IP-Chains: Filtros IP de Linux

Copyright

• Su distribución mediante medios electrónicos es libre, siempre y cuando se conserve el texto íntegro y en su formato HTML original, haciendo especial mención a la conservación del mensaje de copyright
• El autor y dueño del copyright cede los derechos de publicación impresa a Prensa Técnica S.L., autorizando a ésta a realizar las modificaciones al texto que considere oportunas para su publicación
• La distribución o copia, total o parcial, en cualquier medio impreso por parte ajena a Prensa Técnica S.L. Está expresamente prohibida
• Ningún particular podrá publicar este fichero en un servidor Web de acceso público sin el consentimiento expreso del autor y de Prensa Técnica S.L.

• Entradilla
• Presentación
• Introducción
• Reglas del filtrado de paquetes
• Manejo del programa ipchains
• Guardando y recuperando configuraciones
• Conclusiones
• Referencias

Linux ipchains es una reelaboración del código de IPv4 firewalling de Linux ,que fué desarrollado casi en su totalidad desde el código de BSD ; y de la utilidad ipfwadm, reescritura a su vez de ipfw de BSD . Es necesario para la adminstración de los filtros de paquetes IP en los núcleos de linux versiones 2.1.102 o superiores.

El nuevo soporte de filtros IP es mucho más versatil y sencillo que la anterior utilidad ipfwadmin

Podemos preguntarnos, ya que existía una utilidad previa de administración, por qué la necesidad de un nuevo sistema de gestión de filtros de paquetes. La razón es sencilla: El viejo código de cortafuegos no maneja fragmentación, tiene contadores de 32 bits ( al menos en Intel ), no permite especificar protocolos distintos de TCP, UDP o ICMP; no permite grandes reconfiguraciones de modo atómico, no se pueden especificar reglas mediante negación, tiene algunas "peculiaridades" y es difícil de gestionar, haciéndolo propenso al error

Desde la versión del núcleo 2.1.102, el código de ip-chains está incluído en él. Para las series 2.0 del núcleo, se necesita obtener un parche para el núcleo desde la página web. Si la versión del núcleo es más moderna que la del parche no debería haber problemas: esta parte del núcleo es altamente estable ( por ejemplo, el parche de la versión 2.0.34 funciona sin problemas sobre el núcleo 2.0.35 ). Puesto que dicho parche es incompatible con los parches de ipportfw e ipautofw, no se recomienda aplicarlo a menos que realmente se necesiten las funcionalidadesw que ipchains ofrece

El principio de funcionamiento es sencillo:
Todo el tráfico a través de una red es enviado en forma de paquetes. Por ejemplo, bajar este artículo (digamos 30 Kbytes) puede resultar en la recepción de aproximadamente 22 paquetes de 1460 bytes cada uno (por poner unos números como ejemplo) .

En todo paquete TCP-IP podemos distinguir una cabecera y un cuerpo

El comienzo de cada paquete dice de dónde viene, a dónde va, el tipo de paquete y otros detalles administrativos. Este encabezamiento del paquete es denominado cabecera. El resto del paquete, que contiene los datos a transmitir se conoce normalmente como cuerpo

Un filtro de paquetes es una pieza de software que mira la cabecera de los paquetes que lo atraviesan, y decide qué hacer con el paquete. Puede decidir denegar el paso a través del filtro (esto es: descartarlo como si nunca hubiera llegado ); aceptarlo (dejarlo pasar) o rechazarlo (como denegarlo, pero avisando al origen del envío que el paquete ha sido rechazado).

El filtrado de paquetes en Linux se hace a nivel de núcleo

En Linux, el filtrado de paquetes se realiza a nivel de núcleo; Además hay una serie de "trucos" que podemos realizar con cada paquete, pero el principio general de mirar la cabecera y decidir que se hace con cada paquete se mantiene.

Uno se podría preguntar cúal es la razón de la necesidad de un filtro de paquetes. Tenemos tres razones fundamentales:

Control

Una primera aplicación es la de control: limitar el acceso a diversas redes, o zonas de la red, en función del origen

Seguridad

El filtrado de paquetes previene el port scanning las técnicas de IP-Spoofing, y evita ataques del tipo teardrop o del ping of dead tan nefasto en sistemas "altamente seguros" del tipo Windows-NT Del mismo modo se puede restringir el acceso a determinados puertos en función de la dirección IP o del dominio.

Monitorización.

Detección de scan de puertos, vigilancia de la propia red, Generación de informes y estadísticas, disparo de alarmas ante ataques,etc

Las principales aplicaciones de los filtros de paquetes son las de control, seguridad y monitorización

Antes de continuar, vamos a preparar el sistema para que pueda manejar ip-chains. La mayor parte de las distribuciones estandard, proveen núcleos precompilados con soporte para ip-chains. Para saber si nuestro sistema lo soporta, basta con comprobar que exista el fichero /proc/net/ip_fwchains . En caso negativo, deberemos recompilar el núcleo. El listado 1 muestra las opciones relativas a la red local que debemos habilitar:

# # Networking options # CONFIG_PACKET=y CONFIG_NETLINK=y CONFIG_RTNETLINK=y CONFIG_NETLINK_DEV=y CONFIG_FIREWALL=y CONFIG_FILTER=y CONFIG_UNIX=y CONFIG_INET=y CONFIG_IP_MULTICAST=y # CONFIG_IP_ADVANCED_ROUTER is not set # CONFIG_IP_PNP is not set CONFIG_IP_FIREWALL=y CONFIG_IP_FIREWALL_NETLINK=y CONFIG_NETLINK_DEV=y CONFIG_IP_TRANSPARENT_PROXY=y CONFIG_IP_MASQUERADE=y CONFIG_IP_MASQUERADE_ICMP=y CONFIG_IP_MASQUERADE_MOD=y CONFIG_IP_MASQUERADE_IPAUTOFW=m CONFIG_IP_MASQUERADE_IPPORTFW=m CONFIG_IP_MASQUERADE_MFW=m CONFIG_IP_MASQUERADE_VS=y CONFIG_IP_MASQUERADE_VS_TAB_BITS=12 CONFIG_IP_MASQUERADE_VS_RR=m CONFIG_IP_MASQUERADE_VS_WRR=m CONFIG_IP_MASQUERADE_VS_WLC=m # CONFIG_IP_ROUTER is not set CONFIG_NET_IPIP=m CONFIG_NET_IPGRE=m CONFIG_NET_IPGRE_BROADCAST=y # CONFIG_IP_MROUTE is not set CONFIG_IP_ALIAS=y # CONFIG_ARPD is not set CONFIG_SYN_COOKIES=y CONFIG_INET_RARP=m CONFIG_SKB_LARGE=y # CONFIG_IPV6 is not set CONFIG_IPX=m # CONFIG_IPX_INTERN is not set # CONFIG_SPX is not set CONFIG_ATALK=m # CONFIG_X25 is not set # CONFIG_LAPB is not set # CONFIG_BRIDGE is not set # CONFIG_LLC is not set # CONFIG_ECONET is not set CONFIG_WAN_ROUTER=m # CONFIG_NET_FASTROUTE is not set # CONFIG_NET_HW_FLOWCONTROL is not set # CONFIG_CPU_IS_SLOW is not set

Listado 1: Opciones de red en el núcleo para soporte de IP-Chains

#! /bin/sh # Script to control packet filtering. IPCHAINS=/sbin/ipchains IPCHAINSCONF=/etc/sysconfig/ipchains.rules # If no rules, do nothing. [ -x $IPCHAINS ] || exit 0 [ -f $IPCHAINSCONF ] || exit 0 case "$1" in start) echo -n "Turning on packet filtering:" /sbin/ipchains-restore < $IPCHAINSCONF || exit 1 echo 1 > /proc/sys/net/ipv4/ip_forward echo "." ;; stop) echo -n "Turning off packet filtering:" echo 0 > /proc/sys/net/ipv4/ip_forward $IPCHAINS -X $IPCHAINS -F $IPCHAINS -P input ACCEPT $IPCHAINS -P output ACCEPT $IPCHAINS -P forward ACCEPT echo "." ;; *) echo "Usage: /etc/init.d/packetfilter {start|stop}" exit 1 ;; esac exit 0

Listado 2: Script de arranque de la configuración de IP-Chains

Ajustaremos los enlaces de los directorios /etc/rc.d/rcX.d/ para que se ejecute en el arranque de la máquina antes de inicializar la red ( para evitar que durante el arranque se nos pueda "colar" alguien )

Vamos a explicar como funciona el filtrado de paquetes con IP-Chains. Podemos empezar con un ejemplo muy sencillo, tomado del número anteriór de Linux Actual, en el artículo sobre Intranets con Linux:

root@osito# ipchains -P forward DENY
root@osito# ipchains -A forward -i ppp0 -j MASQ
root@osito# echo 1 > /proc/sys/net/ipv4/ip_forward

La primera línea efectua un reset general de la política de forwarding de paquetes. La segunda habilita el forwarding hacia el interfaz de red ppp0 ( una conexión PPP, que corresponde al modem de nuestra intranet ), especificando que se debe hacer masquerading; por último, el tercer comando habilita el forwarding de paquetes entre interfaces

IP-Chains define una serie de familias de reglas de filtrado encadenadas

Tenemos aquí el primer dato: Como su nombre indica, ipchains funciona a mediante una serie de familias de filtros encadenadas. Por defecto el sistema define tres familias:

• input Para los filtros de entrada
• output Para los filtros de salida
• forward Para control del forwarding entre interfaces

Figura 1: diagrama de flujo de los módulos de ipchains

Además el usuario puede definir sus propias cadenas de filtros.
La figura 1 ilustra este esquema. Por cada paquete entrante, se analizan en orden cada una de las reglas definidas, y en su caso se toma una decisión ( aceptar, denegar o rechazar ), o bien se salta a una nueva regla. Si analizamos el dibujo, tenemos los siguientes elementos:

Checksum

Control de integridad del paquete

Sanity

Control de coherencia del paquete

Input Chain

Cadena de filtros de entrada

Demasquerade

Funciones de desenmascaramiento de direcciones IP

Routing decision

Cálculo del enrutamiento necesario

Local Process

En algunos casos se puede implementar la política de routing mediante otros programas, en lugar de usar el kernel ( por ejemplo: el programa socks ). Este es el punto donde se insertan los comandos adecuados en la cadena de filtros

Loopback interface

Camino alternativo que siguen los paquetes que tienen origen y destino locales

Local

Punto donde se toma la decisión sobre si el paquete tiene destino local o debe hacerse forwarding

Forward chain

Cadena de filtros de control del forwarding

Output chain

Cadena de filtros de control de salida de paquetes

El usuario puede definir sus propias cadenas de filtros

El método de trabajo consiste en definir una política de routing, traducirlo a reglas de ipchains e implementarlas. Veamos a continuación cómo se generan e introducen dichas reglas

La creació, y edición de reglas de filtrado se realiza con el programa ipchains. Las operaciones básicas que podemos realizar con él son:

1. Operaciones que afectan a la totalidad de una cadena dada
   • Crear una nueva cadena (familia) de reglas - opción -N
   • Borrar una cadena de reglas vacía - opción -X. Las reglas implícitas ( input, forward, output ) no pueden ser borradas
   • Cambiar la política de una de las reglas predeterminadas - opción -P
   • Listar las reglas de una cadena - opción -L
   • Borrar las reglas de una cadena - opción -F
   • Resetear a cero los contadores de paquetes de una cadena - opción -Z
2. Operaciones con una cadena
   • Añadir reglas al final de la cadena - opción -A
   • Insertar reglas en un punto de la cadena - opción -I
   • Reemplazar una regla con otra - opción -R
   • Borrar la primera regla de la cadena - opción -D
   • Borrar una regla específica - opción -D
3. Operaciones de masquerading
   • Listado de opciones de enmascaramiento - opción -M -L
   • Ajustar los timeouts de enmascaramiento - opción -M -S

Veamos un ejemplo sencillo: vamos a desactivar el interface local. podemos observar el resultado en el listado 3.

# ping -c 1 127.0.0.1 PING 127.0.0.1 (127.0.0.1): 56 data bytes 64 bytes from 127.0.0.1: icmp_seq=0 ttl=64 time=0.2 ms --- 127.0.0.1 ping statistics --- 1 packets transmitted, 1 packets received, 0% packet loss round-trip min/avg/max = 0.2/0.2/0.2 ms # ipchains -A input -s 127.0.0.1 -p icmp -j DENY # ping -c 1 127.0.0.1 PING 127.0.0.1 (127.0.0.1): 56 data bytes --- 127.0.0.1 ping statistics --- 1 packets transmitted, 0 packets received, 100% packet loss #

Listado 3: Ejemplo de regla: desactivación del interface local

Veamos más en detalle las diversas opciones:

• Cuando conocemos la posición de una regla en la cadena, podemos acceder directamente a ella indicando su número: así por ejemplo si hemos introducido la regla anterior

   ipchains -D input 1 

  y

   ipchains -D input -s 127.0.0.1 -p icmp -j DENY 

  producen el mismo resultado. Observese que la sintaxis para el borrado de reglas debe ser coherente con la regla que se insertó
• Para especificar direcciones tenemos las opciones "-s" (source), y "-d" (destination). Las direcciones IP se pueden especificar, bien directamente, o bien especificando dirección de red y máscara. Las expresiones:

  192.168.1.2			Dirección IP
  192.168.1.2/32			Dirección/nº de bits de máscara
  192.168.1.2/255.255.255.255	Dirección/máscara
  

  Son equivalentes y se refieren a una única dirección IP
• Los protocolos se especifican con la opción "-p". Actualmente se soportan los protocolos TCP, UDP e ICMP
• Existen reglas de negación: por ejemplo "-p ! tcp" indica todos aquellos protocolos que no sean TCP
• para especificar un puerto (en el caso de protocolos UDP o TCP) podemos utilizar, o bien la notación simbólica ( dando el nombre del puerto ) o bien numérica. En el caso de notación numérica podemos especificar rangos de puertos mediante el signo ":". Si omitimos el primer número indicará desde el puerto 1 al marcado. Ejemplos:
  

   -p TCP :1023 

  paquetes TCP que tengan un puerto inferior o igual a 1023

   -p TCP -d ! 192.168.1.1 www 

  indica aquellas peticiones al puerto httpd que no vengan de la dirección 192.168.1.1
  

  -p TCP -d 192.168.1.1 ! www 

  indica aquellas direcciones que vengan de la dirección 192.168.1.1 y que NO vayan dirigidas al puerto www
• Podemos especificar un interface con la opción "-i interfaz". Si si el nombre acaba en "+" indica todos los interfaces del mismo tipo:
  

   -p icmp -i eth+ 

  indica todos los paquetes icmp que vengan de cualquier interfaz ethernet

Existen otras muchas opciones avanzadas, como poder manejar fragmentos de paquetes, filtrar paquetes SYN de conexión TCP, etc. Remitimos al lector a las páginas de manual

Con el comando ipchains-save podemos almacenar la configuración que hemos hecho. ipchains-save lista por la salida estandard una serie de comandos compatibles con ipchains que proporcionan información suficiente para regenerar la configuración

Las reglas de filtrado pueden ser almacenadas y recuperadas en cualquier momento, permitiendo recuperar la configuración tras un rearranque del equipo

El comando opuesto a ipchains-save es , por supuesto ipchains-restore

Para la gente que utilizaba el programa ipfwadmin del antiguo núcleo 2.0 existe un programa ipfwadm-wrapper que convierte los ficheros de configuración al nuevo formato

Hemos visto y estudiado el manejo de los filtros de paquetes IP que el núcleo 2.2 incorpora, así como procedido a realizar algunos ejemplos sencillos de configuración. IP-Chains es una herramienta versatil y poderosa que elimina muchas de las dificultades que los usuarios del núcleo 2.0 teníamos para la configuración de filtros de red y para las tareas de IP-Masquerading.

IP-Chains solo es capaz de manejar paquetes TCP-IP

No obstante, no todo son ventajas: IP-Chains solo sabe manejar paquetes TCP-IP. Si bien sigue siendo el núcleo fundamental de los entornos de red, no es el único protocolo existente. Por ello los programadores de núcleo Linux no se han dormido en los laureles, y para la versión 2.4 del núcleo IP-Chains desaparecerá, dando lugar a una nueva herramienta: Net-Filter que permite una configuración completa, con independencia del protocolo.

Remitimos al lector a las diversas FAQ y HOWTO's sobre el tema:

• Linux IP-Chains HOWTO
• Linux NET-3 HOWTO
• IP-Masquerading HOWTO
• Firewalling HOWTO
• The Linux IP Firewalling Chains Page: http://www.rustcorp.com/linux/ipchains
• Lista de correo sobre IP-Chains: mailto:ipchains@rustcorp.com