Product SiteDocumentation Site

14.2. Firewall o filtraggio dei pacchetti

FONDAMENTALI Firewall

Il firewall è un componente informatico provvisto di hardware e/o software che smista i pacchetti di rete in ingresso o uscita (che arrivano o lasciano la rete locale) e li lascia passare solo se soddisfano determinati criteri predefiniti.
Il firewall è un punto di filtraggio di rete ed è efficace solo per i pacchetti che devono transitare da esso. Perciò può essere efficace solo se il passaggio attraverso il firewall è l'unico instradamento possibile per quei pacchetti.
La mancanza di una configurazione standard (e il motto «processo, non prodotto») spiega l'assenza di una soluzione chiavi in mano. Ci sono, comunque, strumenti che semplificano la configurazione del firewall netfilter, con una rappresentazione grafica delle regole di filtraggio. fwbuilder tra questi è senza dubbio uno dei migliori.

CASO SPECIFICO Firewall Locale

Un firewall può essere limitato ad una particolare macchina (a differenza di un'intera rete), nel qual caso la sua funzione è quella di filtrare o limitare l'accesso ad alcuni servizi, oppure di impedire connessioni uscenti a software malevolo che un utente, volente o nolente, potrebbe aver installato.
Il kernel Linux incorpora il firewall netfilter. Può essere controllato nello spazio utente con i comandi iptables e ip6tables. La differenza risiede nel fatto che il primo agisce sulle reti IPv4, il secondo su quelle IPv6. Poiché entrambi i protocolli di rete coesisteranno probabilmente per molti anni, entrambi dovranno essere utilizzati in parallelo.

14.2.1. Funzionamento di netfilter

netfilter utilizza quattro tabelle distinte nelle quali memorizza le regole che controllano tre tipologie di operazioni sui pacchetti:
  • filter riguarda le regole di filtraggio (accettare, rifiutare o ignorare un pacchetto);
  • nat riguarda la traduzione di indirizzi e porte di origine o di destinazione dei pacchetti;
  • mangle riguarda altre trasformazioni sui pacchetti IP (inclusi il campo e le opzioni del ToS: Type of Service);
  • raw permette altre modifiche manuali sui pacchetti prima che giungano al sistema di monitoraggio delle connessioni.
  • security is used for Mandatory Access Control networking rules, implemented by Linux Security Modules such as SELinux.
Ogni tabella contiene delle liste di regole chiamate catene. Per gestire i pacchetti i firewall utilizzano catene standard in base a circostanze predefinite. L'amministratore può creare altre catene, che saranno utilizzate solo quando una delle catene standard vi fa riferimento (direttamente o indirettamente).
La tabella filter contiene tre catene standard:
  • INPUT: riguarda i pacchetti che hanno come destinazione il firewall stesso;
  • OUTPUT: riguarda i pacchetti emessi dal firewall;
  • FORWARD: riguarda i pacchetti che transitano attraverso il firewall (che non è né la sorgente, né la destinazione).
Anche la tabella nat contiene tre catene standard:
  • PREROUTING: per modificare i pacchetti non appena arrivano;
  • POSTROUTING: per modificare i pacchetti quando sono pronti per essere spediti;
  • INPUT: to modify packets destined for local sockets;
  • OUTPUT: per modificare i pacchetti generati dal firewall stesso.
Relazione tra le catene netfilter

Figura 14.1. Relazione tra le catene netfilter

Ogni catena è una lista di regole; ogni regola è un insieme di condizioni e un'azione da intraprendere quando le condizioni sono soddisfatte. Quando viene analizzato un pacchetto, il firewall esamina la catena opportuna, regola per regola; quando le condizioni di una regola sono soddisfatte, esso, per continuare l'elaborazione, «salta» (da qui l'opzione -j dei comandi) all'azione specificata. Sono stati standardizzati i comportamenti più comuni ed esistono azioni dedicate per ognuno. Intraprendere una di queste azioni standard interrompe l'avanzamento nella catena, dato che il destino del pacchetto è già stato deciso (salvo l'eccezione descritta in seguito):

FONDAMENTALI ICMP

ICMP (Internet Control Message Protocol) è il protocollo usato per trasmettere informazioni supplementari sulle comunicazioni. Permette di provare la connettività di rete con il comando ping (che invia un messaggio ICMP di echo request, al quale il destinatario risponde con un messaggio ICMP di echo reply). Può rilevare un firewall che rifiuta un pacchetto, indicare l'overflow di un buffer di ricezione, proporre un instradamento migliore per i successivi pacchetti nella connessione e così via. Questo protocollo è definito in numerosi documenti RFC; le prime RFC777 e RFC792 sono state ben presto completate ed estese.
→ http://www.faqs.org/rfcs/rfc777.html
→ http://www.faqs.org/rfcs/rfc792.html
Per chiarezza, un buffer di ricezione è una piccola area di memoria che immagazzina i dati nel tempo che intercorre tra il loro arrivo dalla rete e la loro elaborazione da parte del kernel. Se quest'area si riempie, non possono esser ricevuti nuovi dati, e l'ICMP segnala il problema, così la sorgente può abbassare la velocità di trasferimento (che raggiungerà idealmente un equilibrio dopo un certo tempo).
Da notare che, anche se le reti IPv4 possono lavorare senza ICMP, ICMPv6 è strettamente necessario per le reti IPv6, dato che esse utilizzano molte funzioni che erano, per il mondo IPv4, fornite da ICMPv4, IGMP (Internet Group Membership Protocol) e ARP (Address Resolution Protocol). ICMPv6 è definito nella RFC4443.
→ http://www.faqs.org/rfcs/rfc4443.html
  • ACCEPT: permette al pacchetto di continuare per la sua strada;
  • REJECT: rifiuta il pacchetto con un pacchetto di errore ICMP (l'opzione --reject-with tipo di iptables permette di selezionare il tipo di errore);
  • DROP: elimina (ignora) il pacchetto;
  • LOG: registra (via syslogd) un messaggio con la descrizione del pacchetto; da notare che questa azione non interrompe l'elaborazione, e l'esecuzione della catena prosegue con la regola successiva, ed è per questo che per registrare i pacchetti rifiutati è necessario usare insieme una regola LOG e una REJECT o DROP;
  • NFLOG: log a message via the loaded logging backend (usually nfnetlink_log), which can be better adapted and more efficient than syslogd for handling large numbers of messages; note that this action, like LOG, also returns processing to the next rule in the calling chain;
  • nome_catena: salta alla catena specificata ed elabora le relative regole;
  • RETURN: interrompe l'elaborazione della catena corrente, e ritorna alla catena chiamante; nel caso in cui la catena corrente sia standard, non esiste alcuna catena chiamante, perciò viene eseguita l'azione predefinita (specificata dall'opzione -P di iptables);
  • SNAT (solo nella tabella nat): applica la Destinazione NAT (opzioni ulteriori descrivono l'esatta modifica da applicare);
  • DNAT (solo nella tabella nat): applica la Destinazione NAT (opzioni ulteriori descrivono l'esatta modifica da applicare);
  • MASQUERADE (solo nella tabella nat): applica il mascheramento (caso speciale di Sorgente NAT);
  • REDIRECT (solo nella tabella nat): reinstrada un pacchetto verso una data porta dello stesso firewall; può essere usato per creare un proxy trasparente alla rete che funziona senza necessità di configurazioni lato client, dato che il client pensa di connettersi al destinatario mentre le comunicazioni in realtà attraversano il proxy.
Altre azioni, in particolare quelle riguardanti la tabella mangle, esulano dagli scopi di questo libro. Una lista integrale si ottiene con iptables(8) e ip6tables(8).

14.2.2. Sintassi di iptables e ip6tables

I comandi iptables e ip6tables permettono la manipolazione di tabelle, catene e regole. L'opzione -t tabella individua su quale tabella vanno ad operare (filter è la predefinita).

14.2.2.1. Comandi

The -N chain option creates a new chain. The -X chain deletes an empty and unused chain. The -A chain rule adds a rule at the end of the given chain. The -I chain rule_num rule option inserts a rule before the rule number rule_num. The -D chain rule_num (or -D chain rule) option deletes a rule in a chain; the first syntax identifies the rule to be deleted by its number, while the latter identifies it by its contents. The -F chain option flushes a chain (deletes all its rules); if no chain is mentioned, all the rules in the table are deleted. The -L chain option lists the rules in the chain; if no chain is mentioned, all chains are listed. Finally, the -P chain action option defines the default action, or “policy”, for a given chain; note that only standard chains can have such a policy.

14.2.2.2. Regole

Ogni regola si esprime con condizioni -j azione opzioni_azione. Se viene definita più di una condizione nella stessa regola, allora il criterio è la congiunzione (and logico) delle condizioni, che è restrittivo tanto quanto ognuna delle singole condizioni.
La condizione -p protocollo verifica il campo protocollo del pacchetto IP. I valori più usati sono tcp, udp, icmp e icmpv6. Anteporre un punto esclamativo alla condizione la nega, facendola corrispondere a «qualunque pacchetto con un protocollo differente da quello specificato». Questa meccanismo di negazione non è specifico solo per l'opzione -p, ma può essere utilizzato anche per tutte le altre condizioni.
La condizione -s indirizzo oppure -s rete/maschera verifica l'indirizzo sorgente del pacchetto. Ugualmente, -d indirizzo oppure -d rete/maschera verifica l'indirizzo destinazione.
La condizione -i interfaccia seleziona i pacchetti provenienti dalla data interfaccia di rete. -o interfaccia seleziona quelli uscenti da una specifica interfaccia.
Ci sono condizioni più specifiche, che dipendono da quelle generiche descritte sopra. Per esempio, la condizione -p tcp può essere raffinata con ulteriori condizioni sulle porte TCP, con clausole tipo --source-port porta e --destination-port porta.
La condizione --state stato verifica lo stato di un pacchetto in una connessione (questa richiede il modulo del kernel ipt_conntrack, per il monitoraggio delle connessioni). Lo stato NEW descrive un pacchetto che instaura una nuova connessione; ESTABLISHED descrive i pacchetti appartenenti ad una connessione già in essere, e RELATED descrive i pacchetti che instaurano una connessione correlata con una già esistente (che è utile per le connessioni ftp-data in modalità «attiva» del protocollo FTP).
La sezione precedente elenca tutte le possibili azioni, ma non le rispettive opzioni. L'azione LOG, per esempio, ha le seguenti opzioni:
  • --log-level, con valore predefinito warning, indica il livello di gravità di syslog;
  • --log-prefix permette l'inserimento di un prefisso di testo per differenziare i messaggi di log;
  • --log-tcp-sequence, --log-tcp-options e --log-ip-options indicano dati ulteriori da integrare nel messaggio: rispettivamente, il numero di sequenza TCP, opzioni TCP e opzioni IP.
L'azione DNAT prevede l'opzione --to-destination indirizzo:porta per indicare il nuovo indirizzo IP e/o porta di destinazione. Allo stesso modo, SNAT prevede --to-source indirizzo:porta per indicare il nuovo indirizzo IP e/o porta di origine.
L'azione REDIRECT (disponibile solo per IPv4) prevede l'opzione --to-ports porta(e) per indicare la porta, o l'intervallo di porte, dove vengono reindirzzati i pacchetti.

14.2.3. Creare le regole

Per la creazione di ogni regola è necessaria l'invocazione di iptables/ip6tables. Digitare questi comandi manualmente può essere noioso, perciò sono solitamente memorizzati in uno script in modo tale che ad ogni avvio della macchina venga richiamata automaticamente la stessa configurazione. Questo script può essere scritto a mano, ma può essere interessante prepararlo con uno strumento di alto livello quale fwbuilder. 
# apt install fwbuilder
Il principio è semplice. Come primo passo, è necessario descrivere tutti gli elementi coinvolti nelle regole effettive:
  • il firewall stesso, con le sue interfacce di rete;
  • le reti, con i loro corrispondenti intervalli di IP;
  • i server;
  • le porte che appartengono ai servizi presenti nei server.
Le regole sono quindi create con semplici azioni di trascina e rilascia sugli oggetti. Alcuni menu contestuali permettono di modificare le condizioni (la negazione, per esempio). Dopodiché deve essere scelta e configurata l'azione.
Per quanto concerne l'IPv6, si possono creare due diversi insiemi di regole per IPv4 e IPv6, oppure crearno uno e lasciare che fwbuilder traduca le regole in base con gli indirizzi assegnati agli oggetti.
Finestra principale di fwbuilder

Figura 14.2. Finestra principale di fwbuilder

fwbuilder può generare uno script che configura il firewall in base alle regole che sono state definite. La sua architettura modulare gli conferisce l'abilità di generare script utilizzabili su sistemi differenti (iptables per Linux, ipf per FreeBSD e pf per OpenBSD).

14.2.4. Installare le regole ad ogni avvio

Negli altri casi, si consiglia di posizionare lo script di configurazione in una direttiva up del file /etc/network/interfaces. Nel seguente esempio, lo script è memorizzato in /usr/local/etc/arrakis.fw.

Esempio 14.1. File interfaces che richiama lo script del firewall

auto eth0
iface eth0 inet static
    address 192.168.0.1
    network 192.168.0.0
    netmask 255.255.255.0
    broadcast 192.168.0.255
    up /usr/local/etc/arrakis.fw
Questo presuppone ovviamente che si stia usando ifupdown per configurare le interfacce di rete. Se si sta utilizzando qualcos'altro (come NetworkManager o systemd-networkd), bisogna invece fare riferimento alla loro documentazione per trovare il modo di eseguire lo script dopo che l'interfaccia di rete è stata abilitata.