PF ed OpenBSD: Tecniche di base Intervento tenuto da Gabriele Biondo ([email protected]) per id (sostituisce il vecchio, deprecato whoami) GABRIELE BIONDO •Amministratore di sistema per più facoltà dell’Università di Bologna •Tecnico coinvolto nel progetto Unisys Hotline •Formatore per Corsi del Fondo Sociale Europeo •Collaboratore con OpenBEER •Certificato ISECOM OPST Interessi •Firewalling e sicurezza di rete •Modelli matematici e ottimizzazione di algoritmi •Programmazione in C e Perl Le domande fondamentali Perché OpenBSD •Sistema “sicuro per default”, facilmente hardenizzabile •Sistema Free (o quasi) •Sistema OpenSource •Sistema in continua evoluzione •Sistema veramente stabile OpenBSD risulta essere la piattaforma di partenza ideale per costruire un firewall Le domande fondamentali Perché PF •Grammatica veramente semplice •Sistema di regole molto pratico •Configurazione modificabile a runtime •Stabilità assoluta del firewall •Caratteristiche avanzatissime (es: scrubbing) •Abbondanza di documentazione free o a basso costo PF è un software assai potente, che offre caratteristiche presenti soltanto in prodotti commerciali di notevole caratura, ad un prezzo esiguo. Le domande fondamentali Chi usa OpenBSD + PF •Adobe Systems •INFN (Istituto Nazionale Fisica Nucleare) di Firenze •Azienda Ospedaliera “Carlo Poma” di Mantova Solo tre nomi, la cui rilevanza dovrebbe far pensare La lista potrebbe essere arbitrariamente allungata… PF – questo sconosciuto Dove risiede PF PF è un pacchetto integrato nel Kernel di OpenBSD, A partire dalla versione 3.0 in poi. PF – questo sconosciuto Cosa è PF PF è un programma – ad un input costituito da un file di regole ed un traffico di rete, associa un output costituito da un file di log e dal comportamento del nuovo traffico “shaped” Configurare PF Il file di configurazione di PF •/etc/pf.conf •Composto di più sezioni •L’ordine delle sezioni è prefissato, ma modificabile •Le regole vengono valutate in sequenza Configurare PF Le sezioni di pf.conf 1. macro 2. tabelle 3. opzioni 4. regole di scrub 5. regole di queuing 6. regole di redirezione/NAT 7. regole di filtraggio Configurare PF pf.conf – un esempio di configurazione Supponiamo di trovarci nella seguente condizione: •Macchina intel compatibile •2 schede di rete Realtek rl0: rl1: •Connessa alla rete interna (192.168.1.0/24) •ip: 192.168.1.1 •web server: 192.168.1.2 •mail server: 192.168.1.3 •Connessa alla WAN •ip fisso: aaa.bbb.ccc.ddd/28 •Connessa ad un router che lega la rete ad una parte non protetta dal firewall e ad internet Configurare PF Modelliamo la rete interna con delle semplici macro # MACRO # Interfaccia di rete interna int_if = “rl0” int_ip=“192.168.1.1” int_net=“192.168.1.0/24” # Interfaccia di rete esterna ext_if = “rl1” ext_ip=“aaa.bbb.ccc.ddd” ext_net=“aaa.bbb.ccc.ddd/28” # altre macro utili mebserver=“192.168.1.2” mailserver=“192.168.1.3” Configurare PF Anatomia generale di una regola: Configurare PF VERBI pass Fa passare il pacchetto block Blocca il pacchetto nat Specifica come fare NATting rdr Specifica come “incrociare” le porte log Specifica di scrivere la entry sul file di log Configurare PF DIREZIONI Configurare PF SORGENTE/DESTINAZIONE Indirizzo IPv4/IPv6 singolo: 192.168.0.33/32 FEC0:A702:0000:0000:0000:448A:0000:0005 Sottorete: 192.168.0.0/28 FEC0:A702::::448A::0005/64 Possibilità di aggiungere un servizio: 192.168.1.10 port 80 Possibilità di specificare un protocollo: proto tcp proto {tcp,udp} Configurare PF Le prime regole di default Siamo ora in grado di potere scrivere le prime regole. Come default, ammettiamo di tenere chiuso ogni tipo di comunicazione, da e verso l’esterno. Apriremo poi quello che decideremo utile. block in all block out all Una policy migliore, sebbene costosa, potrebbe essere: block in log all block out log all Anche in questo caso, avremmo potuto utilizzare altre direttive che, per esempio, permettono di filtrare sul protocollo. Ciò va comunque oltre lo scopo di questa presentazione. Configurare PF Situazione attuale Il firewall ha isolato la LAN da internet. Configurare PF Un paio di idee… In primo luogo, è necessario impostare i settaggi del natting: nat on $ext_if from $int_net to any ->($ext_if) Poi è importante ridirigere agli host giusti le chiamate www e smtp: rdr on $ext_if proto tcp from any to $ext_ip \ port www -> $webserver port www rdr on $ext_if proto smtp from any to $ext_ip \ port smtp -> $mailserver port smtp Configurare PF Un paio di idee… In primo luogo, vorremo aprire le connessioni provenienti da internet e dirette al nostro server di posta ed al server web: pass in on $ext_if proto tcp from any to $webserver \ port www keep state pass in on $ext_if proto tcp from any to $mailserver \ port smtp keep state Configurare PF Situazione attuale Tutte le chiamate al web ed al mail server provenienti dall’esterno vengono ora soddisfatte Configurare PF Apriamo le porte… Vogliamo permettere ai nostri utenti di connettersi, da dentro la rete a qualsiasi host presente su internet pass in on $ext_if from $int_net to any keep state pass out in $ext_if from $int_net to $ext_net \ modulate state Configurare PF Situazione attuale La situazione attuale è più complicata. •Il firewall permette agli host interni alla rete di connettersi a qualsiasi servizio di qualsiasi host presente su internet •Il firewall rifiuta connessioni provenienti da internet, eccetto quelle dirette al mail server ed al server web. •Il firewall permette la connessione agli host nella rete esterna. Una nota – questa configurazione è altamente insicura ed è presentata qui soltanto per motivi concernenti l’illustrazione del funzionamento delle regole in pf. Esplicitamente, sottolineiamo di non implementare questa configurazione nel proprio laboratorio, se non per fini didattici. Configurare PF Situazione finale Prendendo tutte le regole viste sinora, e mettendole insieme, abbiamo un file /etc/pf.conf teoricamente funzionante. Configurare PF Situazione finale # MACRO # Interfaccia di rete interna int_if = “rl0” int_ip=“192.168.1.1” int_net=“192.168.1.0/24” # Interfaccia di rete esterna ext_if = “rl1” ext_ip=“aaa.bbb.ccc.ddd” ext_net=“aaa.bbb.ccc.ddd/28” # altre macro utili mebserver=“192.168.1.2” mailserver=“192.168.1.3” scrub in all Configurare PF Situazione finale (continua) scrub in all #natting e redirezionamento nat on $ext_if from $int_net to any ->($ext_if) rdr on $ext_if proto tcp from any to $ext_ip \ port www -> $webserver port www rdr on $ext_if proto smtp from any to $ext_ip \ port smtp -> $mailserver port smtp Configurare PF Situazione finale (continua) block in log all block out log all pass in on $ext_if proto tcp from any to $webserver \ port www keep state pass in on $ext_if proto tcp from any to $mailserver \ port smtp keep state pass in on $ext_if from $int_net to any keep state pass out in $ext_if from $int_net to $ext_net \ modulate state antispoof for $int_if antispoof for $ext_if Risorse aggiuntive web www.openbsd.org http://www.benzedrine.cx/pf.html www.i-nfinity.com www.openbeer.it Risorse aggiuntive web www.openbsd.org http://www.benzedrine.cx/pf.html www.i-nfinity.com www.openbeer.it Risorse aggiuntive Libri che aiutano Risorse aggiuntive Libri che aiutano Risorse aggiuntive Libri che aiutano Loose Leaves Ringraziamenti Matteo Cantoni, aka goony Franco e tutto lo staff di Proxima Solutions, Rimini Ilary Airoldi Lo staff del webbit Me stesso e la mia famiglia E per Elisa, che mi ha dimostrato che la saggezza non ha età: “Ci sono occasioni in cui un semplice ‘grazie’ non è abbastanza”