14.2. Firewall o filtraggio dei pacchetti

Il firewall è un punto di filtraggio di rete ed è efficace solo per i pacchetti che devono transitare da esso. Perciò può essere efficace solo se il passaggio attraverso il firewall è l'unico instradamento possibile per quei pacchetti.

CASO SPECIFICO Firewall Locale

Un firewall può essere limitato ad una particolare macchina (a differenza di un'intera rete), nel qual caso la sua funzione è quella di filtrare o limitare l'accesso ad alcuni servizi. Tuttavia, è sempre meglio configurare i servizi in modo che non ascoltino sulle interfacce di rete sulle quali non dovrebbero essere offerti, oppure disabilitare e rimuovere i servizi che non devono essere offerti affatto, piuttosto che utilizzare un filtro dei pacchetti per impedire l'accesso indesiderato a tali servizi.

Il suo ruolo può essere anche quello di filtrare o limitare le connessioni di software malevolo o mal programmato che un utente ha installato volontariamente o meno. In ogni caso, l'affidabilità di questo dipende fortemente dall'obbiettivo di queste azioni e dall'integrità del sistema. Questa azione non è una misura per prevenire potenziali minacce di invio dati.

Il kernel Linux incorpora il firewall netfilter. Può essere controllato nello spazio utente con i comandi iptables, ip6tables, arptables e ebtables.

Tuttavia, i comandi iptables di Netfilter sono stati sostituiti da nftables, che evita molti dei suoi problemi. Il suo design comporta una minore duplicazione di codice e può essere gestito con il solo comando nft. A partire da Debian Buster, il framework nftables è utilizzato in modo predefinito. I comandi menzionati in precedenza sono forniti dalle versioni che utilizzano, per impostazione predefinito, l'API del kernel di nftables. Se si preferiscono i comandi "classici", i relativi binari possono essere attivati usando update-alternatives.

STRUMENTI fwbuilder e ufw

Sebbene sia (destinato a) essere sostituito da nftables, iptables è ancora ampiamente utilizzato ed adatto nella maggior parte dei casi. La creazione di una regola avviene tramite l'uso di iptables/ip6tables. Digitare manualmente questi comandi può essere noioso, quindi si preferisce memorizzare le istruzioni in uno script, in modo che la configurazione venga impostata automaticamente ad ogni avvio della macchina; in alternativa, le istruzioni possono essere rese "persistenti" usando iptables-persistent.

Normalmente è necessario scrivere a mano uno script. Ma esistono strumenti che rendono semplice la configurazione del firewall netfilter tramite una rappresentazione grafica dei ruoli di filtraggio. Senza dubbio fwbuilder è uno dei migliori tra questi strumenti. I ruoli sono creati con semplici azioni di prendi-e-trascina su oggetti (interfacce, reti, porte, server, ecc.). Pochi menu contestuali possono modificare la condizione (ad esempio negandola). Poi l'azione deve essere scelta e configurata.

Un'alternativa a scrivere e salvare/caricare i ruoli richiesti è l'uso di ufw, presente nel pacchetto con lo stesso nome. Questo strumento è un frontend per iptables, ma fornisce soltanto un'interfaccia a riga di comando. Semplici comandi possono abilitare o disabilitare (bloccare) il traffico di rete verso e da porte e indirizzi IP. I file di configurazione presenti in /etc/ufw/ permettono anche la creazione di insiemi di ruoli complessi (ad esempio creazione di hook nelle catene di Docker) che poi vengono salvati e caricati automaticamente. Questo strumento è spesso usato per semplici impostazioni e per bloccare il traffico in arrivo su porte che non possono essere assegnate a causa di un numero limitato di interfacce o chiuse in appropriatamente.

Per abilitare un firewall predefinito in Debian eseguire:

# apt install -y nftables
Reading package lists... Done
...
# systemctl enable nftables.service
Created symlink /etc/systemd/system/sysinit.target.wants/nftables.service → /lib/systemd/system/nftables.service.

14.2.1. Comportamento di nftables

Non appena il kernel sta processando un pacchetto di rete, si mette in pausa e ci permette di ispezionare il pacchetto per decidere cosa fare con esso. Per esempio si potrebbe volere buttare o scartare determinati pacchetti in arrivo, modificare altri pacchetti in diversi modi, bloccare alcuni pacchetti in uscita per controllare la presenza di malware o ridirigere alcuni pacchetto il prima possibile per collegare le interfacce di rete o per suddividere il carico dei pacchetti in arrivo tra più sistemi.

Una buona comprensione dei livelli 3,4 e 5 del modello OSI (Open Systems Interconnection) è essenziale per ricavare il massimo da netfilter.

CULTURA Il modello OSI

Il modello OSI è un modello concettuale per implementare protocolli di rete senza tener conto della sua tecnologia e struttura interna sottostante. Il suo scopo è l'interoperabilità di diversi sistemi di comunicazione con protocolli di comunicazione standard.

Questo modello è stato definito nello standard ISO/EIC 7498. Sono descritti i seguenti sette livelli:

Fisico: trasmissione e ricezione di flussi di bit grezzi su un mezzo trasmissivo fisico
Collegamento dati: trasmissione affidabile di dati tra due nodi connessi tramite un livello fisico
Rete: strutturare e gestire una rete multi-nodo, includendo indirizzamento, instradamento e controllo del traffico
Trasporto: trasmissione affidabile di segmenti di dati da un punto all'altro di una rete, includendo segmentazione, conferma di ricezione e multiplazione
Sessione: gestione delle sessioni di comunicazione, cioè scambio continuo di informazioni nella forma di trasmissioni multiple avanti-indietro tra due nodi
Presentazione: traduzione di dati tra un servizio di rete e un'applicazione; includendo la codifica dei caratteri, la compressione dei dati e la cifrazione/decifrazione
Applicazione: API di alto livello, include la condivisione di risorse e l'accesso remoto di file.

Ulteriori informazioni sono disponibili su Wikipedia:

→ https://it.wikipedia.org/wiki/Modello_OSI

Il firewall è configurato con tabelle, composte di regole contenute in catene. A differenza di iptables, nftables non ha nessuna tabella predefinita. L'utente decide quali e come le tabelle devono essere create. Ogni tabella deve avere assegnata soltanto una delle seguenti cinque famiglie: ip, ip6, inet, arp e bridge. ip è utilizzato se la famiglia non è stata speficificata.

Sono presenti due tipologie di catene: catene di base e catene regolari. Una catena di base è un punto d'ingresso per pacchetti dallo stack di rete. Le catene di base sono registrate negli hook di Netfilter, ad esempio essi vedono i pacchetti che passano nello stack TCP/IP. D'altro canto, una catena regolare non è attaccata a nessun hook e per questo non vede nessun traffico. Tuttavia può essere utilizzata come una destinazione di un salto per una migliore organizzazione dei ruoli.

Le regole sono composte da istruzioni, che includono alcune espressioni che devono essere confrontate il cui risultato determina l'istruzione da eseguire, come accept, drop, queue, continue, return, jump chain e goto chain.

FONDAMENTALE ICMP

ICMP (Internet Control Message Protocol) è il protocollo usato per trasmettere informazioni supplementari sulle comunicazioni. Permette di provare la connettività di rete con il comando ping (che invia un messaggio ICMP di echo request, al quale il destinatario risponde con un messaggio ICMP di echo reply). Può rilevare un firewall che rifiuta un pacchetto, indicare l'overflow di un buffer di ricezione, proporre un instradamento migliore per i successivi pacchetti nella connessione e così via. Questo protocollo è definito in numerosi documenti RFC; le prime RFC 777 e RFC 792 sono state ben presto completate ed estese.

→ http://www.faqs.org/rfcs/rfc777.html

→ http://www.faqs.org/rfcs/rfc792.html

Per chiarezza, un buffer di ricezione è una piccola area di memoria che immagazzina i dati nel tempo che intercorre tra il loro arrivo dalla rete e la loro elaborazione da parte del kernel. Se quest'area si riempie, non possono esser ricevuti nuovi dati, e l'ICMP segnala il problema, così la sorgente può abbassare la velocità di trasferimento (che raggiungerà idealmente un equilibrio dopo un certo tempo).

Da notare che, anche se le reti IPv4 possono lavorare senza ICMP, ICMPv6 è strettamente necessario per le reti IPv6, dato che esse utilizzano molte funzioni che erano, per il mondo IPv4, fornite da ICMPv4, IGMP (Internet Group Membership Protocol) e ARP (Address Resolution Protocol). ICMPv6 è definito nella RFC 4443.

→ http://www.faqs.org/rfcs/rfc4443.html

14.2.2. Passare da iptables a nftables

I comandi iptables-translate e ip6tables-translate possono essere utilizzati per tradurre vecchi comandi iptables nella nuova sintassi di nftables. Possono essere tradotti anche interi insiemi di ruoli, in questo caso vengono migrati i ruoli configurati su un computer che ha Docker installato:

# iptables-save > iptables-ruleset.txt
# iptables-restore-translate -f iptables-ruleset.txt

# Translated by iptables-restore-translate v1.8.7 on Wed Mar 16 22:06:32 2022
add table ip filter
add chain ip filter INPUT { type filter hook input priority 0; policy accept; }
add chain ip filter FORWARD { type filter hook forward priority 0; policy drop; }
add chain ip filter OUTPUT { type filter hook output priority 0; policy accept; }
add chain ip filter DOCKER
add chain ip filter DOCKER-ISOLATION-STAGE-1
add chain ip filter DOCKER-ISOLATION-STAGE-2
add chain ip filter DOCKER-USER
add rule ip filter FORWARD counter jump DOCKER-USER
add rule ip filter FORWARD counter jump DOCKER-ISOLATION-STAGE-1
add rule ip filter FORWARD oifname "docker0" ct state related,established counter accept
add rule ip filter FORWARD oifname "docker0" counter jump DOCKER
add rule ip filter FORWARD iifname "docker0" oifname != "docker0" counter accept
add rule ip filter FORWARD iifname "docker0" oifname "docker0" counter accept
add rule ip filter DOCKER-ISOLATION-STAGE-1 iifname "docker0" oifname != "docker0" counter jump DOCKER-ISOLATION-STAGE-2
add rule ip filter DOCKER-ISOLATION-STAGE-1 counter return
add rule ip filter DOCKER-ISOLATION-STAGE-2 oifname "docker0" counter drop
add rule ip filter DOCKER-ISOLATION-STAGE-2 counter return
add rule ip filter DOCKER-USER counter return
add table ip nat
add chain ip nat PREROUTING { type nat hook prerouting priority -100; policy accept; }
add chain ip nat INPUT { type nat hook input priority 100; policy accept; }
add chain ip nat OUTPUT { type nat hook output priority -100; policy accept; }
add chain ip nat POSTROUTING { type nat hook postrouting priority 100; policy accept; }
add chain ip nat DOCKER
add rule ip nat PREROUTING fib daddr type local counter jump DOCKER
add rule ip nat OUTPUT ip daddr != 127.0.0.0/8 fib daddr type local counter jump DOCKER
add rule ip nat POSTROUTING oifname != "docker0" ip saddr 172.17.0.0/16 counter masquerade
add rule ip nat DOCKER iifname "docker0" counter return
# Completed on Wed Mar 16 22:06:32 2022
# iptables-restore-translate -f iptables-ruleset.txt > ruleset.nft
# nft -f ruleset.nft
# nft list ruleset
table inet filter {
	chain input {
		type filter hook input priority filter; policy accept;
	}

	chain forward {
		type filter hook forward priority filter; policy accept;
	}

	chain output {
		type filter hook output priority filter; policy accept;
	}
}
table ip nat {
	chain DOCKER {
		iifname "docker0" counter packets 0 bytes 0 return
		iifname "docker0" counter packets 0 bytes 0 return
	}

	chain POSTROUTING {
		type nat hook postrouting priority srcnat; policy accept;
		oifname != "docker0" ip saddr 172.17.0.0/16 counter packets 0 bytes 0 masquerade
		oifname != "docker0" ip saddr 172.17.0.0/16 counter packets 0 bytes 0 masquerade
	}

	chain PREROUTING {
		type nat hook prerouting priority dstnat; policy accept;
		fib daddr type local counter packets 1 bytes 60 jump DOCKER
		fib daddr type local counter packets 0 bytes 0 jump DOCKER
	}

	chain OUTPUT {
		type nat hook output priority -100; policy accept;
		ip daddr != 127.0.0.0/8 fib daddr type local counter packets 0 bytes 0 jump DOCKER
		ip daddr != 127.0.0.0/8 fib daddr type local counter packets 0 bytes 0 jump DOCKER
	}

	chain INPUT {
		type nat hook input priority 100; policy accept;
	}
}
table ip filter {
	chain DOCKER {
	}

	chain DOCKER-ISOLATION-STAGE-1 {
		iifname "docker0" oifname != "docker0" counter packets 0 bytes 0 jump DOCKER-ISOLATION-STAGE-2
		counter packets 0 bytes 0 return
		iifname "docker0" oifname != "docker0" counter packets 0 bytes 0 jump DOCKER-ISOLATION-STAGE-2
		counter packets 0 bytes 0 return
	}

	chain DOCKER-ISOLATION-STAGE-2 {
		oifname "docker0" counter packets 0 bytes 0 drop
		counter packets 0 bytes 0 return
		oifname "docker0" counter packets 0 bytes 0 drop
		counter packets 0 bytes 0 return
	}

	chain FORWARD {
		type filter hook forward priority filter; policy drop;
		counter packets 0 bytes 0 jump DOCKER-USER
		counter packets 0 bytes 0 jump DOCKER-ISOLATION-STAGE-1
		oifname "docker0" ct state related,established counter packets 0 bytes 0 accept
		oifname "docker0" counter packets 0 bytes 0 jump DOCKER
		iifname "docker0" oifname != "docker0" counter packets 0 bytes 0 accept
		iifname "docker0" oifname "docker0" counter packets 0 bytes 0 accept
		counter packets 0 bytes 0 jump DOCKER-USER
		counter packets 0 bytes 0 jump DOCKER-ISOLATION-STAGE-1
		oifname "docker0" ct state established,related counter packets 0 bytes 0 accept
		oifname "docker0" counter packets 0 bytes 0 jump DOCKER
		iifname "docker0" oifname != "docker0" counter packets 0 bytes 0 accept
		iifname "docker0" oifname "docker0" counter packets 0 bytes 0 accept
	}

	chain DOCKER-USER {
		counter packets 0 bytes 0 return
		counter packets 0 bytes 0 return
	}

	chain INPUT {
		type filter hook input priority filter; policy accept;
	}

	chain OUTPUT {
		type filter hook output priority filter; policy accept;
	}
}

Gli strumenti iptables-nft, ip6tables-nft, arptables-nft e ebtables-nft sono versioni di iptables che utilizzano le API di nftables, in modo che l'utente possa continuare ad utilizzare la vecchia sintassi di iptables, anche se non è raccomandato; questi strumenti dovrebbero essere usati soltanto per retrocompatibilità.

14.2.3. Sintassi di `nft`

Il comando nft permette la manipolazione di tabelle, catene e regole. L'opzione table supporta diverse operazioni: add, create, delete, list e flush. nft add table ip6 mangle aggiunge una nuova tabella della famiglia ip6.

Per inserire una nuova catena di base nella tabella filter, si può utilizzare il seguente comando (notare che il punto e virgola è protetto da un backslash quando si usa Bash):

# nft add chain filter input { type filter hook input priority 0 \; }

Le regole sono normalmente aggiunte con la seguente sintassi: nft add rule [family] table chain handle handle statement.

Il comando insert è simile al comando add, ma la regola data viene anteposta all'inizio della catena o prima della regola con il gestore dato invece che alla fine o dopo quella regola. Ad esempio, il comando seguente inserisce una regola prima di quella con il gestore numero 8:

# nft insert rule filter output position 8 ip daddr 127.0.0.8 drop

L'esecuzione dei comandi nft non genera modifiche permanenti alla configurazione, quindi vengono perse se non sono salvate. I regole del firewall sono presenti in /etc/nftables.conf. Un modo semplice per salvare in modo permanente la configurazione attuale del firewall è di eseguire come root nft list ruleset > /etc/nftables.conf.

nft permette molte altre operazioni, per maggiori informazioni fare riferimento alla sua pagina del manuale nft(8).

14.2.4. Installare le regole ad ogni avvio

Per abilitare un firewall predefinito in Debain è necessario registrare i ruoli in /etc/nftables.conf ed eseguire come root systemctl enable nftables. È possibile fermare il firewall eseguendo come root nft flush ruleset.

Negli altri casi, si consiglia di posizionare lo script di configurazione nella direttiva up del file /etc/network/interfaces. Nel seguente esempio, lo script è memorizzato in /usr/local/etc/arrakis.fw.

Esempio 14.1. File interfaces che richiama lo script del firewall

auto eth0
iface eth0 inet static
    address 192.168.0.1
    network 192.168.0.0
    netmask 255.255.255.0
    broadcast 192.168.0.255
    up /usr/local/etc/arrakis.fw

Questo presuppone ovviamente che si stia usando ifupdown per configurare le interfacce di rete. Se si sta utilizzando qualcos'altro (come NetworkManager o systemd-networkd), bisogna invece fare riferimento alla loro documentazione per trovare il modo di eseguire lo script dopo che l'interfaccia di rete è stata abilitata.