via ulogd, che può essere maggiormente personalizzato ed è più efficiente di syslogd per analizzare una grande mole di messaggi; da notare che questa azione, come «LOG», anch'essa fa proseguire l'elaborazione con la regola successiva nella catena corrente;
  • nome_catena: salta alla catena specificata ed elabora le relative regole;
  • RETURN: interrompe l'elaborazione della catena corrente, e ritorna alla catena chiamante; nel caso in cui la catena corrente sia standard, non esiste alcuna catena chiamante, perciò viene eseguita l'azione predefinita (specificata dall'opzione -P di iptables);
  • SNAT (only in the nat table): apply Source NAT (extra options describe the exact changes to apply);
  • DNAT (only in the nat table): apply Destination NAT (extra options describe the exact changes to apply);
  • MASQUERADE (only in the nat table): apply masquerading (a special case of Source NAT);
  • REDIRECT (only in the nat table): redirect a packet to a given port of the firewall itself; this can be used to set up a transparent web proxy that works with no configuration on the client side, since the client thinks it connects to the recipient whereas the communications actually go through the proxy.
Altre azioni, in particolare quelle riguardanti la tabella mangle, esulano dagli scopi di questo libro. Una lista integrale si ottiene con iptables(8) e ip6tables(8).

14.2.2. Sintassi di iptables e ip6tables

I comandi iptables e ip6tables permettono la manipolazione di tabelle, catene e regole. L'opzione -t tabella individua su quale tabella vanno ad operare (filter è la predefinita).

14.2.2.1. Comandi

The -N chain option creates a new chain. The -X chain deletes an empty and unused chain. The -A chain rule adds a rule at the end of the given chain. The -I chain rule_num rule option inserts a rule before the rule number rule_num. The -D chain rule_num (or -D chain rule) option deletes a rule in a chain; the first syntax identifies the rule to be deleted by its number, while the latter identifies it by its contents. The -F chain option flushes a chain (deletes all its rules); if no chain is mentioned, all the rules in the table are deleted. The -L chain option lists the rules in the chain. Finally, the -P chain action option defines the default action, or “policy”, for a given chain; note that only standard chains can have such a policy.

14.2.2.2. Regole

Each rule is expressed as conditions -j action action_options. If several conditions are described in the same rule, then the criterion is the conjunction (logical and) of the conditions, which is at least as restrictive as each individual condition.
La condizione -p protocollo verifica il campo protocollo del pacchetto IP. I valori più usati sono tcp, udp, icmp e icmpv6. Anteporre un punto esclamativo alla condizione la nega, facendola corrispondere a «qualunque pacchetto con un protocollo differente da quello specificato». Questa meccanismo di negazione non è specifico solo per l'opzione -p, ma può essere utilizzato anche per tutte le altre condizioni.
La condizione -s indirizzo oppure -s rete/maschera verifica l'indirizzo sorgente del pacchetto. Ugualmente, -d indirizzo oppure -d rete/maschera verifica l'indirizzo destinazione.
La condizione -i interfaccia seleziona i pacchetti provenienti dalla data interfaccia di rete. -o interfaccia seleziona quelli uscenti da una specifica interfaccia.
Ci sono condizioni più specifiche, che dipendono da quelle generiche descritte sopra. Per esempio, la condizione -p tcp può essere raffinata con ulteriori condizioni sulle porte TCP, con clausole tipo --source-port porta e --destination-port porta.
La condizione --state stato verifica lo stato di un pacchetto in una connessione (questa richiede il modulo del kernel ipt_conntrack, per il monitoraggio delle connessioni). Lo stato NEW descrive un pacchetto che instaura una nuova connessione; ESTABLISHED descrive i pacchetti appartenenti ad una connessione già in essere, e RELATED descrive i pacchetti che instaurano una connessione correlata con una già esistente (che è utile per le connessioni ftp-data in modalità «attiva» del protocollo FTP).
La sezione precedente elenca tutte le possibili azioni, ma non le rispettive opzioni. L'azione LOG, per esempio, ha le seguenti opzioni:
  • --log-level, with default value warning, indicates the syslog severity level;
  • --log-prefix permette l'inserimento di un prefisso di testo per differenziare i messaggi di log;
  • --log-tcp-sequence, --log-tcp-options e --log-ip-options indicano dati ulteriori da integrare nel messaggio: rispettivamente, il numero di sequenza TCP, opzioni TCP e opzioni IP.
The DNAT action provides the --to-destination address:port option to indicate the new destination IP address and/or port. Similarly, SNAT provides --to-source address:port to indicate the new source IP address and/or port.
The REDIRECT action (only available if NAT is available) provides the --to-ports port(s) option to indicate the port, or port range, where the packets should be redirected.

14.2.3. Creare le regole

Per la creazione di ogni regola è necessaria l'invocazione di iptables/ip6tables. Digitare questi comandi manualmente può essere noioso, perciò sono solitamente memorizzati in uno script in modo tale che ad ogni avvio della macchina venga richiamata automaticamente la stessa configurazione. Questo script può essere scritto a mano, ma può essere interessante prepararlo con uno strumento di alto livello quale fwbuilder. 
# apt install fwbuilder
Il principio è semplice. Come primo passo, è necessario descrivere tutti gli elementi coinvolti nelle regole effettive:
  • il firewall stesso, con le sue interfacce di rete;
  • le reti, con i loro corrispondenti intervalli di IP;
  • i server;
  • le porte che appartengono ai servizi presenti nei server.
Le regole sono quindi create con semplici azioni di trascina e rilascia sugli oggetti. Alcuni menu contestuali permettono di modificare le condizioni (la negazione, per esempio). Dopodiché deve essere scelta e configurata l'azione.
Per quanto concerne l'IPv6, si possono creare due diversi insiemi di regole per IPv4 e IPv6, oppure crearno uno e lasciare che fwbuilder traduca le regole in base con gli indirizzi assegnati agli oggetti.
Finestra principale di fwbuilder

Figura 14.2. Finestra principale di fwbuilder

fwbuilder can then generate a script configuring the firewall according to the rules that have been defined. Its modular architecture gives it the ability to generate scripts targeting different systems (iptables for Linux, ipf for FreeBSD and pf for OpenBSD).

14.2.4. Installare le regole ad ogni avvio

Negli altri casi, si consiglia di posizionare lo script di configurazione in una direttiva up del file /etc/network/interfaces. Nel seguente esempio, lo script è memorizzato in /usr/local/etc/arrakis.fw.

Esempio 14.1. File interfaces che richiama lo script del firewall

auto eth0
iface eth0 inet static
    address 192.168.0.1
    network 192.168.0.0
    netmask 255.255.255.0
    broadcast 192.168.0.255
    up /usr/local/etc/arrakis.fw
This obviously assumes that you are using ifupdown to configure the network interfaces. If you are using something else (like NetworkManager or systemd-networkd), then refer to their respective documentation to find out ways to execute a script after the interface has been brought up.