Este documento describe la capa 7 (L7) de filtrado de paquetes que permite filtrar aplicaciones y protocolos. L7 brinda soporte a expresiones regulares y autenticación, y puede integrarse con sistemas de gestión y calidad de servicio. Se propone incluir soporte L7 en la distribución SECUPP GNU/Linux para mejorar la seguridad y el monitoreo de redes.
CITTEL 2008: Filtrado de capa 7 con iptables y squid
1. XIV Convención Científica de Ingeniería y
Arquitectura
Congreso Internacional de Telecomunicaciones y
Telemática
CITTEL 2008
Autores: M.S.I. Yannier Nieves Rivera
Dr. Luis Manuel Callejas Saenz
Dr. Eric Simancas Acevedo
2. Aumento de aplicaciones por rango de
puertos (P2P y juegos)
Popularización de aplicaciones
saltadoras de proxy (UltraSurf, Your
Freedom, etc)
Aumento de soluciones de software por
puertos aleatorios (MSN, Yahoo, etc)
Consolidación de RTP (Real Time
Protocol) con base de los sistemas VoIP
actuales (Asterisk)
3. Bastiones, Proxys-Firewalls e IP-Firewalls
generan filtrado importante de la segunda a la
cuarta capa de OSI, salvo excepciones
importantes cerradas (MIKROTIK).
Capa del Modelo OSI Filtrado
Aplicación Comerciales CERRADOS
Presentación
Sesión
Transporte NETFILTER (puertos, flags TCP)
Red NETFILTER (Dirección IP)
Enlace NETFILTER (Tabla ARP, Dirección
MAC)
Físico
4. Como el resto de los cortafuegos IP
tradicionales:
Dirección IP
Dirección MAC
Flags TCP/UDP
Puertos
* Siempre criterios de exclusión residentes en
las capas de la dos a la cuatro del Modelo de
referencia OSI.
5. La solución iptables (NETFILTER) + squid
expande el modelo de filtrado proporcionando
soporte a:
Contenido Web
URL
Autenticación simple/MySQL/LDAP/Radius
Otros parámetros relativos al flujo de datos
6. Trabajando directamente sobre la capa de
aplicación permite el filtrado de los protocolos
en esta capa, mediante el empleo de
expresiones regulares y las contextualiza en
una conexión individual cualquiera.
Diseñado para jerarquizar protocolos, se
enlaza directamente a QoS permitiendo no
solo el DROP o el REJECT.
Permite dar soporte de asignación de cuotas
directamente.
7. Variante Kernel, mediante aplicación de
parches al kernel Linux.
Variante USERSPACE, con integración
personaliza al perfil de usuario y/o la sesión
inicializada.
8. Del original:
iptables -A FORDWARD -i $IF -o $OF -p tcp
-dport 80 --syn -j DROP
A la variación L7:
iptables -A FORDWARD -p tcp –m layer7
--l7proto ftp -j DROP
9. Proponiendo la obtención de una distribución
personalizada, bajo el orden del Proyecto
Metadistro, se incluye soporte L7 en SECUPP
GNU/Linux una distribución con base Debian
GNU/Linux con modelado exclusivamente
orientado a las acciones propias del
Bastión/Firewall y de Gestión de la Seguridad
Informática.
10. L7 brinda total integración con los sistemas
de Gestión SNMP más conocidos en el
mundo Open Source, tales como NAGIOS y
MRTG.
Soporte e integración a los mecanismos
HTB, SFQ y Packet Classifier API dentro de
QoS.
11. Reducción en el orden del 30% sobre el
número de horas muertas laborales, asociadas
al mal uso de los Recursos Informáticos en
Secretaria de Educación Pública en México.
Reducción en 76% de las caidas a FAP (Fairly
Access Protocol) en sistemas de conexión
VSAT de la empresa PEGASO Banda Ancha.
12. Generación de una red de investigación para
el desarrollo de una DISTRIBUCIÓN salida de
LFS y con soporte nativo L7.