Bloqueio de P2P com Iptables e Layer7 em uma Rede Corporativa Aroldo Paizany Chociai Junior – Fernando Castagnino Martins de Souza Curso de Especialização em Redes e Segurança de Sistemas Pontifícia Universidade Católica do Paraná Curitiba, março 2010. Resumo O objetivo deste trabalho é utilizar o Iptables juntamente de sua extensão de camada 7 (Layer7) no bloqueio de tráfego P2P em uma rede corporativa, bem como, testar seu funcionamento e funcionalidades, gerando as condições deste tipo de tráfego com a instalação de softwares diversificados nas estações de trabalho, documentando todas as ações para que este trabalho em sua versão final possa expressar resultados obtidos. 1. Introdução O compartilhamento de arquivos proporcionados por programas P2P (peer-to-peer ) é um segmento muito atrativo para os usuários de uma forma geral. Músicas, vídeos, documentos, livros, entre outros formatos de arquivos, podem ser obtidos com apenas alguns clicks. Porém toda esta facilidade em se obter algo que procura, pode também gerar sérios problemas [1]. Em redes corporativas, geralmente, o link de conexão com a internet, é compartilhado de forma com que todos os usuários usufruam do mesmo, entretanto, a utilização deste link não é feita de forma igualitária e a largura de banda disponibilizada é “dividida” entre os usuários. Esta “divisão”, se não tratada por um profissional competente, será desproporcional e conseqüentemente favorecerá, ou não, determinado funcionário. Um dos problemas encontrados em uma boa gestão de rede é manter o link de conexão disponível para todos os usuários, bem como, distribuí-lo de maneira correta. Empresas de diferentes segmentos podem possuir políticas pré-estabelecidas para esta distribuição, onde, por exemplo, um gerente deve ter seu link disponível em determinado horário, e por outro lado, a direção deve ter disponibilidade em horário integral. Essas regras de negócios utilizadas nas empresas demonstram a necessidade de que a conexão não seja apenas compartilhada, mais sim disponibilizada conforme a necessidade dos usuários da rede. Entretanto, a disponibilidade do link pode não estar associada apenas às regras de negócios da empresa. A facilidade na utilização de softwares para compartilhamento de arquivos (peer-to-peer), fez com que o administrador da rede, recebesse implicitamente a árdua tarefa de selecionar o tráfego de maneira coerente, pois um único usuário pode “comer” toda a largura de banda disponível. A dificuldade na distribuição da banda não é o único problema quando se pensa em P2P, os malefícios podem causar desde a infestação da rede por vírus, até um possível ataque mais elaborado. Baseado nestas afirmações este trabalho apresenta na seção 2, uma descrição resumida do problema, algumas restrições impostas pelo ambiente e os resultados almejados com esta implementação. Na seção 3 é apresentada uma breve revisão bibliográfica, logo, nas seguintes seções são apresentadas as técnicas de implementação e configuração, bem como, os testes realizados e seus resultados.
12
Embed
Bloqueio de P2P com Iptables e Layer7 em uma Rede Corporativajamhour/RSS/TCCRSS08B/Aroldo Paizany... · No intuito de criar uma solução de código fonte aberto para o controle da
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Bloqueio de P2P com Iptables e Layer7 em uma Rede Corporativa
Aroldo Paizany Chociai Junior – Fernando Castagnino Martins de Souza
Curso de Especialização em Redes e Segurança de Sistemas
Pontifícia Universidade Católica do Paraná
Curitiba, março 2010.
Resumo
O objetivo deste trabalho é utilizar o Iptables juntamente de sua extensão de camada 7
(Layer7) no bloqueio de tráfego P2P em uma rede corporativa, bem como, testar seu
funcionamento e funcionalidades, gerando as condições deste tipo de tráfego com a
instalação de softwares diversificados nas estações de trabalho, documentando todas as
ações para que este trabalho em sua versão final possa expressar resultados obtidos.
1. Introdução
O compartilhamento de arquivos proporcionados por programas P2P (peer-to-peer) é
um segmento muito atrativo para os usuários de uma forma geral. Músicas, vídeos,
documentos, livros, entre outros formatos de arquivos, podem ser obtidos com apenas alguns
clicks. Porém toda esta facilidade em se obter algo que procura, pode também gerar sérios
problemas [1].
Em redes corporativas, geralmente, o link de conexão com a internet, é compartilhado
de forma com que todos os usuários usufruam do mesmo, entretanto, a utilização deste link
não é feita de forma igualitária e a largura de banda disponibilizada é “dividida” entre os
usuários. Esta “divisão”, se não tratada por um profissional competente, será desproporcional
e conseqüentemente favorecerá, ou não, determinado funcionário.
Um dos problemas encontrados em uma boa gestão de rede é manter o link de conexão
disponível para todos os usuários, bem como, distribuí-lo de maneira correta. Empresas de
diferentes segmentos podem possuir políticas pré-estabelecidas para esta distribuição, onde,
por exemplo, um gerente deve ter seu link disponível em determinado horário, e por outro
lado, a direção deve ter disponibilidade em horário integral. Essas regras de negócios
utilizadas nas empresas demonstram a necessidade de que a conexão não seja apenas
compartilhada, mais sim disponibilizada conforme a necessidade dos usuários da rede.
Entretanto, a disponibilidade do link pode não estar associada apenas às regras de
negócios da empresa. A facilidade na utilização de softwares para compartilhamento de
arquivos (peer-to-peer), fez com que o administrador da rede, recebesse implicitamente a
árdua tarefa de selecionar o tráfego de maneira coerente, pois um único usuário pode “comer”
toda a largura de banda disponível. A dificuldade na distribuição da banda não é o único
problema quando se pensa em P2P, os malefícios podem causar desde a infestação da rede por
vírus, até um possível ataque mais elaborado.
Baseado nestas afirmações este trabalho apresenta na seção 2, uma descrição resumida
do problema, algumas restrições impostas pelo ambiente e os resultados almejados com esta
implementação. Na seção 3 é apresentada uma breve revisão bibliográfica, logo, nas seguintes
seções são apresentadas as técnicas de implementação e configuração, bem como, os testes
realizados e seus resultados.
2. Descrição do Contexto
A empresa citada neste documento possui uma rede de computadores com 41
(quarenta e uma) estações de trabalho, interligadas a 1 (um) servidor, em topologia de estrela,
através de 2 (dois) concentradores (switches) em cascata, onde no primeiro concentrador é
conectado o modem de acesso a internet, o servidor e o link para o outro concentrador, que
tem por finalidade, distribuir para as estações de trabalho um link de conexão de internet com
largura de 2MB ADSL.
Este cenário, e as regras utilizadas pela empresa, proporcionam aos funcionários, aqui
chamados de usuários, grande flexibilidade na utilização da estrutura de rede, link de conexão
com a internet e demais serviços disponíveis.
Esta autonomia navegacional por parte do usuário tem gerado enormes dores de
cabeça para toda a equipe de T.I., sendo que, a incidência de máquinas afetadas por vírus já
faz parte da rotina diária, gerando um número inaceitável de manutenções corretivas destas
estações. Como se tal problema já não fosse suficiente para a direção da empresa tomar uma
atitude mais radical em relação à utilização da estrutura de rede, nos últimos meses, a conexão
da internet esta praticamente sendo utilizada por um, ou alguns, usuários, impossibilitando os
outros de efetuar seu trabalho, quando esses necessitam de conexão com a web.
A direção da empresa procurou caminhos de conscientização na utilização da
estrutura, ministrando palestras, imprimindo material publicitário, no intuito de instruir seus
funcionários para uma utilização mais coerente com as funções profissionais executadas no
seu dia a dia, pois tomam como regra, o ditado “o direito de um indivíduo, vai até onde inicia
o do outro”. Estas ações não tiveram a efetividade esperada, pelo contrário, os problemas
agravaram-se ainda mais, dessa maneira não houve outro meio, senão estabelecer uma política
menos “liberal”, sendo assim, foi solicitada à equipe de T.I., uma solução que reduzisse estes
problemas, porem, que proporcionasse ainda alguma liberdade aos funcionários, pois como
dito antes, a filosofia da direção prefere apostar na conscientização.
Analisando as possíveis causas do problema, em uma primeira etapa foi constatado,
em 8 estações de trabalho a instalação de softwares para compartilhamento de arquivos (P2P),
e é focado nesta constatação que este trabalho foi desenvolvido.
A solução apresentada foi bloquear o tráfego P2P, no servidor, de forma com que os
usuários, continuassem com permissões para instalar aplicativos, mesmo estes tendo a
finalidade de compartilhamento de arquivos, proporcionando, dessa maneira, uma alternativa
para resolução dos problemas, sem restringir a liberdade almejada pela direção.
3. Breve Revisão Bibliográfica
3.1. Visão Geral do P2P
Peer-to-Peer (do inglês: par-a-par), entre pares, é uma arquitetura de sistemas
distribuídos caracterizada pela descentralização das funções na rede, onde cada nodo realiza
tanto funções de servidor quanto de cliente.
Sistemas peer-to-peer permitem o compartilhamento de dados e recursos numa larga
escala eliminando qualquer requisito por servidores gerenciados separadamente e a sua infra-
estrutura associada. Com o propósito de suportar sistemas e aplicações distribuídas utilizando
os recursos computacionais disponíveis em computadores pessoais e estações de trabalho em
número crescente. Isso tem se mostrado bastante atrativo, já que a diferença de desempenho
entre desktops e servidores tem diminuído, e as conexões de banda larga têm se proliferado
[1].
3.2. Visão Geral do Iptables Desenvolvido pela Netfilter Core Team, e outros colabores, o iptables é uma
ferramenta para configuração das regras de filtragem de pacotes IPv4, nas versões 2.4.x e
2.6.x do kernel do Linux. Sua utilização é feita através de linha de comando e destinada aos
administradores dos sistemas [2]. Os recursos de NAT (Network Address Translation),
também estão habilitados e disponíveis para utilização através do iptables.
Entre seus recursos principais estão a: listagem, adição, edição e remoção das regras
de filtragem de pacotes.
3.3. Visão Geral do Layer 7
No intuito de criar uma solução de código fonte aberto para o controle da largura de
banda utilizada por protocolos específicos, também conhecidos como, “arbitragem de largura
de banda” e QoS “Quality of Service”, foi desenvolvido o Layer 7. Sua implementação foi
feita utilizando o Netfilter, dessa maneira, todos os recursos disponíveis no Netfilter, são
utilizados integralmente nas saídas geradas pelo Layer7.
Descrito como um classificador de pacotes para o Linux, o L7-Filter é diferente da
maior parte dos classificadores de pacotes, pois o mesmo, não olha simplesmente para os
valores como número de portas, ao invés disso, utiliza expressões regulares para identificar os
dados na camada de aplicação, determinando quais são os protocolos que estão sendo
utilizados neste momento [3].
Existe uma necessidade eminente de maior utilização de recursos do processador e da
memória para execução do Layer7, portanto, sua utilização deve ser feita com cautela e
somente onde outros classificadores não atuam. Sua aplicação ideal é feita quando há a
necessidade de:
• Verificar a utilização de protocolos que utilizam portas imprevisíveis (ex.:
aplicações P2P)
• Verificar o tráfego em portas não padrão (ex.: serviço HTTP rodando na porta
1111)
• Fazer a distinção entre protocolos que compartilham uma porta (ex.: P2P
utilizando a porta 80)
4. Pacotes Necessários
Os pacotes listados nas subseções abaixo, foram exatamente os mesmos utilizados
nesta implementação, logo, foram testados e suas versões adequadas às necessidades e