Portál AbcLinuxu, 10. května 2025 00:32

Dynamicka uprava pravidel iptables pomoci weboveho rozhrani.

7.9.2007 09:54 | Přečteno: 1207× | linux

Provadeli jsme audit. To samo osobe neni nic zajimaveho. Zajimavy je ukol, ktery z toho pro mne vyplynul.

Ve firme, kde jsme audit provadeli, totiz pouzivaji jako firewall Kerio WinRoute, ktere poskytuje jednu funkci, ktera se velmi zalibila memu sefovi. Kerio umi dynamicky zavadet pravidla do firewallu na zaklade uzivatelskeho jmena pouziteho pro prihlaseni do weboveho formulare. Uzivatel se tedy prihlasi na webovou stranku firewallu(https), firewall ho autentizuje vuci AD a otevre na urcitou dobu predem definovane porty pro ip adresu ze ktere se uzivatel prihlasil.

Jak uz jsem psal vyse, tak memu sefovi i mne se tak funkce zalibila a ted mam za ukol rozbehat neco podobneho na linuxu.

Nepripada mi to jako nejaky zasadni problem neco podobneho rozbehat, ale zase to neni uplne trivialni zalezitost, obzvlast diky tomu, ze se jedna o otazku bezpecnosti cele vnitrni site za firewallem.

Po pravde, drive jsem uz podobny system pouzival. V byvalem zamestnani jsme meli jednoduchou webovou aplikaci, ktera umoznovala pomoci weboveho rozhrani zakazovat uzivatelum pristup na internet na zaklade jejich ip nebo mac adresy.

Cele to fungovalo tak, ze pomoci weboveho rozhrani se spustil bashovy skript, ktery spustil php skript a refreshnul firewall (v byvalem zamestnani se pouzival shorewall). Php skript vytahl z mysql databaze ip adresy(mac adresy), ktere mely nastaven priznak, ktery zakazoval pristup na internet, a tyto ip adresy zapsal do souboru blacklist. Shorewall pak na zaklade tohoto souboru zakazoval pristup na internet

Tim padem mam zaklad, nebo spis predstavu, aplikace hotovou a zbyva mi "jen" ji upravit pro novou funkcnost. Ta by mela vypadat takto:

Uzivatel zada do internetoveho prohlize adresu(fqdn) a port weboveho rozhrani firewallu(https). Tam zada do prihlasovaciho formulare sve uzivatelske jmeno a heslo. Na zaklade jeho prihlasovaciho jmena zavede skript na webove strance(php,perl, ???) predem definovana iptables pravidla, pripadne spusti bashovy skript, ktery provede totez. Zaroven se spusti timeout, ktery po urcitem case iptables pravidla zase odebere.

Tady bych pozadal o radu jak odebrat pravidla po urcite dobe neaktivity z dane ip adresy. Pravidla by se mela z fw take odebirat po odhlášení uživatele nebo po zavřeni prohlizece

Nejzadnejsi problem vidim v tom, kterak zavest pravidla pouze pro ip adresu, ze, ktere se uzivatel na stranky prihlasil. Tohle bude muset resit nejspis nejaky php skript, ktery bashovy skript upravi podle aktualnich informaci.

Rad bych vas pozadal o vase rady, navrhy, zkusenosti a bezpecnostni pripominky k vyse uvedenemu zameru.

Neexistuje uz nejaky open source projekt, ktery by nabizel reseni jake jsem popsal vyse?

Napada vas neco na co sem pri navrhu reseni zapomnel?

Diky za vase reakce

Tiskni Sdílej:

Komentáře

Vložit další komentář

7.9.2007 10:03 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: Dynamicka uprava pravidel iptables pomoci weboveho rozhrani.

Odpovědět | Sbalit | Link | Blokovat | Admin

7.9.2007 11:04 Dalibor Smolík | skóre: 54 | blog: Postrehy_ze_zivota | 50°5'31.93"N,14°19'35.51"E
Rozbalit Rozbalit vše Re: Dynamicka uprava pravidel iptables pomoci weboveho rozhrani.

Odpovědět | Sbalit | Link | Blokovat | Admin

7.9.2007 13:02 Věroš | skóre: 24 | blog: Co není v hlavě | 49.29 s.š., 16.54. v.d.
Rozbalit Rozbalit vše Re: Dynamicka uprava pravidel iptables pomoci weboveho rozhrani.

Odpovědět | Sbalit | Link | Blokovat | Admin

Ahoj, podobnou věc jsem řešil (a možná bych ji i někde vyhrabal).

Jediné dvě myšlenky, které jsem tam použil byly

- zavést si speciální chain v iptables, do kterého se bude zasahovat z toho povolovacího/zakazovacího skriptu. Skript nebude sahat nikam jinam, takže nerozbije konfiguraci v iptables (čehož jsem se bál nejvíc)

- aktivitu zjišťovat pomocí počitadel u jednotlivých pravidel v tom chainu.

Zbytek je už jenom hrubá ruční práce (protože do iptables můžeš sahat jenom jako root )

Školím Ansible

8.9.2007 10:43 xkucf03 | skóre: 49 | blog: xkucf03
Rozbalit Rozbalit vše Re: Dynamicka uprava pravidel iptables pomoci weboveho rozhrani.

Odpovědět | Sbalit | Link | Blokovat | Admin

Když už to má být takhle (a nechceš VPN), tak bych aplikaci doporučil rozdělit do více vrstev. Přecejen je to dost citlivá věc.

Jedna vrstva bude webová aplikace (klidně PHP, nebo něco v čem umíš , která zjistí IP adresu, ověří uživatele a zapíše do DB pravidlo, které se má nastavit.

Druhá vrstva bude program, který bude z DB číst pravidla a nastavovat je na iptables. Do DB si také poznamená, kdy pravidlo nastavil a kdy má vypršet. Program poběží v nekonečné smyčce a bude si držet jedno spojení do DB. Pokud spojení spadne, obnoví se. Pokud spadne celý proces, v cronu bude skript, který ho znovu nahodí...

Celé tohle bych nasadil na oddělený stroj, např. proto, aby špatně napsaný program nemohl ohrozit hlavní internetovou bránu podniku. Když to špatně napíšeš, tak uživatelé přijdou o vzdálený přístup, ale nezesere se ti net v celé firmě.

Bohužel je ale ještě potřeba ošetřit uživatele, kteří sdílí IP adresu, nemají vlastní veřejnou. V tom případě totiž povolíš přístup třeba tisíci lidem, místo jednoho zaměstnance.

Přijde mi to dost kostrbaté řešení, za lepší bych považoval nějaké tunelování, buď SSH nebo celou VPN.

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

8.9.2007 13:20 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: Dynamicka uprava pravidel iptables pomoci weboveho rozhrani.

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Na udržení procesu je lepší použít init než cron. Ale vypršení pravidel bych řešil spíš spouštěním uklízítka z cronu, které by kouklo do db a případně uklidilo. Ale asi bych to pověsil do atd a DB neřešil vůbec.

Hello world ! Segmentation fault (core dumped)

8.9.2007 15:38 xkucf03 | skóre: 49 | blog: xkucf03
Rozbalit Rozbalit vše Re: Dynamicka uprava pravidel iptables pomoci weboveho rozhrani.

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

DB mi přijde jako dobré rozhraní mezi "frontendem" a "backendem" -- dělat nějaké zásahy do systému přímo z PHP považuju za šílenost. Ale obecně je celé toto řešení dost ošidné.

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

8.9.2007 18:14 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: Dynamicka uprava pravidel iptables pomoci weboveho rozhrani.

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

DB má jasně definované API. Pokud dokážeš udělat jasně definované API i u sady skriptů, tak nemáš problém a bude to fungovat lépe (méně částí, jednodušší části, žádné oťukávání nových dat,...).

Hello world ! Segmentation fault (core dumped)

8.9.2007 18:49 xkucf03 | skóre: 49 | blog: xkucf03
Rozbalit Rozbalit vše Re: Dynamicka uprava pravidel iptables pomoci weboveho rozhrani.

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Nejen to, výhodou DB jsou transakce a víceuživatelský přístup. V tomto případě je jedním uživatelem webové rozhraní a druhým uživatelem program v pozadí, který nastavuje pravidla firewallu. DB za tebe udělá spoustu práce (více uživatelský přístup), proto je dobré se na ni spolehnout. Kdyby si to člověk měl psát sám, tak je dost velká pravděpodobnost, že tam udělá chybu a rozhodně to nebude optimální (DBMS se vyvíjejí desítky let a je v nich spousta zkušeností, bylo by naivní si myslet, že skript, který napíšu za týden bude stejně kvalitní).

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

9.9.2007 00:12 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: Dynamicka uprava pravidel iptables pomoci weboveho rozhrani.

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Možná nebude tak kvalitní, ale může být výrazně vhodnější k danému účelu.

Hello world ! Segmentation fault (core dumped)

9.9.2007 15:28 xkucf03 | skóre: 49 | blog: xkucf03
Rozbalit Rozbalit vše Re: Dynamicka uprava pravidel iptables pomoci weboveho rozhrani.

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Jak bys to tedy udělal? Z webu může přijít více požadavků současně. Nejdřív potřebuješ ověřit uživatele (jméno/heslo...), ti nemusí být v systému, takže to chce mít někde seznam uživatelů. Pak přichází autorizace, jestli můžeš danému uživateli zpřístupnit službu, kterou chce. Tyhle pravidla taky musí být někde uložena. Pak se schválené pravidlo někam uloží a jiný program ho nastaví do iptables. Někam -- do souborů bych to nedával, protože jak píšu na začátku, uživatelů tam může přistupovat víc najednou. Napsat všechno tohle bez DB je hazard (to je na vyhazov) a nebo nad tím strávíš mládí/stáří, abys to napsal kvalitně a spolehlivě.

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

10.9.2007 17:27 Jary | skóre: 30 | blog: Jary má blog | Dům
Rozbalit Rozbalit vše Re: Dynamicka uprava pravidel iptables pomoci weboveho rozhrani.

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

sqlite by asi mohlo být dobré řešení

.sig virus 3.2_cz: Prosím, okopírujte tento text do vaší patičky. GitHub

10.9.2007 18:41 xkucf03 | skóre: 49 | blog: xkucf03
Rozbalit Rozbalit vše Re: Dynamicka uprava pravidel iptables pomoci weboveho rozhrani.

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Sorry, že do toho pořád rýpu, ale podle http://www.sqlite.org/faq.html#q5 mi to nepřijde jako optimální volba. Nějaké zamykání tam sice je, ale obával bych se problémům s výkonem při vícenásobném pokusu o zápis, AFAIK se vždycky zamkne celá DB. Raději bych zvolil nějaký dospělý C/S DBMS, třeba PostgreSQL

Ale stejně je to celé pakárna protože uživatel nemusí mít veřejnou IP a pak zpřístupníme službu více lidem než chceme.

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

10.9.2007 18:58 Jary | skóre: 30 | blog: Jary má blog | Dům
Rozbalit Rozbalit vše Re: Dynamicka uprava pravidel iptables pomoci weboveho rozhrani.

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Já jsem rád když mě někdo na něco upozorní, teda pokud to není úplná prkotina. To zamykání celé DB bych nehodnotil jako velmi významným problémem, protože těch přístupů pro zápis moc nebude. Co mi ale chybělo a mohlo by možná chybět i tu, je to, že sqlite neumí LIKE v SELECTu.

.sig virus 3.2_cz: Prosím, okopírujte tento text do vaší patičky. GitHub

Založit nové vlákno • Nahoru

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.