防火牆在校園內一直被認為陌晦高深,很少有系管師有勇氣進行計劃性的實驗,基本上這份講義也可以當成測試報告來閱讀,是筆者秉持我不入地獄、誰入地獄的精神,冒著生命危險,蠻干出來的成果,也藉此拋磚引玉,希望能帶動國內能力高於筆者許多的眾家高手,一起來進行有利於校園網絡的公益研究!
壹、什麼是防火牆防火牆是一套能夠在兩個或兩個以上的網絡之間,明顯區隔出實體線路聯機的軟硬件設備組合。被區隔開來的網絡,可以透過封包轉送技術來相互通訊,透過防火牆的安全管理機制,可以決定哪些數據可以流通,哪些資料無法流通,藉此達到網絡安全保護的目的。防火牆產品可以概略歸類為硬件式防火牆和軟件式防火牆,但實際上無論是硬件式或軟件式防火牆,它們都需要使用硬件來作為聯機介接,也需要使用軟件來設定安全政策,嚴格說兩者間的差別並不太大。我們只能從使用的硬件與操作系統來加以區分,硬件式防火牆是使用專有的硬件,而軟件式防火牆則使用一般的計算機硬件,硬件式防火牆使用專有的操作系統,而軟件式防火牆則使用一般的操作系統。防火牆依照其運作方式來分類,可以區分為封包過濾式防火牆 (Packet Filter) 、應用層網關式防火牆 (Application-Level Gateway,也有人把它稱為 Proxy 防火牆)、電路層網關式防火牆 (Circuit-Level Gateway)。其中被廣為采用的是封包過濾式防火牆,本文要介紹的 iptables 防火牆就是屬於這一種。封包過濾是最早被實作出來的防火牆技術,它是在 TCP/IP 四層架構下的 IP 層中運作。封包過濾器的功能主要是檢查通過的每一個 IP 數據封包,如果其標頭中所含的數據內容符合過濾條件的設定就進行進一步的處理,主要的處理方式包含:放行(accept)、丟棄(drop)或拒絕(reject)。要進行封包過濾,防火牆必須要能分析通過封包的來源 IP 與目的地 IP,還必須能檢查封包類型、來源埠號與目的埠號、封包流向、封包進入防火牆的網卡接口、TCP的聯機狀態等數據。防火牆由於種種理由價格一直居高不下,對於貧窮的中小學來講要采購一台防火牆,簡直是不可能的任務,而由於 Linux 的風行,使用 Linux 來充作軟件式防火牆,似乎是不錯的解決之道,本文擬介紹以 Linux 上最新最強大的 iptables 防火牆軟件,建置出適合學校使用的過濾規則,讓缺錢的學校能有一套好用的防火牆來看守校園網絡的大門。
貳、Linux 防火牆演變簡史Linux 最早出現的防火牆軟件稱為 ipfw,ipfw 能透過 IP 封包標頭的分析,分辨出封包的來源 IP 與目的地 IP、封包類型、來源埠號與目的埠號、封包流向、封包進入防火牆的網卡界面......等,並藉此分析結果來比對規則進行封包過濾,同時也支持 IP 偽裝的功能,利用這個功能可以解決 IP 不足的問題,可惜這支程序缺乏彈性設計,無法自行建立規則組合(ruleset)作更精簡的設定,同時也缺乏網址轉譯功能,無法應付越來越復雜的網絡環境,而逐漸被淘汰。取而代之的 ipchains,不但指令語法更容易理解,功能也較 ipfw 優越;ipchains 允許自訂規則組合(ruleset),稱之為 user-define chains,透過這種設計,我們可以將彼此相關的規則組合在一起,在需要的時候跳到該組規則進行過濾,有效將規則的數量大幅縮減,以往 ipfw 僅能進行循序過濾,導致規則又臭又長的毛病,就不藥而愈了。除了這個明顯的好處以外,ipchains 並能結合本身的端口對應功能和 redir 程序的封包轉送機制,模擬出網址轉譯的能力,而滿足 NAT 的完整需求,堪稱為一套成熟的防火牆作品。防火牆軟件的出現,確實曾經讓駭客們晚上睡不著覺,因為防火牆的阻隔能夠有效讓內部網絡不設防的單機不致於暴露在外,也能有效降低服務器的能見度,減少被攻擊的機會,駭客過去所用的網絡探測技術因此受到嚴格的挑戰,越來越多的攻擊對象躲藏在防火牆後方,讓駭客難以接近,因此必須針對新的情勢,研究出新的探測技術,藉以規避防火牆的檢查,達到發現目標並進而攻擊入侵的目的,新的技術非常多,本文並不擬進一步討論,請自行參考 CERT 組織的技術文件,網址是 www.cert.org ,想看中文請連到 www.cert.org.tw。iptables 作為 ipchains 的新一代繼承人,當然也針對駭客不斷推陳出新的探測技術擬出一些因應之道,那就是對封包的聯機狀態,作出更詳細的分析,例如:是否為新聯機或響應封包、是否為轉向聯機、聯機是否失去響應,聯機時間是否過長......等等,透過這樣的分析能對一些可能被駭客利用的弱點加以阻隔(請詳見後文的說明),另外也開發出真正的封包改寫能力,不需要透過其它程序的協助來仿真網址轉譯,除此之外,iptables 也獲得系統核心的直接支持,不需要像 ipchains 那樣需要自行重新編譯核心。iptables 優越的性能使它取代了 ipchains,成為網絡防火牆的主流,而 ipchains 並未被淘汰,目前 ipchains 已經轉型成單機防火牆,在安裝新版 Linux 時,會自動被安裝啟用,以保護單機上未被使用的通訊端口。
參、iptables 防火牆概論iptables 防火牆的指令非常類似於 ipchains,使用過 ipchains 的人應該很容易上手,但是 iptables 的機制與 ipchains 有很大的不同,使用 ipchains 的概念來設定規則,將會使防火牆無法正常運作。ipchains 跟 iptables 最大的不同在於對 INPUT、FORWARD 、OUTPUT 三個網絡函式的定義不同,這三個網絡函式是 TCP/IP 驅動程序的一部分,結構如下圖所示,是介於網卡驅動程序和應用程序的中間,Linux 核心預設會啟用 INPUT、OUTPUT 和 LOOPBACK,而 FORWARD 函式則必須自行啟用,可以使用下面指令,或直接修改 /etc/sysconfig/network 組態檔:echo "1" > /proc/sys/net/ipv4/ip_forward左圖為 ipchains 概念下的運作圖從上圖可以知道 ipchains 如何處理封包的流動,分述如下:• IP INPUT:所有封包都由 IP INPUT 函式負責處理,所以設定過濾規則時,幾乎都是設定在 INPUT 規則煉上。 • IP FORWARD:目的 IP 非本機的 IP,這些封包需要進一步作轉送處理,此函式用來處理 IP 偽裝和 Port 轉送。 • IP OUTPUT:所有流出的封包都由這個函式處理,通常不需設定任何規則。 iptables 除了上述三支函式以外,還使用兩個新的函式:Prerouting、Postrouting。現在來比較一下 iptables 的運作模式(loopback 接口與上圖相同,所以省略不畫):從上圖可以知道 iptables 如何處理封包的流動,分述如下:• IP INPUT:只有要到達本機的封包才會 由 INPUT 函式處理,所以會讓來自內部網絡的封包無條件放行,來自外部網絡的封包則過濾是否為 響應封包,若是則放行。 • PREROUTING:需要轉送處理的封包由此函式負責處理,此函式用來做目的地 IP 的轉譯動作(DNAT)。 • IP FORWARD:所有轉送封包都在這裡處理,這部分的過濾規則最復雜。 • POSTROUTING:轉送封包送出之前,先透過這個函式進行來源 IP 的轉譯動作(SNAT)。 • IP OUTPUT:從本機送出去的封包由這個函式處理,通常會放行所有封包。 iptables 和 ipchains 都可以自行定義規則群組(rule-set),規則群組被稱為規則煉(chains),前面所描述的函式,也都有相對應的規則煉(INPUT、 FORWARD、OUTPUT、Prerouting、Postrouting),為了有別於自行定義的規則煉,這些規則煉我們就稱為內建規則煉,其運作流程仿真如下圖:從上面兩張假想圖,學員們不難了解 ipchains 為什麼要叫做 chains,因為它是將所有規則串接成一個序列逐一檢查過濾,就像一條鐵鏈一樣一個環接一個環,在過濾過程中只要符合其中一條規則就會立即進行處理,如果處理動作是跳到某個規則群組,則繼續檢查群組內之規則設定,但如果處理動作是 ACCEPT、REJECT、DROP、REDIRECT 或 MASQUERADE,則會中斷過濾程序,而不再繼續檢查後面的規則設定,在這樣的結構之下,有時候規則順序的對調會產生完全相反的結果,這一點在設定防火牆時不能不謹慎。而 iptables 是采用規則堆棧的方式來進行過濾,當一個封包進入網卡,會先檢查 Prerouting,然後檢查目的 IP 判斷是否需要轉送出去,接著就會跳到 INPUT 或 Forward 進行過濾,如果封包需轉送處理則檢查 Postrouting,如果是來自本機封包,則檢查 OUTPUT 以及 Postrouting。過程中如果符合某條規則將會進行處理,處理動作除了 ACCEPT、REJECT、DROP、REDIRECT 和 MASQUERADE 以外,還多出 LOG、ULOG、DNAT、SNAT、MIRROR、QUEUE、RETURN、TOS、TTL、MARK 等,其中某些處理動作不會中斷過濾程序,某些處理動作則會中斷同一規則煉的過濾,並依照前述流程繼續進行下一個規則煉的過濾(注意:這一點與 ipchains 不同),一直到堆棧中的規則檢查完畢為止。透過這種機制所帶來的好處是,我們可以進行復雜、多重的封包過濾,簡單的說,iptables 可以進行縱橫交錯式的過濾(tables)而非煉狀過濾(chains)。雖然 iptables 為了擴充防火牆功能,而必須采用比較復雜的過濾流程,但在實際應用時,同一規則煉下的規則設定還是有先後順序的關系,因此在設定規則時還是必須注意其中的邏輯。
肆、訂定校園網絡安全政策在實際設定防火牆之前,我們必須根據校園網絡的安全需求,先擬定一份安全政策,擬定安全政策前必須搜集以下資料:1. 找出需要過濾保護的服務器 2. 條列出被保護的服務器將提供何種網絡服務 3. 一般工作站,需要何種等級的保護 4. 了解網絡架構與服務器擺放位置 根據這些數據,我們可以決定安全政策,以石牌國小為例:1. 校內使用 NAT 虛擬網絡,IP 數量需要兩組 C,所有 IP 均需作 IP 偽裝 2. 校園內安全需求不高,服務器與工作站擺在同一網段,不需采用 DMZ 設計 3. 由於服務器功能經常擴充,所有服務器均采用一對一對應,不使用 port 轉送功能 4. 所有工作站均能自由使用網絡資源,不限制只能看網頁 5. 服務器提供之服務包含:dns、web、mail、FTP、wam、webmin、ssh、rdp、pcaw,不提供 proxy 及其它網絡服務 6. 為增進校園網絡之安全性,采用正面表列方式進行封包過濾(定義想放行之封包,其余封包一律阻擋) 還有一些網絡安全須注意的事項,則是每所學校都應防范的,沒有等差之別,例如:聯機被綁架、阻斷式攻擊、連接端口掃描......等。
伍、iptables 指令語法:iptables [-t table] command [match] [-j target/jump]-t 參數用來指定規則表,內建的規則表有三個,分別是:nat、mangle 和 filter,當未指定規則表時,則一律視為是 filter。各個規則表的功能如下:nat 此規則表擁有 Prerouting 和 postrouting 兩個規則煉,主要功能為進行一對一、一對多、多對多等網址轉譯工作(SNAT、DNAT),由於轉譯工作的特性,需進行目的地網址轉譯的封包,就不需要進行來源網址轉譯,反之亦然,因此為了提升改寫封包的效率,在防火牆運作時,每個封包只會經過這個規則表一次。如果我們把封包過濾的規則定義在這個數據表裡,將會造成無法對同一封包進行多次比對,因此這個規則表除了作網址轉譯外,請不要做其它用途。mangle 此規則表擁有 Prerouting、FORWARD 和 postrouting 三個規則煉。除了進行網址轉譯工作會改寫封包外,在某些特殊應用可能也必須去改寫封包(TTL、TOS)或者是設定 MARK(將封包作記號,以便進行後續的過濾),這時就必須將這些工作定義在 mangle 規則表中,由於使用率不高,我們不打算在這裡討論 mangle 的用法。filter 這個規則表是預設規則表,擁有 INPUT、FORWARD 和 OUTPUT 三個規則煉,這個規則表顧名思義是用來進行封包過濾的處理動作(例如:DROP、 LOG、 ACCEPT 或 REJECT),我們會將基本規則都建立在此規則表中。常用命令列表:命令 -A, --append范例 iptables -A INPUT ...說明 新增規則到某個規則煉中,該規則將會成為規則煉中的最後一條規則。命令 -D, --delete范例 iptables -D INPUT --dport 80 -j DROPiptables -D INPUT 1 說明 從某個規則煉中刪除一條規則,可以輸入完整規則,或直接指定規則編號加以刪除。命令 -R, --replace范例 iptables -R INPUT 1 -s 192.168.0.1 -j DROP說明 取代現行規則,規則被取代後並不會改變順序。命令 -I, --insert范例 iptables -I INPUT 1 --dport 80 -j ACCEPT說明 插入一條規則,原本該位置上的規則將會往後移動一個順位。命令 -L, --list范例 iptables -L INPUT說明 列出某規則煉中的所有規則。命令 -F, --flush范例 iptables -F INPUT說明 刪除某規則煉中的所有規則。 命令 -Z, --zero范例 iptables -Z INPUT說明 將封包計數器歸零。封包計數器是用來計算同一封包出現次數,是過濾阻斷式攻擊不可或缺的工具。命令 -N, --new-chain范例 iptables -N allowed說明 定義新的規則煉。命令 -X, --delete-chain范例 iptables -X allowed說明 刪除某個規則煉。命令 -P, --policy范例 iptables -P INPUT DROP說明 定義過濾政策。 也就是未符合過濾條件之封包,預設的處理方式。命令 -E, --rename-chain范例 iptables -E allowed disallowed說明 修改某自訂規則煉的名稱。常用封包比對參數:參數 -p, --protocol范例 iptables -A INPUT -p tcp說明 比對通訊協議類型是否相符,可以使用 ! 運算子進行反向比對,例如:-p ! tcp ,意思是指除 tcp 以外的其它類型,包含 udp、icmp ...等。如果要比對所有類型,則可以使用 all 關鍵詞,例如:-p all。參數 -s, --src, --source范例 iptables -A INPUT -s 192.168.1.1說明 用來比對封包的來源 IP,可以比對單機或網絡,比對網絡時請用數字來表示屏蔽,例如:-s 192.168.0.0/24,比對 IP 時也可以使用 ! 運算子進行反向比對,例如:-s ! 192.168.0.0/24。參數 -d, --dst, --destination范例 iptables -A INPUT -d 192.168.1.1說明 用來比對封包的目的地 IP,設定方式同上。參數 -i, --in-interface范例 iptables -A INPUT -i eth0說明 用來比對封包是從哪片網卡進入,可以使用通配字符 + 來做大范圍比對,例如:-i eth+ 表示所有的 ethernet 網卡,也可以使用 ! 運算子進行反向比對,例如:-i ! eth0。 參數 -o, --out-interface范例 iptables -A FORWARD -o eth0說明 用來比對封包要從哪片網卡送出,設定方式同上。參數 --sport, --source-port范例 iptables -A INPUT -p tcp --sport 22說明 用來比對封包的來源埠號,可以比對單一埠,或是一個范圍,例如:--sport 22:80,表示從 22 到 80 埠之間都算是符合條件,如果要比對不連續的多個埠,則必須使用 --multiport 參數,詳見後文。比對埠號時,可以使用 ! 運算子進行反向比對。參數 --dport, --destination-port范例 iptables -A INPUT -p tcp --dport 22說明 用來比對封包的目的地埠號,設定方式同上。參數 --tcp-flags范例 iptables -p tcp --tcp-flags SYN,FIN,ACK SYN說明 比對 TCP 封包的狀態旗號,參數分為兩個部分,第一個部分列舉出想比對的旗號,第二部分則列舉前述旗號中哪些有被設定,未被列舉的旗號必須是空的。TCP 狀態旗號包括:SYN(同步)、ACK(應答)、FIN(結束)、RST(重設)、URG(緊急)、PSH(強迫推送)等均可使用於參數中,除此之外還可以使用關鍵詞 ALL 和 NONE 進行比對。比對旗號時,可以使用 ! 運算子進行反向比對。參數 --syn范例 iptables -p tcp --syn說明 用來比對是否為要求聯機之 TCP 封包,與 iptables -p tcp --tcp-flags SYN,FIN,ACK SYN 的作用完全相同,如果使用 ! 運算子,可用來比對非要求聯機封包。參數 -m multiport --source-port范例 iptables -A INPUT -p tcp -m multiport --source-port 22,53,80,110說明 用來比對不連續的多個來源埠號,一次最多可以比對 15 個埠,可以使用 ! 運算子進行反向比對。參數 -m multiport --destination-port范例 iptables -A INPUT -p tcp -m multiport --destination-port 22,53,80,110說明 用來比對不連續的多個目的地埠號,設定方式同上。參數 -m multiport --port范例 iptables -A INPUT -p tcp -m multiport --port 22,53,80,110說明 這個參數比較特殊,用來比對來源埠號和目的埠號相同的封包,設定方式同上。注意:在本范例中,如果來源端口號為 80 但目的地埠號為 110,這種封包並不算符合條件。參數 --icmp-type范例 iptables -A INPUT -p icmp --icmp-type 8說明 用來比對 ICMP 的類型編號,可以使用代碼或數字編號來進行比對。請打 iptables -p icmp --help 來查看有哪些代碼可以用。參數 -m limit --limit范例 iptables -A INPUT -m limit --limit 3/hour說明 用來比對某段時間內封包的平均流量,上面的例子是用來比對:每小時平均流量是否超過一次 3 個封包。除了每小時平均一次外,也可以每秒鐘、每分鐘或每天平均一次,默認值為每小時平均一次,參數如後: /second、 /minute、/day。除了進行封包數量的比對外,設定這個參數也會在條件達成時,暫停封包的比對動作,以避免因駭客使用洪水攻擊法,導致服務被阻斷。參數 --limit-burst范例 iptables -A INPUT -m limit --limit-burst 5說明 用來比對瞬間大量封包的數量,上面的例子是用來比對一次同時湧入的封包是否超過 5 個(這是默認值),超過此上限的封包將被直接丟棄。使用效果同上。參數 -m mac --mac-source范例 iptables -A INPUT -m mac --mac-source 00:00:00:00:00:01說明 用來比對封包來源網絡接口的硬件地址,這個參數不能用在 OUTPUT 和 Postrouting 規則煉上,這是因為封包要送出到網卡後,才能由網卡驅動程序透過 ARP 通訊協議查出目的地的 MAC 地址,所以 iptables 在進行封包比對時,並不知道封包會送到哪個網絡接口去。參數 --mark范例 iptables -t mangle -A INPUT -m mark --mark 1說明 用來比對封包是否被表示某個號碼,當封包被比對成功時,我們可以透過 MARK 處理動作,將該封包標示一個號碼,號碼最大不可以超過 4294967296。參數 -m owner --uid-owner范例 iptables -A OUTPUT -m owner --uid-owner 500說明 用來比對來自本機的封包,是否為某特定使用者所產生的,這樣可以避免服務器使用 root 或其它身分將敏感數據傳送出去,可以降低系統被駭的損失。可惜這個功能無法比對出來自其它主機的封包。參數 -m owner --gid-owner范例 iptables -A OUTPUT -m owner --gid-owner 0說明 用來比對來自本機的封包,是否為某特定使用者群組所產生的,使用時機同上。參數 -m owner --pid-owner范例 iptables -A OUTPUT -m owner --pid-owner 78說明 用來比對來自本機的封包,是否為某特定行程所產生的,使用時機同上。參數 -m owner --sid-owner范例 iptables -A OUTPUT -m owner --sid-owner 100說明 用來比對來自本機的封包,是否為某特定聯機(Session ID)的響應封包,使用時機同上。參數 -m state --state范例 iptables -A INPUT -m state --state RELATED,ESTABLISHED 說明 用來比對聯機狀態,聯機狀態共有四種:INVALID、ESTABLISHED、NEW 和 RELATED。INVALID 表示該封包的聯機編號(Session ID)無法辨識或編號不正確。ESTABLISHED 表示該封包屬於某個已經建立的聯機。NEW 表示該封包想要起始一個聯機(重設聯機或將聯機重導向)。 RELATED 表示該封包是屬於某個已經建立的聯機,所建立的新聯機。例如:FTP-DATA 聯機必定是源自某個 FTP 聯機。常用的處理動作:-j 參數用來指定要進行的處理動作,常用的處理動作包括:ACCEPT、REJECT、DROP、REDIRECT、MASQUERADE、LOG、DNAT、SNAT、MIRROR、QUEUE、RETURN、MARK,分別說明如下:ACCEPT 將封包放行,進行完此處理動作後,將不再比對其它規則,直接跳往下一個規則煉(nat:postrouting)。REJECT 攔阻該封包,並傳送封包通知對方,可以傳送的封包有幾個選擇:ICMP port-unreachable、ICMP echo-reply 或是 tcp-reset(這個封包會要求對方關閉聯機),進行完此處理動作後,將不再比對其它規則,直接 中斷過濾程序。范例如下:iptables -A FORWARD -p TCP --dport 22 -j REJECT --reject-with tcp-resetDROP 丟棄封包不予處理,進行完此處理動作後,將不再比對其它規則,直接中斷過濾程序。REDIRECT 將封包重新導向到另一個端口(PNAT),進行完此處理動作後,將 會繼續比對其它規則。 這個功能可以用來實作通透式 porxy 或用來保護 web 服務器。例如:iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080MASQUERADE 改寫封包來源 IP 為防火牆 NIC IP,可以指定 port 對應的范圍,進行完此處理動作後,直接跳往下一個規則煉(mangle:postrouting)。這個功能與 SNAT 略有不同,當進行 IP 偽裝時,不需指定要偽裝成哪個 IP,IP 會從網卡直接讀取,當使用撥接連線時,IP 通常是由 ISP 公司的 DHCP 服務器指派的,這個時候 MASQUERADE 特別有用。范例如下:iptables -t nat -A POSTROUTING -p TCP -j MASQUERADE --to-ports 1024-31000LOG 將封包相關訊息紀錄在 /var/log 中,詳細位置請查閱 /etc/syslog.conf 組態檔,進行完此處理動作後,將會繼續比對其它規則。例如:iptables -A INPUT -p tcp -j LOG --log-prefix "INPUT packets"SNAT 改寫封包來源 IP 為某特定 IP 或 IP 范圍,可以指定 port 對應的范圍,進行完此處理動作後,將直接跳往下一個規則煉(mangle:postrouting)。范例如下:iptables -t nat -A POSTROUTING -p tcp-o eth0 -j SNAT --to-source 194.236.50.155-194.236.50.160:1024-32000DNAT 改寫封包目的地 IP 為某特定 IP 或 IP 范圍,可以指定 port 對應的范圍,進行完此處理動作後,將會直接跳往下一個規則煉(filter:input 或 filter:forward)。范例如下:iptables -t nat -A PREROUTING -p tcp -d 15.45.23.67 --dport 80 -j DNAT --to-destination 192.168.1.1-192.168.1.10:80-100MIRROR 鏡射封包,也就是將來源 IP 與目的地 IP 對調後,將封包送回,進行完此處理動作後,將會中斷過濾程序。QUEUE 中斷過濾程序,將封包放入隊列,交給其它程序處理。透過自行開發的處理程序,可以進行其它應用,例如:計算聯機費用.......等。RETURN 結束在目前規則煉中的過濾程序,返回主規則煉繼續過濾,如果把自訂規則煉看成是一個子程序,那麼這個動作,就相當於提早結束子程序並返回到主程序中。MARK 將封包標上某個代號,以便提供作為後續過濾的條件判斷依據,進行完此處理動作後,將會繼續比對其它規則。范例如下:iptables -t mangle -A PREROUTING -p tcp --dport 22 -j MARK --set-mark 2
防火牆在校園內一直被認為陌晦高深,很少有系管師有勇氣進行計劃性的實驗,基本上這份講義也可以當成測試報告來閱讀,是筆者秉持我不入地獄、誰入地獄的精神,冒著生命危險,蠻干出來的成果,也藉此拋磚引玉,希望能帶動國內能力高於筆者許多的眾家高手,一起來進行有利於校園網絡的公益研究!
壹、什麼是防火牆防火牆是一套能夠在兩個或兩個以上的網絡之間,明顯區隔出實體線路聯機的軟硬件設備組合。被區隔開來的網絡,可以透過封包轉送技術來相互通訊,透過防火牆的安全管理機制,可以決定哪些數據可以流通,哪些資料無法流通,藉此達到網絡安全保護的目的。防火牆產品可以概略歸類為硬件式防火牆和軟件式防火牆,但實際上無論是硬件式或軟件式防火牆,它們都需要使用硬件來作為聯機介接,也需要使用軟件來設定安全政策,嚴格說兩者間的差別並不太大。我們只能從使用的硬件與操作系統來加以區分,硬件式防火牆是使用專有的硬件,而軟件式防火牆則使用一般的計算機硬件,硬件式防火牆使用專有的操作系統,而軟件式防火牆則使用一般的操作系統。防火牆依照其運作方式來分類,可以區分為封包過濾式防火牆 (Packet Filter) 、應用層網關式防火牆 (Application-Level Gateway,也有人把它稱為 Proxy 防火牆)、電路層網關式防火牆 (Circuit-Level Gateway)。其中被廣為采用的是封包過濾式防火牆,本文要介紹的 iptables 防火牆就是屬於這一種。封包過濾是最早被實作出來的防火牆技術,它是在 TCP/IP 四層架構下的 IP 層中運作。封包過濾器的功能主要是檢查通過的每一個 IP 數據封包,如果其標頭中所含的數據內容符合過濾條件的設定就進行進一步的處理,主要的處理方式包含:放行(accept)、丟棄(drop)或拒絕(reject)。要進行封包過濾,防火牆必須要能分析通過封包的來源 IP 與目的地 IP,還必須能檢查封包類型、來源埠號與目的埠號、封包流向、封包進入防火牆的網卡接口、TCP的聯機狀態等數據。防火牆由於種種理由價格一直居高不下,對於貧窮的中小學來講要采購一台防火牆,簡直是不可能的任務,而由於 Linux 的風行,使用 Linux 來充作軟件式防火牆,似乎是不錯的解決之道,本文擬介紹以 Linux 上最新最強大的 iptables 防火牆軟件,建置出適合學校使用的過濾規則,讓缺錢的學校能有一套好用的防火牆來看守校園網絡的大門。
貳、Linux 防火牆演變簡史Linux 最早出現的防火牆軟件稱為 ipfw,ipfw 能透過 IP 封包標頭的分析,分辨出封包的來源 IP 與目的地 IP、封包類型、來源埠號與目的埠號、封包流向、封包進入防火牆的網卡界面......等,並藉此分析結果來比對規則進行封包過濾,同時也支持 IP 偽裝的功能,利用這個功能可以解決 IP 不足的問題,可惜這支程序缺乏彈性設計,無法自行建立規則組合(ruleset)作更精簡的設定,同時也缺乏網址轉譯功能,無法應付越來越復雜的網絡環境,而逐漸被淘汰。取而代之的 ipchains,不但指令語法更容易理解,功能也較 ipfw 優越;ipchains 允許自訂規則組合(ruleset),稱之為 user-define chains,透過這種設計,我們可以將彼此相關的規則組合在一起,在需要的時候跳到該組規則進行過濾,有效將規則的數量大幅縮減,以往 ipfw 僅能進行循序過濾,導致規則又臭又長的毛病,就不藥而愈了。除了這個明顯的好處以外,ipchains 並能結合本身的端口對應功能和 redir 程序的封包轉送機制,模擬出網址轉譯的能力,而滿足 NAT 的完整需求,堪稱為一套成熟的防火牆作品。防火牆軟件的出現,確實曾經讓駭客們晚上睡不著覺,因為防火牆的阻隔能夠有效讓內部網絡不設防的單機不致於暴露在外,也能有效降低服務器的能見度,減少被攻擊的機會,駭客過去所用的網絡探測技術因此受到嚴格的挑戰,越來越多的攻擊對象躲藏在防火牆後方,讓駭客難以接近,因此必須針對新的情勢,研究出新的探測技術,藉以規避防火牆的檢查,達到發現目標並進而攻擊入侵的目的,新的技術非常多,本文並不擬進一步討論,請自行參考 CERT 組織的技術文件,網址是 www.cert.org ,想看中文請連到 www.cert.org.tw。iptables 作為 ipchains 的新一代繼承人,當然也針對駭客不斷推陳出新的探測技術擬出一些因應之道,那就是對封包的聯機狀態,作出更詳細的分析,例如:是否為新聯機或響應封包、是否為轉向聯機、聯機是否失去響應,聯機時間是否過長......等等,透過這樣的分析能對一些可能被駭客利用的弱點加以阻隔(請詳見後文的說明),另外也開發出真正的封包改寫能力,不需要透過其它程序的協助來仿真網址轉譯,除此之外,iptables 也獲得系統核心的直接支持,不需要像 ipchains 那樣需要自行重新編譯核心。iptables 優越的性能使它取代了 ipchains,成為網絡防火牆的主流,而 ipchains 並未被淘汰,目前 ipchains 已經轉型成單機防火牆,在安裝新版 Linux 時,會自動被安裝啟用,以保護單機上未被使用的通訊端口。
參、iptables 防火牆概論iptables 防火牆的指令非常類似於 ipchains,使用過 ipchains 的人應該很容易上手,但是 iptables 的機制與 ipchains 有很大的不同,使用 ipchains 的概念來設定規則,將會使防火牆無法正常運作。ipchains 跟 iptables 最大的不同在於對 INPUT、FORWARD 、OUTPUT 三個網絡函式的定義不同,這三個網絡函式是 TCP/IP 驅動程序的一部分,結構如下圖所示,是介於網卡驅動程序和應用程序的中間,Linux 核心預設會啟用 INPUT、OUTPUT 和 LOOPBACK,而 FORWARD 函式則必須自行啟用,可以使用下面指令,或直接修改 /etc/sysconfig/network 組態檔:echo "1" > /proc/sys/net/ipv4/ip_forward左圖為 ipchains 概念下的運作圖從上圖可以知道 ipchains 如何處理封包的流動,分述如下:• IP INPUT:所有封包都由 IP INPUT 函式負責處理,所以設定過濾規則時,幾乎都是設定在 INPUT 規則煉上。 • IP FORWARD:目的 IP 非本機的 IP,這些封包需要進一步作轉送處理,此函式用來處理 IP 偽裝和 Port 轉送。 • IP OUTPUT:所有流出的封包都由這個函式處理,通常不需設定任何規則。 iptables 除了上述三支函式以外,還使用兩個新的函式:Prerouting、Postrouting。現在來比較一下 iptables 的運作模式(loopback 接口與上圖相同,所以省略不畫):從上圖可以知道 iptables 如何處理封包的流動,分述如下:• IP INPUT:只有要到達本機的封包才會 由 INPUT 函式處理,所以會讓來自內部網絡的封包無條件放行,來自外部網絡的封包則過濾是否為 響應封包,若是則放行。 • PREROUTING:需要轉送處理的封包由此函式負責處理,此函式用來做目的地 IP 的轉譯動作(DNAT)。 • IP FORWARD:所有轉送封包都在這裡處理,這部分的過濾規則最復雜。 • POSTROUTING:轉送封包送出之前,先透過這個函式進行來源 IP 的轉譯動作(SNAT)。 • IP OUTPUT:從本機送出去的封包由這個函式處理,通常會放行所有封包。 iptables 和 ipchains 都可以自行定義規則群組(rule-set),規則群組被稱為規則煉(chains),前面所描述的函式,也都有相對應的規則煉(INPUT、 FORWARD、OUTPUT、Prerouting、Postrouting),為了有別於自行定義的規則煉,這些規則煉我們就稱為內建規則煉,其運作流程仿真如下圖:從上面兩張假想圖,學員們不難了解 ipchains 為什麼要叫做 chains,因為它是將所有規則串接成一個序列逐一檢查過濾,就像一條鐵鏈一樣一個環接一個環,在過濾過程中只要符合其中一條規則就會立即進行處理,如果處理動作是跳到某個規則群組,則繼續檢查群組內之規則設定,但如果處理動作是 ACCEPT、REJECT、DROP、REDIRECT 或 MASQUERADE,則會中斷過濾程序,而不再繼續檢查後面的規則設定,在這樣的結構之下,有時候規則順序的對調會產生完全相反的結果,這一點在設定防火牆時不能不謹慎。而 iptables 是采用規則堆棧的方式來進行過濾,當一個封包進入網卡,會先檢查 Prerouting,然後檢查目的 IP 判斷是否需要轉送出去,接著就會跳到 INPUT 或 Forward 進行過濾,如果封包需轉送處理則檢查 Postrouting,如果是來自本機封包,則檢查 OUTPUT 以及 Postrouting。過程中如果符合某條規則將會進行處理,處理動作除了 ACCEPT、REJECT、DROP、REDIRECT 和 MASQUERADE 以外,還多出 LOG、ULOG、DNAT、SNAT、MIRROR、QUEUE、RETURN、TOS、TTL、MARK 等,其中某些處理動作不會中斷過濾程序,某些處理動作則會中斷同一規則煉的過濾,並依照前述流程繼續進行下一個規則煉的過濾(注意:這一點與 ipchains 不同),一直到堆棧中的規則檢查完畢為止。透過這種機制所帶來的好處是,我們可以進行復雜、多重的封包過濾,簡單的說,iptables 可以進行縱橫交錯式的過濾(tables)而非煉狀過濾(chains)。雖然 iptables 為了擴充防火牆功能,而必須采用比較復雜的過濾流程,但在實際應用時,同一規則煉下的規則設定還是有先後順序的關系,因此在設定規則時還是必須注意其中的邏輯。
肆、訂定校園網絡安全政策在實際設定防火牆之前,我們必須根據校園網絡的安全需求,先擬定一份安全政策,擬定安全政策前必須搜集以下資料:1. 找出需要過濾保護的服務器 2. 條列出被保護的服務器將提供何種網絡服務 3. 一般工作站,需要何種等級的保護 4. 了解網絡架構與服務器擺放位置 根據這些數據,我們可以決定安全政策,以石牌國小為例:1. 校內使用 NAT 虛擬網絡,IP 數量需要兩組 C,所有 IP 均需作 IP 偽裝 2. 校園內安全需求不高,服務器與工作站擺在同一網段,不需采用 DMZ 設計 3. 由於服務器功能經常擴充,所有服務器均采用一對一對應,不使用 port 轉送功能 4. 所有工作站均能自由使用網絡資源,不限制只能看網頁 5. 服務器提供之服務包含:dns、web、mail、ftp、wam、webmin、ssh、rdp、pcaw,不提供 proxy 及其它網絡服務 6. 為增進校園網絡之安全性,采用正面表列方式進行封包過濾(定義想放行之封包,其余封包一律阻擋) 還有一些網絡安全須注意的事項,則是每所學校都應防范的,沒有等差之別,例如:聯機被綁架、阻斷式攻擊、連接端口掃描......等。
伍、iptables 指令語法:iptables [-t table] command [match] [-j target/jump]-t 參數用來指定規則表,內建的規則表有三個,分別是:nat、mangle 和 filter,當未指定規則表時,則一律視為是 filter。各個規則表的功能如下:nat 此規則表擁有 Prerouting 和 postrouting 兩個規則煉,主要功能為進行一對一、一對多、多對多等網址轉譯工作(SNAT、DNAT),由於轉譯工作的特性,需進行目的地網址轉譯的封包,就不需要進行來源網址轉譯,反之亦然,因此為了提升改寫封包的效率,在防火牆運作時,每個封包只會經過這個規則表一次。如果我們把封包過濾的規則定義在這個數據表裡,將會造成無法對同一封包進行多次比對,因此這個規則表除了作網址轉譯外,請不要做其它用途。mangle 此規則表擁有 Prerouting、FORWARD 和 postrouting 三個規則煉。除了進行網址轉譯工作會改寫封包外,在某些特殊應用可能也必須去改寫封包(TTL、TOS)或者是設定 MARK(將封包作記號,以便進行後續的過濾),這時就必須將這些工作定義在 mangle 規則表中,由於使用率不高,我們不打算在這裡討論 mangle 的用法。filter 這個規則表是預設規則表,擁有 INPUT、FORWARD 和 OUTPUT 三個規則煉,這個規則表顧名思義是用來進行封包過濾的處理動作(例如:DROP、 LOG、 ACCEPT 或 REJECT),我們會將基本規則都建立在此規則表中。常用命令列表:命令 -A, --append范例 iptables -A INPUT ...說明 新增規則到某個規則煉中,該規則將會成為規則煉中的最後一條規則。命令 -D, --delete范例 iptables -D INPUT --dport 80 -j DROPiptables -D INPUT 1 說明 從某個規則煉中刪除一條規則,可以輸入完整規則,或直接指定規則編號加以刪除。命令 -R, --replace范例 iptables -R INPUT 1 -s 192.168.0.1 -j DROP說明 取代現行規則,規則被取代後並不會改變順序。命令 -I, --insert范例 iptables -I INPUT 1 --dport 80 -j ACCEPT說明 插入一條規則,原本該位置上的規則將會往後移動一個順位。命令 -L, --list范例 iptables -L INPUT說明 列出某規則煉中的所有規則。命令 -F, --flush范例 iptables -F INPUT說明 刪除某規則煉中的所有規則。 命令 -Z, --zero范例 iptables -Z INPUT說明 將封包計數器歸零。封包計數器是用來計算同一封包出現次數,是過濾阻斷式攻擊不可或缺的工具。命令 -N, --new-chain范例 iptables -N allowed說明 定義新的規則煉。命令 -X, --delete-chain范例 iptables -X allowed說明 刪除某個規則煉。命令 -P, --policy范例 iptables -P INPUT DROP說明 定義過濾政策。 也就是未符合過濾條件之封包,預設的處理方式。命令 -E, --rename-chain范例 iptables -E allowed disallowed說明 修改某自訂規則煉的名稱。常用封包比對參數:參數 -p, --protocol范例 iptables -A INPUT -p tcp說明 比對通訊協議類型是否相符,可以使用 ! 運算子進行反向比對,例如:-p ! tcp ,意思是指除 tcp 以外的其它類型,包含 udp、icmp ...等。如果要比對所有類型,則可以使用 all 關鍵詞,例如:-p all。參數 -s, --src, --source范例 iptables -A INPUT -s 192.168.1.1說明 用來比對封包的來源 IP,可以比對單機或網絡,比對網絡時請用數字來表示屏蔽,例如:-s 192.168.0.0/24,比對 IP 時也可以使用 ! 運算子進行反向比對,例如:-s ! 192.168.0.0/24。參數 -d, --dst, --destination范例 iptables -A INPUT -d 192.168.1.1說明 用來比對封包的目的地 IP,設定方式同上。參數 -i, --in-interface范例 iptables -A INPUT -i eth0說明 用來比對封包是從哪片網卡進入,可以使用通配字符 + 來做大范圍比對,例如:-i eth+ 表示所有的 ethernet 網卡,也可以使用 ! 運算子進行反向比對,例如:-i ! eth0。 參數 -o, --out-interface范例 iptables -A FORWARD -o eth0說明 用來比對封包要從哪片網卡送出,設定方式同上。參數 --sport, --source-port范例 iptables -A INPUT -p tcp --sport 22說明 用來比對封包的來源埠號,可以比對單一埠,或是一個范圍,例如:--sport 22:80,表示從 22 到 80 埠之間都算是符合條件,如果要比對不連續的多個埠,則必須使用 --multiport 參數,詳見後文。比對埠號時,可以使用 ! 運算子進行反向比對。參數 --dport, --destination-port范例 iptables -A INPUT -p tcp --dport 22說明 用來比對封包的目的地埠號,設定方式同上。參數 --tcp-flags范例 iptables -p tcp --tcp-flags SYN,FIN,ACK SYN說明 比對 TCP 封包的狀態旗號,參數分為兩個部分,第一個部分列舉出想比對的旗號,第二部分則列舉前述旗號中哪些有被設定,未被列舉的旗號必須是空的。TCP 狀態旗號包括:SYN(同步)、ACK(應答)、FIN(結束)、RST(重設)、URG(緊急)、PSH(強迫推送)等均可使用於參數中,除此之外還可以使用關鍵詞 ALL 和 NONE 進行比對。比對旗號時,可以使用 ! 運算子進行反向比對。參數 --syn范例 iptables -p tcp --syn說明 用來比對是否為要求聯機之 TCP 封包,與 iptables -p tcp --tcp-flags SYN,FIN,ACK SYN 的作用完全相同,如果使用 ! 運算子,可用來比對非要求聯機封包。參數 -m multiport --source-port范例 iptables -A INPUT -p tcp -m multiport --source-port 22,53,80,110說明 用來比對不連續的多個來源埠號,一次最多可以比對 15 個埠,可以使用 ! 運算子進行反向比對。參數 -m multiport --destination-port范例 iptables -A INPUT -p tcp -m multiport --destination-port 22,53,80,110說明 用來比對不連續的多個目的地埠號,設定方式同上。參數 -m multiport --port范例 iptables -A INPUT -p tcp -m multiport --port 22,53,80,110說明 這個參數比較特殊,用來比對來源埠號和目的埠號相同的封包,設定方式同上。注意:在本范例中,如果來源端口號為 80 但目的地埠號為 110,這種封包並不算符合條件。參數 --icmp-type范例 iptables -A INPUT -p icmp --icmp-type 8說明 用來比對 ICMP 的類型編號,可以使用代碼或數字編號來進行比對。請打 iptables -p icmp --help 來查看有哪些代碼可以用。參數 -m limit --limit范例 iptables -A INPUT -m limit --limit 3/hour說明 用來比對某段時間內封包的平均流量,上面的例子是用來比對:每小時平均流量是否超過一次 3 個封包。除了每小時平均一次外,也可以每秒鐘、每分鐘或每天平均一次,默認值為每小時平均一次,參數如後: /second、 /minute、/day。除了進行封包數量的比對外,設定這個參數也會在條件達成時,暫停封包的比對動作,以避免因駭客使用洪水攻擊法,導致服務被阻斷。參數 --limit-burst范例 iptables -A INPUT -m limit --limit-burst 5說明 用來比對瞬間大量封包的數量,上面的例子是用來比對一次同時湧入的封包是否超過 5 個(這是默認值),超過此上限的封包將被直接丟棄。使用效果同上。參數 -m mac --mac-source范例 iptables -A INPUT -m mac --mac-source 00:00:00:00:00:01說明 用來比對封包來源網絡接口的硬件地址,這個參數不能用在 OUTPUT 和 Postrouting 規則煉上,這是因為封包要送出到網卡後,才能由網卡驅動程序透過 ARP 通訊協議查出目的地的 MAC 地址,所以 iptables 在進行封包比對時,並不知道封包會送到哪個網絡接口去。參數 --mark范例 iptables -t mangle -A INPUT -m mark --mark 1說明 用來比對封包是否被表示某個號碼,當封包被比對成功時,我們可以透過 MARK 處理動作,將該封包標示一個號碼,號碼最大不可以超過 4294967296。參數 -m owner --uid-owner范例 iptables -A OUTPUT -m owner --uid-owner 500說明 用來比對來自本機的封包,是否為某特定使用者所產生的,這樣可以避免服務器使用 root 或其它身分將敏感數據傳送出去,可以降低系統被駭的損失。可惜這個功能無法比對出來自其它主機的封包。參數 -m owner --gid-owner范例 iptables -A OUTPUT -m owner --gid-owner 0說明 用來比對來自本機的封包,是否為某特定使用者群組所產生的,使用時機同上。參數 -m owner --pid-owner范例 iptables -A OUTPUT -m owner --pid-owner 78說明 用來比對來自本機的封包,是否為某特定行程所產生的,使用時機同上。參數 -m owner --sid-owner范例 iptables -A OUTPUT -m owner --sid-owner 100說明 用來比對來自本機的封包,是否為某特定聯機(Session ID)的響應封包,使用時機同上。參數 -m state --state范例 iptables -A INPUT -m state --state RELATED,ESTABLISHED 說明 用來比對聯機狀態,聯機狀態共有四種:INVALID、ESTABLISHED、NEW 和 RELATED。INVALID 表示該封包的聯機編號(Session ID)無法辨識或編號不正確。ESTABLISHED 表示該封包屬於某個已經建立的聯機。NEW 表示該封包想要起始一個聯機(重設聯機或將聯機重導向)。 RELATED 表示該封包是屬於某個已經建立的聯機,所建立的新聯機。例如:FTP-DATA 聯機必定是源自某個 FTP 聯機。常用的處理動作:-j 參數用來指定要進行的處理動作,常用的處理動作包括:ACCEPT、REJECT、DROP、REDIRECT、MASQUERADE、LOG、DNAT、SNAT、MIRROR、QUEUE、RETURN、MARK,分別說明如下:ACCEPT 將封包放行,進行完此處理動作後,將不再比對其它規則,直接跳往下一個規則煉(nat:postrouting)。REJECT 攔阻該封包,並傳送封包通知對方,可以傳送的封包有幾個選擇:ICMP port-unreachable、ICMP echo-reply 或是 tcp-reset(這個封包會要求對方關閉聯機),進行完此處理動作後,將不再比對其它規則,直接 中斷過濾程序。范例如下:iptables -A FORWARD -p TCP --dport 22 -j REJECT --reject-with tcp-resetDROP 丟棄封包不予處理,進行完此處理動作後,將不再比對其它規則,直接中斷過濾程序。REDIRECT 將封包重新導向到另一個端口(PNAT),進行完此處理動作後,將 會繼續比對其它規則。 這個功能可以用來實作通透式 porxy 或用來保護 web 服務器。例如:iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080MASQUERADE 改寫封包來源 IP 為防火牆 NIC IP,可以指定 port 對應的范圍,進行完此處理動作後,直接跳往下一個規則煉(mangle:postrouting)。這個功能與 SNAT 略有不同,當進行 IP 偽裝時,不需指定要偽裝成哪個 IP,IP 會從網卡直接讀取,當使用撥接連線時,IP 通常是由 ISP 公司的 DHCP 服務器指派的,這個時候 MASQUERADE 特別有用。范例如下:iptables -t nat -A POSTROUTING -p TCP -j MASQUERADE --to-ports 1024-31000LOG 將封包相關訊息紀錄在 /var/log 中,詳細位置請查閱 /etc/syslog.conf 組態檔,進行完此處理動作後,將會繼續比對其它規則。例如:iptables -A INPUT -p tcp -j LOG --log-prefix "INPUT packets"SNAT 改寫封包來源 IP 為某特定 IP 或 IP 范圍,可以指定 port 對應的范圍,進行完此處理動作後,將直接跳往下一個規則煉(mangle:postrouting)。范例如下:iptables -t nat -A POSTROUTING -p tcp-o eth0 -j SNAT --to-source 194.236.50.155-194.236.50.160:1024-32000DNAT 改寫封包目的地 IP 為某特定 IP 或 IP 范圍,可以指定 port 對應的范圍,進行完此處理動作後,將會直接跳往下一個規則煉(filter:input 或 filter:forward)。范例如下:iptables -t nat -A PREROUTING -p tcp -d 15.45.23.67 --dport 80 -j DNAT --to-destination 192.168.1.1-192.168.1.10:80-100MIRROR 鏡射封包,也就是將來源 IP 與目的地 IP 對調後,將封包送回,進行完此處理動作後,將會中斷過濾程序。QUEUE 中斷過濾程序,將封包放入隊列,交給其它程序處理。透過自行開發的處理程序,可以進行其它應用,例如:計算聯機費用.......等。RETURN 結束在目前規則煉中的過濾程序,返回主規則煉繼續過濾,如果把自訂規則煉看成是一個子程序,那麼這個動作,就相當於提早結束子程序並返回到主程序中。MARK 將封包標上某個代號,以便提供作為後續過濾的條件判斷依據,進行完此處理動作後,將會繼續比對其它規則。范例如下:iptables -t mangle -A PREROUTING -p tcp --dport 22 -j MARK --set-mark 2
防火牆在校園內一直被認為陌晦高深,很少有系管師有勇氣進行計劃性的實驗,基本上這份講義也可以當成測試報告來閱讀,是筆者秉持我不入地獄、誰入地獄的精神,冒著生命危險,蠻干出來的成果,也藉此拋磚引玉,希望能帶動國內能力高於筆者許多的眾家高手,一起來進行有利於校園網絡的公益研究!
壹、什麼是防火牆防火牆是一套能夠在兩個或兩個以上的網絡之間,明顯區隔出實體線路聯機的軟硬件設備組合。被區隔開來的網絡,可以透過封包轉送技術來相互通訊,透過防火牆的安全管理機制,可以決定哪些數據可以流通,哪些資料無法流通,藉此達到網絡安全保護的目的。防火牆產品可以概略歸類為硬件式防火牆和軟件式防火牆,但實際上無論是硬件式或軟件式防火牆,它們都需要使用硬件來作為聯機介接,也需要使用軟件來設定安全政策,嚴格說兩者間的差別並不太大。我們只能從使用的硬件與操作系統來加以區分,硬件式防火牆是使用專有的硬件,而軟件式防火牆則使用一般的計算機硬件,硬件式防火牆使用專有的操作系統,而軟件式防火牆則使用一般的操作系統。防火牆依照其運作方式來分類,可以區分為封包過濾式防火牆 (Packet Filter) 、應用層網關式防火牆 (Application-Level Gateway,也有人把它稱為 Proxy 防火牆)、電路層網關式防火牆 (Circuit-Level Gateway)。其中被廣為采用的是封包過濾式防火牆,本文要介紹的 iptables 防火牆就是屬於這一種。封包過濾是最早被實作出來的防火牆技術,它是在 TCP/IP 四層架構下的 IP 層中運作。封包過濾器的功能主要是檢查通過的每一個 IP 數據封包,如果其標頭中所含的數據內容符合過濾條件的設定就進行進一步的處理,主要的處理方式包含:放行(accept)、丟棄(drop)或拒絕(reject)。要進行封包過濾,防火牆必須要能分析通過封包的來源 IP 與目的地 IP,還必須能檢查封包類型、來源埠號與目的埠號、封包流向、封包進入防火牆的網卡接口、TCP的聯機狀態等數據。防火牆由於種種理由價格一直居高不下,對於貧窮的中小學來講要采購一台防火牆,簡直是不可能的任務,而由於 Linux 的風行,使用 Linux 來充作軟件式防火牆,似乎是不錯的解決之道,本文擬介紹以 Linux 上最新最強大的 iptables 防火牆軟件,建置出適合學校使用的過濾規則,讓缺錢的學校能有一套好用的防火牆來看守校園網絡的大門。
貳、Linux 防火牆演變簡史Linux 最早出現的防火牆軟件稱為 ipfw,ipfw 能透過 IP 封包標頭的分析,分辨出封包的來源 IP 與目的地 IP、封包類型、來源埠號與目的埠號、封包流向、封包進入防火牆的網卡界面......等,並藉此分析結果來比對規則進行封包過濾,同時也支持 IP 偽裝的功能,利用這個功能可以解決 IP 不足的問題,可惜這支程序缺乏彈性設計,無法自行建立規則組合(ruleset)作更精簡的設定,同時也缺乏網址轉譯功能,無法應付越來越復雜的網絡環境,而逐漸被淘汰。取而代之的 ipchains,不但指令語法更容易理解,功能也較 ipfw 優越;ipchains 允許自訂規則組合(ruleset),稱之為 user-define chains,透過這種設計,我們可以將彼此相關的規則組合在一起,在需要的時候跳到該組規則進行過濾,有效將規則的數量大幅縮減,以往 ipfw 僅能進行循序過濾,導致規則又臭又長的毛病,就不藥而愈了。除了這個明顯的好處以外,ipchains 並能結合本身的端口對應功能和 redir 程序的封包轉送機制,模擬出網址轉譯的能力,而滿足 NAT 的完整需求,堪稱為一套成熟的防火牆作品。防火牆軟件的出現,確實曾經讓駭客們晚上睡不著覺,因為防火牆的阻隔能夠有效讓內部網絡不設防的單機不致於暴露在外,也能有效降低服務器的能見度,減少被攻擊的機會,駭客過去所用的網絡探測技術因此受到嚴格的挑戰,越來越多的攻擊對象躲藏在防火牆後方,讓駭客難以接近,因此必須針對新的情勢,研究出新的探測技術,藉以規避防火牆的檢查,達到發現目標並進而攻擊入侵的目的,新的技術非常多,本文並不擬進一步討論,請自行參考 CERT 組織的技術文件,網址是 www.cert.org ,想看中文請連到 www.cert.org.tw。iptables 作為 ipchains 的新一代繼承人,當然也針對駭客不斷推陳出新的探測技術擬出一些因應之道,那就是對封包的聯機狀態,作出更詳細的分析,例如:是否為新聯機或響應封包、是否為轉向聯機、聯機是否失去響應,聯機時間是否過長......等等,透過這樣的分析能對一些可能被駭客利用的弱點加以阻隔(請詳見後文的說明),另外也開發出真正的封包改寫能力,不需要透過其它程序的協助來仿真網址轉譯,除此之外,iptables 也獲得系統核心的直接支持,不需要像 ipchains 那樣需要自行重新編譯核心。iptables 優越的性能使它取代了 ipchains,成為網絡防火牆的主流,而 ipchains 並未被淘汰,目前 ipchains 已經轉型成單機防火牆,在安裝新版 Linux 時,會自動被安裝啟用,以保護單機上未被使用的通訊端口。
參、iptables 防火牆概論iptables 防火牆的指令非常類似於 ipchains,使用過 ipchains 的人應該很容易上手,但是 iptables 的機制與 ipchains 有很大的不同,使用 ipchains 的概念來設定規則,將會使防火牆無法正常運作。ipchains 跟 iptables 最大的不同在於對 INPUT、FORWARD 、OUTPUT 三個網絡函式的定義不同,這三個網絡函式是 TCP/IP 驅動程序的一部分,結構如下圖所示,是介於網卡驅動程序和應用程序的中間,Linux 核心預設會啟用 INPUT、OUTPUT 和 LOOPBACK,而 FORWARD 函式則必須自行啟用,可以使用下面指令,或直接修改 /etc/sysconfig/network 組態檔:echo "1" > /proc/sys/net/ipv4/ip_forward左圖為 ipchains 概念下的運作圖從上圖可以知道 ipchains 如何處理封包的流動,分述如下:• IP INPUT:所有封包都由 IP INPUT 函式負責處理,所以設定過濾規則時,幾乎都是設定在 INPUT 規則煉上。 • IP FORWARD:目的 IP 非本機的 IP,這些封包需要進一步作轉送處理,此函式用來處理 IP 偽裝和 Port 轉送。 • IP OUTPUT:所有流出的封包都由這個函式處理,通常不需設定任何規則。 iptables 除了上述三支函式以外,還使用兩個新的函式:Prerouting、Postrouting。現在來比較一下 iptables 的運作模式(loopback 接口與上圖相同,所以省略不畫):從上圖可以知道 iptables 如何處理封包的流動,分述如下:• IP INPUT:只有要到達本機的封包才會 由 INPUT 函式處理,所以會讓來自內部網絡的封包無條件放行,來自外部網絡的封包則過濾是否為 響應封包,若是則放行。 • PREROUTING:需要轉送處理的封包由此函式負責處理,此函式用來做目的地 IP 的轉譯動作(DNAT)。 • IP FORWARD:所有轉送封包都在這裡處理,這部分的過濾規則最復雜。 • POSTROUTING:轉送封包送出之前,先透過這個函式進行來源 IP 的轉譯動作(SNAT)。 • IP OUTPUT:從本機送出去的封包由這個函式處理,通常會放行所有封包。 iptables 和 ipchains 都可以自行定義規則群組(rule-set),規則群組被稱為規則煉(chains),前面所描述的函式,也都有相對應的規則煉(INPUT、 FORWARD、OUTPUT、Prerouting、Postrouting),為了有別於自行定義的規則煉,這些規則煉我們就稱為內建規則煉,其運作流程仿真如下圖:從上面兩張假想圖,學員們不難了解 ipchains 為什麼要叫做 chains,因為它是將所有規則串接成一個序列逐一檢查過濾,就像一條鐵鏈一樣一個環接一個環,在過濾過程中只要符合其中一條規則就會立即進行處理,如果處理動作是跳到某個規則群組,則繼續檢查群組內之規則設定,但如果處理動作是 ACCEPT、REJECT、DROP、REDIRECT 或 MASQUERADE,則會中斷過濾程序,而不再繼續檢查後面的規則設定,在這樣的結構之下,有時候規則順序的對調會產生完全相反的結果,這一點在設定防火牆時不能不謹慎。而 iptables 是采用規則堆棧的方式來進行過濾,當一個封包進入網卡,會先檢查 Prerouting,然後檢查目的 IP 判斷是否需要轉送出去,接著就會跳到 INPUT 或 Forward 進行過濾,如果封包需轉送處理則檢查 Postrouting,如果是來自本機封包,則檢查 OUTPUT 以及 Postrouting。過程中如果符合某條規則將會進行處理,處理動作除了 ACCEPT、REJECT、DROP、REDIRECT 和 MASQUERADE 以外,還多出 LOG、ULOG、DNAT、SNAT、MIRROR、QUEUE、RETURN、TOS、TTL、MARK 等,其中某些處理動作不會中斷過濾程序,某些處理動作則會中斷同一規則煉的過濾,並依照前述流程繼續進行下一個規則煉的過濾(注意:這一點與 ipchains 不同),一直到堆棧中的規則檢查完畢為止。透過這種機制所帶來的好處是,我們可以進行復雜、多重的封包過濾,簡單的說,iptables 可以進行縱橫交錯式的過濾(tables)而非煉狀過濾(chains)。雖然 iptables 為了擴充防火牆功能,而必須采用比較復雜的過濾流程,但在實際應用時,同一規則煉下的規則設定還是有先後順序的關系,因此在設定規則時還是必須注意其中的邏輯。
肆、訂定校園網絡安全政策在實際設定防火牆之前,我們必須根據校園網絡的安全需求,先擬定一份安全政策,擬定安全政策前必須搜集以下資料:1. 找出需要過濾保護的服務器 2. 條列出被保護的服務器將提供何種網絡服務 3. 一般工作站,需要何種等級的保護 4. 了解網絡架構與服務器擺放位置 根據這些數據,我們可以決定安全政策,以石牌國小為例:1. 校內使用 NAT 虛擬網絡,IP 數量需要兩組 C,所有 IP 均需作 IP 偽裝 2. 校園內安全需求不高,服務器與工作站擺在同一網段,不需采用 DMZ 設計 3. 由於服務器功能經常擴充,所有服務器均采用一對一對應,不使用 port 轉送功能 4. 所有工作站均能自由使用網絡資源,不限制只能看網頁 5. 服務器提供之服務包含:dns、web、mail、ftp、wam、webmin、ssh、rdp、pcaw,不提供 proxy 及其它網絡服務 6. 為增進校園網絡之安全性,采用正面表列方式進行封包過濾(定義想放行之封包,其余封包一律阻擋) 還有一些網絡安全須注意的事項,則是每所學校都應防范的,沒有等差之別,例如:聯機被綁架、阻斷式攻擊、連接端口掃描......等。
伍、iptables 指令語法:iptables [-t table] command [match] [-j target/jump]-t 參數用來指定規則表,內建的規則表有三個,分別是:nat、mangle 和 filter,當未指定規則表時,則一律視為是 filter。各個規則表的功能如下:nat 此規則表擁有 Prerouting 和 postrouting 兩個規則煉,主要功能為進行一對一、一對多、多對多等網址轉譯工作(SNAT、DNAT),由於轉譯工作的特性,需進行目的地網址轉譯的封包,就不需要進行來源網址轉譯,反之亦然,因此為了提升改寫封包的效率,在防火牆運作時,每個封包只會經過這個規則表一次。如果我們把封包過濾的規則定義在這個數據表裡,將會造成無法對同一封包進行多次比對,因此這個規則表除了作網址轉譯外,請不要做其它用途。mangle 此規則表擁有 Prerouting、FORWARD 和 postrouting 三個規則煉。除了進行網址轉譯工作會改寫封包外,在某些特殊應用可能也必須去改寫封包(TTL、TOS)或者是設定 MARK(將封包作記號,以便進行後續的過濾),這時就必須將這些工作定義在 mangle 規則表中,由於使用率不高,我們不打算在這裡討論 mangle 的用法。filter 這個規則表是預設規則表,擁有 INPUT、FORWARD 和 OUTPUT 三個規則煉,這個規則表顧名思義是用來進行封包過濾的處理動作(例如:DROP、 LOG、 ACCEPT 或 REJECT),我們會將基本規則都建立在此規則表中。常用命令列表:命令 -A, --append范例 iptables -A INPUT ...說明 新增規則到某個規則煉中,該規則將會成為規則煉中的最後一條規則。命令 -D, --delete范例 iptables -D INPUT --dport 80 -j DROPiptables -D INPUT 1 說明 從某個規則煉中刪除一條規則,可以輸入完整規則,或直接指定規則編號加以刪除。命令 -R, --replace范例 iptables -R INPUT 1 -s 192.168.0.1 -j DROP說明 取代現行規則,規則被取代後並不會改變順序。命令 -I, --insert范例 iptables -I INPUT 1 --dport 80 -j ACCEPT說明 插入一條規則,原本該位置上的規則將會往後移動一個順位。命令 -L, --list范例 iptables -L INPUT說明 列出某規則煉中的所有規則。命令 -F, --flush范例 iptables -F INPUT說明 刪除某規則煉中的所有規則。 命令 -Z, --zero范例 iptables -Z INPUT說明 將封包計數器歸零。封包計數器是用來計算同一封包出現次數,是過濾阻斷式攻擊不可或缺的工具。命令 -N, --new-chain范例 iptables -N allowed說明 定義新的規則煉。命令 -X, --delete-chain范例 iptables -X allowed說明 刪除某個規則煉。命令 -P, --policy范例 iptables -P INPUT DROP說明 定義過濾政策。 也就是未符合過濾條件之封包,預設的處理方式。命令 -E, --rename-chain范例 iptables -E allowed disallowed說明 修改某自訂規則煉的名稱。常用封包比對參數:參數 -p, --protocol范例 iptables -A INPUT -p tcp說明 比對通訊協議類型是否相符,可以使用 ! 運算子進行反向比對,例如:-p ! tcp ,意思是指除 tcp 以外的其它類型,包含 udp、icmp ...等。如果要比對所有類型,則可以使用 all 關鍵詞,例如:-p all。參數 -s, --src, --source范例 iptables -A INPUT -s 192.168.1.1說明 用來比對封包的來源 IP,可以比對單機或網絡,比對網絡時請用數字來表示屏蔽,例如:-s 192.168.0.0/24,比對 IP 時也可以使用 ! 運算子進行反向比對,例如:-s ! 192.168.0.0/24。參數 -d, --dst, --destination范例 iptables -A INPUT -d 192.168.1.1說明 用來比對封包的目的地 IP,設定方式同上。參數 -i, --in-interface范例 iptables -A INPUT -i eth0說明 用來比對封包是從哪片網卡進入,可以使用通配字符 + 來做大范圍比對,例如:-i eth+ 表示所有的 ethernet 網卡,也可以使用 ! 運算子進行反向比對,例如:-i ! eth0。 參數 -o, --out-interface范例 iptables -A FORWARD -o eth0說明 用來比對封包要從哪片網卡送出,設定方式同上。參數 --sport, --source-port范例 iptables -A INPUT -p tcp --sport 22說明 用來比對封包的來源埠號,可以比對單一埠,或是一個范圍,例如:--sport 22:80,表示從 22 到 80 埠之間都算是符合條件,如果要比對不連續的多個埠,則必須使用 --multiport 參數,詳見後文。比對埠號時,可以使用 ! 運算子進行反向比對。參數 --dport, --destination-port范例 iptables -A INPUT -p tcp --dport 22說明 用來比對封包的目的地埠號,設定方式同上。參數 --tcp-flags范例 iptables -p tcp --tcp-flags SYN,FIN,ACK SYN說明 比對 TCP 封包的狀態旗號,參數分為兩個部分,第一個部分列舉出想比對的旗號,第二部分則列舉前述旗號中哪些有被設定,未被列舉的旗號必須是空的。TCP 狀態旗號包括:SYN(同步)、ACK(應答)、FIN(結束)、RST(重設)、URG(緊急)、PSH(強迫推送)等均可使用於參數中,除此之外還可以使用關鍵詞 ALL 和 NONE 進行比對。比對旗號時,可以使用 ! 運算子進行反向比對。參數 --syn范例 iptables -p tcp --syn說明 用來比對是否為要求聯機之 TCP 封包,與 iptables -p tcp --tcp-flags SYN,FIN,ACK SYN 的作用完全相同,如果使用 ! 運算子,可用來比對非要求聯機封包。參數 -m multiport --source-port范例 iptables -A INPUT -p tcp -m multiport --source-port 22,53,80,110說明 用來比對不連續的多個來源埠號,一次最多可以比對 15 個埠,可以使用 ! 運算子進行反向比對。參數 -m multiport --destination-port范例 iptables -A INPUT -p tcp -m multiport --destination-port 22,53,80,110說明 用來比對不連續的多個目的地埠號,設定方式同上。參數 -m multiport --port范例 iptables -A INPUT -p tcp -m multiport --port 22,53,80,110說明 這個參數比較特殊,用來比對來源埠號和目的埠號相同的封包,設定方式同上。注意:在本范例中,如果來源端口號為 80 但目的地埠號為 110,這種封包並不算符合條件。參數 --icmp-type范例 iptables -A INPUT -p icmp --icmp-type 8說明 用來比對 ICMP 的類型編號,可以使用代碼或數字編號來進行比對。請打 iptables -p icmp --help 來查看有哪些代碼可以用。參數 -m limit --limit范例 iptables -A INPUT -m limit --limit 3/hour說明 用來比對某段時間內封包的平均流量,上面的例子是用來比對:每小時平均流量是否超過一次 3 個封包。除了每小時平均一次外,也可以每秒鐘、每分鐘或每天平均一次,默認值為每小時平均一次,參數如後: /second、 /minute、/day。除了進行封包數量的比對外,設定這個參數也會在條件達成時,暫停封包的比對動作,以避免因駭客使用洪水攻擊法,導致服務被阻斷。參數 --limit-burst范例 iptables -A INPUT -m limit --limit-burst 5說明 用來比對瞬間大量封包的數量,上面的例子是用來比對一次同時湧入的封包是否超過 5 個(這是默認值),超過此上限的封包將被直接丟棄。使用效果同上。參數 -m mac --mac-source范例 iptables -A INPUT -m mac --mac-source 00:00:00:00:00:01說明 用來比對封包來源網絡接口的硬件地址,這個參數不能用在 OUTPUT 和 Postrouting 規則煉上,這是因為封包要送出到網卡後,才能由網卡驅動程序透過 ARP 通訊協議查出目的地的 MAC 地址,所以 iptables 在進行封包比對時,並不知道封包會送到哪個網絡接口去。參數 --mark范例 iptables -t mangle -A INPUT -m mark --mark 1說明 用來比對封包是否被表示某個號碼,當封包被比對成功時,我們可以透過 MARK 處理動作,將該封包標示一個號碼,號碼最大不可以超過 4294967296。參數 -m owner --uid-owner范例 iptables -A OUTPUT -m owner --uid-owner 500說明 用來比對來自本機的封包,是否為某特定使用者所產生的,這樣可以避免服務器使用 root 或其它身分將敏感數據傳送出去,可以降低系統被駭的損失。可惜這個功能無法比對出來自其它主機的封包。參數 -m owner --gid-owner范例 iptables -A OUTPUT -m owner --gid-owner 0說明 用來比對來自本機的封包,是否為某特定使用者群組所產生的,使用時機同上。參數 -m owner --pid-owner范例 iptables -A OUTPUT -m owner --pid-owner 78說明 用來比對來自本機的封包,是否為某特定行程所產生的,使用時機同上。參數 -m owner --sid-owner范例 iptables -A OUTPUT -m owner --sid-owner 100說明 用來比對來自本機的封包,是否為某特定聯機(Session ID)的響應封包,使用時機同上。參數 -m state --state范例 iptables -A INPUT -m state --state RELATED,ESTABLISHED 說明 用來比對聯機狀態,聯機狀態共有四種:INVALID、ESTABLISHED、NEW 和 RELATED。INVALID 表示該封包的聯機編號(Session ID)無法辨識或編號不正確。ESTABLISHED 表示該封包屬於某個已經建立的聯機。NEW 表示該封包想要起始一個聯機(重設聯機或將聯機重導向)。 RELATED 表示該封包是屬於某個已經建立的聯機,所建立的新聯機。例如:FTP-DATA 聯機必定是源自某個 FTP 聯機。常用的處理動作:-j 參數用來指定要進行的處理動作,常用的處理動作包括:ACCEPT、REJECT、DROP、REDIRECT、MASQUERADE、LOG、DNAT、SNAT、MIRROR、QUEUE、RETURN、MARK,分別說明如下:ACCEPT 將封包放行,進行完此處理動作後,將不再比對其它規則,直接跳往下一個規則煉(nat:postrouting)。REJECT 攔阻該封包,並傳送封包通知對方,可以傳送的封包有幾個選擇:ICMP port-unreachable、ICMP echo-reply 或是 tcp-reset(這個封包會要求對方關閉聯機),進行完此處理動作後,將不再比對其它規則,直接 中斷過濾程序。范例如下:iptables -A FORWARD -p TCP --dport 22 -j REJECT --reject-with tcp-resetDROP 丟棄封包不予處理,進行完此處理動作後,將不再比對其它規則,直接中斷過濾程序。REDIRECT 將封包重新導向到另一個端口(PNAT),進行完此處理動作後,將 會繼續比對其它規則。 這個功能可以用來實作通透式 porxy 或用來保護 web 服務器。例如:iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080MASQUERADE 改寫封包來源 IP 為防火牆 NIC IP,可以指定 port 對應的范圍,進行完此處理動作後,直接跳往下一個規則煉(mangle:postrouting)。這個功能與 SNAT 略有不同,當進行 IP 偽裝時,不需指定要偽裝成哪個 IP,IP 會從網卡直接讀取,當使用撥接連線時,IP 通常是由 ISP 公司的 DHCP 服務器指派的,這個時候 MASQUERADE 特別有用。范例如下:iptables -t nat -A POSTROUTING -p TCP -j MASQUERADE --to-ports 1024-31000LOG 將封包相關訊息紀錄在 /var/log 中,詳細位置請查閱 /etc/syslog.conf 組態檔,進行完此處理動作後,將會繼續比對其它規則。例如:iptables -A INPUT -p tcp -j LOG --log-prefix "INPUT packets"SNAT 改寫封包來源 IP 為某特定 IP 或 IP 范圍,可以指定 port 對應的范圍,進行完此處理動作後,將直接跳往下一個規則煉(mangle:postrouting)。范例如下:iptables -t nat -A POSTROUTING -p tcp-o eth0 -j SNAT --to-source 194.236.50.155-194.236.50.160:1024-32000DNAT 改寫封包目的地 IP 為某特定 IP 或 IP 范圍,可以指定 port 對應的范圍,進行完此處理動作後,將會直接跳往下一個規則煉(filter:input 或 filter:forward)。范例如下:iptables -t nat -A PREROUTING -p tcp -d 15.45.23.67 --dport 80 -j DNAT --to-destination 192.168.1.1-192.168.1.10:80-100MIRROR 鏡射封包,也就是將來源 IP 與目的地 IP 對調後,將封包送回,進行完此處理動作後,將會中斷過濾程序。QUEUE 中斷過濾程序,將封包放入隊列,交給其它程序處理。透過自行開發的處理程序,可以進行其它應用,例如:計算聯機費用.......等。RETURN 結束在目前規則煉中的過濾程序,返回主規則煉繼續過濾,如果把自訂規則煉看成是一個子程序,那麼這個動作,就相當於提早結束子程序並返回到主程序中。MARK 將封包標上某個代號,以便提供作為後續過濾的條件判斷依據,進行完此處理動作後,將會繼續比對其它規則。范例如下:iptables -t mangle -A PREROUTING -p tcp --dport 22 -j MARK --set-mark 2
