OpenBSD. Packet Filter. Par Loïc Blot

Transcription

1 OpenBSD Packet Filter Par Loïc Blot

2 Thématiques OpenBSD Présentation Packet Filter Commandes d'administration Le filtrage NAT et redirection de ports PFLog Aller plus loin Firewall redondé

3 Partie I OpenBSD

4 Présentation Créé en 1995 par Theo de Raadt Dérivé de BSD 4.4 Axe majeur : Sécurité Axe de développement Attention à la cryptographie (SSH, IPSec...) Système porté sur plusieurs archis Nouvelle version tous les 6 mois

5 Partie II Packet Filter

6 Support Filtrage IPv4/IPv6 Avec et sans état QoS (ALTQ) NAT/PAT/RDR Tables dynamiques

7 Commandes d'administration Pfctl: contrôler PF Classiques -d : désactiver -e : activer -f : chargement du fichier de règle -n : interprétation uniquement

8 Commandes d'administration Pfctl: contrôler PF Moniteurs -sr : liste des règles -si : statistiques temps réel -st : timeouts -sa : tout voir

9 pfctl -si pfctl -si ~ Status: Enabled for 7 days 09:53:49 Debug: err State Table Total Rate current entries 3195 searches /s inserts /s removals /s Counters match /s bad-offset 0 0.0/s fragment /s short 0 0.0/s normalize /s memory /s bad-timestamp 0 0.0/s congestion /s ip-option /s proto-cksum 0 0.0/s state-mismatch /s state-insert /s state-limit 0 0.0/s src-limit 0 0.0/s synproxy 0 0.0/s

10 Filtrage Syntaxe globale action [direction] [log] [quick] [on interface] [af] [proto protocol] [from src_addrs [port src_ports]] [to dst_addrs [port dst_addrs]] [flags tcp_flags] [state] Action : pass/block Direction: in/out Log : enregistrer le paquet Quick : sortie d'urgence Interface (seule ou liste) Af : inet/inet6

11 Filtrage Syntaxe globale action [direction] [log] [quick] [on interface] [af] [proto protocol] [from src_addrs [port src_ports]] [to dst_addrs [port dst_addrs]] [flags tcp_flags] [state] Protocole : tcp/udp/icmp/icmp6 (seul ou liste) srcs_addrs/dst_addrs src_ports/dst_ports tcp_flags State : no state/keep state/modular state/synproxy state

12 Filtrage Exemples : pass in on bnx0 proto tcp from port any to port 22 flags S/PAF block out quick all pass out proto { tcp icmp } to port 1:1023 keep state block in to any port 80 Désactiver le filtrage sur une interface set skip on interface

13 Filtrage Antispoofing Protection contre les paquets non légitimes/illogiques Syntaxe antispoof [log] [quick] for interface [af] Exemple (em0 : /24) antispoof log for em0 Interprétation Block in on!fxp0 from /24 Block in from

14 Grouper pour mieux administrer Listes { el1, el2, el3 } IP { , , } Réseaux { /24, /16 } Ports { smtp, 465, 587, 10:21, <1024 } Protocoles { tcp, udp, icmp, pfsync, carp }

15 Nommer pour mieux retrouver Macros Interfaces : ext_if = «bnx0» Ports : smtp_port = «25» IP : Webserver = « » Listes : smtp_ports = «{ 25, 465, 587 }» Inclusions complexes : webserver_pub = { /26, } webserver_priv = { /24, /25 } webservers = { $webserver_pub $webserver_priv }

16 Optimiser et dynamiser Tables Adresses IPv4 et/ou IPv6 uniquement Amélioration des performances de recherche Dynamisme Syntaxe table <nom> (attr) { /16, } Attributs const : non modifiable persist : en mémoire Utilisation block quick from { <noobs>, <devs> }

17 Optimiser et dynamiser Tables Interactions via pfctl pfctl -t noobs -T add pfctl -t devs -T delete /18 Pfctl -t noobs -T show

18 NAT et redirection de ports NAT (PAT) Pass out from sth to sth nat-to (iface) NAT (1-1) NAT (pool) Redirection de ports Pass out from sth to sth rdr-to ip:port

19 Bonnes pratiques Factoriser Évite les doublons Accélère la recherche Mettre de l'ordre Macros, Tables Options Normalisation QoS Translation Filtrage

20 PFlog Moniteur de paquets block in log all Interface réseau virtuelle pflog0: flags=141<up,running,promisc> mtu priority: 0 groups: pflog Utilisation : tcpdump -nni pflog0

21 Partie III Aller plus loin

22 Firewall redondé CARP Common Address Redundancy Protocol Adressage IP virtuel Master Slave / Balancing Interface réseau virtuelle Règles d'or VHID Priorité Mot de passe Demote

23 Firewall redondé Création de l'interface ifconfig carp0 create Configuration ifconfig carp0 carpdev em0 vhid 50 advskew 0 ifconfig carp /24 Un peu de sécurité ifconfig carp0 pass <pwd> ifconfig carp0 carppeer A.B.C.D

24 Firewall redondé Carpdemote Peut être modifié par PF et d'autres services Définit un niveau fonctionnel de la machine Incrémenté en cas d'erreur critique Prioritaire sur tout le reste Commandes : Ifconfig -g carp Ifconfig -g carp carpdemote 20 Utilisé au démarrage de la machine

25 Firewall redondé PFSync Synchronisation d'états (protocole PFSync) Interface virtuelle ifconfig pfsync0 syncdev em0

26 Optimisations fines (PF) set limit option valeur frags (5000) src-nodes (10000) states (10000) tables (1000) table-entries (200000) set optimization option normal (par défaut) high-latency (systèmes satellites...) aggressive (réduction mémoire) conservative (réduction mémoire mais CPU)

27 Optimisations fines (PF) set state-policy option if-bound : lié à l'interface floating : non lié (défaut)

28 Optimisations fines (Noyau) Mémoire Une plus grosse part de gâteau Kern.bufcachepercent=20 Ifqueue File d'attente digne d'un Apple Store net.inet.ip.ifq.maxlen=256 Eviter la congestion (débit très élevé) net.inet.ip.ifq.len > 0

29 Des questions? Site: Contact : +Loïc Blot