Linux × Security パケットフィルタリング編

はじめに

クラウドインテグレーション部の渡邊です。

本記事のシリーズでは、サーバの構築・運用に最低限必要なセキュリティの体系的知識習得を目的としています。

本シリーズの全体像と今回執筆の内容の位置づけは以下の通りです。

• 設定の適正化
  • ソフトウェア管理
  • ユーザ管理
  • 運用管理
• パケットフィルタリング ←今回はここについて説明
• 権限の制御
• 暗号化
• 検知

環境

Amazon Linux 2

概要

パケットフィルタリングとは、ファイアウォールによってパケットを通過させたり遮断したりする処理です。 これらは、送信元/宛先アドレス・ポート・プロトコルなどに基づいて、ネットワークインターフェースのデータパケットに対して処理が行われるため、OSI参照モデルで言うと L3 や L4 に該当します。

LinuxOSの場合、Netfilterというパッケージでパケットフィルタリング機能を実現しています。Netfilterを管理するための代表的なツールとしてiptablesやfirewalldがあります。

また、AWSで使用するセキュリティグループやネットワークACLなどのファイアウォールを設定する場合でもiptablesやfirewalldはセキュリティソフトウェア導入などで今でも設定が必要な場合があります。

iptablesの構成

まず、Netfilterの管理インターフェースであるiptablesですが、テーブル、チェイン、ルールの3つで構成されています。 永続的に設定を保存するためには設定ファイル/etc/sysconfig/iptablesが必要で、iptablesのサービス起動時に設定ファイルの内容がiptablesのルールとして反映されます。

スキーマの大きい順番から以下の構成となっております。

• テーブル・・・iptablesで実現する操作を定義するもの
• チェイン・・・パケット操作を実行する場所(タイミング)を定義するもの
• ルール・・・パケットの処理方法を指定する条件を定義するもの
  
  

テーブル種類

一番大きい単位としてテーブルがあります。デフォルトのテーブルはfilterですが、それ以外にもnatやmangleなど別の用途で使用するテーブルがあります。 各テーブルで用途が違うため、実現する操作が適用されるタイミングが異なります。 よって、各テーブルで使えるチェインが異なります。 例えば natですと IP アドレスやポートの変換、mangleですとIPヘッダの変換などが用途です。

 ※rawやsecurityテーブルは割愛

チェインおよびパケット処理フロー

チェインのタイプとして5つあります。

表とチェインの適用タイミングの図を見てみると 主にルーティングの前後、パケットからプロセスへの入出で分類されていることがわかります。

【チェインの適用タイミング】 

引用元：「Linuxセキュリティ標準教科書」 特定非営利活動法人エルピーアイジャパン p.33

例えば、PREROUTINGは外部からのパケットをルーティングする前のタイミングで適用されます。 また、FORWARDはプロキシ経由で別のサーバーに転送するような処理で適用されます。

ルールのコマンドとフィールド

コマンド

ルールを設定する際のコマンド例は以下の通りです。本コマンドは、外部サーバへ送信されたICMPエコーリクエストがドロップされるルールを設定しています。

iptables -t filter -A OUTPUT  -p icmp --icmp-type echo-request -j DROP

コマンド内のオプションの説明は以下の通りです。

-t filter: テーブルを指定しています。テーブルとしては指定されているfilterは、パケットのフィルタリングと制御に使用されるテーブルです。

-A OUTPUT: ルールを追加するチェインを指定します。OUTPUTチェインは、ローカルから発信されるパケットに適用されるルールを含んでいます。また、既存のルールを削除する際には-Dを指定します。

-p icmp: プロトコルを指定します。

--icmp-type echo-request: ICMPメッセージの種類を指定します。ここでは"echo-request"（Pingリクエスト）を指定しています。

-j DROP: 該当したパケットの処理方法を指定します（パケットの行方=JUMP）。ここではパケットを破棄（DROP）するように指定しています。

今回使用したオプション以外にもあるので気になる方はmanページを参考にしてください。

フィールド

ルールの内容はiptablesコマンドで確認することができます。

$ sudo iptables -L INPUT --line-numbers
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination
1    DROP       tcp  --  anywhere             anywhere             tcp dpt:http

ルールのフィールドは以下の通りです。

ルールは番号(num)の小さい順に適用されるため、ルールに該当したパケットはそれより後方のルールによって処理されません。 また、番号変更はあとからでも可能です。

targetの処理に関して、DROP（パケットを破棄）やREJECT（接続を拒否）などの使い分けによって、パケットに対する処理方法を細かく制御することができます。 例えば、ブラウザがタイムアウトになるような状況を作りたい場合は、DROPを使用すると良いでしょう。

ラベルが付いていない最後の列はどのフィールドにも該当しない内容が記載されます。 例えば以下のような処理が記載されます。

• ICMPのタイプに基づいたパケットフィルタリング
  • 例：拒否したことを接続元に通知する場合に、icmp-host-prohibitedメッセージを返すルールの場合はreject-with icmp-host-prohibitedと表示される
• 接続状態でフィルタリング
  • 例：TCPの3-wayハンドシェイクが完了した接続に対するルールの場合はstate ESTABLISHEDと表示される

firewalld

firewalld概要

iptables同様Netfilterの管理インターフェースとなるfirewalldは以下の特徴があります。

• CentOS7やRHEL7から採用された
• Firewalldの裏側ではiptablesなどが動いている
• ゾーンと呼ばれるグループ化したフィルタリングルールをインターフェース毎に割り当てて制御を行う

ファイアウォールの構造を見てみるとiptablesなどがバックエンドとして動いていることが分かると思います。

引用元：https://firewalld.org/2018/07/nftables-backend

ゾーンは、グループ化されたフィルタリングルールのまとまりであり、一括でルールを適用することができます。特定のインターフェースにルールを割り当てると、そのルールが一括で適用されるため、設定が容易になります。

例えば、WebサーバとのインターフェースはゾーンA、LANとのインターフェースはゾーンBを適用することが可能になります。

ゾーンの説明

ゾーンには以下のものがあります。

firewalld有効時のデフォルトのゾーンはpublicです。 sshなどは事前に許可されておりましたがhttp通信は許可されておりませんでした。

# firewall-cmd --list-services --zone=public
dhcpv6-client mdns ssh

また、表のゾーンの中でそのゾーンの用途から設定変更不可なものがあり、以下の3つです。変更不可であるゾーンが存在することは認識しておきましょう。

• trusted
• drop
• block

参考：FirewallD/jp

firewalldのルール

firewalldのルールには通常のルールとリッチルールがあります。 各ルールの中身は以下のようになっています。

通常のルール

[root@ip-172-31-6-14 ~]# firewall-cmd --list-services --zone=public 
ssh dhcpv6-client http

リッチルール

[root@ip-172-31-6-14 ~]# firewall-cmd --zone=public --list-rich-rules
rule family="ipv4" source address="XXX.XXX.XXX.XXX" port port=”80" protocol="tcp" accept

通常ルールと比べると、リッチルールはプロトコル・ポート・ソース・宛先などの多くの条件を組み合わせ、ゾーンに対して細かいルールを追加することができます。

またリッチルールと通常のルールは同じゾーンに指定した場合 public.xml のようなゾーンの設定ファイルで一括管理されます。

[root@ip-172-31-9-27 ec2-user]# cat /etc/firewalld/zones/public.xml
<?xml version="1.0" encoding="utf-8"?>
<zone>
  <short>Public</short>
  <description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
  <service name="ssh"/>
  <service name="mdns"/>
  <service name="dhcpv6-client"/>
  <rule family="ipv4">
    <source address="XXX.XXX.XXX.XXX"/>
    <port port="80" protocol="tcp"/>
    <accept/>
  </rule>
  <forward/>
</zone>

また、ルールを適用した後は以下のように設定の読み込みのコマンドを実行する必要がありますので注意しましょう。

firewall-cmd --reload

firewalldとiptablesの違い

特に、Firewalldはpermanentをオプションにつけるだけで一時的か永続的かコントロールできる点や設定反映による瞬断が発生しない点は大きく運用負荷の軽減に寄与すると思われます。

ポート開放の注意点

外部から開放されているポートへ侵入されるセキュリティリスクを防ぐためにポート開放は最小限にする必要があります。 もし不要なポートが開いている場合は、関連するデーモンを終了させるなどしてポートを閉じます。

現在開いているポート番号を確認するコマンドはssやnetstatなどが挙げられます。

# ss -t
State Recv-Q Send-Q   Local Address:Port      Peer Address:Port                        Process
ESTAB 0      52         XXX.XXX.XXX.XXX:ssh    XXX.XXX.XXX.XXX:59129

# netstat -ntl
ss -t
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN
tcp6       0      0 :::22                   :::*                    LISTEN
State Recv-Q Send-Q   Local Address:Port      Peer Address:Port                        Process
ESTAB 0      588        XXX.XXX.XXX.XXX:ssh    XXX.XXX.XXX.XXX:59129

まとめ

今回はパケットフィルタリングで以下を説明しました。

• パケットフィルタリングとはファイアウォールでパケットを制御する処理
• iptables
  • netfilterの管理インターフェース
  • テーブル・チェイン・ルールで構成されてる
  • テーブルはiptablesで実現する操作を定義
  • チェインはパケット操作を実行する場所(タイミング)を定義
  • ルールはパケットの処理方法を定義
• firewalld
  • 裏側ではiptablesのようなインターフェースが動いてる
  • ゾーン単位で制御することで管理が楽

次回の記事では権限の制御について執筆予定です。ぜひそちらも御覧ください！

【参考】

IPTABLES

iptablesの仕組みを図解

iptablesファイアウォールルールを一覧表示および削除する方法

第12回：もう怖くない！ファイアーウォール(iptables)

iptablesはDROPすべきか、REJECTか。tcp-resetという手も