Filtrage réseau avec netfilter/iptables

Filtrage réseau avec netfilter/iptables PhilippeLatu inetdoc.net Enseignant - Chargé de mission Systèmes & Réseaux IUT - Université Toulouse III - Paul Sabatier

philippe.latu(at)inetdoc.net

Étude du filtrage réseau dans le contexte d'un routeur central (hub) connecté à un routeur d'agence (spoke) via un lien WAN. Comme dans les autres supports de travaux pratiques de cette série, on assimile ces configurations types à des interconnexions entre réseaux locaux et réseaux étendus. Les questions de ce support sont présentées comme une introduction pas à pas au filtrage réseau. On débute avec les outils, on poursuit avec les fonctions de suivi de communication (stateful inspection) sur une interface, puis on ajoute à ce filtrage les fonctions de traduction d'adresse (NAT). icmp ifconfig interface iptables iptables-save iptables-restore iptstate netfilter recent Copyright et Licence Copyright (c) 2000,2012 Philippe Latu. Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License, Version 1.3 or any later version published by the Free Software Foundation; with no Invariant Sections, no Front-Cover Texts, and no Back-Cover Texts. A copy of the license is included in the section entitled "GNU Free Documentation License". Copyright (c) 2000,2012 Philippe Latu. Permission est accordée de copier, distribuer et/ou modifier ce document selon les termes de la Licence de Documentation Libre GNU (GNU Free Documentation License), version 1.3 ou toute version ultérieure publiée par la Free Software Foundation ; sans Sections Invariables ; sans Texte de Première de Couverture, et sans Texte de Quatrième de Couverture. Une copie de la présente Licence est incluse dans la section intitulée « Licence de Documentation Libre GNU ». Méta-information Cet article est écrit avec DocBook XML sur un système Debian GNU/Linux. Il est disponible en version imprimable au format PDF : interco.netfilter.q.pdf. Toutes les commandes utilisées dans ce document ne sont pas spécifiques à une version particulière des systèmes UNIX ou GNU/Linux. C'est la distribution Debian GNU/Linux qui est utilisée pour les tests présentés. Voici une liste des paquets contenant les commandes : procps - The /proc file system utilities net-tools - The NET-3 networking toolkit ifupdown - High level tools to configure network interfaces iputils-ping - Tools to test the reachability of network hosts hping3 - Active Network Smashing Tool iptables - Administration tools for packet filtering and NAT iptstate - Top-like state for netfilter/iptables Conventions typographiques Tous les exemples d'exécution des commandes sont précédés d'une invite utilisateur ou prompt spécifique au niveau des droits utilisateurs nécessaires sur le système. Toute commande précédée de l'invite $ ne nécessite aucun privilège particulier et peut être utilisée au niveau utilisateur simple. Toute commande précédée de l'invite # nécessite les privilèges du super utilisateur. Architecture réseau étudiée Les manipulations sur le système de filtrage réseau présentées ici s'appuient sur une maquette type qui illustre une «branche» de la topologie Hub and Spoke. Dans cette topologie en étoile, le routeur central joue le rôle d'un concentrateur qui fournit les accès réseau à tous les routeurs d'agence. Topologie type La topologie étudiée associe deux postes de travaux pratiques avec deux rôles distincts. Routeur central hub Remote Access Server RAS Ce poste réalise une interconnexion LAN/WAN. Il fournit un accès Internet au routeur d'agence client via son interface WAN. Il dispose de son propre accès Internet via son interface LAN Ethernet. Routeur d'agence spoke Customer Premises Equipment CPE Ce poste réalise aussi une interconnexion LAN/WAN. À la différence du routeur central, il obtient l'accès Internet sur son interface WAN et il met cet accès à disposition d'un réseau local d'extrémité via une interface LAN Ethernet (et|ou) une autre «pseudo» interface réseau. __ cooper.infra.stri ___/ \_ .___. _/ \__ | | Switch1 - sw1.infra.stri / \eth1| ==|eth0 ___________ / /______ | Internet |___| ==|_ |_=_=_=_=_=_/ /_=_=_=_| \_ __/ | -| \ fa0/1| / / V \__ __/ | | \____/ | \___/ | | O ------- ___________ / /______ | |_=_=_=_=_=_/ /_=_=_=_| | | \___| eth0|..... .................. .---PC-,~ | _|____' \(_______) |Routeur| Rôle «HUB» (_______) .................. / ippp0 /__ / / ippp0|..... .................. .---PC-,~ | _|____' \(_______) _______|Routeur| Rôle «SPOKE» eth0 (_______) .................. _________/ dummy0 Pour les besoins des questions de travaux pratiques ci-après, on se limite à un scénario simple d'utilisation des fonctions de filtrage réseau. Le routeur central doit s'assurer que le trafic réseau qu'il route vers l'Internet provient bien de son routeur d'agence auquel il a attribué une adresse IP via PPP. Ce routeur central doit limiter le volume de trafic ICMP pour éviter les éventuels dénis de services relatifs à ce protocole. Il peut aussi intercepter toutes les requêtes DNS du routeur d'agence en exploitant un service de type cache only pour éviter les falsifications des réponses aux questions émises par les postes client du réseau d'agence. Le routeur d'agence doit s'assurer que le trafic réseau entrant sur son interface WAN est bien relatif à une demande qui a été émise via cette même interface. Ce routeur d'agence doit «masquer» son réseau local d'extrémité à l'aide des fonctions de traduction d'adresse source S-NAT. Il doit aussi ouvrir un accès d'administration SSH tout en se protégeant des attaques de type dictionnaire qui consistent à essayer de se connecter au poste avec des milliers de couples login/password connus. Enfin, ce même routeur d'agence doit donner accès à un service Web hébergé dans un périmètre dédié au sein de cette agence. Pour traiter les questions ci-après, il est vivement conseillé de s'appuyer sur la . Plan d'adressage WAN Le plan d'adressage des liaisons WAN reprend celui du support de travaux pratiques Topologie Hub & Spoke avec le protocole PPP. Plan d'adressage liaisons WAN Poste routeur central bus N° tél. Adresses IP hub:spoke N° tél. Poste routeur d'agence alderaan S0.1 104 192.168.104.1:192.168.104.2 105 bespin centares S0.2 106 192.168.106.1:192.168.106.2 107 coruscant dagobah S0.3 108 192.168.108.1:192.168.108.2 109 endor felucia S0.4 110 192.168.110.1:192.168.110.2 111 geonosis hoth S0.5 112 192.168.112.1:192.168.112.2 113 mustafar naboo S0.6 114 192.168.114.1:192.168.114.2 115 tatooine

Les outils de filtrage réseau Sur un système GNU/Linux, les fonctions de filtrage réseau sont réparties entre les espaces mémoire noyau (kernelspace) et utilisateur (userspace). Que l'on utilise un noyau fourni par la distribution au le noyau construit à l'issue des travaux pratiques Configuration des fonctions réseau & compilation du noyau Linux, les fonctions de filtrage réseau sont disponibles sous forme de modules que l'on (charge|décharge) de la mémoire système en cours d'exécution. Les outils de filtrage réseau du noyau Linux chargent dynamiquement ces modules en fonction de la syntaxe des règles de filtrage saisies. Questions sur iptables Quels paquets contiennent les outils utilisateur principaux de manipulation des fonctions de filtrage réseau ? Rechercher dans le cache du gestionnaire de paquets de la distribution des mots clés tels que ou à l'aide des commandes apt-cache ou aptitude. Dans le cadre des travaux pratiques, seuls les outils élémentaires sont utilisés pour faciliter la compréhension des mécanismes de suivi de communication du système de filtrage réseau. On ne s'intéresse donc pas aux paquets qui fournissent des solutions de filtrage «clé en main». Quelles sont les options de la commande iptables qui permettent de visualiser les règles de filtrage réseau actives ainsi que les compteurs correspondants ? Quelle option faut-il préciser pour spécifier la table consultée : netfilter ou nat. Consulter les pages de manuels via # man iptables. Comment visualiser les modules chargés dynamiquement en fonction de l'utilisation des règles de filtrage réseau ? Utiliser la commande qui sert à lister les modules chargés en mémoire avant et après avoir consulté les tables de filtrage réseau pour la première fois. Quels sont les outils de sauvegarde et de restauration des jeux de règles de filtrage réseau fournis avec le paquet iptables ? Consulter la liste des fichiers du paquet iptables. Questions sur netfilter Comment identifier la version du noyau utilisée et la disponibilité des fonctions de filtrage réseau de cette version ? Après avoir utilisé la commande «historique» d'identification de la version du noyau, faire une recherche dans l'arborescence des modules de ce noyau avec la commande find. Trouver les fichiers dont le nom comprend la chaîne . Quels sont les objets du système de fichiers virtuel /proc relatifs aux fonctions de filtrage réseau du noyau Linux ? Avec le chargement des modules en mémoire système, de nouvelles entrées apparaissent dans l'arborescence /proc. Même si l'arborescence /proc n'est pas un véritable système de fichiers, il est possible d'effectuer des recherches toujours à l'aide de la commande find. Comment visualiser les informations de la machine d'état de suivi de communication ? Rechercher les entrées de l'arborescence /proc dont le nom comprend la chaîne conntrack. La section «7.2 Les entrées de conntrack» du Tutoriel iptables décrit précisément les différents champs du suivi de communication. Le programme iptstate affiche les entrées de la table de suivi de communication sur le même mode que la commande top. Règles de filtrage communes à toutes les configurations La mise en place du filtrage réseau sur les équipements doit répondre à deux principes. Comme les équipements d'interconnexion mis en œuvre dans ces travaux pratiques délimitent des périmètres de faible dimension, on a une connaissance exhaustive des flux réseaux sur le système. On adopte donc la règle : tout trafic réseau non autorisé est interdit. Pour exploiter au mieux les fonctionnalités offertes par le noyau Linux, on s'appuie sur le suivi de communication (stateful inspection) pour obtenir un filtrage réseau le plus efficace possible. On cherche donc à suivre la règle d'or d'écriture des règles de filtrage qui consiste à décrire le plus précisément possible le premier paquet qui doit être enregistré dans la table de suivi de communication. Cette règle de description du premier paquet doit être placée après celle(s) qui laisse(nt) passer les flux réseau déjà enregistrés dans la machine d'état de suivi de communication. Quelle est la syntaxe de la commande iptables sur la politique par défaut à appliquer sur les chaînes de la table netfilter pour respecter le premier principe de filtrage énoncé ci-dessus ? De façon très classique, on consulte les pages de manuels de la commande iptables et on recherche le mot clé . La stratégie retenue suppose que l'on implante règles d'autorisation des flux réseaux valides et que tout autre trafic soit éliminé. La politique par défaut à appliquer sur les trois chaînes est donc : . La section «9.3. Commandes» du Tutoriel iptables donne aussi la syntaxe de configuration de cible par défaut pour les chaînes élémentaires : , et . Quelle est la syntaxe de la commande iptables qui autorise le trafic réseau déjà enregistré dans la machine d'état de suivi de communication sur les chaînes et ? La recherche de la correspondance dans les pages de manuel de la commande iptables permet de sélectionner les états et à appliquer sur les chaînes. La section «7.3. États de l'espace utilisateur» du Tutoriel iptables décrit les correspondances entre les états et les flux réseau. À partir des règles de filtrage précédentes, est-il possible d'émettre ou de recevoir du trafic réseau non enregistré dans la machine d'état de suivi de communication ? Faire des tests ICMP, DNS et HTTP. Conclure et justifier. Quelle est la syntaxe de la commande iptables qui autorise le trafic réseau depuis (chaîne ) et vers (chaîne ) l'interface de boucle locale de l'équipement ? Pour que les processus locaux au système puissent communiquer entre eux via la pile de protocole TCP/IP, il est essentiel d'autoriser le trafic sur l'interface de boucle locale . La recherche de la correspondance dans les pages de manuel de la commande iptables permet de sélectionner l'état pour autoriser le premier paquet depuis et vers cette interface. Tous les autres paquets devront correspondre aux règles déjà écrites ci-dessus. Quelle est la syntaxe de la commande iptables qui autorise le trafic sortant sur l'interface LAN en sortie du système ? Comme pour la question précédente, les processus locaux au système doivent pouvoir émettre du trafic via la pile de protocole TCP/IP. Il est donc préférable d'autoriser le trafic sortant sur l'interface LAN. On utilise à nouveau l'état pour autoriser le premier paquet depuis l'interface. Tous les autres paquets devront correspondre aux communications déjà enregistrées dans les tables de suivi. Quelle est la syntaxe de la commande iptables qui autorise le trafic ICMP en entrée du système en limitant le nombre des nouvelles requêtes à 5 par minute ? Interdire tout trafic ICMP est une très mauvaise idée du point de vue administration réseau. Pour autant, il est très facile de se prémunir contre les tentatives de saturation du trafic sur les interfaces en limitant le nombre de requêtes simultanées en entrée sur toutes les interfaces. Dans un premier temps on se contente de cette règle unique très simple même s'il est judicieux de valider les types et les codes des messages ICMP. Dans un deuxième temps, on distinguera les types de messages ; voir . On peut qualifier le fonctionnement de la limitation de trafic à l'aide des commandes ping et hping3 à partir d'un hôte distant. Une fois ces règles basiques en place, on peut aborder les filtrages réseau spécifiques à la topologie de travaux pratiques. Règles de filtrage sur le poste routeur d'agence (<wordasword xmlns:xlink="http://www.w3.org/1999/xlink">spoke</wordasword>) Suivant le cahier des charges fixé, la première contrainte imposée au poste routeur d'agence est de s'assurer que le trafic entrant sur son interface WAN est bien relatif à une demande émise via cette même interface. Le seconde contrainte étant le routage pour le réseau local d'extrémité, on doit compléter le filtrage avec une traduction d'adresse source liée à cette même interface WAN. Il est conseillé de travailler à partir du fichier de règles de filtrage établi dans la section précédente. Après chaque édition de ce fichier, la commande iptables-restore permet d'appliquer le nouveau jeu de règles après avoir effacé les règles précédentes et remis les compteurs de paquets à zéro. Quelle est la syntaxe de la commande iptables qui autorise le trafic sortant sur l'interface WAN ? Relativement à la configuration commune présentée précédemment, il suffit d'ajouter une règle d'autorisation sur la chaîne OUTPUT tout en enregistrant le premier paquet sortant avec l'état NEW. Avec ce jeu de règles actif, on peut lancer la séquence habituelle des tests ICMP et caractériser l'utilisation des règles en visualisant l'évolution des compteurs avec la commande iptables -vL. Quelle est la syntaxe de la commande iptables qui active la traduction d'adresse source pour le trafic sortant sur l'interface WAN ? Le but est de configurer le routeur d'agence pour qu'il ne soit visible de l'Internet qu'à travers l'adresse IP délivrée par le routeur central (ou le fournisseur d'accès). Cette opération utilise la table . On ajoute dans cette table une règle de traduction d'adresse source dynamique liée à l'interface WAN. Il faut rechercher les informations sur la cible dans les pages de manuels de la commande iptables. Ce jeu de règles est-il suffisant pour que le poste se comporte comme un routeur avec une fonction de traduction d'adresses IP sources ? Cette question comprend deux parties. Il faut s'intéresser dans un premier temps à la fonction de routage proprement dite et consulter l'indicateur d'état du noyau Linux qui correspond à la capacité à transmettre un paquet d'une interface vers une autre. Dans un second temps, il faut identifier dans le système de filtrage la chaîne dédiée au transit des paquets. Quelle est la syntaxe de la commande iptables qui autorise le transfert des paquets entrant par l'interface LAN vers l'interface WAN ? Rechercher la syntaxe des règles correspondant à ce qui a déjà été vu dans la mise au point du jeu de règles communes pour les chaînes et . Il faut que tout trafic relatif à une demande enregistrée dans la table de suivi des communications soit accepté. Il faut aussi que les nouveaux paquets entrant par l'interface LAN soient admis et enregistré dans cette table. Quelle est la syntaxe de la commande iptables qui permet l'administration à distance du routeur d'agence (Spoke) via son interface WAN en utilisant le protocole SSH ? Proposer une configuration qui offre une protection contre les attaques de type «dictionnaire». Règles de filtrage sur le routeur central (<wordasword xmlns:xlink="http://www.w3.org/1999/xlink">hub</wordasword>) Suivant le cahier des charges fixé, le routeur central doit autoriser le trafic issu du poste client sur son interface WAN et le router sur l'interface LAN. Tout comme dans le cas du routeur d'agence, on utilise le jeu de règles communes que l'on complète avec les besoins spécifiques à la configuration d'un routeur qui doit faire transiter le trafic d'un interface sur l'autre. À la différence du routeur d'agence, le routeur central maîtrise l'attribution des adresses IP. On peut donc inclure le contrôle des adresses IP sources dans les règles de filtrage réseau. Le jeu de règles communes est-il suffisant pour que le poste se comporte comme un routeur ? Identifier les conditions nécessaires pour que la fonction routage du noyau soit active et que le filtrage réseau autorise le transit de l'interface WAN vers l'interface LAN. Quelle est la syntaxe de la commande iptables qui autorise le transfert des paquets entrant par l'interface WAN vers l'interface LAN ? Après avoir initié des communications avec les différents protocoles usuels (ICMP, UDP et TCP), relever l'état des communications du routeur d'agence distant avec l'outil iptsate. Est-il possible de visualiser à l'aide de l'analyseur réseau wireshark le trafic retour relatif aux requêtes émises par le client WAN ? Sans protocole de routage dynamique assurant la publication de la route vers le réseau étendu sur l'Internet, quelle est la solution technique à utiliser pour que les postes clients distants puissent accéder aux autres réseaux ? Quelle est la syntaxe de la règle d'implantation de la traduction d'adresses IP source en sortie de l'interface LAN du routeur central ? Règles de filtrage avec identification des protocoles Pour les deux configurations étudiées ci-avant, aucune distinction de protocole n'a été effectuée. Pour affiner le processus d'enregistrement et de suivi des communications réseau, il est possible de distinguer les caractéristiques de chacun des protocoles autorisés. Protocole ICMP Le protocole ICMP décrit dans le document standard RFC792 Internet Control Message Protocol est une pièce essentielle du modèle TCP/IP. Il est principalement utilisé pour rapporter les conditions d'erreurs sur les réseaux. Cependant, les caractéristiques actuelles du protocole ne recommandent aucun contrôle de validation sur les messages d'erreur reçus. Ce protocole laisse donc la porte ouverte à une grande variété d'attaques qui peuvent être effectuées contre TCP à l'aide de messages ICMP. Ces attaques comprennent la réinitialisation de connexion, la réduction du débit de sortie, les dégradations de performances. Toutes ces attaques peuvent être réalisées depuis des réseaux distants, sans la nécessité d'analyser les paquets qui correspondent à la connexion TCP attaquée. Alors que les implications sur la sécurité du protocole ICMP sont connues depuis longtemps, tous les systèmes n'ont pas mis en application des contrôles de validation sur les messages d'erreur reçus pour réduire au minimum l'impact de ces attaques. Au niveau du noyau Linux, les responsables du sous-système réseau ont décidé de ne plus traiter les messages de type 4 . On dispose des ressources suivantes pour débuter l'étude du protocole ICMP. La liste des types de messages ICMP est enregistrée par l'Internet Assigned Numbers Authority (IANA) : ICMP parameters. Le Tutoriel iptables contient une section complète de présentation des caractéristiques du protocole ICMP. Règles de filtrage communes à toutes les configurations Avec le protocole TCP, il est possible d'identifier les phases d'établissement, de maintien et de libération de connexion. Avec le protocole UDP, il n'y a pas grand chose à identifier puisque ce protocole n'est pas orienté connexion et que le nombre des champs de l'en-tête est très limité. Quelle est la syntaxe d'appel de la commande iptables qui permet d'afficher la liste des messages ICMP et leurs types connus du système de filtrage réseau ? Quelles sont les modifications à apporter sur le jeu de règles communes pour distinguer les messages ICMP les plus importants ? Quelles sont les modifications à apporter sur le jeu de règles communes pour distinguer les conditions sur les connexions TCP ? Quelles sont les modifications à apporter sur le jeu de règles communes pour distinguer le protocole UDP ? Documents de référence IETF & IANA Types de messages ICMP L'Internet Assigned Numbers Authority a enregistré les types de messages ICMP à la page ICMP parameters. Distribution Debian GNU/Linux Manuel de référence Debian Manuel de référence Debian : configuration du réseau : chapitre du manuel de référence Debian consacré à la configuration réseau. Site inetdoc.net Configuration d'une interface de réseau local Configuration d'une interface de réseau local : identification du type d'interface, de ses caractéristiques et manipulations des paramètres. Ce support fournit une méthodologie de dépannage simple d'une connexion réseau. Fonctions réseau du noyau Linux Configuration des fonctions réseau & compilation du noyau Linux : présentation et configuration des fonctions réseau du noyau LINUX Configuration des fonctions réseau & compilation du noyau LINUX Configuration des fonctions réseau & compilation du noyau Linux : travaux pratiques sur la préparation d'un système routeur GNU/Linux. Compilation d'un noyau LINUX à partir de ses sources après avoir passé en revue ses fonctions réseau et sélectionné les pilotes de périphériques nécessaires. Didacticiel sur Iptables Tutoriel iptables : guide très complet sur le fonctionnement du filtrage réseau avec les noyaux Linux. Guide Pratique du NAT Guide Pratique du NAT : Ce document décrit comment réaliser du camouflage d'adresse IP, un serveur mandataire transparent, de la redirection de ports ou d'autres formes de Traduction d'adresse réseau (Network Address Translation ou NAT) avec le noyau Linux 2.4.