projects / fwknop.git / blob
? search:


77566af8657065995ad601828ba029bd6127f926
[fwknop.git] / server / replay_cache.c
1 /*
2  *****************************************************************************
3  *
4  * File:    replay_cache.c
5  *
6  * Author:  Damien S. Stuart
7  *
8  * Purpose: Provides the functions to check for possible replay attacks
9  *          by using a cache of previously seen digests.  This cache is a
10  *          simple file by default, but can be made to use a dbm solution
11  *          (ndbm or gdbm in ndbm compatibility mode) file to store the digest
12  *          of a previously received SPA packets.
13  *
14  * Copyright 2010 Damien Stuart (dstuart@dstuart.org)
15  *
16  *  License (GNU Public License):
17  *
18  *  This program is free software; you can redistribute it and/or
19  *  modify it under the terms of the GNU General Public License
20  *  as published by the Free Software Foundation; either version 2
21  *  of the License, or (at your option) any later version.
22  *
23  *  This program is distributed in the hope that it will be useful,
24  *  but WITHOUT ANY WARRANTY; without even the implied warranty of
25  *  MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
26  *  GNU General Public License for more details.
27  *
28  *  You should have received a copy of the GNU General Public License
29  *  along with this program; if not, write to the Free Software
30  *  Foundation, Inc., 59 Temple Place, Suite 330, Boston, MA  02111-1307
31  *  USA
32  *
33  *****************************************************************************
34 */
35 #include "replay_cache.h"
36 #include "log_msg.h"
37 #include "fwknopd_errors.h"
38 #include "utils.h"
39
40 #include <time.h>
41
42 #if HAVE_LIBGDBM
43   #include <gdbm.h>
44
45   #define MY_DBM_FETCH(d, k)        gdbm_fetch(d, k)
46   #define MY_DBM_STORE(d, k, v, m)  gdbm_store(d, k, v, m)
47   #define MY_DBM_STRERROR(x)        gdbm_strerror(x)
48   #define MY_DBM_CLOSE(d)           gdbm_close(d)
49
50   #define MY_DBM_REPLACE            GDBM_REPLACE
51   #define MY_DBM_INSERT             GDBM_INSERT
52
53 #elif HAVE_LIBNDBM
54   #include <ndbm.h>
55
56   #define MY_DBM_FETCH(d, k)        dbm_fetch(d, k)
57   #define MY_DBM_STORE(d, k, v, m)  dbm_store(d, k, v, m)
58   #define MY_DBM_STRERROR(x)        strerror(x)
59   #define MY_DBM_CLOSE(d)           dbm_close(d)
60
61   #define MY_DBM_REPLACE            DBM_REPLACE
62   #define MY_DBM_INSERT             DBM_INSERT
63
64 #else
65   #if ! USE_FILE_CACHE
66     #error "File cache method disabled, and No GDBM or NDBM header file found. WTF?"
67   #endif
68 #endif
69
70 #if HAVE_SYS_SOCKET_H
71   #include <sys/socket.h>
72 #endif
73 #include <arpa/inet.h>
74
75 #include <fcntl.h>
76
77 #define DATE_LEN 18
78 #define MAX_DIGEST_SIZE 64
79
80 /* Rotate the digest file by simply renaming it.
81 */
82 static void
83 rotate_digest_cache_file(fko_srv_options_t *opts)
84 {
85 #ifdef NO_DIGEST_CACHE
86     log_msg(LOG_WARNING, "Digest cache not supported. Nothing to rotate.");
87 #else
88     int         res;
89     char       *new_file = NULL;
90
91     log_msg(LOG_INFO, "Rotating digest cache file.");
92
93 #if USE_FILE_CACHE
94     new_file = malloc(strlen(opts->config[CONF_DIGEST_FILE])+5);
95 #else
96     new_file = malloc(strlen(opts->config[CONF_DIGEST_DB_FILE])+5);
97 #endif
98
99     if(new_file == NULL)
100     {
101         log_msg(LOG_ERR, "rotate_digest_cache_file: Memory allocation error.");
102         clean_exit(opts, NO_FW_CLEANUP, EXIT_FAILURE);
103     }
104
105     /* The new filename is just the original with a trailing '-old'.
106     */
107 #if USE_FILE_CACHE
108     strlcpy(new_file, opts->config[CONF_DIGEST_FILE],
109         strlen(opts->config[CONF_DIGEST_FILE])+5);
110 #else
111     strlcpy(new_file, opts->config[CONF_DIGEST_DB_FILE],
112         strlen(opts->config[CONF_DIGEST_DB_FILE])+5);
113 #endif
114     strcat(new_file, "-old");
115
116 #if USE_FILE_CACHE
117     res = rename(opts->config[CONF_DIGEST_FILE], new_file);
118 #else
119     res = rename(opts->config[CONF_DIGEST_DB_FILE], new_file);
120 #endif
121
122     if(res < 0)
123         log_msg(LOG_ERR, "Unable to rename digest file: %s to %s: %s",
124 #if USE_FILE_CACHE
125             opts->config[CONF_DIGEST_FILE], new_file, strerror(errno)
126 #else
127             opts->config[CONF_DIGEST_DB_FILE], new_file, strerror(errno)
128 #endif
129         );
130 #endif /* NO_DIGEST_CACHE */
131 }
132
133 static void
134 replay_warning(fko_srv_options_t *opts, digest_cache_info_t *digest_info)
135 {
136     char        src_ip[INET_ADDRSTRLEN+1] = {0};
137     char        orig_src_ip[INET_ADDRSTRLEN+1] = {0};
138     char        created[DATE_LEN];
139
140 #if ! USE_FILE_CACHE
141     char        last_ip[INET_ADDRSTRLEN+1] = {0};
142     char        first[DATE_LEN], last[DATE_LEN];
143 #endif
144
145     /* Convert the IPs to a human readable form
146     */
147     inet_ntop(AF_INET, &(opts->spa_pkt.packet_src_ip),
148         src_ip, INET_ADDRSTRLEN);
149     inet_ntop(AF_INET, &(digest_info->src_ip), orig_src_ip, INET_ADDRSTRLEN);
150
151 #if ! USE_FILE_CACHE
152     /* Mark the last_replay time.
153     */
154     digest_info->last_replay = time(NULL);
155
156     /* Increment the replay count and check to see if it is the first one.
157     */
158     if(++(digest_info->replay_count) == 1)
159     {
160         /* This is the first replay so make it the same as last_replay
161         */
162         digest_info->first_replay = digest_info->last_replay;
163     }
164
165     strftime(first, DATE_LEN, "%D %H:%M:%S", localtime(&(digest_info->first_replay)));
166     strftime(last, DATE_LEN, "%D %H:%M:%S", localtime(&(digest_info->last_replay)));
167 #endif
168
169     strftime(created, DATE_LEN, "%D %H:%M:%S", localtime(&(digest_info->created)));
170
171     log_msg(LOG_WARNING,
172         "Replay detected from source IP: %s\n"
173         "        Destination proto/port: %d/%d\n"
174         "            Original source IP: %s\n"
175         "       Original dst proto/port: %d/%d\n"
176 #if USE_FILE_CACHE
177         "                 Entry created: %s\n",
178 #else
179         "                 Entry created: %s\n"
180         "                  First replay: %s\n"
181         "                   Last replay: %s\n"
182         "                  Replay count: %i\n",
183 #endif
184         src_ip,
185         opts->spa_pkt.packet_proto,
186         opts->spa_pkt.packet_dst_port,
187         orig_src_ip,
188         digest_info->proto,
189         digest_info->dst_port,
190 #if USE_FILE_CACHE
191         created
192 #else
193         created,
194         first,
195         last,
196         digest_info->replay_count
197 #endif
198     );
199
200     return;
201 }
202
203 int
204 replay_cache_init(fko_srv_options_t *opts)
205 {
206 #ifdef NO_DIGEST_CACHE
207     return(-1);
208 #else
209
210     /* If rotation was specified, do it.
211     */
212     if(opts->rotate_digest_cache)
213         rotate_digest_cache_file(opts);
214
215 #if USE_FILE_CACHE
216     return replay_file_cache_init(opts);
217 #else
218     return replay_db_cache_init(opts);
219 #endif
220
221 #endif /* NO_DIGEST_CACHE */
222 }
223
224 #if USE_FILE_CACHE
225 int
226 replay_file_cache_init(fko_srv_options_t *opts)
227 {
228     FILE           *digest_file_ptr = NULL;
229     unsigned int    num_lines = 0, digest_ctr = 0;
230     char            line_buf[MAX_LINE_LEN] = {0};
231     char            src_ip[INET_ADDRSTRLEN+1] = {0};
232     char            dst_ip[INET_ADDRSTRLEN+1] = {0};
233     long int        time_tmp;
234
235     struct digest_cache_list *digest_elm = NULL;
236
237     /* if the file exists, import the previous SPA digests into
238      * the cache list
239     */
240     if (access(opts->config[CONF_DIGEST_FILE], F_OK) == 0)
241     {
242         /* Check permissions
243         */
244         if (access(opts->config[CONF_DIGEST_FILE], R_OK|W_OK) != 0)
245         {
246             log_msg(LOG_WARNING, "Digest file '%s' exists but: '%s'",
247                 opts->config[CONF_DIGEST_FILE], strerror(errno));
248             return(-1);
249         }
250     }
251     else
252     {
253         /* the file does not exist yet, so it will be created when the first
254          * successful SPA packet digest is written to disk
255         */
256         if ((digest_file_ptr = fopen(opts->config[CONF_DIGEST_FILE], "w")) == NULL)
257         {
258             log_msg(LOG_WARNING, "Could not open digest cache: %s",
259                 opts->config[CONF_DIGEST_FILE]);
260         }
261         fprintf(digest_file_ptr,
262             "# <digest> <proto> <src_ip> <src_port> <dst_ip> <dst_port> <time>\n");
263         fclose(digest_file_ptr);
264         return(0);
265     }
266
267     /* File exist, and we have access - create in-memory digest cache
268     */
269     if ((digest_file_ptr = fopen(opts->config[CONF_DIGEST_FILE], "r")) == NULL)
270     {
271         log_msg(LOG_WARNING, "Could not open digest cache: %s",
272             opts->config[CONF_DIGEST_FILE]);
273         return(-1);
274     }
275
276     /* Line format:
277      * <digest> <proto> <src_ip> <src_port> <dst_ip> <dst_port> <time>
278      * Example:
279      * 7XgadOyqv0tF5xG8uhg2iIrheeNKglCWKmxQDgYP1dY 17 127.0.0.1 40305 127.0.0.1 62201 1313283481
280     */
281     while ((fgets(line_buf, MAX_LINE_LEN, digest_file_ptr)) != NULL)
282     {
283         num_lines++;
284         line_buf[MAX_LINE_LEN-1] = '\0';
285
286         if(IS_EMPTY_LINE(line_buf[0]))
287             continue;
288
289         /* Initialize a digest cache list element, and add it into the list if
290          * valid.
291         */
292         if ((digest_elm = calloc(1, sizeof(struct digest_cache_list))) == NULL)
293         {
294             fprintf(stderr, "Could not allocate digest list element\n");
295             continue;
296         }
297         if ((digest_elm->cache_info.digest = calloc(1, MAX_DIGEST_SIZE+1)) == NULL)
298         {
299             free(digest_elm);
300             fprintf(stderr, "Could not allocate digest string\n");
301             continue;
302         }
303         src_ip[0] = '\0';
304         dst_ip[0] = '\0';
305
306         if(sscanf(line_buf, "%s %hhu %s %hu %s %hu %ld",
307             digest_elm->cache_info.digest,
308             &(digest_elm->cache_info.proto),
309             src_ip,
310             &(digest_elm->cache_info.src_port),
311             dst_ip,
312             &(digest_elm->cache_info.dst_port),
313             &time_tmp) != 7)
314         {
315             if(opts->verbose)
316                 fprintf(stderr,
317                     "*Skipping invalid digest file entry in %s at line %i.\n - %s",
318                     opts->config[CONF_DIGEST_FILE], num_lines, line_buf
319                 );
320             free(digest_elm->cache_info.digest);
321             free(digest_elm);
322             continue;
323         }
324         digest_elm->cache_info.created = time_tmp;
325
326
327         if (inet_pton(AF_INET, src_ip, &(digest_elm->cache_info.src_ip)) != 1)
328         {
329             free(digest_elm->cache_info.digest);
330             free(digest_elm);
331             continue;
332         }
333
334         if (inet_pton(AF_INET, dst_ip, &(digest_elm->cache_info.dst_ip)) != 1)
335         {
336             free(digest_elm->cache_info.digest);
337             free(digest_elm);
338             continue;
339         }
340
341         digest_elm->next   = opts->digest_cache;
342         opts->digest_cache = digest_elm;
343         digest_ctr++;
344
345         if(opts->verbose > 3)
346             fprintf(stderr,
347                 "DIGEST FILE: %s, VALID LINE: %s",
348                 opts->config[CONF_DIGEST_FILE], line_buf
349             );
350
351     }
352
353     fclose(digest_file_ptr);
354
355     return(digest_ctr);
356 }
357
358 #else /* USE_FILE_CACHE */
359
360 /* Check for the existence of the replay dbm file, and create it if it does
361  * not exist.  Returns the number of db entries or -1 on error.
362 */
363 int
364 replay_db_cache_init(fko_srv_options_t *opts)
365 {
366 #ifdef NO_DIGEST_CACHE
367     return(-1);
368 #else
369
370 #ifdef HAVE_LIBGDBM
371     GDBM_FILE   rpdb;
372 #elif HAVE_LIBNDBM
373     DBM        *rpdb;
374 #endif
375
376     datum       db_key, db_ent, db_next_key;
377     int         db_count = 0;
378
379 #ifdef HAVE_LIBGDBM
380     rpdb = gdbm_open(
381         opts->config[CONF_DIGEST_DB_FILE], 512, GDBM_WRCREAT, S_IRUSR|S_IWUSR, 0
382     );
383 #elif HAVE_LIBNDBM
384     rpdb = dbm_open(
385         opts->config[CONF_DIGEST_DB_FILE], O_RDWR|O_CREAT, S_IRUSR|S_IWUSR
386     );
387 #endif
388
389     if(!rpdb)
390     {
391         log_msg(LOG_ERR,
392             "Unable to open digest cache file: '%s': %s",
393             opts->config[CONF_DIGEST_DB_FILE],
394             MY_DBM_STRERROR(errno)
395         );
396
397         return(-1);
398     }
399
400 #ifdef HAVE_LIBGDBM
401     db_key = gdbm_firstkey(rpdb);
402
403     while (db_key.dptr != NULL)
404     {
405         db_count++;
406         db_next_key = gdbm_nextkey(rpdb, db_key);
407         free(db_key.dptr);
408         db_key = db_next_key;
409     }
410 #elif HAVE_LIBNDBM
411     for (db_key = dbm_firstkey(rpdb); db_ent.dptr != NULL; db_key = dbm_nextkey(rpdb))
412         db_count++;
413 #endif
414
415     MY_DBM_CLOSE(rpdb);
416
417     return(db_count);
418 #endif /* NO_DIGEST_CACHE */
419 }
420 #endif /* USE_FILE_CACHE */
421
422 /* Take an fko context, pull the digest and use it as the key to check the
423  * replay db (digest cache). Returns 1 if there was a match (a replay),
424  * 0 for no match, and -1 on error.
425 */
426 int
427 replay_check(fko_srv_options_t *opts, fko_ctx_t ctx)
428 {
429 #ifdef NO_DIGEST_CACHE
430     return(-1);
431 #else
432
433 #if USE_FILE_CACHE
434     return replay_check_file_cache(opts, ctx);
435 #else
436     return replay_check_dbm_cache(opts, ctx);
437 #endif
438 #endif /* NO_DIGEST_CACHE */
439 }
440
441 #if USE_FILE_CACHE
442 int
443 replay_check_file_cache(fko_srv_options_t *opts, fko_ctx_t ctx)
444 {
445     char       *digest = NULL;
446     char        src_ip[INET_ADDRSTRLEN+1] = {0};
447     char        dst_ip[INET_ADDRSTRLEN+1] = {0};
448     int         res = 0, digest_len = 0;
449     FILE       *digest_file_ptr = NULL;
450
451     struct digest_cache_list *digest_list_ptr = NULL, *digest_elm = NULL;
452
453     res = fko_get_spa_digest(ctx, &digest);
454     if(res != FKO_SUCCESS)
455     {
456         log_msg(LOG_WARNING, "Error getting digest from SPA data: %s",
457             fko_errstr(res));
458
459         return(SPA_MSG_DIGEST_ERROR);
460     }
461
462     digest_len = strlen(digest);
463
464     /* Check the cache for the SPA packet digest
465     */
466     for (digest_list_ptr = opts->digest_cache;
467             digest_list_ptr != NULL;
468             digest_list_ptr = digest_list_ptr->next) {
469
470         if (strncmp(digest_list_ptr->cache_info.digest, digest, digest_len) == 0) {
471
472             replay_warning(opts, &(digest_list_ptr->cache_info));
473
474             return(SPA_MSG_REPLAY);
475         }
476     }
477
478     /* If we make it here, then this is a new SPA packet that needs to be
479      * added to the cache.  We've already decrypted the data, so we know that
480      * the contents are valid.
481     */
482     if ((digest_elm = calloc(1, sizeof(struct digest_cache_list))) == NULL)
483     {
484         log_msg(LOG_WARNING, "Error calloc() returned NULL for digest cache element",
485             fko_errstr(SPA_MSG_ERROR));
486
487         return(SPA_MSG_ERROR);
488     }
489     if ((digest_elm->cache_info.digest = calloc(1, digest_len+1)) == NULL)
490     {
491         log_msg(LOG_WARNING, "Error calloc() returned NULL for digest cache string",
492             fko_errstr(SPA_MSG_ERROR));
493         free(digest_elm);
494         return(SPA_MSG_ERROR);
495     }
496
497     strlcpy(digest_elm->cache_info.digest, digest, digest_len+1);
498     digest_elm->cache_info.proto    = opts->spa_pkt.packet_proto;
499     digest_elm->cache_info.src_ip   = opts->spa_pkt.packet_src_ip;
500     digest_elm->cache_info.dst_ip   = opts->spa_pkt.packet_dst_ip;
501     digest_elm->cache_info.src_port = opts->spa_pkt.packet_src_port;
502     digest_elm->cache_info.dst_port = opts->spa_pkt.packet_dst_port;
503     digest_elm->cache_info.created = time(NULL);
504
505     /* First, add the digest at the head of the in-memory list
506     */
507     digest_elm->next = opts->digest_cache;
508     opts->digest_cache = digest_elm;
509
510     /* Now, write the digest to disk
511     */
512     if ((digest_file_ptr = fopen(opts->config[CONF_DIGEST_FILE], "a")) == NULL)
513     {
514         log_msg(LOG_WARNING, "Could not open digest cache: %s",
515             opts->config[CONF_DIGEST_FILE]);
516         return(SPA_MSG_DIGEST_CACHE_ERROR);
517     }
518
519     inet_ntop(AF_INET, &(digest_elm->cache_info.src_ip),
520         src_ip, INET_ADDRSTRLEN);
521     inet_ntop(AF_INET, &(digest_elm->cache_info.dst_ip),
522         dst_ip, INET_ADDRSTRLEN);
523     fprintf(digest_file_ptr, "%s %d %s %d %s %d %d\n",
524         digest,
525         digest_elm->cache_info.proto,
526         src_ip,
527         (int) digest_elm->cache_info.src_port,
528         dst_ip,
529         digest_elm->cache_info.dst_port,
530         (int) digest_elm->cache_info.created);
531
532     fclose(digest_file_ptr);
533
534     return(SPA_MSG_SUCCESS);
535 }
536 #endif /* USE_FILE_CACHE */
537
538 #if !USE_FILE_CACHE
539 int
540 replay_check_dbm_cache(fko_srv_options_t *opts, fko_ctx_t ctx)
541 {
542 #ifdef NO_DIGEST_CACHE
543     return 0;
544 #else
545
546 #ifdef HAVE_LIBGDBM
547     GDBM_FILE   rpdb;
548 #elif HAVE_LIBNDBM
549     DBM        *rpdb;
550 #endif
551     datum       db_key, db_ent;
552
553     char       *digest;
554     int         digest_len, res;
555
556     digest_cache_info_t dc_info;
557
558     res = fko_get_spa_digest(ctx, &digest);
559     if(res != FKO_SUCCESS)
560     {
561         log_msg(LOG_WARNING, "Error getting digest from SPA data: %s",
562             fko_errstr(res));
563
564         return(SPA_MSG_DIGEST_ERROR);
565     }
566
567     digest_len = strlen(digest);
568
569     db_key.dptr = digest;
570     db_key.dsize = digest_len;
571
572     /* Check the db for the key
573     */
574 #ifdef HAVE_LIBGDBM
575     rpdb = gdbm_open(
576          opts->config[CONF_DIGEST_DB_FILE], 512, GDBM_WRCREAT, S_IRUSR|S_IWUSR, 0
577     );
578 #elif HAVE_LIBNDBM
579     rpdb = dbm_open(opts->config[CONF_DIGEST_DB_FILE], O_RDWR, 0);
580 #endif
581
582     if(!rpdb)
583     {
584         log_msg(LOG_WARNING, "Error opening digest_cache: '%s': %s",
585             opts->config[CONF_DIGEST_DB_FILE],
586             MY_DBM_STRERROR(errno)
587         );
588
589         return(SPA_MSG_DIGEST_CACHE_ERROR);
590     }
591
592     db_ent = MY_DBM_FETCH(rpdb, db_key);
593
594     /* If the datum is not null, we have a match.  Otherwise, we add
595     * this entry to the cache.
596     */
597     if(db_ent.dptr != NULL)
598     {
599         replay_warning(opts, (digest_cache_info_t *)db_ent.dptr);
600
601         /* Save it back to the digest cache
602         */
603         if(MY_DBM_STORE(rpdb, db_key, db_ent, MY_DBM_REPLACE) != 0)
604             log_msg(LOG_WARNING, "Error updating entry in digest_cache: '%s': %s",
605                 opts->config[CONF_DIGEST_DB_FILE],
606                 MY_DBM_STRERROR(errno)
607             );
608
609 #ifdef HAVE_LIBGDBM
610         free(db_ent.dptr);
611 #endif
612
613         res = SPA_MSG_REPLAY;
614     } else {
615         /* This is a new SPA packet that needs to be added to the cache.
616         */
617         dc_info.src_ip   = opts->spa_pkt.packet_src_ip;
618         dc_info.dst_ip   = opts->spa_pkt.packet_dst_ip;
619         dc_info.src_port = opts->spa_pkt.packet_src_port;
620         dc_info.dst_port = opts->spa_pkt.packet_dst_port;
621         dc_info.proto    = opts->spa_pkt.packet_proto;
622         dc_info.created  = time(NULL);
623         dc_info.first_replay = dc_info.last_replay = dc_info.replay_count = 0;
624
625         db_ent.dsize    = sizeof(digest_cache_info_t);
626         db_ent.dptr     = (char*)&(dc_info);
627
628         if(MY_DBM_STORE(rpdb, db_key, db_ent, MY_DBM_INSERT) != 0)
629         {
630             log_msg(LOG_WARNING, "Error adding entry digest_cache: %s",
631                 MY_DBM_STRERROR(errno)
632             );
633
634             res = SPA_MSG_DIGEST_CACHE_ERROR;
635         }
636
637         res = SPA_MSG_SUCCESS;
638     }
639
640     MY_DBM_CLOSE(rpdb);
641
642     return(res);
643 #endif /* NO_DIGEST_CACHE */
644 }
645 #endif /* USE_FILE_CACHE */
646
647 #if USE_FILE_CACHE
648 /* Free replay list memory
649 */
650 void
651 free_replay_list(fko_srv_options_t *opts)
652 {
653 #ifdef NO_DIGEST_CACHE
654     return;
655 #endif
656     struct digest_cache_list *digest_list_ptr = NULL, *digest_tmp = NULL;
657
658     if (opts->digest_cache == NULL)
659         return;
660
661     digest_list_ptr = opts->digest_cache;
662     while (digest_list_ptr != NULL)
663     {
664         digest_tmp = digest_list_ptr->next;
665         if (digest_list_ptr->cache_info.digest != NULL
666                 && digest_list_ptr->cache_info.digest[0] != '\0')
667         {
668             free(digest_list_ptr->cache_info.digest);
669         }
670         free(digest_list_ptr);
671         digest_list_ptr = digest_tmp;
672     }
673
674     return;
675 }
676 #endif
677
678
679 /***EOF***/
fwknop: Single Packet Authorization and Port Knocking