[Firewall] 방화벽 관련 데이터 제공 형상 예시

[ish-hcc]

@yunkon-kim

cm-model 에서 방화벽 관련 모델을 정의하는데 참고할 만한 내용이 필요하다고 하셔서
관련 내용 공유 드립니다.

Linux 기준으로 ufw, firewalld, iptables 모두 공통으로 iptables 에 방화벽 항목이 쌓이기 때문에
honeybee 에서는 Linux의 경우 iptables filter 테이블의 INPUT, OUTPUT 정보를 파싱하여 방화벽 정보를 제공하고 있습니다.

Windows 의 경우는 방화벽 프로그램의 다양성이 있을 수 있기 때문에
Windows Firewall 정보만 파싱하여 제공하고 있습니다.

Linux 에서 iptables 를 다음과 실행하였을 경우 (적용 순서도 반영됨)

# HTTP/HTTPS 포트 허용
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT

# 특정 포트 범위 차단
sudo iptables -A INPUT -p tcp --dport 40000:50000 -j DROP

# 특정 소스 포트에서 특정 목적지 포트로
sudo iptables -A OUTPUT -p tcp --sport 1024:65535 --dport 443 -j ACCEPT

# 특정 IP의 특정 포트만 허용
sudo iptables -A INPUT -s 10.0.0.0/24 -p tcp --dport 3306 -j ACCEPT

Honeybee의 infra Raw 데이터 에서는 다음과 같이 조회 됩니다.
(Honeybee Agent API중 /honeybee-agent/infra API 기준)

...(생략)...
            "firewall_rule": [
                {
                    "priority": 1,
                    "src": "",
                    "dst": "",
                    "src_ports": "*",
                    "dst_ports": "80",
                    "protocol": "tcp",
                    "direction": "inbound",
                    "action": "allow"
                },
                {
                    "priority": 2,
                    "src": "",
                    "dst": "",
                    "src_ports": "*",
                    "dst_ports": "443",
                    "protocol": "tcp",
                    "direction": "inbound",
                    "action": "allow"
                },
                {
                    "priority": 3,
                    "src": "",
                    "dst": "",
                    "src_ports": "*",
                    "dst_ports": "40000-50000",
                    "protocol": "tcp",
                    "direction": "inbound",
                    "action": "deny"
                },
                {
                    "priority": 4,
                    "src": "10.0.0.0/24",
                    "dst": "",
                    "src_ports": "*",
                    "dst_ports": "3306",
                    "protocol": "tcp",
                    "direction": "inbound",
                    "action": "allow"
                },
                {
                    "priority": 5,
                    "src": "",
                    "dst": "",
                    "src_ports": "1024-65535",
                    "dst_ports": "443",
                    "protocol": "tcp",
                    "direction": "outbound",
                    "action": "allow"
                }
            ]
        },
...(생략)...

참고해 주시고 추가로 필요 문의 사항이 있으시면 댓글 달아주시면 감사하겠습니다.

[yunkon-kim]

@ish-hcc 정보 공유 감사드립니다.

지난번 공유드렸던 Inbound 자료를 바탕으로 Inbound 부터 문의드리겠습니다.

1. src 포멧을 CIDR block만 제공해도 괜찮을지 문의드립니다.

• 공유 자료의 Source/From의 포멧은 3가지 (IP, CIDR block, Keyword)로 나타납니다.
• Honeybee에서 제공하는 포멧은 ""와 CIDR block으로 보입니다.
• 이를, CIDR block만 제공하는 것으로 통일하는 것에 대한 문의입니다.
• 참고:
  • IP인 경우: 123.123.123.123 -> 123.123.123.123/32
  • anywhere 또는 ""인 경우: 0.0.0.0/0
  • CIDR block 인 경우: 그대로 활용

2. dst 도 위 1번과 같은 맥락에서 검토 바랍니다.
3. iptables에서는 port가 ','로 구분되기도 합니다. 이를 src_ports/dst_ports에서는 어떻게 처리하시는지 공유 바랍니다.
4. ipbable에서 port가 Service Name (예, telnet)으로 표기되는 경우에 어떻게 처리하시는지 공유 바랍니다. (모두 변환 하시려나요?)

---

다음으로 Outbound 부분입니다.

Outbound는 위 Inbound 케이스에서 정보의 위치가 바뀐 것(Source와 Destination)으로 이해한 상태로, Port 부분만 문의드립니다.

1. 공유해 주신 아래 케이스가 잘 이해되지 않아 설명을 부탁드립니다.

• 제가 이해하기로는 나가는 모든 트래픽 ("src": "")에 대해 443 ("dst_ports": "443")로의 연결을 허용하는 것으로 이해했는데요.
• "src_ports": "1024-65535" 부분이 잘 이해가 되지 않아 설명을 부탁드립니다.
• 아니면, dst_ports와 src_ports를 반대로 이해한 것일까요?

                {
                    "priority": 5,
                    "src": "",
                    "dst": "",
                    "src_ports": "1024-65535",
                    "dst_ports": "443",
                    "protocol": "tcp",
                    "direction": "outbound",
                    "action": "allow"
                }

---

마지막으로 Protocol과 관련한 문의입니다.

현재 Spider는 ALL, TCP, UDP, ICMP를 프로토콜로 제공하고 있는데요. Honeybee도 해당 프로토콜들을 동일하게 제공하는지, 또는 추가적으로 제공되는 프로토콜이 있는지 공유해 주시기 바랍니다.

[ish-hcc]

@yunkon-kim

질문해 주신 부분 답변 드립니다.

1. src 포멧을 CIDR block만 제공해도 괜찮을지 문의드립니다.

• 네 모든 경우의 수를 고려해야 한다면, CIDR은 단일, 범위, 전체 모두를 수용할 수 있기 때문에 CIDR 방식이 가장 좋을 것으로 판단 됩니다.

2. dst 도 위 1번과 같은 맥락에서 검토 바랍니다.

• dst 도 1 과 동일합니다.

3. iptables에서는 port가 ','로 구분되기도 합니다. 이를 src_ports/dst_ports에서는 어떻게 처리하시는지 공유 바랍니다.

아 해당 경우에 대한 안내가 빠졌네요. 해당 경우에 대해서는 , 를 그대로 출력합니다.

• 실행 명령: iptables -A INPUT -p tcp -m multiport --dports 43,44 -j ACCEPT
• iptables -v -t filter -S 실행시

...(생략)...
-A INPUT -p tcp -m multiport --dports 43,44 -c 0 0 -j ACCEPT
...(생략)...

• Honeybee Agent Firewall 응답 부분

  {
    "priority": 5,
    "src": "",
    "dst": "",
    "src_ports": "*",
    "dst_ports": "43,44",
    "protocol": "tcp",
    "direction": "inbound",
    "action": "allow"
  },

4. ipbable에서 port가 Service Name (예, telnet)으로 표기되는 경우에 어떻게 처리하시는지 공유 바랍니다. (모두 변환 하시려나요?)

• filter 테이블을 리스팅 하는 경우 내부적으로 iptables -v -t filter -S 명령어가 실행되며 출력 결과는 다음과 같습니다.

-P INPUT ACCEPT -c 0 0
-P FORWARD ACCEPT -c 0 0
-P OUTPUT ACCEPT -c 0 0
-A INPUT -p tcp -m tcp --dport 80 -c 22715 1308263 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -c 7 2199 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 40000:50000 -c 371903 22284207 -j DROP
-A INPUT -s 10.0.0.0/24 -p tcp -m tcp --dport 3306 -c 0 0 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 43,44 -c 0 0 -j ACCEPT
-A INPUT -p udp -m udp --dport 30000 -c 0 0 -j DROP
-A INPUT -p icmp -m icmp --icmp-type 0 -c 0 0 -j DROP
-A OUTPUT -p tcp -m tcp --sport 1024:65535 --dport 443 -c 41 19628 -j ACCEPT

• iptables 옵션 중에 -S 옵션은 위와 같은 출력을 보여주고 -N 옵션은 말씀해 주신 service name 을 port number 로 표시해 줍니다. (/etc/services 애서 참조됨)
• 기본 옵션만 주면 말씀해 주신 대로 출력 됩니다.
  iptables -L -v

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
24009 1383K ACCEPT     tcp  --  any    any     anywhere             anywhere             tcp dpt:http
    7  2199 ACCEPT     tcp  --  any    any     anywhere             anywhere             tcp dpt:https
 391K   23M DROP       tcp  --  any    any     anywhere             anywhere             tcp dpts:40000:50000
    0     0 ACCEPT     tcp  --  any    any     10.0.0.0/24          anywhere             tcp dpt:mysql
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere             multiport dports whois,44
    0     0 DROP       udp  --  any    any     anywhere             anywhere             udp dpt:30000
    0     0 DROP       icmp --  any    any     anywhere             anywhere             icmp echo-reply

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
  138 26204 ACCEPT     tcp  --  any    any     anywhere             anywhere             tcp spts:1024:65535 dpt:https

그 외

• 제가 이해하기로는 나가는 모든 트래픽 ("src": "")에 대해 443 ("dst_ports": "443")로의 연결을 허용하는 것으로 이해했는데요.
  "src_ports": "1024-65535" 부분이 잘 이해가 되지 않아 설명을 부탁드립니다.
  아니면, dst_ports와 src_ports를 반대로 이해한 것일까요?

443 포트로 나가는 모든 트래픽에 대해 출발지의 포트가 1024~65535 사이일 경우 허용
(443 포트로 나가는 통신들의 Source Port 는 Dynamic Port 범위내에서 허용)
말씀해 주신 나가는 모든 트래픽에 대한 443 이 맞습니다

sudo iptables -A OUTPUT -p tcp --sport 1024:65535 --dport 443 -j ACCEPT

                {
                    "priority": 5,
                    "src": "",
                    "dst": "",
                    "src_ports": "1024-65535",
                    "dst_ports": "443",
                    "protocol": "tcp",
                    "direction": "outbound",
                    "action": "allow"
                }

• UDP, ICMP 도 모두 표시 가능 합니다.

UDP
iptables -A INPUT -p udp --dports 30000 -j DROP

  {
    "priority": 6,
    "src": "",
    "dst": "",
    "src_ports": "*",
    "dst_ports": "30000",
    "protocol": "udp",
    "direction": "inbound",
    "action": "deny"
  },

ICMP
iptables -A INPUT -p icmp --icmp-type echo-reply -j DROP

  {
    "priority": 7,
    "src": "",
    "dst": "",
    "src_ports": "*",
    "dst_ports": "*",
    "protocol": "icmp",
    "direction": "inbound",
    "action": "deny"
  },

[ish-hcc]

@yunkon-kim @powerkimhub 넵 확인했습니다 감사합니다!
cloud-barista/cm-model#13
에서 제안해 주신 모델 개선 사항도 그대로 진행해도 될 것 같습니다
감사합니다

[yunkon-kim]

@ish-hcc

모델은 여러 서브시스템에 영향을 주는 만큼, 여러 메인테이너 분들의 확인 및 리뷰 프로세스를 필수로 진행하고자 합니다. 참고 바랍니다.

관련하여 review approve 부탁드리겠습니다:)

[ish-hcc]

@yunkon-kim 개발 한지 시간이 좀 지나서 제가 생각을 못했는데 Protocol의 경우 any 일때 '*' 로 표시해 주고 있습니다.
예시로
iptables -A INPUT -s 1.1.1.1 -j ACCEPT 실행시

{
"priority": 1,
"src": "1.1.1.1/32",
"dst": "",
"src_ports": "*",
"dst_ports": "*",
"protocol": "*",
"direction": "inbound",
"action": "allow"
}

말씀 주신 CIDR 부분은 반영하도록 하겠습니다

[yunkon-kim]

@ish-hcc 네 알겠습니다.

Beetle에서 Security Group을 추천할 떄,

• src_ports, dst_ports가 "*" 인 경우 Security Group rule에 모든 포트(1-65535)를 적용하고,
• protocol이 "*" 인 경우 Security Group의 protocol을 ALL(i.e., any) 로 적용하도록 하겠습니다.

cloud-barista/cm-model#13 (comment) 위 내용 반영해 놓겠습니다.

[ish-hcc]

@yunkon-kim 넵 확인해주셔서 감사합니다!

[ish-hcc]

@yunkon-kim
PS. ICMP 의 경우 echo-reply, echo-request 는 현재 고려되어 있지 않습니다