SSL Heartbleed Heartbleed SSL漏洞資安

緊急應對Heartbleed危機藉防火牆機制擋SSL漏洞

2014-06-09

吳惠麟

最近最夯的資安新聞，應該就是SSL Heartbleed漏洞事件了。這個漏洞起因於OpenSSL函式庫程式設計上的一個小缺失，導致惡意使用者只要利用特製的SSL封包攻擊有此漏洞的網站伺服器，就可能取得每次最多64K的記憶體內容資訊。

一般如果需要實作DNAT功能（亦即虛擬伺服器功能，就會在此規則鏈中設定規則更改目的IP的資訊），如PREROUTING規則鏈發現所接收之封包的目的IP並非本機時，即會將封包傳遞至FORWARD規則鏈進行後續的處理，否則會把封包傳遞至INPUT規則鏈進行處理。

在本文中即是要利用此規則鏈來設定阻擋封包內含有Heartbleed封包的攻擊。在本機將封包處理完畢後，就會將封包傳遞給OUTPUT規則鏈進行處理，最後再將封包傳遞至POSTROUTING規則鏈進行後續的處理，亦即一般所熟知的SNAT功能（一個公共IP可供多個內部主機使用，所謂的IP分享器功能即是在此規則鏈中完成）。

如上所述為netfilter的架構，接著繼續說明netfilter的管理程式（iptables）的用法。

認識iptables語法結構

使用者可以利用這個程式來設定防火牆規則，以下將簡略說明iptables的語法結構，其語法結構如下所示：

其中，[- t table]是用來指定要設定那個規則表格的規則，如未指定，即預設為filter規則表格。而command，指的是命令，通常後會接規則鏈名稱，其常用命令如下：

-A：在指定的規則鏈中新增一個規則。
-D：在指定的規則鏈之後刪除一個規則。
-F：清除規則鏈中的規則，例如執行「iptables -F」指令將會清除所有規則鏈的資訊。
-L：顯示規則鏈內的所有規則。
-I：在規則鏈插入規則。

至於[match]，代表比對條件，設定要比對的條件式，常用的比對條件如下：

-d：指定套用規則的目的主機或IP位址。
-i：指定套用規則的網路介面名稱，如eth0。
-p：提供比對通訊協定功能，主要比對TCP、UDP及ICMP三種通訊協定的封包。
-m：指定欲比對條件時所使用的模組，例如要比對MAC資訊，即可用mac模組。在本文中由於要比對封包內容來尋找是否含有惡意的Heardbleed封包，所以採用u32模組來比對。

最後的[-j]，則是指定一旦封包符合條件時所要執行的動作，常用動作選項如下：

ACCEPT：表示符合條件的封包允許通過。
DROP：表示將符合條件的封包丟棄。
RETURN：表示直接離開目前規則，直接跳到下個規則比對。
QUEUE：表示將封包重導到本機的佇列（QUEUE）中，通常用來供其他應用程式處理。
MASQUERADE：將封包來源的IP位址改為防火牆傳送封包之網路介面的IP位址，此選項在撥接連線上特別有用，因為在撥接連線後，每次所得到的IP均不同，因此無法使用靜態的方式指定來源IP，此時即可利用此選項來動態指定來源IP。
LOG：設定在核心紀錄檔中，記錄封包連線相關紀錄，可利用dmesg指令查看。
ULOG：將相關的封包連線資訊透過ulogd程式儲存至資料庫上。

設定實例說明

以下，試舉幾個常用的設定範例來做說明：