방금 보안 문제를 발견했습니다. IP 테이블 규칙을 확인하고 DHCP 트래픽에 대한 규칙이 없다는 것을 확인했습니다(모든 체인에 대해 DROP 정책이 있습니다). 하지만 여전히 DHCP에서 IP 주소, 서브넷 마스크 등을 얻습니다. 섬기는 사람. 그래서 알아보기 시작했고, Wireshark를 실행하고 검색을 해보니 DHCPCD가 AF_PACKET 소켓을 사용하므로 TCP/IP 스택(?)을 우회한다는 것을 알게 되었습니다.
나는 그것에 대해 좀 더 파고들어 (AF_PACKET,SOCK_RAW,ETH_P_ALL) 및 정적 HW, IP 및 TCP 헤더(단지 테스트 목적으로)를 사용하여 C로 짧은 프로그램을 작성했습니다. IPTables 화이트리스트에 없는 서버에서 데이터를 요청해 보세요. IPTables가 이를 차단할 가능성이 없다는 사실을 발견했을 때 저는 약간 가슴이 뭉클했습니다.
저는 Debian 8 "Jessie"를 실행하고 있습니다. IPTables 규칙에서 뭔가를 간과하고 있다고 생각하는 사람들을 위해 인터페이스, IP 주소, 대상 포트, 프로토콜, ctstate 등을 기준으로 필터링하여 각 대상을 매우 구체적으로 지정하는 매우 엄격한 규칙을 적용했습니다.
이 문제에 대해 더 자세히 아는 사람이 있나요? 아니면 이 트래픽을 차단하거나 호스트를 떠나기 전에 모든 트래픽이 TCP/IP 스택과 IPTable을 통과하도록 강제하는 솔루션이 있습니까?
답변1
AF_PACKET을 사용하려면 루트 권한(또는 최소한 CAP_NET_RAW)이 필요합니다. 루트 프로세스가 어떤 작업도 수행하지 못하도록 방지하는 것은 종종 어렵습니다. 가장 좋은 해결책은 신뢰할 수 없는 프로세스를 실행하지 않는 것입니다.
또 다른 접근 방식은 모든 트래픽이 호스트를 통해 라우팅되도록 별도의 네트워크 네임스페이스에서 모든(루트) 프로세스를 실행하는 것입니다. 이 방법으로 (네임스페이스) AF_PACKET 트래픽을 (호스트의) IP 스택을 통해 강제로 보낼 수 있습니다.
답변2
이는 주목할 가치가 있는 의미를 갖습니다. 이는 비교적 독특한 경우임에도 불구하고 짜증스럽습니다.
AF_PACKET은 권한 있는 작업입니다. 이는 권한이 없는 사용자가 이를 사용하는 데 문제가 발생하지 않음을 의미합니다.
이를 사용하는 소프트웨어는 낮은 수준의 네트워크 인프라인 DHCP 서버와 유사합니다. 그렇지 않으면 일반적이고 간단한 인터페이스를 사용할 수 있습니다. 시스템 관리자는 DHCP 서버가 설치되어 있는지 확실히 알고 있습니다. 다른 상황에도 동일하게 적용됩니다.
1. 다양한 구역의 방화벽
iptables를 사용하여 여러 "영역" 또는 이와 유사한 방화벽을 정의할 수 있습니다. 예를 들어 Linux 상자에서 네트워크와 인터넷 사이의 방화벽 역할을 합니다. 이 경우 DHCPD 등은 이 방화벽을 우회하므로 DHCPD 등에 대한 정책을 별도로 구성해야 합니다. 예를 들어
시스템에 여러 네트워크 인터페이스가 연결되어 있지만 DHCP 서버가 인터페이스 중 하나에서만 시작되어야 하는 경우 DHCP 서버가 해당 장치에서만 시작되도록 구성하십시오. /etc/sysconfig/dhcpd에서 DHCPDARGS 목록에 인터페이스 이름을 추가합니다.
# Command line options here DHCPDARGS=eth0이는 두 개의 네트워크 카드가 있는 방화벽이 설치된 시스템에 유용합니다. 네트워크 카드를 DHCP 클라이언트로 구성하여 인터넷에서 IP 주소를 검색할 수 있습니다. 다른 네트워크 카드는 방화벽 뒤의 내부 네트워크용 DHCP 서버로 사용될 수 있습니다. 내부 네트워크에 연결된 네트워크 카드만 지정하면 사용자가 인터넷을 통해 데몬에 연결할 수 없으므로 시스템이 더욱 안전해집니다.
--https://www.centos.org/docs/5/html/Deployment_Guide-en-US/s1-dhcp-configuring-server.html
AFAICT, ISC DHCPD에는 더 이상 세부적인 옵션이 없습니다. 보다 세밀한 제어를 원한다면 원하는 DHCP 릴레이를 사용하면서 네트워크 수준에서 이를 구현해야 합니다.하다더욱 세밀한 제어 기능을 제공합니다. 초기 DHCP 수신기는 DHCP 클라이언트와 동일한 네트워크에 있어야 하기 때문입니다. Hauke Laging이 지적했듯이 Linux 서버는 다양한 방법으로 가상 네트워크를 생성할 수 있습니다. 예를 들어 실제로 원하지 않는 한 물리적으로 분리된 방화벽 상자에 의존할 필요가 없습니다.
2. 패킷 스니퍼
Wireshark 패킷 스니퍼는 메모리에 안전하지 않은 언어로 작성된 여러 파서를 실행하기 때문에 실행하는 것을 두려워해야 합니다. 그리고 수신되는 트래픽은 방화벽에 의해 제한되지 않습니다.https://wiki.wireshark.org/보안
3. 아웃바운드 방화벽
이것은 약간 모호하지만 테스트 프로그램처럼 들립니다.보내다iptables 방화벽에 의해 차단된 패킷입니다. 즉, 나가는 패킷을 필터링하고 있습니다.
이는 가장 일반적인 구성이 아닙니다. 어떤 위협 모델이 사용되고 있는지, 왜 이런 특이한 구성이 사용되는지에 대한 질문은 그다지 구체적이지 않은 것 같아서 어떤 조언을 드릴 수 있는지 잘 모르겠습니다.
CAP_NET_RAW가 포함된 권한으로 프로그램을 실행하면 iptables의 영향을 받지 않는 패킷을 보낼 수 있습니다. 그러나 다시 말하지만, CAP_NET_ADMIN이 포함된 권한으로 프로그램을 실행하면 원하는 패킷을 보낼 수 있도록 허용하는 iptables 규칙을 설치할 수 있습니다. :)