Não seria interessante montar um firewall com regras dinâmicas que permitisse por exemplo, bloquear algum IP por ter tentado acessar o serviço de SSH mais de 3 vezes em menos de 1 minuto? Ou ainda criar alguma logística de batidas de porta (é!!! igual ao famoso tãn tãn rãn rãn tãn... tãntãn) e só assim permitir a entrada da conexão ao IP que acertou a combinação de portas!? Tudo isso e muito mais é possível com o módulo
recent do
Netfilter.
Para começarmos, criei uma máquina virtual chamada guardiao.home onde iremos utilizar como cenário para demonstrar a utilização do módulo recent.
# hostname
guardiao.home
# ifconfig eth0 | grep "inet addr"
inet addr:192.168.122.97 Bcast:192.168.122.255 Mask:255.255.255.0
Objetivo: Permitir apenas 1 conexão via SSH no período de 2 minutos por origem.
Para iniciarmos, criaremos uma regra que permite tudo que for de entrada para a interface de loopback, uma segunda regra para permitir todas conexões estabelecidas ou originadas pela própria máquina guardiao.home, uma terceira que cria a cadeia chamada SSH para direcionarmos todas as conexões SSH e por fim a própria regra que irá direcionar as conexões SSH para a cadeia recém criada.
# iptables -A INPUT -i lo -j ACCEPT
# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# iptables -N SSH
# iptables -A INPUT -p tcp --dport 22 -j SSH
# iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
SSH tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain SSH (1 references)
target prot opt source destination
Com o setup inicial do firewall pronto, podemos agora chamar o módulo recent para tornar nossas regras dinâmicas. Para facilitar o entendimento das próximas regras que iremos trabalhar, vejamos algumas opções do recent:
- --name: seta o nome da lista que iremos trabalhar. Obs.: quando não informado, é utilizado DEFAULT;
- --set: irá adicionar o endereço de origem do pacote na lista. Se o endereço já estiver na lista, então irá atualizar o registro;
- --rcheck: verifica se o endereço de origem do pacote está atualmente na lista;
- --update: verifica e atualiza o timestamp do campo "last seen" se o endereço de origem do pacote já estiver na lista;
- --seconds: especifica se a regra terá validade somente se o endereço de origem do pacote estiver dentro do valor especificado;
- --hitcount: verifica se o endereço de origem do pacote esta na lista e se o número de pacotes recebido desse endereço é igual ou maior do valor estipulado.
Com essas opções explicadas (para maiores informações man 8 iptables), podemos criar nossa primeira regra para cadastrar todas as tentativas de conexões via SSH para uma tabela que será criada pelo recent chamada de conexoes_ssh.
# iptables -A SSH -m recent --set --name conexoes_ssh
# iptables -L SSH -n
Chain SSH (1 references)
target prot opt source destination
all -- 0.0.0.0/0 0.0.0.0/0 recent: SET name: conexoes_ssh side: source
Com a regra "iptables -A SSH -m recent --set --name conexoes_ssh" criamos a tabela conexoes_ssh que será alimentada com todas as conexões direcionadas para a cadeia SSH. O que precisamos fazer agora é permitir apenas 1 conexão no intervalo de 2 minutos por vez em nosso servidor. Para isso iremos usar os parâmetros --seconds 120 e --hitcount 2, pois queremos determinar 120 segundos e quando o contador for maior ou igual a 2.
# iptables -A SSH -m recent --name conexoes_ssh --update --seconds 120 --hitcount 2 -j REJECT
# iptables -vnL SSH
Chain SSH (1 references)
pkts bytes target prot opt in out source destination
0 0 all -- * * 0.0.0.0/0 0.0.0.0/0 recent: SET name: conexoes_ssh side: source
0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 recent: UPDATE seconds: 120 hit_count: 2 name: conexoes_ssh side: source reject-with icmp-port-unreachable
Após a execução da regra, nosso firewall já esta monitorando tentativas de conexão via SSH e irá permitir a primeira tentativa de cada IP de origem. Vejamos:
Máquina externa - primeira conexão:
date ; ssh root@guardiao
Wed Dec 9 01:34:11 BRST 2009
root@guardiao's password:
Last login: Wed Dec 9 01:30:24 2009 from 192.168.122.1
# iptables -nvL SSH
Chain SSH (1 references)
pkts bytes target prot opt in out source destination
1 60 all -- * * 0.0.0.0/0 0.0.0.0/0 recent: SET name: conexoes_ssh side: source
0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 recent: UPDATE seconds: 120 hit_count: 2 name: conexoes_ssh side: source reject-with icmp-port-unreachable
# cat /proc/net/xt_recent/conexoes_ssh
src=192.168.122.1 ttl: 64 last_seen: 6084651 oldest_pkt: 1 6084651
Máquina externa - segunda conexão:
date ; ssh root@guardiao
Wed Dec 9 01:34:45 BRST 2009
ssh: connect to host guardiao port 22: Connection refused
# iptables -nvL SSH
Chain SSH (1 references)
pkts bytes target prot opt in out source destination
2 120 all -- * * 0.0.0.0/0 0.0.0.0/0 recent: SET name: conexoes_ssh side: source
1 60 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 recent: UPDATE seconds: 120 hit_count: 2 name: conexoes_ssh side: source reject-with icmp-port-unreachable
# cat /proc/net/xt_recent/conexoes_ssh
src=192.168.122.1 ttl: 64 last_seen: 6119177 oldest_pkt: 3 6084651, 6119177, 6119177
Máquina externa - terceira conexão (depois de 3 minutos):
date ; ssh root@guardiao
Wed Dec 9 01:37:19 BRST 2009
root@guardiao's password:
Last login: Wed Dec 9 01:34:11 2009 from 192.168.122.1
Como podem perceber, o recent cria um arquivo dentro do diretório
/proc/net/xt_recent chamado conexoes_ssh (que é o nome de nossa tabela) para controle das conexões. Se tivéssemos criado outras tabelas, também seriam criados outros arquivos respectivos. O interessante é que podemos manipular esses arquivos e consequentemente manipular as tabelas. Perceba também que a cada conexão que fizemos, o campo last seen foi modificado, informando para a regra que houve uma nova tentativa. Para manipularmos as tabelas podemos:
- echo +192.168.122.15 > /proc/net/xt_recent/conexoes_ssh - para adicionarmos um endereço na tabela
- echo -192.168.122.1 > /proc/net/xt_recent/conexoes_ssh - para removermos um endereço da tabela
- echo / > /proc/net/xt_recent/conexoes_ssh - para limparmos a tabela
# cat /proc/net/xt_recent/conexoes_ssh
src=192.168.122.1 ttl: 64 last_seen: 6273353 oldest_pkt: 4 6084651, 6119177, 6119177, 6273353
# echo +192.168.122.15 > /proc/net/xt_recent/conexoes_ssh
# cat /proc/net/xt_recent/conexoes_ssh
src=192.168.122.1 ttl: 64 last_seen: 6273353 oldest_pkt: 4 6084651, 6119177, 6119177, 6273353
src=192.168.122.15 ttl: 0 last_seen: 6847221 oldest_pkt: 1 6847221
# echo -192.168.122.1 > /proc/net/xt_recent/conexoes_ssh
# cat /proc/net/xt_recent/conexoes_ssh
src=192.168.122.15 ttl: 0 last_seen: 6847221 oldest_pkt: 1 6847221
# echo /> /proc/net/xt_recent/conexoes_ssh
# cat /proc/net/xt_recent/conexoes_ssh
E finalizando, um ponto importante que precisa ser colocado é que se você for trabalhar com um firewall com grande número de conexões, por padrão o recent irá armazenar apenas 100 endereços nas tabelas criadas. Para alterar esse valor por exemplo para 1024, precisamos passar para o módulo xt_recent algumas flags:
# modinfo xt_recent
filename: /lib/modules/2.6.29.4-167.fc11.i686.PAE/kernel/net/netfilter/xt_recent.ko
alias: ip6t_recent
alias: ipt_recent
license: GPL
description: Xtables: "recently-seen" host matching for IPv4
author: Jan Engelhardt
author: Patrick McHardy
srcversion: 0CA8710587603DFF5C5923B
depends:
vermagic: 2.6.29.4-167.fc11.i686.PAE SMP mod_unload 686
parm: ip_list_tot:number of IPs to remember per list (uint)
parm: ip_pkt_list_tot:number of packets per IP to remember (max. 255) (uint)
parm: ip_list_hash_size:size of hash table used to look up IPs (uint)
parm: ip_list_perms:permissions on /proc/net/xt_recent/* files (uint)
parm: ip_list_uid:owner of /proc/net/xt_recent/* files (uint)
parm: ip_list_gid:owning group of /proc/net/xt_recent/* files (uint)
# echo "options xt_recent ip_list_tot=1024" ; /etc/modprobe.d/xt_recent.conf
Obs.: Não esqueça de descarregar o módulo e recarregá-lo para honrar as configurações.
Ah! Para finalizar não esqueça de salvar suas regras e ativar o serviço de firewall persistente ao reboot.
# service iptables save
iptables: Saving firewall rules to /etc/sysconfig/iptables: [ OK ]
# chkconfig iptables on
Pretendo em outro post demonstrar como podemos criar algumas regras para que o iptables trabalhe com port knocking, assim permitindo que o serviço somente seja liberado se a sequência de portas estiver correta.
E agora vivente, prepara o teu chimarrão e a tua mateira e se arranca índio véio configurar o teu firewall tchê! :)