ACLs Access Control Lists para IP

Transcrição

1 ACLs Access Control Lists para IP

2 O que são as ACLs Regras organizadas em lista Cada regra é designada de ACE, Access Control Entry Cada ACE é composta por: Conjunto de verificações a realizar Acção a realizar em caso de sucesso nas verificações Regras são avaliadas por ordem até verdadeiro ou fim da lista Só executam acções quando aplicadas em determinado ponto de intercepção ISEL/DEETC/SRT 2

3 Aplicações típicas das ACLs Filtragem de pacotes Em trânsito Com origem ou destino local Filtragem de rotas em protocolos de encaminhamento Manipulação de rotas em protocolos de encaminhamento Validação no acesso a serviços de rede Ao nível da camada 3 e 4 Manipulação de pacotes Para classificação e implementação de QoS Para aplicação condicional de mecanismos de NAT Para ajuste de campos dos cabeçalhos dos protocolos ISEL/DEETC/SRT 3

4 Algoritmo básico de avaliação Validação inicia-se na cabeça da lista Validadas as condições indicadas na ACE Sobre diversos campos do cabeçalho do datagrama Sobre outras condições externas Se todas as validações da ACE sucedem, executar a acção indicada na ACE e terminar Se não, e se a lista ainda não terminou, passar para a regra seguinte Executar a acção default ISEL/DEETC/SRT 4

5 Cisco IOS ACLs tipo Standard Duas acções possíveis accept (aceitar) deny (negar) Opção de registar o evento com log Só permite a verificação do endereço origem do datagrama Usa o par IP / WILDCARD IP Endereço base a verificar WILDCARD Em formato de endereço IP mas indicando com os bits activos os bits que serão para ignorar na validação A acção por omissão é deny Nota: Os datagramas negados geram um ICMP Communication Administratively Prohibited (3/13) de volta a não ser que se tenha activado o no ip unrechables na interface onde está aplicada a ACL ISEL/DEETC/SRT 5

6 Cisco IOS ACLs tipo Standard - Exemplo ACL de exemplo: access-list 10 permit access-list 10 permit access-list 10 deny log Nome da lista é 10 As acções são permit ou deny A última regra está a registar o evento (log) A primeira regra aceita datagramas com endereço origem XXX ou XXX A WILDCARD diz para a validação ignorar os últimos 9 bit! => (binário) ISEL/DEETC/SRT 6

7 Pergunta? Se a ACL for aplicada numa interface com o código abaixo, qual a acção executada quando: Tentar entrar um datagrama na interface com endereços A) (origem) => (destino) B) (origem) => (destino) Tentar sair um datagrama na interface com endereços C) (origem) => (destino) access-list 10 permit access-list 10 permit access-list 10 deny log interface GigabitEthernet3/16 ip access-group 10 in exit ISEL/DEETC/SRT 7

8 Solução! A) (origem) => (destino) Negado com registo (logging) pela 3ª regra B) (origem) => (destino) Aceite pela 2ª regra C) (origem) => (destino) Não se sabe, esta ACL não está aplicada à saída! access-list 10 permit access-list 10 permit access-list 10 deny log interface GigabitEthernet3/16 ip access-group 10 in exit ISEL/DEETC/SRT 8

9 Cisco IOS ACLs - Simplificações Validação de endereços pode ser escrito como any A.B.C.D pode ser escrito como host A.B.C.D Na introdução da regras Bits activos na WILDCARD ficam automaticamente inactivos (a zero) no endereço para evitar ambiguidade Regras com validações iguais são ignoradas (mantida apenas 1ª) Actualmente as ACL podem ser identificadas por nomes em vez de números (para a maioria das funções) Sintaxe exemplo: ip access-list extended XPTO Aplicável para todos os tipos de ACLs ISEL/DEETC/SRT 9

10 Cisco IOS ACLs Restrições/Limitações Não é possível mudar a acção default Mas pode-se colocar uma regra à cauda que faça o que queremos Quando numeradas Standard : 1 a 99 ou 1300 a 1399 Extended : 100 a 199 ou 2000 a 2699 Só por si não formam firewalls com validação de estado (Statefull packet inspection SPI) SPI só com Cisco CBAC (Context Based Access Control) ISEL/DEETC/SRT 10

11 Cisco IOS ACLs tipo Extended (1) As mesmas duas acções (accept/deny) que as Standard Possibilidade de registo mais detalhado com log-input Validação de mais campos do cabeçalho IP Endereço destino Protocolo da camada acima (nome, número ou ip para todos) Se é fragmento que não o 1º (fragments) Valor de ToS/DSCP/Precedence (dscp/tos/precedence) Valor de TTL (ttl) Opção IP (extensões de cabeçalho) ISEL/DEETC/SRT 11

12 Cisco IOS ACLs tipo Extended (2) Validação de campos específicos para os protocolos nível 4 Portos TCP/UDP eq, gt, lt, neq, range, portos indicados por nome (ex. www = 80) ou número Exemplo: deny tcp any any eq 445 Flags do TCP syn, ack, rst, fin, urg, psh, established (não syn isolado!) Exemplo: permit tcp any gt 1023 any neq 0 established Type/Code do ICMP Numericamente ou baseado em nomes (ex. echo-request = type 8, code 0) Exemplo: permit icmp any any packet-too-big Tipo de mensagem IGMP host-query, v1host-report, v2host-report, v3-host-report, v2-leave-group, pim ISEL/DEETC/SRT 12

13 Cisco IOS ACLs tipo Extended (3) Condições externas ao datagrama avaliado Intervalos temporais (time-range)! Exemplo! Definição do período temporal em que a condição é verdadeira time-range horaupdate periodic Tuesday Wednesday 2:00 to 4:00! Definição da ACL com a validação do período de actividade ip access-list extended redemaissegura permit tcp gt 1023 any eq 80 time-range horaupdate deny tcp any eq 80 permit ip any any exit Contexto (evaluate/reflect) ACLs reflexivas (ver slide adiante) ISEL/DEETC/SRT 13

14 Cisco IOS fragmentos IP e ACLs Assumindo que as condições validáveis (L3 e/ou L4) sucedem Primeiro fragmento (tem cabeçalho L4 incluído) Se ACE contém validações L4, executar acção indicada Se ACE só contém validações L3 e não tem keyword fragments, executar acção indicada Fragmentos restantes (sem cabeçalho L4!) Se ACE contém validações L4 e acção PERMIT, executar Se ACE só contém validações L3, executar acção indicada ISEL/DEETC/SRT 14

15 Cisco IOS ACLs Tomada de decisão em ACEs, tendo em conta a possível fragmentação. Imagem em: ISEL/DEETC/SRT 15

16 Cisco IOS ACLs reflexivas Extensão às ACLs Extended para manter uma informação de estado básica Apenas contexto de IPs e portos envolvidos Expiração de entradas por timeout Quando um datagrama é aceite por uma regra que inclua a acção reflect Gerada uma entrada temporária na ACL reflexiva Com os valores de IP/portos necessários para receber o tráfego de volta Na ACL usada no sentido contrário do tráfego pode-se evocar a ACL reflexiva com a regra evaluate <lista reflexiva> ip access-list extended parainternet permit tcp any any eq 80 reflect trafegoweb ip access-list extended dainternet evaluate trafegoweb ISEL/DEETC/SRT 16

17 Cisco IOS ACLs - Particularidades O resultado da avaliação das ACLs é sempre consistente com a ordem das regras Algumas plataformas não processam as ACEs pela ordem da lista Optimização de cálculo/pesquisa/validações Hardware dedicado (ternary content addressable memory TCAM) Plataformas com optimização hardware têm recursos limitados Típico dos Multi-Layer Switch - MLS Se as regras não couberem na TCAM o processo é realizado em software Muito ineficiente Analisar documentação da plataforma Rearranjar as regras para minimizar o consumo dos recursos escassos da TCAM Ajustar ACLs para reutilização em múltiplas interfaces ISEL/DEETC/SRT 17

18 Sugestões de boas práticas em ACLs ACLs reflexivas Evitar que cresçam demasiado Optimizar listas Conhecer dentro do possível a implementação do avaliador Regras muito usadas não devem gerar log Gerar log de tráfego fora do comum Terminar as ACLs com uma regra deny ip any any log Detectar situações inesperadas Analisar periodicamente os registos (log) Regras deny devem ser o mais genéricas possível Regras permit devem ser o mais específicas possível ISEL/DEETC/SRT 18

19 Optimização/Simplificação Juntar regras que sejam agregáveis Ex. de blocos de endereçamento contíguos e de igual dimensão Mover para a cabeça da lista Regras que lidem com mais tráfego, que sejam mais simples ou que só evoquem campos do cabeçalho IP Aceitar o tráfego TCP de ligações aceites/estabelecidas com regras established próximas da cabeça das listas Evitar ACLs reflexivas para geradores de muitas comunicações distintas Ex. Para aceitar as respostas aos pedidos DNS ao exterior, preferível usar ACLs estáticas Associar timeout razoável às acções reflect Remover regras não usadas ou com sombra de outras ISEL/DEETC/SRT 19

20 Reordenação de ACEs Nem sempre com resultados visíveis IOS tem frequentemente um optimizador Com melhores resultados em plataformas não MLS Há que garantir que o resultado final da avaliação se mantém Podem-se trocar regras consecutivas com acção igual Podem-se trocar regras que não se intersectem ISEL/DEETC/SRT 20

21 Uso em Packet Filtering - Interfaces Criar as ACL, aplicar as ACL ao tráfego que entra na interface (in) ou sai (out) ip access-list extended vigilancia-in permit udp any eq bootpc host eq bootps permit ip any deny ip any deny ip any deny ip any log-input deny icmp any any log-input fragments permit ip any permit ip any permit ip any permit ip any permit udp any eq ntp permit icmp any echo permit ip any permit icmp any echo permit tcp any eq www permit tcp any eq 443 permit ip permit ip host deny ip any any log-input ip access-list extended vigilancia-out permit ip deny tcp any eq telnet permit ip any permit ip any permit ip any permit ip any permit udp any eq ntp permit icmp any permit ip any permit icmp any echo-reply permit icmp any unreachable permit icmp any time-exceeded permit tcp any neq gt 1023 established permit ip permit ip host deny ip host any deny ip any any log-input interface Vlan193 ip access-group vigilancia-in in ip access-group vigilancia-out out ISEL/DEETC/SRT 21

22 Uso no acesso a serviços do router Exemplos para acesso remoto de consola e para acesso SNMP ip access-list standard cantelnet permit deny any log! line vty 0 4 access-class cantelnet in!! =======================================! access-list 1501 permit access-list 1501 permit access-list 1501 deny any log! snmp-server community ourpublic RO ISEL/DEETC/SRT 22

23 Uso em NAT Selecciona que tráfego pode usar cada regra de NAT access-list 100 permit ip any access-list 101 permit ip any ip nat inside source list 100 interface FastEthernet0/0 overload ip nat pool xpto prefix-length 1 ip nat inside source list 101 pool xpto ISEL/DEETC/SRT 23

24 Uso em encaminhamento No ajuste de atributos ou filtragem de rotas ip access-list standard netspi permit permit deny any! route-map bgp-out permit 10 match ip address netspi set metric 200! router bgp neighbor route-map bgp-out out ISEL/DEETC/SRT 24

25 Em policy routing Forçar o tráfego a seguir um caminho e ignorar tabela de encaminhamento Marcar valores de precedence/dscp para uso em QoS ip access-list extended netsviaf permit ip any permit ip any deny ip any any route-map route-ctrl-red permit 20 match ip address netsviaf set ip precedence routine set ip next-hop ! interface GigabitEthernet0/3 ip policy route-map route-ctrl-red ISEL/DEETC/SRT 25

26 Netfilter IPTables (Linux) Modelo de filtragem mais versátil Muitos pontos de intercepção Muitos módulos extra para comportamentos especiais Muitas variantes de NAT Com statefull packet inspection nativo conntrack Possibilidade de se criarem módulos personalizados para funções muito específicas Possibilidade de evocação entre ACLs (chamadas aqui de Chains) Componentes kernel-space e user-space ISEL/DEETC/SRT 26

27 Netfilter Recursão entre chains Permite maior eficiência se se organizar a avaliação em árvore Evita avaliar regras que nunca iriam suceder Permite desenvolvimento de grupos modulares de regras ISEL/DEETC/SRT 27

28 Netfilter Pontos e intercepção 4 tables filter (default) nat mangle raw 5 pontos de intercepção PREROUTING POSTROUTING INPUT OUTPUT FORWARDING ISEL/DEETC/SRT 28

29 Netfilter Tabela filter Modelo mais eficiente que o do IOS Tráfego só passa por um ponto de intercepção FORWARD Se apenas atravessa o router INPUT Se é destinado ao router OUTPUT Se gerado pelo router ISEL/DEETC/SRT 29

30 Netfilter Módulo de conntrack Mantém estado granular das ligações Detalhes de quando ocorre NAT Endereços, portos, protocolos Números de sequência do TCP Contadores de tráfego em bytes e datagramas tcp SYN_SENT src= dst= sport=3843 dport=27031 packets=1 bytes=52 [UNREPLIED] src= dst= sport=27031 dport=3843 packets=0 bytes=0 mark=0 use=2 tcp 6 53 TIME_WAIT src= dst= sport=3770 dport=80 packets=5 bytes=873 src= dst= sport=80 dport=3770 packets=5 bytes=440 [ASSURED] mark=0 use=2 tcp ESTABLISHED src= dst= sport=443 dport=49626 packets=2 bytes=2920 [UNREPLIED] src= dst= sport=49626 dport=443 packets=0 bytes=0 mark=0 use=2 tcp ESTABLISHED src= dst= sport=3844 dport=80 packets=7 bytes=288 src= dst= sport=80 dport=3844 packets=1 bytes=48 [ASSURED] mark=0 use=2 tcp ESTABLISHED src= dst= sport=25 dport=16008 packets=1 bytes=110 [UNREPLIED] src= dst= sport=16008 dport=25 packets=0 bytes=0 mark=0 use=2 tcp ESTABLISHED src= dst= sport=1401 dport=443 packets=34 bytes=20295 src= dst= sport=443 dport=1401 packets=36 bytes=18254 [ASSURED] mark=0 use=2 tcp ESTABLISHED src= dst= sport=50106 dport=80 packets=341 bytes=56504 src= dst= sport=80 dport=50106 packets=349 bytes=53395 [ASSURED] mark=0 use=2 tcp 6 48 SYN_SENT src= dst= sport=51546 dport=64694 packets=3 bytes=152 [UNREPLIED] src= dst= sport=64694 dport=51546 packets=0 bytes=0 mark=0 use=2 tcp ESTABLISHED src= dst= sport=443 dport=1609 packets=9 bytes=6205 [UNREPLIED] src= dst= sport=1609 dport=443 packets=0 bytes=0 mark=0 use=2 tcp ESTABLISHED src= dst= sport=49838 dport=80 packets=7 bytes=352 src= dst= sport=80 dport=49838 packets=1 bytes=52 [ASSURED] mark=0 use= ISEL/DEETC/SRT 30

31 Netfilter Módulo de conntrack TCP (1) Estabelecimento de ligações Fecho de ligações ISEL/DEETC/SRT 31

32 Netfilter Módulo de conntrack TCP (2) Estabelecimento de ligações associadas pelo servidor (ex. FTP-DATA / modo activo) Estabelecimento de ligações associadas pelo cliente (ex. FTP-DATA / modo passivo) ISEL/DEETC/SRT 32

33 Netfilter Módulo de conntrack UDP e ICMP Associação entre pedidos/respostas sobre UDP Associação entre mensagens ICMP ISEL/DEETC/SRT 33

34 Netfilter Módulo de conntrack TCP/UDP Associação das mensagens de erro ICMP relacionadas Em TCP Em UDP ISEL/DEETC/SRT 34

35 Netfilter Manutenção das listas e regras (1) Uso da ferramenta iptables em scripts ou command shell Uso das ferramentas iptables-save / iptables-restore Possibilidade de adição, remoção, inserção, substituição e listagem de regras Incluindo listagem de pacotes e bytes processados por cada regra Verificações base similares às do Cisco IOS Possibilidade de negação das verificações prefixando-as de! Protocolo nível 4 (-p) IP origem (-s) no formato address/mask (clássica ou CIDR) IP destino (-d) formato igual ao do -s Interface de entrada (-i) Possibilidade de uso de wildcards (ex. eth+) Interface de saída (-o) Possibilidade de uso de wildcards (ex. ppp+) Tabela (-t) filter, nat, magle, raw ISEL/DEETC/SRT 35

36 Netfilter Manutenção das listas e regras (2) Acções Execução (-j) <chain> - Continua a avaliação noutra chain e retorna se chegar ao fim dela ACCEPT aceitar o datagrama e terminar DROP rejeitar o datagrama sem qualquer resposta e terminar REJECT rejeitar o datagrama e responder convenientemente ou com a mensagem indicada e terminar LOG registar os detalhes do datagrama tem opções para registo de detalhes específicos RETURN volta para a lista que evocou a actual Comutação de chains (-g) Salta para a chain indicada e não volta Módulo adicional de verificações (-m) Usado para carregar módulos especializados de verificação Por omissão (-P) define a acção por omissão da chain ISEL/DEETC/SRT 36

37 Netfilter Verificações extra para TCP Possibilidade da negação da verificação prefixando com! --tcp-flags mask comp Testa o campo de flags com uma operação (flags & mask == comp) --syn Equivalente a --tcp-flags SYN,RST,ACK,FIN SYN --sport port[:port] Gama de portos origem a validar --dport port[:port] Gama de portos destino a validar --tcp-option number Valida a existência de determinada extensão de cabeçalho TCP ISEL/DEETC/SRT 37

38 Netfilter Algumas verificações especializadas Adicionáveis à regra com m statistic dá verdadeiro baseado em condições estatísticas iptables -t nat -A POSTROUTING -m statistic -o eth0 -p udp -s ! --sport 53 \! -d /23 --dport 53 --mode nth --every 2 --packet 0 -j SNAT --to-source dscp verifica o valor do campo DSCP do cabeçalho IP iptables -A dscpclass -m dscp --dscp-class AF43 -j RETURN state consulta o estado conntrack associado ao datagrama iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT limit só retorna verdadeiro n vezes por período de tempo iptables -A INPUT -p icmp --icmp-type 8/0 -m limit --limit 1/s -j ACCEPT ISEL/DEETC/SRT 38

39 Netfilter - NAT Usar o iptables com a opção t nat Pontos de intercepção PREROUTING POSTROUTING OUTPUT Acções finais possíveis em regras de NAT SNAT - Alteração de endereço e/ou porto origem DNAT Alteração de endereço e/ou porto destino MASQUERADE forma especial de SNAT, similar ao Cisco NAT overload sobre IP da interface indicada na regra ACCEPT não fazer NAT Nota: Algumas combinações ponto de intercepção/acções não são válidas (ex. MASQUERADE em PREROUTING!) ISEL/DEETC/SRT 39

40 Netfilter O resto É impossível falar de todas as alternativas do Netfilter Mesmo grande parte do mencionado atrás tem variantes que tiveram de ficam por mencionar Site oficial: Inclui muita documentação a todos os níveis e referências para muitos outros locais com tutoriais e HOWTOs ISEL/DEETC/SRT 40

41 Netfilter Exemplo: OpenWRT de casa (1) root]$ iptables -t filter -L -nv Chain INPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination DROP all -- * * / /0 state INVALID 385K 35M ACCEPT all -- * * / /0 state RELATED,ESTABLISHED K ACCEPT all -- lo * / /0 state NEW 0 0 ACCEPT udp -- * * / /0 udp dpt: ACCEPT tcp -- * * / /0 tcp dpts:52413: ACCEPT tcp -- * * / tcp dpt: K ACCEPT all -- br0 * / /0 state NEW 663K 241M ACCEPT udp -- * * / /0 udp spt:67 dpt: ACCEPT tcp -- * * / tcp dpt: ACCEPT icmp -- * * / / K DROP all -- * * / /0 Chain FORWARD (policy ACCEPT 116K packets, 10M bytes) pkts bytes target prot opt in out source destination K ACCEPT all -- br0 br / /0 0 0 DROP all -- * * / /0 state INVALID habbo tcp -- * vlan / / habbo tcp -- * vlan / / habbo tcp -- * vlan / / ACCEPT all -- * vlan / ACCEPT all -- * vlan / / DROP all -- * vlan / / DROP all -- * vlan / / DROP all -- * vlan / /8 4911K 3378M ACCEPT all -- * * / /0 state RELATED,ESTABLISHED 0 0 DROP all --!br0 vlan / / K ACCEPT all -- * * / /0 ctstate DNAT ISEL/DEETC/SRT 41

42 Netfilter Exemplo: OpenWRT de casa (2) Chain OUTPUT (policy ACCEPT 519K packets, 364M bytes) pkts bytes target prot opt in out source destination Chain SECURITY (0 references) pkts bytes target prot opt in out source destination 0 0 RETURN tcp -- * * / /0 tcp flags:0x16/0x02 limit: avg 1/sec burst RETURN tcp -- * * / /0 tcp flags:0x17/0x04 limit: avg 1/sec burst RETURN udp -- * * / /0 limit: avg 5/sec burst RETURN icmp -- * * / /0 limit: avg 5/sec burst DROP all -- * * / /0 Chain habbo (3 references) pkts bytes target prot opt in out source destination 0 0 RETURN all -- * * / REJECT all -- * * / /0 reject-with icmp-net-prohibited Chain logaccept (0 references) pkts bytes target prot opt in out source destination 0 0 LOG all -- * * / /0 state NEW LOG flags 7 level 4 prefix `ACCEPT ' 0 0 ACCEPT all -- * * / /0 Chain logdrop (0 references) pkts bytes target prot opt in out source destination 0 0 LOG all -- * * / /0 state NEW LOG flags 7 level 4 prefix `DROP ' 0 0 DROP all -- * * / / ISEL/DEETC/SRT 42

43 Netfilter Exemplo: OpenWRT de casa (3) root]$ iptables -t nat -L -nv Chain PREROUTING (policy ACCEPT 159K packets, 19M bytes) pkts bytes target prot opt in out source destination K VSERVER all -- * * / Chain POSTROUTING (policy ACCEPT packets, 1884K bytes) pkts bytes target prot opt in out source destination 105K 9418K MASQUERADE all -- * vlan1! / K MASQUERADE all -- * br / /25 Chain OUTPUT (policy ACCEPT packets, 1488K bytes) pkts bytes target prot opt in out source destination Chain VSERVER (1 references) pkts bytes target prot opt in out source destination 0 0 DNAT tcp -- * * / /0 tcp dpt:65530 to: : DNAT udp -- * * / /0 udp dpt:65530 to: : K DNAT tcp -- * * / /0 tcp dpt:65531 to: : DNAT tcp -- * * / /0 tcp dpt:5001 to: : DNAT udp -- * * / /0 udp dpt:5001 to: : DNAT udp -- * * / /0 udp dpt:6000 to: : ISEL/DEETC/SRT 43

44 Referências Netfilter/IPTables The netfilter.org project The netfilter/iptables HOWTO's (inclui documentação em Português) Iptables Tutorial Cisco IOS Access Lists Configuring IP Access Lists Access Lists Introduction Cisco - Access Control Lists and IP Fragments Understanding ACL on Catalyst 6500 Series Switches html Secure IOS Template Version FEB ISEL/DEETC/SRT 44