XIV Convención Científica de Ingeniería y XIV Convención Científica de Ingeniería y ArquitecturaArquitectura

Congreso Internacional de Telecomunicaciones y Congreso Internacional de Telecomunicaciones y TelemáticaTelemática

CITTEL 2008CITTEL 2008

Autores: M.S.I. Yannier Nieves Rivera Autores: M.S.I. Yannier Nieves Rivera

Dr. Luis Manuel Callejas SaenzDr. Luis Manuel Callejas Saenz

Dr. Eric Simancas AcevedoDr. Eric Simancas Acevedo

Aumento de aplicaciones por rango de Aumento de aplicaciones por rango de puertos (P2P y juegos)puertos (P2P y juegos)

Popularización de aplicaciones Popularización de aplicaciones saltadoras de proxy (UltraSurf, Your saltadoras de proxy (UltraSurf, Your Freedom, etc)Freedom, etc)

Aumento de soluciones de software por Aumento de soluciones de software por puertos aleatorios (MSN, Yahoo, etc)puertos aleatorios (MSN, Yahoo, etc)

Consolidación de RTP (Real Time Consolidación de RTP (Real Time Protocol) con base de los sistemas VoIP Protocol) con base de los sistemas VoIP actuales (Asterisk)actuales (Asterisk)

Capa del Modelo OSI Filtrado

Aplicación Comerciales CERRADOS

Presentación

Sesión

Transporte NETFILTER (puertos, flags TCP)

Red NETFILTER (Dirección IP)

Enlace NETFILTER (Tabla ARP, Dirección MAC)

Físico

Bastiones, Proxys-Firewalls e IP-Firewalls Bastiones, Proxys-Firewalls e IP-Firewalls generan filtrado importante de la segunda a la generan filtrado importante de la segunda a la cuarta capa de OSI, salvo excepciones cuarta capa de OSI, salvo excepciones importantes cerradas (MIKROTIK).importantes cerradas (MIKROTIK).

Como el resto de los cortafuegos IP Como el resto de los cortafuegos IP tradicionales:tradicionales:Dirección IPDirección IPDirección MACDirección MACFlags TCP/UDPFlags TCP/UDPPuertosPuertos

* Siempre criterios de exclusión residentes en * Siempre criterios de exclusión residentes en las capas de la dos a la cuatro del Modelo de las capas de la dos a la cuatro del Modelo de referencia OSI.referencia OSI.

La solución iptables (NETFILTER) + squid La solución iptables (NETFILTER) + squid expande el modelo de filtrado proporcionando expande el modelo de filtrado proporcionando soporte a:soporte a:Contenido WebContenido WebURLURLAutenticación simple/MySQL/LDAP/RadiusAutenticación simple/MySQL/LDAP/RadiusOtros parámetros relativos al flujo de datosOtros parámetros relativos al flujo de datos

Trabajando directamente sobre la capa de Trabajando directamente sobre la capa de aplicación permite el filtrado de los protocolos aplicación permite el filtrado de los protocolos en esta capa, mediante el empleo de en esta capa, mediante el empleo de expresiones regulares y las contextualiza en expresiones regulares y las contextualiza en una conexión individual cualquiera.una conexión individual cualquiera.Diseñado para jerarquizar protocolos, se Diseñado para jerarquizar protocolos, se enlaza directamente a QoS permitiendo no enlaza directamente a QoS permitiendo no solo el DROP o el REJECT.solo el DROP o el REJECT.Permite dar soporte de asignación de cuotas Permite dar soporte de asignación de cuotas directamente.directamente.

Variante Kernel, mediante aplicación de Variante Kernel, mediante aplicación de parches al kernel Linux.parches al kernel Linux.

Variante USERSPACE, con integración Variante USERSPACE, con integración personaliza al perfil de usuario y/o la sesión personaliza al perfil de usuario y/o la sesión inicializada.inicializada.

Del original:Del original: iptables -A FORDWARD -i $IF -o $OF -p tcp

-dport 80 --syn -j DROP

A la variación L7:A la variación L7: iptables -A FORDWARD -p tcp –m layer7 --

l7proto ftp -j DROP

Proponiendo la obtención de una distribución Proponiendo la obtención de una distribución personalizada, bajo el orden del Proyecto personalizada, bajo el orden del Proyecto Metadistro, se incluye soporte L7 en SECUPP Metadistro, se incluye soporte L7 en SECUPP GNU/Linux una distribución con base Debian GNU/Linux una distribución con base Debian GNU/Linux con modelado exclusivamente GNU/Linux con modelado exclusivamente orientado a las acciones propias del orientado a las acciones propias del Bastión/Firewall y de Gestión de la Seguridad Bastión/Firewall y de Gestión de la Seguridad Informática.Informática.

L7 brinda total integración con los sistemas L7 brinda total integración con los sistemas de Gestión SNMP más conocidos en el de Gestión SNMP más conocidos en el mundo Open Source, tales como NAGIOS y mundo Open Source, tales como NAGIOS y MRTG.MRTG.

Soporte e integración a los mecanismos Soporte e integración a los mecanismos HTB, SFQ y Packet Classifier API dentro de HTB, SFQ y Packet Classifier API dentro de QoS.QoS.

Reducción en el orden del 30% sobre el Reducción en el orden del 30% sobre el número de horas muertas laborales, asociadas número de horas muertas laborales, asociadas al mal uso de los Recursos Informáticos en al mal uso de los Recursos Informáticos en Secretaria de Educación Pública en México.Secretaria de Educación Pública en México.Reducción en 76% de las caidas a FAP Reducción en 76% de las caidas a FAP (Fairly Access Protocol) en sistemas de (Fairly Access Protocol) en sistemas de conexión VSAT de la empresa PEGASO conexión VSAT de la empresa PEGASO Banda Ancha.Banda Ancha.

Generación de una red de investigación para Generación de una red de investigación para el desarrollo de una DISTRIBUCIÓN salida de el desarrollo de una DISTRIBUCIÓN salida de LFS y con soporte nativo L7.LFS y con soporte nativo L7.