7/5 Beveiligingstips voor beheer

Transcriptie

1 Security 7/5 Beveiligingstips voor beheer 7/5.1 Werken als root Tips en trucs voor het inloggen met verschillende gebruikersaccounts; werken als root. 7/5.1.1 Inleiding Het beheer van een OES Linux-server brengt wat zaken met zich mee die onder NetWare nog niet bekend waren. Een van de belangrijkste is dat er lokaal op de server via de bash-shell kan worden ingelogd. Voor dit inloggen staan verschillende gebruikersaccounts ter beschikking. Voor de beheerder is het account van de gebruiker het meest aantrekkelijk om zijn dagelijkse werkzaamheden uit te voeren. Toch is dit niet aan te raden. Gelukkig zijn er goede alternatieven voorhanden voor het standaard werken als root: met su kunt u tijdelijk de identiteit van de beheerder of iedere willekeurige andere gebruiker aannemen. Daarnaast is er sudo: door gebruik te maken van dit mechanisme zorgt de beheerder ervoor dat gebruikers alleen voor bepaalde specifieke taken gebruik kunnen maken van root-permissies. Daarnaast zijn er nog de nodige commando s die hun eigen mechanisme hebben om aan te geven wie dit commando met root-privileges mag uitvoeren. Tot slot is er nog de opdracht newgrp, waarmee een gebruiker tijdelijk kan profiteren van de voordelen die lidmaatschap van een andere groep hem biedt. Novell Netwerkoplossingen, aanvulling 18 7/5.1-1

2 Beveiligingstips voor beheer 7/5.1.2 Redenen om niet als root te werken Het lijkt zo voor de hand liggend gewoon in te loggen als root. U hebt dan tenminste alle permissies direct beschikbaar en hoeft nooit na te denken over met welke identiteit u op dat moment bent aangemeld. Toch valt het zeer af te raden gebruik te maken van de identiteit van root als dat niet echt nodig is. Een aantal argumenten zijn nogal belerend, maar er is ook een goede technische reden er geen gewoonte van te maken standaard te werken als root. Wanneer u root bent, kan een kleine fout tot catastrofale gevolgen leiden. Bedenk maar eens wat er gebeurt als u als root per ongeluk een typefout maakt waardoor u rm -rf / home/pietje in plaats van rm -rf /home/pietje typt. Nu bent u natuurlijk beheerder en beheerders zijn perfect en maken geen fouten. Daarom als volgende een argument van organisatorische aard: u bent binnen uw bedrijf een persoon. Als persoon onderhoudt u waarschijnlijk ook een persoonlijke omgeving waarin uw persoonlijke documenten zijn opgeslagen. Als gebruiker root voert u een functionele taak uit binnen uw organisatie. Grote kans dat u niet de enige bent die deze taak uitvoert. Om uw persoonlijke bestanden en instellingen persoonlijk te houden en niet direct beschikbaar te stellen aan ieder van uw collega s die eventjes als root wil werken, is het handig als u naast het almachtige root-account ook nog beschikt over een gebruikersaccount met minder permissies. 7/5.1-2 Novell Netwerkoplossingen, aanvulling 18

3 Security Op Open Enterprise Server Linux kan het u niet ontgaan als u per ongeluk nog bent ingelogd als root. Als u nog niet overtuigd bent, als laatste nog een technische reden om niet standaard als root in te loggen. Een van de redenen waarom Linux zo veel veiliger is dan Windows, is juist omdat gebruikers op een Linux-systeem maar beperkte rechten hebben. Stel u maar eens voor dat u als gewone gebruiker een virus, trojaan of andere exploit binnenhaalt op uw computer. Stel dat dit een virus is dat als doel heeft alle bestanden op deze computer te vernietigen. Als gewone gebruiker betekent dit in het ergste geval dat uw homedirectory wordt gewist en u de bestanden uit uw homedirectory moet terugzetten van de backup-tape. Als dit u daarentegen als root overkomt, kan het betekenen dat alle bestanden van uw server worden verwijderd en uw server urenlang niet kan worden gebruikt. Ooit uitgerekend wat een uur downtijd uw organisatie kost? Novell Netwerkoplossingen, aanvulling 18 7/5.1-3

4 Beveiligingstips voor beheer Switch user 7/5.1.3 Su De meest gebruikte manier om tijdelijk de identiteit van een andere gebruiker aan te nemen, is door gebruik te maken van het commando su (switch user). Als u deze opdracht geeft zonder dat er verdere argumenten worden meegegeven, vraagt su u om een wachtwoord. Voer nu het wachtwoord van de gebruiker root in en u bent root. Klaar met werken? Geef dan de opdracht exit om weer terug te keren naar uw normale, beperkte gebruikersaccount. Nu is er bij het gebruik van het commando su een vervelend issue. Su start vanuit uw huidige shell een subshell op. Dit betekent dat u niet over alle variabelen kunt beschikken die normaal voor uw gebruikersaccount actief zijn omdat veel van deze variabelen afkomstig zijn uit het shell-configuratiebestand /etc/profile of ~/.profile dat alleen wordt gelezen bij het opstarten van een log-inshell. De oplossing voor dit probleem is eenvoudig: geef aan het commando su een - mee, of als u dat liever doet de optie l, die volkomen gelijkwaardig is. Er wordt nu een log-in-shell gestart voor de nieuwe identiteit waarmee u aan het werk gaat. Met su kunt u tijdelijk de identiteit van de gebruiker root aannemen. Daarom denken sommige mensen wel dat de naam van de opdracht verwijst naar superuser, een andere naam voor de gebruiker root. Het is echter ook mogelijk om met su tijdelijk de identiteit aan te nemen van een andere gebruiker. Type bijvoorbeeld su alex om tijdelijk als alex aan het werk te gaan. Handig als u even de instellingen van de betreffende gebruiker wilt testen. Probeert u dit als gewone gebruiker, dan moet u wel eerst het wachtwoord invoeren van de gebruiker wiens identiteit u wilt aannemen. Als u daarentegen als root tijdelijk de 7/5.1-4 Novell Netwerkoplossingen, aanvulling 18

5 Security identiteit van een normale gebruiker wilt aannemen, kan dat zonder dat een wachtwoord wordt ingevoerd. Naast het normale commando su is er onder SuSE Linux een variant die speciaal is ontworpen voor gebruik in een grafische omgeving. Als u in plaats van su sux typt, worden alle omgevingsvariabelen die nodig zijn om zonder problemen in de grafische omgeving te werken, ook gewoon goed ingesteld. Voor de rest gedraagt sux zich precies hetzelfde als het commando su. Type bijvoorbeeld sux - om ervoor te zorgen dat een log-in-shell wordt gestart in plaats van een normale subshell waarin niet alle benodigde omgevingsvariabelen beschikbaar zijn. Met het commando sux - zorgt u ervoor dat u vanuit een grafische omgeving tijdelijk root wordt waarbij alle omgevingsvariabelen op de juiste wijze worden meegenomen. Naast de mogelijkheid met su een log-in-shell op te starten, biedt su nog een andere heel handig optie. Door gebruik te maken van de optie -c kunt u één commando als Novell Netwerkoplossingen, aanvulling 18 7/5.1-5

6 Beveiligingstips voor beheer root uitvoeren. Geef bijvoorbeeld als normale gebruiker de opdracht su - -c ps aux grep httpd om te achterhalen of uw webserver wel actief is. Su vraagt om het wachtwoord van de gebruiker root en toont netjes het resultaat van het ene commando dat u als root hebt uitgevoerd. Wanneer het daarmee klaar is, werkt u vervolgens vrolijk weer verder met de permissies die u als normale gebruiker op de console hebt. Deze optie leent zich bijvoorbeeld ook heel goed voor gebruik in shellscripts. 7/5.1.4 Grafische toepassingen opstarten als root Naast de mogelijkheid vanuit een console-venster tijdelijk root te worden, kunt u ook grafische toepassingen opstarten als root, of met de identiteit van welke andere gebruiker dan ook. De meest handige wijze om dit te doen, is door met de toetsencombinatie Alt-F2 het run command - venster aan te roepen. Klik dan op Options. Selecteer nu de optie Run as a different user en voer de gebruikersnaam en het wachtwoord in van de gebruiker in wiens hoedanigheid u de opdracht wilt uitvoeren. Type nu in het command-veld de opdracht in die u wilt uitvoeren en druk op Run. De ingevoerde opdracht wordt nu uitgevoerd als de gebruiker wiens naam u hebt ingevoerd. 7/5.1-6 Novell Netwerkoplossingen, aanvulling 18

7 Security In het Run Command-venster kunt u ook aangeven dat u een opdracht wilt uitvoeren als een andere gebruiker. U kunt er ook voor zorgen dat bepaalde toepassingen vanuit uw grafische omgeving altijd als root worden uitgevoerd. Voor een pictogram dat op uw desktop staat, regelt u dat door de properties op te vragen en vervolgens het tabblad Application te activeren. Klik nu op Advanced Options en geef aan dat u de toepassing altijd als andere gebruiker wilt starten. Voer nu de naam van de gebruiker root in. U merkt dat er geen mogelijkheid is het wachtwoord van die gebruiker automatisch in te voeren: dat zou om beveiligingsredenen ook helemaal niet verstandig zijn. U zult elke keer dat u deze toepassing start zelf het wachtwoord moeten invoeren en dat is echt niet te vermijden. 7/5.1.5 Sudo Werken met su is handig, maar niet ideaal. Op het moment dat u met su namelijk het wachtwoord hebt ingevoerd van de gebruiker root, bent u alsnog almachtig op uw systeem. In veel omgevingen is dit helemaal niet wenselijk en heeft een gebruiker alleen voor een beperkt aantal taken de permissies van de gebruiker root nodig. Voor dit doel maakt u Novell Netwerkoplossingen, aanvulling 18 7/5.1-7

8 Beveiligingstips voor beheer gebruik van het sudo-mechanisme. Om als normale gebruiker met sudo een taak uit te voeren waarvoor u root-permissies nodig hebt, geeft u eerst de opdracht sudo en dan het commando dat u wilt uitvoeren, bijvoorbeeld sudo /sbin/fdisk. Er wordt vervolgens een wachtwoord gevraagd en als u het juiste wachtwoord invoert, wordt het commando in kwestie voor u uitgevoerd. Om op deze wijze opdrachten te starten, is echter wel wat meer nodig: de beheerder moet een configuratiebestand aanmaken waarin precies staat aangegeven wie wat mag doen door middel van het sudo-mechanisme. Als beheerder moet u een bestand aanmaken met de naam /etc/sudoers. Om dit bestand aan te maken, maakt u gebruik van de opdracht visudo. De basisstructuur van de regels in het sudoers-bestand is vrij eenvoudig: user/group host = commando1,commando2 Dit betekent dat u door middel van de regel franck ALL=/sbin/shutdown -h now ervoor kunt zorgen dat gebruiker franck vanaf alle computers op deze host het commando shutdown mag uitvoeren om de host down te brengen. Let er even op dat er standaard geen wachtwoord hoeft te worden ingevoerd; het is voldoende dat de gebruiker die via /etc/sudoers is geautoriseerd deze opdracht uit te voeren, de opdracht uitvoert. Bedenk dus goed welke gebruikers u op welke opdrachten door middel van sudo rechten wilt geven! Aliassen Naast deze basisstructuur in /etc/sudoers is het ook mogelijk om in dit bestand te werken met aliassen. In het volgende voorbeeld wordt gedemonstreerd hoe dit werkt: 7/5.1-8 Novell Netwerkoplossingen, aanvulling 18

9 Security User_Alias BEHEERDERS = franck, alex User_Alias PRINTERBEHEERDERS = anouk User_Alias WEBMASTER = kees Cmd_Alias PRINTEN = lpc, lpq. lprm Cmd_Alias SHUTDOWN = /sbin/shutdown Cmd_Alias WEBSERVER = /sbin/yast apache, /etc/init.d/a pache2 root BEHEERDERS WEBMASTER PRINTERBEHEERDERS ALL=(ALL) ALL ALL=SHUTDOWN,!/usr/bin/passwd, /usr/bin/passwd [A-z] *,!/usr/bin/passwd root,!/usr/bin/passwd root -l ALL=WEBSERVER ALL=PRINTEN In dit voorbeeld gebeurt er een aantal speciale zaken. Om te beginnen wordt er gewerkt met aliassen. Door aliassen te gebruiken, geeft u namelijk op eenvoudige wijze rechten aan meerdere gebruikers of rechten op meerdere opdrachten. In dit voorbeeld wordt gebruikgemaakt van twee soorten alias: de User_Alias wordt gebruikt om groepen gebruikers te definiëren, de Cmd_Alias wordt ingezet om groepen opdrachten te definiëren. Het volgende dat opvalt, is dat er ook wordt aangegeven dat bepaalde opdrachten niet mogen worden uitgevoerd. U ziet dit in de regel waar de commando s voor de beheerders worden gedefinieerd. Om te beginnen mogen de beheerders alle opdrachten uitvoeren die in de commando-alias SHUT- Novell Netwerkoplossingen, aanvulling 18 7/5.1-9

10 Beveiligingstips voor beheer DOWN zijn gegeven. Daarna ziet u dat driemaal het uitroepteken wordt gebruikt om aan te geven dat ze iets niet mogen. Gebruik van de opdracht /usr/bin/passwd is voor deze gebruikers niet mogelijk, wel mogen ze het commando passwd gebruiken als argument dat een tekenreeks wordt gegeven die uit kleine letters en/of hoofdletters bestaat waarachter nog meer willekeurige tekst mag worden gegeven. Het enige wat dan weer niet is toegestaan, is het commando passwd te gebruiken om het wachtwoord van de gebruiker root te wijzigen of om het account van de gebruiker root op slot te gooien. Naast de aanduiding van de naam van de gebruiker is er nog veel meer mogelijk om aan te geven hoe iemand iets wel of niet mag doen. We hebben het bijvoorbeeld nog niet gehad over de naam van de computer van waaraf de gebruiker in kwestie het commando geeft. In dit voorbeeld wordt overal gewerkt met ALL om aan te geven dat de gebruiker zijn opdrachten vanaf alle hosts mag geven. In plaats daarvan kunt u ook aangeven dat opdrachten alleen vanaf een bepaalde hostnaam, een bepaald IP-adres of een bepaald netwerk mogen worden gegeven of juist niet. Zo zorgt een regel als BEHEERDERS /24=SHUTDOWN ervoor dat gebruikers die gedefinieerd zijn als beheerders alleen de commando s die onder shutdown zijn gedefinieerd mogen uitvoeren wanneer ze dit doen op een computer die voorkomt in het netwerk Uiteraard is ook het omgekeerde mogelijk en kunt u met deze optie aangeven dat de beheerders hun SHUTDOWN-opdrachten juist niet mogen uitvoeren wanneer ze van dit netwerk afkomstig zijn. In dat geval plaatst u een uitroepteken voor het adres of de naam in kwestie. 7/ Novell Netwerkoplossingen, aanvulling 18

11 Security Met het voorgaande hebben we nog niet alle mogelijkheden besproken die in /etc/sudoers kunnen worden ingesteld u zou er echter voor de meeste gevallen een werkende configuratie mee moeten kunnen maken. In het configuratiebestand sudoers wordt geregeld welke gebruikers wat mogen doen met root-permissies. 7/5.1.6 Sudo en wachtwoorden Als u als sudo-gebruiker een opdracht uitvoert waarvoor u met behulp van het sudo-mechanisme rechten hebt gekregen, wordt gevraagd of u een wachtwoord wilt invoeren. Dit is niet uw eigen wachtwoord, maar het wachtwoord van de gebruiker root. U begrijpt dat dit niet echt slim is: wanneer een gebruiker immers vanuit een sudo-sessie het wachtwoord van de gebruiker root in weet te vullen, kan hij ook inloggen als root en dat is niet de bedoeling. Om die reden raden wij u aan om in elke regel die u in het sudoers-bestand definieert voor de commando s die mogen worden uitgevoerd, de aanduiding NOPASSWD te gebruiken. Hiermee zorgt u ervoor dat de gebruiker in kwestie Novell Netwerkoplossingen, aanvulling 18 7/5.1-11

12 Beveiligingstips voor beheer zonder eerst een wachtwoord in te voeren direct het commando in kwestie mag gebruiken wel zo handig. 7/5.1.7 Een reserve-systeembeheerder Leuk dat u op deze wijze normale gebruikers extra permissies kunt geven; als het gaat om het werken als de gebruiker root is er nog iets dat belangrijk is. Voor noodgevallen zou u namelijk willen dat er ook reserve-systeembeheerders zijn. Er zijn twee manieren om dit te doen: de elegante manier en de iets minder elegante manier. Als u het op de nette manier wilt regelen, maakt u iedereen die als systeembeheerder moet kunnen werken, lid van de groep wheel. Neem vervolgens in /etc/sudoers de volgende regel op: %wheel ALL=(ALL) ALL Deze regel zorgt ervoor dat alle gebruikers die lid zijn van de groep wheel het commando sudo kunnen uitvoeren om alle commando s uit te voeren waarvoor root-privileges nodig zijn. Op OES Linux is deze taak overigens redelijk eenvoudig uit te voeren, de voorbeeldregels zijn al standaard in /etc/sudoers opgenomen. Er is ook een andere, iets minder elegante werkwijze om ervoor te zorgen dat er reserve-root-gebruikers zijn: maak gewoon een gebruiker aan op de gebruikelijke werkwijze en zorg ervoor dat het UID van deze gebruiker is ingesteld op UID 0. Let erop dat er soms wel verwarring kan ontstaan: aangezien bijvoorbeeld in de inodes waarin bestandsinformatie wordt opgeslagen geen namen van gebruikers maar UID s vermeld staan, kan het best gebeuren dat ineens uw reserve-root eigenaar is van alle bestanden op het systeem wanneer u deze met ls-l bekijkt, maar dat maakt niet veel uit. 7/ Novell Netwerkoplossingen, aanvulling 18

13 Security 7/5.1.8 Een andere groep instellen Naast de mogelijkheid tijdelijk de identiteit aan te nemen van een andere gebruiker, is het ook mogelijk tijdelijk een andere groep in te stellen als effectieve groep. Standaard wordt hiervoor de groep gebruikt die in /etc/passwd als primaire groep staat ingesteld. Wilt u echter tijdelijk een andere groep als primaire groep instellen? Dan kan dat door gebruik te maken van de opdracht newgrp of sg. Wilt u vervolgens uw oorspronkelijke primaire groep weer terug? Dan kan dat door de opdracht exit te gebruiken of gewoon nogmaals het commando newgrp te gebruiken. Let wel even op: om dit te kunnen doen, moet u wel lid zijn van de groep die u als effectieve groep wilt instellen. Als u geen lid bent van de betreffende groep, kunt u hem alleen als effectieve groep instellen wanneer u het groepswachtwoord kent. U kunt als beheerder een groep van een wachtwoord voorzien door gebruik te maken van de opdracht passwd -g. Misschien is op het eerste gezicht niet helemaal duidelijk wat de relatie is tussen het werken als beheerder en het instellen van een andere groep. Stel u voor dat u als normale gebruiker de primaire groep hebt ingesteld op de groep users. Om uw taken als beheerder te kunnen uitvoeren, bent u lid van de groep wheel. Wanneer u deze groep als effectieve groep hebt ingesteld, kunt u door gebruik te maken van het commando sudo alle opdrachten als root uitvoeren die u maar wilt. Novell Netwerkoplossingen, aanvulling 18 7/5.1-13

14 Beveiligingstips voor beheer U kunt gebruikmaken van de groep wheel om reserve-systeembeheerders te definiëren. 7/5.1.9 Tot slot Als u na het lezen van deze paragraaf nog steeds de gewoonte hebt al uw werk als root te doen, is er toch echt iets mis. Zoals u hebt gelezen, zijn er heel veel manieren om ervoor te zorgen dat u tijdelijk root-rechten krijgt. U kunt gebruikmaken van su om tijdelijk root te worden, het is mogelijk met su -c één commando als root uit te voeren en met sudo kunt u een lijst commando s definiëren waar u een of meer gebruikers rechten op geeft. Mogelijkheden genoeg dus! 7/ Novell Netwerkoplossingen, aanvulling 18

15 Security 7/5.2 Werken met iptables Firewall Als u een server inricht, moet u er op die server ook voor zorgen dat hij beschermd wordt tegen de boze buitenwereld. Hiervoor moet in elk geval een firewall actief zijn op het netwerk waarop de server voorkomt en die firewall moet alles tegenhouden wat niet expliciet is toegestaan. Helaas echter komen veel bedreigingen voor de beveiliging van het netwerk niet van buitenaf, maar van binnenuit. Om die reden is het aan te raden naast het netwerk in het algemeen ook uw individuele servers te voorzien van firewallsoftware. Linux komt met iptables, een uitstekende firewall die er op kernelniveau voor zorgt dat alle ongewenste verkeer wordt tegengehouden. Dat iptables een kernel-firewall is, heeft belangrijke voordelen. De grootste hiervan is snelheid: door zijn werking in de kernel werkt iptables razendsnel. Als u zich zorgen maakt over de beveiliging van uw Linux-servers, OES Linux-servers of Xenhosts, is iptables een uitstekende keuze. In deze paragraaf leert u hoe u het kunt configureren. 7/5.2.1 Inleiding Waar u het op andere besturingssystemen soms met zeer schamel gereedschap moet doen, komt Linux met een volledig uitgeruste firewall. Netfilter is de naam van de in de kernel geïntegreerde firewallfunctionaliteit, die vanaf de 2.4-kernels gebruikt worden. Iptables is de naam van de opdracht waarmee u deze firewall ook daadwerkelijk kunt definiëren. Voorbereiding Voordat u daadwerkelijk opdrachten gaat typen om de firewall in te stellen, moet er eerst iets anders gebeuren. U hebt een plan nodig. Zomaar lukraak aan het werk gaan heeft namelijk totaal geen zin: de kans is namelijk groot Novell Netwerkoplossingen, aanvulling 24 7/5.2-1

16 Beveiligingstips voor beheer dat uw firewall zijn doel totaal voorbijschiet. Maak daarom voordat u begint een schema en leg daarin precies vast wat er moet gebeuren. Zorg er bovendien voor dat u in dit schema verwijst naar de netwerkkaarten in uw server. Zit er maar één netwerkkaart in? Dan is het natuurlijk geen issue. Als er echter twee netwerkkaarten in zitten, ligt het voor de hand dat een van deze kaarten aan het interne netwerk verbonden is en de andere aan het externe netwerk. Geef per service aan op welk netwerk de service bereikbaar moet zijn en geef daarbij aan of u voor de betreffende service toe wilt staan dat hij bereikt wordt (voor de hand liggend op een server) of dat er vanaf uw server verkeer op een bepaalde poort naar buiten verstuurd wordt. Een en ander resulteert in een tabel die er bijvoorbeeld uitziet als onderstaande tabel: Interface Service Richting privé, publiek SSH inkomend, uitgaand publiek HTTP inkomend publiek FTP inkomend publiek, privé ping uitgaand publiek, privé DNS uitgaand, inkomend In bovenstaand voorbeeld ziet u slechts een suggestie van hoe een firewall-configuratiematrix eruit komt te zien. Op een druk gebruikte server zult u waarschijnlijk veel meer details willen. Zo zou u bijvoorbeeld op de internet-netwerkinterface aan kunnen geven dat SSH alleen bereikbaar is vanaf bepaalde IP-adressen. Daarnaast wilt u waarschijnlijk voor services als HTTP en FTP ook aangeven dat er verkeer naar deze services teruggestuurd mag worden. 7/5.2.2 Bouwblokken van iptables: tables Het uitgangspunt van iptables is dat de regels waaruit een firewall bestaat zijn ingedeeld in drie tabellen; de zoge- 7/5.2-2 Novell Netwerkoplossingen, aanvulling 24

17 Security Belangrijkste tabellen naamde tables. Deze tabellen worden gebruikt om onderscheid te maken tussen verschillende soorten functionaliteit. De belangrijkste tabellen worden hieronder genoemd: filter; nat; mangle; In elk van deze tabellen vindt u een aantal chains. Deze chains vormen de verzamelingen regels waaruit de firewall is opgebouwd en ze bepalen daadwerkelijk wat er in een tabel gebeurt. Als beheerder van een iptables-firewall zult u in de praktijk dan ook voornamelijk chains moeten configureren. De filter-table Het doel van de filter-table is het filteren van verkeer. De filter-table bestaat uit drie ingebouwde chains. Let overigens op de notatie van de chains die is altijd in hoofdletters: INPUT OUTPUT FORWARD De INPUT-chain wordt gebruikt om binnenkomende pakketjes te filteren, de OUTPUT-chain wordt gebruikt voor het verwerken van pakketjes die op de lokale machine gedefinieerd zijn en naar buiten verstuurd moeten worden, en de FORWARD-chain verwerkt alle pakketjes die door de firewall gerouteerd worden. Verderop in deze paragraaf leest u hoe u deze table kunt configureren. De nat-table Het belangrijkste doel van de nat-table is het mogelijk te maken dat nodes zonder geregistreerd IP-adres toch het Novell Netwerkoplossingen, aanvulling 24 7/5.2-3

18 Beveiligingstips voor beheer internet op kunnen. Deze table is de laatste jaren meer in onbruik geraakt omdat veel routers deze functionaliteit standaard ook al in huis hebben. Ook de nat-table bestaat uit drie chains: PREROUTING OUTPUT POSTROUTING Twee soorten NAT Door middel van de nat-table worden twee soorten NAT ondersteund. Om te beginnen is dit het veelgebruikte masquerading. Dit is de vorm van NAT waarin hosts op het privénetwerk internet op kunnen door gebruik te maken van het IP-adres van de firewall. Computers op internet zien in dat geval niets anders dan de firewall en zijn zich er niet van bewust dat er achter die firewall een volledig netwerk voorkomt. Daarnaast is het ook mogelijk het omgekeerde te doen. Dit betekent dat u nodes op het interne netwerk met de nat-table bereikbaar kunt maken voor de buitenwereld door er een geregistreerd IP-adres aan toe te wijzen. Dit verschijnsel wordt ook aangeduid als statisch NAT. Dit betekent dat u aan de interface van de router een tweede IP-adres toekent en er door middel van de nat-table voor zorgt dat alles wat op dat secundaire IP-adres binnenkomt, wordt doorgestuurd naar de betreffende host op het privénetwerk. Van de drie regels wordt de PREROUTING-chain gebruikt om pakketjes te behandelen zodra ze binnenkomen, dat wil zeggen nog voordat het routingproces ermee aan het werk kan. De OUTPUT-chain wordt gebruikt om pakketjes te behandelen die door het lokale systeem gegenereerd worden en de POSTROUTING-chain tot slot wordt gebruikt om pakketjes te behandelen voordat ze het systeem verlaten, maar nadat het routingproces ermee aan het werk is geweest. Inkomend verkeer wordt dus altijd door de PRE- 7/5.2-4 Novell Netwerkoplossingen, aanvulling 24

19 Security ROUTING-chain bekeken. Of het vervolgens de OUTPUTchain ingaat, of de POSTROUTING-chain, is afhankelijk van de uiteindelijke bestemming van de pakketjes. SuSE Linux biedt vanuit YaST2 de mogelijkheid om op eenvoudige maar weinig gedetailleerde wijze een firewall in elkaar te klikken. Ook andere distributies bieden soortgelijke functionaliteit. De mangle-table De mangle-table tot slot bestaat uit twee ingebouwde chains: PREROUTING OUTPUT De PREROUTING-chain behandelt alle inkomende pakketjes voordat ze gerouteerd worden; de OUTPUT-chain behandelt uitgaande pakketjes voordat ze gerouteerd worden. De mangle-table wordt alleen in speciale gevallen gebruikt, bijvoorbeeld als speciale services, zoals Quality of Service (QoS), gebruikt worden om pakketjes een hogere prioriteit Novell Netwerkoplossingen, aanvulling 24 7/5.2-5

20 Beveiligingstips voor beheer te geven. Om die reden wordt deze table hier niet uitputtend behandeld. 7/5.2.3 Chains definiëren De basisbouwblokken van iptables zijn de chains. De chains worden gebruikt om onderscheid te maken tussen verschillende soorten verkeer. Bij de definitie van chains moet u aangeven in welke table een chain thuishoort. Als u dit niet doet, wordt een nieuw gedefinieerde table automatisch toegewezen aan de default table filter. Dit is geen slecht idee, want meestal is de filter-table ook de enige table die echt gebruikt wordt. Om een chain aan een specifieke andere table toe te wijzen, maakt u gebruik van de optie -t. Policy Rules Bij het definiëren van een chain wordt gebruikgemaakt van verschillende rules. Pakketjes doorlopen een chain net zolang tot ze een rule tegenkomen die een treffer (match) oplevert. Op dat moment verlaat het pakketje de chain en wordt het al dan niet toegelaten. Als geen enkele regel een match oplevert voor het betreffende pakketje, wordt de laatste regel in het verhaal toegepast. Deze regel staat ook bekend als de policy. In het Nederlands mag u dit gerust vertalen met standaardbeleid. Dit is dus de standaardregel die wordt toegepast voor alle pakketjes waarvoor geen specifieke rule gevonden kon worden. Bij de definitie van chains is het van groot belang altijd te beginnen met de definitie van policies. Voor de rules kan gebruikgemaakt worden van verschillende soorten acties. Elke rule heeft een standaardactie. De meest gebruikte acties zijn: ACCEPT: het pakketje wordt doorgelaten. 7/5.2-6 Novell Netwerkoplossingen, aanvulling 24

21 Security DROP: het pakketje wordt gedropt zonder dat een bericht teruggestuurd wordt naar de afzender van het pakketje. Dit is een goede keuze als het pakketje ongewenst is. LOG: er wordt een bericht gestuurd naar het standaard loggingmechanisme. Alleen als de logactie gebruikt wordt, wordt de chain niet direct verlaten. In alle andere gevallen gebeurt dit wel. REJECT: het pakketje wordt niet toegelaten, maar in dit geval wordt wél een melding teruggestuurd naar de afzender van het pakketje. Op basis van bovenstaande informatie kunt u de filtertable al vullen met de meest essentiële informatie: de policies. U zou een firewall kunnen maken waarop alles toegestaan is, tenzij het expliciet verboden is. Dit vinden wij echter geen bijzonder goed idee. Het is gebruikelijk in een firewall alles standaard tegen te houden, tenzij het expliciet is toegestaan. Om dit te bereiken moet u voor alle standaard chains in de filter-table de policy instellen op DROP. Dit doet u met de volgende opdrachten: iptables -P FORWARD DROP iptables -P INPUT DROP iptables -P OUTPUT DROP Nu de policies ingesteld zijn kunt u verder en de overige rules definiëren. Hiervoor maakt u gebruik van de volgende algemene opdrachtstructuur: iptables <positie in de chain> <chain> <matching> <target> In de volgende paragraaf leest u meer over deze verschillende elementen. Novell Netwerkoplossingen, aanvulling 24 7/5.2-7

22 Beveiligingstips voor beheer Flags, extensions en actions Als u net kennismaakt met iptables komt de opdracht als behoorlijk ingewikkeld over. Als u echter eenmaal doorhebt hoe de opdracht in elkaar zit, valt het best mee. Iptables werkt globaal met drie soorten parameters. Om te beginnen zijn er de flags. Hiermee vertelt u wat voor soort actie er uitgevoerd moet worden. Bij het toevoegen van rules aan een chain hebben flags een zeer belangrijke rol: ze bepalen namelijk waar in de chain een rule ingevoerd moet worden. Voor dit doel worden de volgende vier flags gebruikt: -A: voeg de regel toe aan het einde van een chain; -D: verwijder een regel uit de chain; -R: vervang een regel door een nieuwe; -I: voeg een regel op een zeer specifieke plaats in de chain toe. Voorbeeld Naast deze flags die bepalen waar in de chain een regel terechtkomt, is er ook een aantal meer algemene flags die bij de opdracht gebruikt kan worden. Zo is er bijvoorbeeld -F, waarmee alle regels uit een chain weggegooid worden, of -L, die gebruikt kan worden om een overzicht te genereren van alle regels die in een chain aanwezig zijn. Hieronder ziet u hoe de uitvoer van de opdracht iptables -L eruit kan zien. Dit voorbeeld toont de standaard firewallconfiguratie die op een OpenSuSE-systeem gebruikt wordt (als u er tenminste voor gekozen hebt de firewall daarop aan te zetten). Omdat het leerzaam is een voorbeeld uit de praktijk te bestuderen, vindt u hieronder de onverkorte versie. U ziet in dit voorbeeld dat de regels ingesteld worden voor de standaard chains, maar dat daarnaast ook een aantal extra chains is aangemaakt waarin additionele regels opgenomen worden: 7/5.2-8 Novell Netwerkoplossingen, aanvulling 24