KZoli: Új oldal, tartalma: „A Hálózati házirend szerint valamennyi szervert ''bastion host''-ként kell kialakítani, azaz saját (csomagszűrő) tűzfallal kell rendelkezzen. A gyakorlatba…”

2018-05-29T19:59:49Z

Új oldal, tartalma: „A Hálózati házirend szerint valamennyi szervert ''bastion host''-ként kell kialakítani, azaz saját (csomagszűrő) tűzfallal kell rendelkezzen. A gyakorlatba…”

Új lap

A [[Hálózati házirend]] szerint valamennyi szervert ''bastion host''-ként kell kialakítani, azaz saját (csomagszűrő) tűzfallal kell rendelkezzen. A gyakorlatban ez az ''iptables'' (''netfilter'') konfigurálását jelenti, amelyet ebben a leírásban a [http://shorewall.net Shorewall] ''parser'' segítségével valósítunk meg. A Shorewall relatív egyszerű és átlátható konfigurációs állományok alapján állítja elő a natív ''iptables'' konfigurációt és szükség szerint módosítja a ''routing'' beállításokat is.
* Ez a leírás a majdani publikus eléréshez szükséges, alapvető csomagszűrést valósít meg, egy darab hálózati interface-szel rendelkező szervergépen.
* Ez a leírás csak IPv4-re vonatkozik - IPv6 '''TODO!'''
* Magasabb szintű forgalomszűrés: '''TODO!'''

==Előfeltételek==
* A kernelbe fordítandó dolgokat lásd a [http://www.shorewall.net/kernel.htm Shorewall dokumentációjában.] A gyári Debian Stretch kernel ezeket alapértelmezésben tartalmazza.
* '''TODO!'''
 

==Telepítés==
Debian csomagból telepíthető:
<pre>apt-get install shorewall shorewall-doc # + kevés függőség</pre>
Telepítés után a konfigurálatlan Shorewall még nem indul el.
==Beállítások==
Beállításához a ''/usr/share/shorewall/configfiles'' tartalmát másoljuk be a ''/etc/shorewall'' könyvtárba, egyben szigorítsuk meg a jogosultságokat:
<pre>cp /usr/share/shorewall/configfiles/* /etc/shorewall/ # Zömmel üres template-ek, a szükségeseket ki kell tölteni
rm /etc/shorewall/*.annotated # a dokumentációra itt nem lesz szükség
chmod 640 /etc/shorewall/*</pre>
Ezután szerkesszük meg a következő állományokat:
===shorewall.conf===
A Shorewall általános beállításait az alábbiak szerint módosítjuk:
* a naplófájlok elárasztását megakadályozandó, a naplóbejegyzések számát limitáljuk (az alábbi beállítás hosszú távon másodpercenként legfeljebb egy bejegyzést engedélyez - részletesen ld. [http://shorewall.net/configuration_file_basics.htm#RateLimit itt]);
* a dinamikus (a Shorewall futása közben létrehozott) szabályokat a már kialakított kapcsolatokra is érvényesítjük és naplózzuk (ez szükséges a [[Debian_szerver_%C3%A1ltal%C3%A1nos_biztons%C3%A1gi_be%C3%A1ll%C3%ADt%C3%A1sai_(Stretch)#A_fail2ban_telep.C3.ADt.C3.A9se|fail2ban integrációhoz]]);
* a jelen leírásban nem foglalkozunk az IPv6 beállításával, hanem ezt a forgalmat egyszerűen letiltjuk ('''TODO!''').
<pre>-rw-r----- root root /etc/shorewall/shorewall.conf

[...]
BLACKLIST_LOG_LEVEL=info
[...]
LOGLIMIT="1/sec:60"
[...]
#BLACKLIST="NEW,INVALID,UNTRACKED"
BLACKLIST="ALL"
[...]
DISABLE_IPV6=Yes
[...]</pre>

===vardir===
A Shorewall indításakor összeállít egy ''.start'' scriptet, amelyet szeretne a ''/var/lib/shorewall'' könyvtárban lefuttatni. Ez a biztonsági beállításainkkal ütközik, ezért kénytelenségből ezt a könyvtárat átmozgatjuk az írható és futtatható partíción lévő ''/etc/shorewall'' könyvtárba:
<pre>mv /var/lib/shorewall /etc/shorewall/tmp
chmod 700 /etc/shorewall/tmp # Szigorú hozzáférés</pre>
A Shorewall számára egy (a maintainer által nem biztosított, létrehozandó) konfigurációs állományban meg kell adni e könyvtár helyét:
<pre>touch /etc/shorewall/vardir
chmod 640 /etc/shorewall/vardir
mcedit /etc/shorewall/vardir</pre>
<pre>-rw-r----- root root /etc/shorewall/vardir

# Fixup to avoid creating .start script on a non-executable partition
VARDIR=/etc/shorewall/tmp</pre>
===params===
Ebben az állományban tetszőleges, a Shorewall-on belül érvényes környezeti változók definiálhatóak (ld. [http://shorewall.org/manpages/shorewall-params.html itt]). Ebben a leírásban ezt arra fogjuk használni, hogy a Debian Stretch-ben debütáló interface névkonvenciót ([https://www.freedesktop.org/wiki/Software/systemd/PredictableNetworkInterfaceNames/ predictable network interface names]) a Shorewall beállító állományaiban egységesen használható logikai névre fordítsuk.

<pre>-rw-r----- root root /etc/shorewall/params

[...]
###############################################################################
# Primary network interface
NET_IF=enp0s25
</pre>
Ügyeljünk arra, hogy ebben a sorban a telepítés alatti gép tényleges interface megnevezése szerepeljen!

===zones===
A Shorewall forgalomszűrő szabályait nem konkrét IP címekre vagy hálózati interface-ekre, hanem logikai hálózatokra (IP tartományok, zónák) szokás megadni; ezek deklarálására szolgál ez az állomány.

A már deklarált tűzfalgép (''fw'') zóna mellett deklaráljuk a legtágabb (minden, külön nem definiált forrást és célt tartalmazó) logikai ''net'' zónát és egy megbízható(bbnak tekintett) logikai ''trs'' zónát (pl. biztonsági mentések fogadása számára):
<pre>-rw-r----- root root /etc/shorewall/zones

[...]
###############################################################################
#ZONE TYPE OPTIONS IN_OPTIONS OUT_OPTIONS

fw firewall
trs ipv4
net ipv4
</pre>
Megjegyzendő, hogy ezek csak deklarációk, a ''fw'' kivételével itt még semmilyen IP tartományt vagy jogosultságot nem rendeltünk ezekhez a zónákhoz.

===interfaces===
Itt deklarálható az összes hálózati interface (hálózati kártya) és (amennyiben van ilyen) az általuk definiált logikai tűzfal zóna. Egyetlen (a ''params'' állományban már megnevezett) hálózati interface esetén:
<pre>-rw-r----- root root /etc/shorewall/interfaces

?FORMAT 2
###############################################################################
#ZONE INTERFACE OPTIONS
#
net $NET_IF arp_filter,dhcp,logmartians,nosmurfs,routefilter,tcpflags #,norfc1918
</pre>
Amennyiben több hálózati interface is van, mindegyiket külön sorban kell deklarálni. Az alábbi példában az első interface egy belső hálózaton van és DHCP-vel kap címet, míg a második az Internetre csatlakozik, statikus IP címmel (a ''params'' állományban mindkét interface valódi nevét előzetesen meg kell adni!):
<pre>-rw-r----- root root /etc/shorewall/interfaces

?FORMAT 2
###############################################################################
#ZONE INTERFACE OPTIONS
#
net $INL_IF arp_filter,dhcp,logmartians,nosmurfs,routefilter,tcpflags #,norfc1918
net $NET_IF arp_filter,logmartians,norfc1918,nosmurfs,routefilter,tcpflags #,dhcp</pre>
A megadott opciók közül:
* az ''arp_filter'' biztosítja, hogy több interface-szel rendelkező gép esetén minden interface csak a saját IP-jére vonatkozó ''who-has'' kérésére válaszoljon (Linux alapértelmezés szerint a gép bármelyik IP-jére vonatkozó ''who-has'' kérésre bármelyik interface válaszol, nemcsak az, amelyikre az adott IP be van állítva).
* ha a gép a belhálózaton DHCP-t használ, kell a ''dhcp'' direktíva; statikus IP esetén vegyük ki.
* a ''norfc1918'' blokkolja a nem route-olható címekről érkező forgalmat; ezt a külső interface-en érdemes aktiválni, ha a szerver külső lába előtt már nincs címfordítás (NAT-olt DMZ-ben nyilván nem).

===hosts===
Itt deklarálhatóak azok a zónák, amelyeket nem hálózati interface, hanem IP tartomány alapján definiálunk - ebben a leírásban ilyen a ''trs'' (''trusted'') zóna. A hozzárendelés felülről lefelé értékelődik ki, vagyis több zóna és átfedő tartományok esetén a sorrend fontos! Az ezen tartományokkal le nem fedett hálózat az ''interfaces'' állományban megadott zónát (''net'') alkotja. Ha újabb zónára lenne szükség, azt itt érdemes felvenni; kerülendő az IP-k bedrótozása a szabályokba!
<pre>-rw-r----- root root /etc/shorewall/hosts

[...]
##############################################################################
#ZONE HOSTS OPTIONS
#
trs $NET_IF:IP.IP.IP.IP/MASK,IP.IP.IP.IP/MASK
</pre>

===policy===
Nem tévesztendő össze az ''iptables'' policy beállításokkal, amelyek nem relevánsak, mert a Shorewall minden eredeti láncot ''logdrop''-pal zár le.

Ebben az állományban kell megadni az alapértelmezett viselkedést másutt nem kezelt csomagok esetére (eldobás és naplózás). Ebben a leírásban két naplószintet használunk: a ''warn'' logban a hatáskörünkbe tartozó (a telepítés alatti szervergép, vagy a megbízható hálózat felől kezdeményezett) szabálysértéseket gyűjtjük, az ''info'' logban pedig az egyéb (jellemzően az Internet felől kezdeményezett) szabálysértéseket. A naplóbejegyzések alapértelmezésben a ''kern.log''-ba kerülnek, ezt alább át fogjuk irányítani.

<pre>-rw-r----- root root /etc/shorewall/policy

[...]
###############################################################################
#SOURCE DEST POLICY LOGLEVEL LIMIT CONNLIMIT
#
fw all REJECT warn
net fw DROP info
trs fw REJECT warn
# The FOLLOWING POLICY MUST BE LAST
all all DROP info
</pre>

===rules===
Ebben a leírásban befelé csak a ping, az SSH, SMTP, web (mindenhonnan) és az Amanda (csak a biztonságosnak gondolt ''trs'' hálózatról) engedélyezett. Kifelé engedélyezett a ping, a DNS lekérés és a traceroute, a levélküldés SMTP-vel (+SMTPs, [https://en.wikipedia.org/wiki/Message_submission_agent MSA]), az időszinkron NTP protokollal, PGP kulcsszerverek elérése ([https://en.wikipedia.org/wiki/Key_server_(cryptographic) HKP]), a web és az FTP. Opcionálisan az SSH is engedélyezett lehet.

<pre>-rw-r----- root root /etc/shorewall/rules

[...]
####################################################################################### [...>]
#ACTION SOURCE DEST PROTO DPORT SPORT ORIGDEST [...>]

[...]
?SECTION NEW

# RULES HANDLING INCOMING CONNECTIONS

# Accept ping from anywhere
Ping/ACCEPT all fw
# Accept ping from trs; silently drop from any other source
#Ping/ACCEPT trs fw
#Ping/DROP all fw

# Public services
SSH/ACCEPT all fw
SMTP/ACCEPT all fw
Web/ACCEPT all fw

# Accept Amanda connections from trs
Amanda/ACCEPT trs fw
ACCEPT trs fw udp 1:65535 amanda
ACCEPT trs fw tcp amandaidx
ACCEPT trs fw tcp amidxtape

# From net incoming auth request silently dropped (stealth);
# from trs rejected by default
DROP net fw tcp 113

# Any other trials logdropped by default
# (broadcasts, invalids, not-syns, SMB, SMTP, UPn silently)

# RULES HANDLING OUTBOUND CONNECTIONS

Ping/ACCEPT fw all
Amanda/ACCEPT fw all
Auth/ACCEPT fw all
DNS/ACCEPT fw all
FTP/ACCEPT fw all
HKP/ACCEPT fw all
NTP/ACCEPT fw all
SMTP/ACCEPT fw all
SMTPS/ACCEPT fw all
MSA/ACCEPT fw all
#SSH/ACCEPT fw all
Trcrt/ACCEPT fw all
Web/ACCEPT fw all
#

# Any other trials logdropped by default

#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE</pre>
''Megjegyzés:'' biztonságosabbnak tűnik az SSH-t kifelé tiltani, és az SCP-t mindig az adminisztrátor által használt, távoli gépről indítani - ez alól csak a szolgáltatások átköltöztetése idejére, tetemes adatforgalom esetén lenne érdemes kivételt tenni. A vonatkozó action-ök ezért kommentezve vannak.

==Használatba vétel==
A Shorewall engedélyezéséhez a ''/etc/default/shorewall'' állományban a startup értékét 1-re kell állítani:
<pre>-rw-r--r-- root root /etc/default/shorewall

[...]
startup=1</pre>
majd a tűzfal elindítható:
<pre>systemctl start shorewall</pre>
A generált ''iptables'' szabályok megtekinthetőek az alábbi paranccsal:
<pre>iptables -n -L | less</pre>
'''Bug:''' a jelen leírás készítésekor, a fenti beállításokkal (re)boot után a Shorewall '''nem indul el''' (de manuálisan indítható)! Lehetséges [https://bugs.launchpad.net/ubuntu/+source/shorewall/+bug/1511869 workaround]:
<pre>systemctl enable shorewall # csak egy alkalommal kell megtenni</pre>
ezután, tapasztalat szerint, a Shorewall rendben elindul. Releváns lehet még ez a [https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=773392 régebbi hibajegy] is - '''TODO!'''

==Tűzfalnapló átirányítása==
Érdemes elkülöníteni a terjedelmes tűzfalnaplókat a többiektől. Az alanti megoldás a [http://marc.theaimsgroup.com/?l=gentoo-security&m=106040714910563&w=2 Gentoo Security listáról] való, és feltételezi, hogy a Shorewall csak ''warn'' és ''info'' szintű syslog bejegyzéseket készít. Az elkülönítéshez készítsünk egy napló könyvtárat a Shorewall számára:
<pre>mkdir -m 750 /var/log/shorewall</pre>
Ezután szerkesszük meg a ''/etc/syslog-ng/syslog-ng.conf'' file-t, és szúrjuk be a ''Destinations'' section végére:
<pre>-rw-r--r-- root root /etc/syslog-ng/syslog-ng.conf

[...]
# Shorewall separate logging
# originally: http://marc.theaimsgroup.com/?l=gentoo-security&m=106040714910563&w=2
destination d_shorewall_warn
{ file ("/var/log/shorewall/warn.log" owner(root) group(adm)); };
destination d_shorewall_info
{ file ("/var/log/shorewall/info.log" owner(root) group(adm)); };</pre>
Ugyanitt a ''Filters'' section végére:
<pre>-rw-r--r-- root root /etc/syslog-ng/syslog-ng.conf

[...]
# Shorewall separate logging
# originally: http://marc.theaimsgroup.com/?l=gentoo-security&m=106040714910563&w=2
filter f_shorewall_warn { level (warn) and match ("Shorewall" value ("MESSAGE")); };
filter f_shorewall_info { level (info) and match ("Shorewall" value ("MESSAGE")); };</pre>
Végül a ''Log paths'' section ''elejére'' (így a ''flags(final);'' direktíva miatt csak ezekbe a logokba kerül a kimenet):
<pre>-rw-r--r-- root root /etc/syslog-ng/syslog-ng.conf

[...]
# Shorewall separate logging
# originally: http://marc.theaimsgroup.com/?l=gentoo-security&m=106040714910563&w=2
log { source (s_src); filter (f_shorewall_warn); destination (d_shorewall_warn); flags(final); };
log { source (s_src); filter (f_shorewall_info); destination (d_shorewall_info); flags(final); };</pre>
Az új logok rotálásához egészítsük ki a ''/etc/logrotate.d/shorewall'' állományt az alábbiakkal:
<pre>-rw-r--r-- root root /etc/logrotate.d/shorewall

[...]
/var/log/shorewall/*.log {
daily
rotate 7
compress
missingok
create 0640 root adm
}</pre>
A változtatások érvényesítésére indítsuk újra a ''syslog-ng''-t:
<pre>systemctl restart syslog-ng</pre>

==Gyorsteszt==
Próbáljunk ki egy tiltott kapcsolódást és ellenőrizzük, hogy az sikertelen, valamint hogy a megfelelő Shorewall logban létrejön a bejegyzés:
<pre>telnet 1.2.3.4 111; sleep 1; tail -f /var/log/shorewall/warn.log</pre>

==Tűzfal kinyitása==
Ha átmenetileg(!) ki kell kapcsolni a csomagszűrést, ez pl. a következő paranccsal tehető meg:
<pre>systemctl stop shorewall</pre>

==Irodalom==
* [http://www.shorewall.net/Documentation_Index.html Shorewall 5.x dokumentáció] (angol)

Debian bástyagép tűzfal (Stretch) - Laptörténet

KZoli: Új oldal, tartalma: „A Hálózati házirend szerint valamennyi szervert ''bastion host''-ként kell kialakítani, azaz saját (csomagszűrő) tűzfallal kell rendelkezzen. A gyakorlatba…”