Configuration de votre firewall GNU/Linux grâce à Netfilter / Iptables.

IPtables est le nom communément utilisé pour désigner les outils en espace utilisateur et le framework en espace noyau Netfilter permettant de filtrer l'activité réseau sous GNU/Linux. Construit de façon modulaire, cet outil permet de réaliser facilement des pare-feux puissants et intelligents.

Le principe directeur d'IPtables est de faire cheminer chaque paquet par une "table" composée de "chaînes" filtrantes. Par défaut, les paquets passent dans la table "filter", qui contient trois chaînes prédéfinies: les paquets entrants empruntent la chaîne INPUT, les sortants OUTPUT, et les paquets devant être routés passent par la chaîne FORWARD. Chacune de ces chaînes a une politique par défaut, présidant à la destinée du paquet qui la parcourt.

Il est possible de créer de nouvelles chaînes à volonté, mais celles-ci ne pourront pas avoir de politique par défaut; si un paquet les traverse entièrement, il sera renvoyé à la chaîne qu'il avait précédemment parcouru. Chaque chaîne est une succession de rêgles, auxquelles il est possible d'ajouter une "cible" indiquant une action à effectuer sur le paquet. Tant qu'un paquet ne correspond pas à une règle, il continue sa progression le long de la chaîne; dans le cas contraire, le paquet sera traité en fonction de la "cible" définie.

La grande force d'IPtables réside dans sa modularité; ainsi, en chargeant d'autres modules, d'autres tables peuvent être crées, comme la table "nat" gérant la traduction d'adresse, ou "mangle" pour la modification des paquets. Il est également possible de traquer l'état des différentes connections (statefullness), permettant de filter les paquets suivant leur contexte.

Sortons couvert

Avant de commencer l'écriture d'un pare-feu, il est judicieux de sécuriser au maximum la couche réseau du système d'exploitation. Le noyau Linux est hautement configurable, et plusieurs options accessibles via le système de fichier /proc permettent une sécurité accrue:

/proc/sys/net/ipv4/conf/all/rp_filter
/proc/sys/net/ipv4/conf/all/accept_source_route
/proc/sys/net/ipv4/tcp_syncookies
/proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
/proc/sys/net/ipv4/conf/all/accept_redirects
/proc/sys/net/ipv4/icmp_ignore_bogus_error_responses

La procédure d'initialisation de notre firewall commencera donc par les lignes suivantes:

# try to enable kernel spoofing protection
        if [ -w /proc/sys/net/ipv4/conf/all/rp_filter ]; then
            # enable kernel anti-spoofing protection
            for filter in /proc/sys/net/ipv4/conf/*/rp_filter; do
            echo 1 > $filter
            done
        fi

# Don't accept source routed packets
        if [ -w /proc/sys/net/ipv4/conf/all/accept_source_route ]; then
            echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
        fi

# try to enable SYN flood protection
        if [ -w /proc/sys/net/ipv4/tcp_syncookies ]; then
            echo 1 > /proc/sys/net/ipv4/tcp_syncookies
        fi

# disable ICMP broadcasts
        if [ -w /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts ]; then
            echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
        fi

# disable ICMP redirects
        if [ -w /proc/sys/net/ipv4/conf/all/accept_redirects ]; then
            echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
        fi

# ignore bogus ICMP errors
        if [ -w /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses ]; then
            echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
        fi

Rêgles de base

La stratégie de base d'un firewall sûr est de commencer par bloquer tout le trafic, puis d'autoriser au cas pas cas les usages légitimes du réseau. Cette approche repose sur le principe qu'il vaut mieux, en cas d'erreur, bloquer du trafic légitimes, plutôt que de laisser passer une attaque.

Ceci est accompli très facilement en initialisant nos chaînes iptables avec la politique DROP. Ainsi, en l'absence de rêgles plus complexe, le comportement par défaut sera de bloquer silencieusement tous les paquets.

À partir de cette base saine, nous pouvons dès lors commencer à autoriser le trafic légitime, comme l'interface loopback (locale), le réseau local, et les connections que nous initions nous même vers l'extérieur.

Dans la suite de cet exemple, la variable $LAN correspond à l'interface réseau reliée au réseau local, et $LAN_ADDR à l'adresse IP de cette interface. $LAN_NET et $LAN_BCAST correspondent à l'adresse et au masque de sous réseau utilisés par le réseau local. De la même façon, $INET correspond à l'interface réseau reliée à internet et $INET_ADDR à son adresse IP.

# allow the loopback
        echo "Allowing loopback..."
        $IPTABLES -A OUTPUT -o lo -m state --state ! INVALID -j ACCEPT
        $IPTABLES -A INPUT  -i lo -m state --state ! INVALID -j ACCEPT

# allow the lan
        if [ -n "$LAN" ]; then
            echo "Allowing LAN ($LAN_NET)..."
            $IPTABLES -A OUTPUT -o $LAN -s $LAN_ADDR -d $LAN_NET -m state \
            --state ! INVALID -j ACCEPT
            $IPTABLES -A INPUT  -i $LAN -s $LAN_NET -d $LAN_ADDR -m state \
            --state ! INVALID -j ACCEPT
            $IPTABLES -A OUTPUT -o $LAN -s $LAN_ADDR -d $LAN_BCAST -m state \
            --state ! INVALID -j ACCEPT
            $IPTABLES -A INPUT  -i $LAN -s $LAN_NET -d $LAN_BCAST -m state \
            --state ! INVALID -j ACCEPT
        fi

# allow internet access
        echo "Allowing INET ($INET_ADDR)..."
        $IPTABLES -A OUTPUT -o $INET -s $INET_ADDR -p all -m state \
        --state ! INVALID -j ACCEPT
        $IPTABLES -A INPUT  -i $INET -d $INET_ADDR -p all -m state \
        --state RELATED,ESTABLISHED -j ACCEPT

Avec ces quelques règles, nous disposons d'une protection basique mais efficace; nous pouvons accéder à Internet, sans toutefois nous exposer. Notre machine rejette tout paquet non sollicité et est donc invisible aux yeux d'un attaquant.

Paquet indésirable

Enregistrer les paquets rejetés peut être intéressant pour plusieurs raisons; en cas d'attaque, cela permet de collecter des informations sur la nature de l'attaque et éventuellement l'attaquant. Au quotidien, cela permet de pouvoir au besoin détecter un usage légitime bloqué afin de l'autoriser.

Pour cela, nous allons ajouter en destination finale de toutes les chaînes une cible LOG, afin d'utiliser les journaux systèmes.

$LOG_LEVEL représente le niveau de sévérité de l'enregistrement dans le journal du système. Le niveau "info" est recommandé, le bloquage d'un paquet étant un évènement courant.

Le préfixe $PRE permettra de retrouver facilement les enregistrements spécifiques aux paquets bloqués dans le journaux grâces à des outils comme grep ou sed.

Plaisir partagé

Si notre machine doit servir de bouclier à un réseau local, il faut pouvoir également partager la connection aux machines protégées. IPtables permet de partager une connection très simplement, en utilisant le module "nat".

nat_allow() {
            # This function allows connection sharing and port forwarding to the LAN.
            [ -w /proc/sys/net/ipv4/ip_forward ] || return -1

# initialize the nat tables
            $IPTABLES -t nat -F
            $IPTABLES -t nat -F
            $IPTABLES -t nat -X
            $IPTABLES -t nat -P PREROUTING ACCEPT
            $IPTABLES -t nat -P OUTPUT ACCEPT
            $IPTABLES -t nat -P POSTROUTING ACCEPT

# allow lan<->internet traffic
            $IPTABLES -A FORWARD -i $LAN -o $INET -s $LAN_NET -m state \
            --state ! INVALID -j ACCEPT
            $IPTABLES -A FORWARD -i $INET -o $LAN -d $LAN_NET -m state \
            --state ESTABLISHED,RELATED -j ACCEPT

# masquerading
            $IPTABLES -t nat -A POSTROUTING -o $INET -s $LAN_NET -j MASQUERADE

# automagically fix the MTU
            $IPTABLES -A FORWARD -i $LAN -o $INET -s $LAN_NET -p tcp \
            --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

# enable forwarding
            echo 1 > /proc/sys/net/ipv4/ip_forward

# nat is now enabled, notify specific functions like port_forward()
            NAT_ENABLED=1

return 0
        }

Grâce à cette fonction, les machines que nous protégeons peuvent accéder à internet, mais ne peuvent pas héberger de services. En effet, nous filtrons toutes les connections extérieures.

IPtables permet cependant de rediriger facilement le traffic arrivant sur un des ports réseau de notre machine vers la machine appropriée de notre réseau local, en utilisant la chaîne PREROUTING.

"Je suis très ouvert"

L'exemple que nous avons développé dans la première partie est simple mais limité - suffisant pour un ordinateur personnel ou une station de travail, mais complètement inadapté à un serveur. En effet, il n'est pas possible d'accéder à un quelconque service réseau hébergé sur la machine protégée. Nous allons donc voir comment accepter du trafic sur un ou plusieurs ports réseau.

Nous allons pour cela utiliser la fonctionnalité stateful d'IPtables, (module "state") afin de n'accepter que les connections légitimes:

Grâce à cette fonction, il est désormais trivial d'ouvrir un port: il suffit d'utiliser la ligne port_allow tcp 80 pour autoriser l'accès à un serveur HTTP, ou bien port_allow tcp 22 pour SSH.

Cependant, il est parfois utile de prévoir des protections supplémentaires. Par exemple, beaucoup d'administrateurs parcourant leur journaux systèmes y trouveront des traces d'attaque de type "force brute" contre leur serveur SSH. Comment y remédier? Certains optent pour une authentification uniquement cryptographique, d'autres déménagent leur serveur SSH sur un port moins fréquenté. En utilisant IPtables, il est possible de remédier à ces attaques sans devoir changer la configuration du serveur SSH.

Ceinture de chasteté

Comment endiguer une attaque de type "force brute" ? Dans ce genre d'agression, l'attaquant se connecte au serveur un grand nombre de fois, en essayant chaque fois des codes d'accès différents. Il n'est pas possible de différencier cette attaque d'une connection légitime par le contenu du trafic, mais en revanche la fréquence des connections est particulièrement révélatrice. En limitant la fréquence des connections sur un port réseau, on peut ainsi rendre une attaque "force brute" complètement inneficace. Nous utiliserons pour cela le module "recent".

protect_bruteforce() {
            # This function protects a port exposed to the internet from bruteforce
            # attacks, by allowing only 4 hits per minute.
            #
            # $1 port to protect
            [ -n $1 ] || return -1
            [ $1 -gt 0 -a $1 -lt 65536 ] || return -1

# tag new incoming connections
            $IPTABLES -A INPUT -p tcp -d $INET_ADDR --dport $1 -m state --state NEW \
            -m recent --set --name "BF_$1"

# prevent bruteforce attacks by restricting to 4 connections per second
            # log the possible attempt
            $IPTABLES -A INPUT -i $INET -p tcp --dport 22 -m state --state NEW \
            -m recent --update --seconds 60 --hitcount 4 --rttl --name "BF_$1" \
            -j LOG --log-level $LOG_LEVEL --log-prefix "Bruteforce on port $1 ? : "
            # drop the offending packet
            $IPTABLES -A INPUT -i $INET -p tcp -d $INET_ADDR --dport $1 \
            -m state --state NEW -m recent --update --seconds 60 --hitcount 4 \
            --rttl --name "BF_$1" -j DROP

return 0
        }

En remplaçant port_allow tcp 22 par protect_bruteforce 22, notre serveur SSH sera à l'abri de ces attaques.

Le module "recent" permet de créer d'autres dispositifs intéressants. Voyons par exemple comment dissimuler un service, en n'ouvrant son port que si la bonne combinaison de ports réseau est contactée.

Toc toc qui est là?

Pour ce faire, nous allons créer de nouvelles chaînes; chaque fois que l'un des ports de déblocage sera contacté, nous avancerons d'une chaîne vers l'ouverture du port dissimulé:

protect_portknocking() {
            # This function protects a port exposed to the internet by opening it only
            # after a combination of 4 specific ports has been probed.
            #
            # $1 the port to protect with port knocking
            # $2 opening duration
            # $3, ..., $6: 4 ports combination
            [ -n $1 -a -n $2 -a -n $3 -a -n $4 -a -n $5 -a -n $6 ] || return -1
            [ $1 -gt 0 -a $1 -lt 65536 ] || return -1
            # duration check ?
            [ $3 -gt 0 -a $3 -lt 65536 ] || return -1
            [ $4 -gt 0 -a $4 -lt 65536 ] || return -1
            [ $5 -gt 0 -a $5 -lt 65536 ] || return -1
            [ $6 -gt 0 -a $6 -lt 65536 ] || return -1

$IPTABLES -N "UNLOCK1_$1"
            $IPTABLES -A "UNLOCK1_$1" -m recent --name "UL0_$1" --remove
            $IPTABLES -A "UNLOCK1_$1" -m recent --name "UL1_$1" --set
            $IPTABLES -A "UNLOCK1_$1" -j LOG --log-level $LOG_LEVEL \
            --log-prefix "Port $1 unlocking, phase 1: "

$IPTABLES -N "UNLOCK2_$1"
            $IPTABLES -A "UNLOCK2_$1" -m recent --name "UL1_$1" --remove
            $IPTABLES -A "UNLOCK2_$1" -m recent --name "UL2_$1" --set
            $IPTABLES -A "UNLOCK2_$1" -j LOG --log-level $LOG_LEVEL \
            --log-prefix "Port $1 unlocking, phase 2: "

$IPTABLES -N "UNLOCK3_$1"
            $IPTABLES -A "UNLOCK3_$1" -m recent --name "UL2_$1" --remove
            $IPTABLES -A "UNLOCK3_$1" -m recent --name "UL3_$1" --set
            $IPTABLES -A "UNLOCK3_$1" -j LOG --log-level $LOG_LEVEL \
            --log-prefix "Port $1 unlocking, phase 3: "

$IPTABLES -A INPUT -m recent --update --name "UL0_$1"

$IPTABLES -A INPUT -p tcp -d $INET_ADDR --dport $3 -m recent \
            --set --name "UL0_$1"
            $IPTABLES -A INPUT -p tcp -d $INET_ADDR --dport $4 -m recent \
            --rcheck --name "UL0_$1" -j "UNLOCK1_$1"
            $IPTABLES -A INPUT -p tcp -d $INET_ADDR --dport $5 -m recent \
            --rcheck --name "UL1_$1" -j "UNLOCK2_$1"
            $IPTABLES -A INPUT -p tcp -d $INET_ADDR --dport $6 -m recent \
            --rcheck --name "UL2_$1" -j "UNLOCK3_$1"

$IPTABLES -A INPUT -p tcp -d $INET_ADDR --dport $1 -m recent \
            --rcheck --seconds $2 --name "UL3_$1" -j ACCEPT
        }

Nous pouvons maintenant astucieusement dissimuler notre serveur SSH derrière la combinaison de 4 ports 665, 201314, 66 et 520 de la façon suivante: protect_portknocking 22 10 665 201314 66 520

J'espère que cet article vous aura permis de découvrir des aspects d'IPtables avec lesquels vous n'étiez pas familiers, et partant, vous aura permis d'en finir avec les comportements à risque. Sortons couverts.