Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Filtrado avanzado de paquetes con netfilter y l7

877 views

Published on

conferencia sobre seguridad en redes dictada en la Habana Cuba

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Filtrado avanzado de paquetes con netfilter y l7

  1. 1. XIV Convención Científica de Ingeniería y ArquitecturaCongreso Internacional de Telecomunicaciones y Telemática CITTEL 2008 Autores: M.S.I. Yannier Nieves Rivera Dr. Luis Manuel Callejas Saenz Dr. Eric Simancas Acevedo
  2. 2.  Aumento de aplicaciones por rango de puertos (P2P y juegos) Popularización de aplicaciones saltadoras de proxy (UltraSurf, Your Freedom, etc) Aumento de soluciones de software por puertos aleatorios (MSN, Yahoo, etc) Consolidación de RTP (Real Time Protocol) con base de los sistemas VoIP actuales (Asterisk)
  3. 3. Bastiones, Proxys-Firewalls e IP-Firewallsgeneran filtrado importante de la segunda a lacuarta capa de OSI, salvo excepcionesimportantes cerradas (MIKROTIK).Capa del Modelo OSI FiltradoAplicación Comerciales CERRADOSPresentaciónSesiónTransporte NETFILTER (puertos, flags TCP)Red NETFILTER (Dirección IP)Enlace NETFILTER (Tabla ARP, Dirección MAC)Físico
  4. 4. Como el resto de los cortafuegos IP tradicionales:Dirección IPDirección MACFlags TCP/UDPPuertos* Siempre criterios de exclusión residentes enlas capas de la dos a la cuatro del Modelo dereferencia OSI.
  5. 5. La solución iptables (NETFILTER) + squidexpande el modelo de filtrado proporcionandosoporte a:Contenido WebURLAutenticación simple/MySQL/LDAP/RadiusOtros parámetros relativos al flujo de datos
  6. 6. Trabajando directamente sobre la capa de aplicación permite el filtrado de los protocolos en esta capa, mediante el empleo de expresiones regulares y las contextualiza en una conexión individual cualquiera.Diseñado para jerarquizar protocolos, se enlaza directamente a QoS permitiendo no solo el DROP o el REJECT.Permite dar soporte de asignación de cuotas directamente.
  7. 7.  Variante Kernel, mediante aplicación de parches al kernel Linux. Variante USERSPACE, con integración personaliza al perfil de usuario y/o la sesión inicializada.
  8. 8. Del original: iptables -A FORDWARD -i $IF -o $OF -p tcp-dport 80 --syn -j DROPA la variación L7: iptables -A FORDWARD -p tcp –m layer7 --l7proto ftp -j DROP
  9. 9. Proponiendo la obtención de una distribuciónpersonalizada, bajo el orden del ProyectoMetadistro, se incluye soporte L7 en SECUPPGNU/Linux una distribución con base DebianGNU/Linux con modelado exclusivamenteorientado a las acciones propias delBastión/Firewall y de Gestión de la SeguridadInformática.
  10. 10.  L7 brinda total integración con los sistemas de Gestión SNMP más conocidos en el mundo Open Source, tales como NAGIOS y MRTG. Soporte e integración a los mecanismos HTB, SFQ y Packet Classifier API dentro de QoS.
  11. 11. Reducción en el orden del 30% sobre elnúmero de horas muertas laborales, asociadasal mal uso de los Recursos Informáticos enSecretaria de Educación Pública en México.Reducción en 76% de las caidas a FAP (FairlyAccess Protocol) en sistemas de conexiónVSAT de la empresa PEGASO Banda Ancha.
  12. 12. Generación de una red de investigación parael desarrollo de una DISTRIBUCIÓN salida deLFS y con soporte nativo L7.

×