Bloqueio de P2P com Iptables e Layer7 em uma Rede Corporativa

Aroldo Paizany Chociai Junior Fernando Castagnino Martins de Souza Curso de Especializao em Redes e Segurana de Sistemas Pontifcia Universidade Catlica do Paran Curitiba, maro 2010. Resumo O objetivo deste trabalho utilizar o Iptables juntamente de sua extenso de camada 7 (Layer7) no bloqueio de trfego P2P em uma rede corporativa, bem como, testar seu funcionamento e funcionalidades, gerando as condies deste tipo de trfego com a instalao de softwares diversificados nas estaes de trabalho, documentando todas as aes para que este trabalho em sua verso final possa expressar resultados obtidos.

1.

Introduo

O compartilhamento de arquivos proporcionados por programas P2P (peer-to-peer) um segmento muito atrativo para os usurios de uma forma geral. Msicas, vdeos, documentos, livros, entre outros formatos de arquivos, podem ser obtidos com apenas alguns clicks. Porm toda esta facilidade em se obter algo que procura, pode tambm gerar srios problemas [1]. Em redes corporativas, geralmente, o link de conexo com a internet, compartilhado de forma com que todos os usurios usufruam do mesmo, entretanto, a utilizao deste link no feita de forma igualitria e a largura de banda disponibilizada dividida entre os usurios. Esta diviso, se no tratada por um profissional competente, ser desproporcional e conseqentemente favorecer, ou no, determinado funcionrio. Um dos problemas encontrados em uma boa gesto de rede manter o link de conexo disponvel para todos os usurios, bem como, distribu-lo de maneira correta. Empresas de diferentes segmentos podem possuir polticas pr-estabelecidas para esta distribuio, onde, por exemplo, um gerente deve ter seu link disponvel em determinado horrio, e por outro lado, a direo deve ter disponibilidade em horrio integral. Essas regras de negcios utilizadas nas empresas demonstram a necessidade de que a conexo no seja apenas compartilhada, mais sim disponibilizada conforme a necessidade dos usurios da rede. Entretanto, a disponibilidade do link pode no estar associada apenas s regras de negcios da empresa. A facilidade na utilizao de softwares para compartilhamento de arquivos (peer-to-peer), fez com que o administrador da rede, recebesse implicitamente a rdua tarefa de selecionar o trfego de maneira coerente, pois um nico usurio pode comer toda a largura de banda disponvel. A dificuldade na distribuio da banda no o nico problema quando se pensa em P2P, os malefcios podem causar desde a infestao da rede por vrus, at um possvel ataque mais elaborado. Baseado nestas afirmaes este trabalho apresenta na seo 2, uma descrio resumida do problema, algumas restries impostas pelo ambiente e os resultados almejados com esta implementao. Na seo 3 apresentada uma breve reviso bibliogrfica, logo, nas seguintes sees so apresentadas as tcnicas de implementao e configurao, bem como, os testes realizados e seus resultados.

2.

Descrio do Contexto

A empresa citada neste documento possui uma rede de computadores com 41 (quarenta e uma) estaes de trabalho, interligadas a 1 (um) servidor, em topologia de estrela, atravs de 2 (dois) concentradores (switches) em cascata, onde no primeiro concentrador conectado o modem de acesso a internet, o servidor e o link para o outro concentrador, que tem por finalidade, distribuir para as estaes de trabalho um link de conexo de internet com largura de 2MB ADSL. Este cenrio, e as regras utilizadas pela empresa, proporcionam aos funcionrios, aqui chamados de usurios, grande flexibilidade na utilizao da estrutura de rede, link de conexo com a internet e demais servios disponveis. Esta autonomia navegacional por parte do usurio tem gerado enormes dores de cabea para toda a equipe de T.I., sendo que, a incidncia de mquinas afetadas por vrus j faz parte da rotina diria, gerando um nmero inaceitvel de manutenes corretivas destas estaes. Como se tal problema j no fosse suficiente para a direo da empresa tomar uma atitude mais radical em relao utilizao da estrutura de rede, nos ltimos meses, a conexo da internet esta praticamente sendo utilizada por um, ou alguns, usurios, impossibilitando os outros de efetuar seu trabalho, quando esses necessitam de conexo com a web. A direo da empresa procurou caminhos de conscientizao na utilizao da estrutura, ministrando palestras, imprimindo material publicitrio, no intuito de instruir seus funcionrios para uma utilizao mais coerente com as funes profissionais executadas no seu dia a dia, pois tomam como regra, o ditado o direito de um indivduo, vai at onde inicia o do outro. Estas aes no tiveram a efetividade esperada, pelo contrrio, os problemas agravaram-se ainda mais, dessa maneira no houve outro meio, seno estabelecer uma poltica menos liberal, sendo assim, foi solicitada equipe de T.I., uma soluo que reduzisse estes problemas, porem, que proporcionasse ainda alguma liberdade aos funcionrios, pois como dito antes, a filosofia da direo prefere apostar na conscientizao. Analisando as possveis causas do problema, em uma primeira etapa foi constatado, em 8 estaes de trabalho a instalao de softwares para compartilhamento de arquivos (P2P), e focado nesta constatao que este trabalho foi desenvolvido. A soluo apresentada foi bloquear o trfego P2P, no servidor, de forma com que os usurios, continuassem com permisses para instalar aplicativos, mesmo estes tendo a finalidade de compartilhamento de arquivos, proporcionando, dessa maneira, uma alternativa para resoluo dos problemas, sem restringir a liberdade almejada pela direo. 3. 3.1. Breve Reviso Bibliogrfica Viso Geral do P2P

Peer-to-Peer (do ingls: par-a-par), entre pares, uma arquitetura de sistemas distribudos caracterizada pela descentralizao das funes na rede, onde cada nodo realiza tanto funes de servidor quanto de cliente. Sistemas peer-to-peer permitem o compartilhamento de dados e recursos numa larga escala eliminando qualquer requisito por servidores gerenciados separadamente e a sua infraestrutura associada. Com o propsito de suportar sistemas e aplicaes distribudas utilizando os recursos computacionais disponveis em computadores pessoais e estaes de trabalho em nmero crescente. Isso tem se mostrado bastante atrativo, j que a diferena de desempenho entre desktops e servidores tem diminudo, e as conexes de banda larga tm se proliferado [1].

3.2.

Viso Geral do Iptables

Desenvolvido pela Netfilter Core Team, e outros colabores, o iptables uma ferramenta para configurao das regras de filtragem de pacotes IPv4, nas verses 2.4.x e 2.6.x do kernel do Linux. Sua utilizao feita atravs de linha de comando e destinada aos administradores dos sistemas [2]. Os recursos de NAT (Network Address Translation), tambm esto habilitados e disponveis para utilizao atravs do iptables. Entre seus recursos principais esto a: listagem, adio, edio e remoo das regras de filtragem de pacotes. 3.3. Viso Geral do Layer 7

No intuito de criar uma soluo de cdigo fonte aberto para o controle da largura de banda utilizada por protocolos especficos, tambm conhecidos como, arbitragem de largura de banda e QoS Quality of Service, foi desenvolvido o Layer 7. Sua implementao foi feita utilizando o Netfilter, dessa maneira, todos os recursos disponveis no Netfilter, so utilizados integralmente nas sadas geradas pelo Layer7. Descrito como um classificador de pacotes para o Linux, o L7-Filter diferente da maior parte dos classificadores de pacotes, pois o mesmo, no olha simplesmente para os valores como nmero de portas, ao invs disso, utiliza expresses regulares para identificar os dados na camada de aplicao, determinando quais so os protocolos que esto sendo utilizados neste momento [3]. Existe uma necessidade eminente de maior utilizao de recursos do processador e da memria para execuo do Layer7, portanto, sua utilizao deve ser feita com cautela e somente onde outros classificadores no atuam. Sua aplicao ideal feita quando h a necessidade de: Verificar a utilizao de protocolos que utilizam portas imprevisveis (ex.: aplicaes P2P) Verificar o trfego em portas no padro (ex.: servio HTTP rodando na porta 1111) Fazer a distino entre protocolos que compartilham uma porta (ex.: P2P utilizando a porta 80) 4. Pacotes Necessrios

Os pacotes listados nas subsees abaixo, foram exatamente os mesmos utilizados nesta implementao, logo, foram testados e suas verses adequadas s necessidades e compatibilidades [7]. 4.1 Kernel Verso Utilizada: 2.6.25 Disponvel em: http://www.kernel.org/pub/linux/kernel/v2.6/linux-2.6.25.tar.bz2 4.2 Iptables Verso Utilizada: 1.4.0 Disponvel em: http://www.netfilter.org/projects/iptables/files/iptables-1.4.0.tar.bz2

4.3

Layer 7

Verso Utilizada: 2.18 Disponvel em: http://downloads.sourceforge.net/l7-filter/netfilter-layer7v2.18.tar.gz?modtime=1209437315&big_mirror=0 4.4 Protocolos do Layer 7

Verso Utilizada: 2008.04.23 Disponvel em: http://downloads.sourceforge.net/l7-filter/l7-protocols-2008-0423.tar.gz?modtime=1208987798&big_mirror=0 5. 5.1 Procedimentos de Instalao Preparando o Ambiente Remover a instalao anterior do iptables: # removepkg iptables Descompactar os pacotes: # cd /usr/src # tar -jxvf /root/linux-2.6.25.tar.bz2 -C /usr/src # tar -jxvf /root/iptables-1.4.0.tar.bz2 -C /usr/src # tar -zxvf /root/netfilter-layer7-v2.18.tar.gz -C /usr/src # tar -zxvf /root/l7-protocols-2008-04-23.tar.gz-C /usr/src Aplicando os patches (kernel): # cd /usr/src/linux # patch -p1 < ../netfilter-layer7-v2.18/kernel-2.6.25-layer7-2.18.patch Aplicando os patches (iptables): # cd /usr/src/iptables-1.3.4 # patch -p1 < ../netfilter-layer7-v2.18/iptables-1.4-for-kernel-2.6.20forward-layer72.18.patch # chmod +x extensions/.layer7-test 5.2 Configurando e Compilando o Kernel Importando as configuraes do kernel atual, para no precisar configurar todas as opes novamente: # cp /boot/(config) /usr/src/linux-2.6.25/.config # make oldconfig (responder enter para todas as questes) Compilando o Kernel: # make menuconfig Networking--> Networking options -->

Network Packet Filtering framework (Netfilter) --> Core Netfilter Configuration --> (M) layer7 match suport (M) string match support # make # make modules # make modules_install Copiando a imagem para o kernel novo: # cp /usr/src/linux-2.6.25/arch/i386/boot/bzImage /boot/bzImage # cp /usr/src/linux-2.6.25/System.map /boot/ # cd /boot # rm -rf vmlinuz # ln -s bzImage vmlinuz Adicionando ao LILO: # vim /etc/lilo.conf image = /boot/vmlinuz root = /dev/hda2 label = Linux_new read-only # lilo 5.3 Compilando o Iptables # make SBIN_DIR=/sbin LIBDIR=/lib # make SBIN_DIR=/sbin LIBDIR=/lib install 5.4 Instalando os Protocolos do Layer 7: # cd /usr/src/l7-protocols-2008-04-23 # make install # reboot 6. Regras de Filtragem/Log Utilizadas #iptables -A FORWARD -m layer7 --l7proto 100bao -d any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto 100bao -s any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto applejuice -d any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto applejuice -s any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto ares -d any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto ares -s any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto bittorrent -d any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto bittorrent -s any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto directconnect -d any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto directconnect -s any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto edonkey -d any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto edonkey -s any/0 -j DROP

#iptables -A FORWARD -m layer7 --l7proto fasttrack -d any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto fasttrack -s any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto freenet -d any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto freenet -s any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto gnucleuslan -d any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto gnucleuslan -s any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto gnutella -d any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto gnutella -s any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto goboogy -d any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto goboogy -s any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto hotline -d any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto hotline -s any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto imesh -d any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto imesh -s any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto kugoo -d any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto kugoo -s any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto mute -d any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto mute -s any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto napster -d any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto napster -s any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto openft -d any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto openft -s any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto poco -d any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto poco -s any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto soribada -d any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto soribada -s any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto soulseek -d any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto soulseek -s any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto tesla -d any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto tesla -s any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto thecircle -d any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto thecircle -s any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto xunlei -d any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto xunlei -s any/0 -j DROP 7. Procedimentos de Teste e Avaliao

Para avaliar o funcionamento da estrutura desenvolvida, foi gerado trfego P2P, atravs da utilizao de softwares para tal finalidade, em uma determinada estao de trabalho. Preparou-se o ambiente de forma que o usurio tivesse total liberdade para compartilhar arquivos utilizando alguns softwares P2P, conseqentemente foram aplicadas as regras do Layer 7 junto ao servidor, registrando assim, em forma de arquivos de log, o bloqueio do referido trfego. Considerando que muito grande a quantidade de softwares disponveis, que tem por finalidade o compartilhamento de arquivos utilizando P2P, foram selecionados para a amostragem de testes 3 softwares, sendo eles: Utorrent, Bittorrent, Emule. Os resultados obtidos com esta metodologia de teste so apresentados abaixo, na forma de figuras e trechos do arquivo de log do servidor:

Software: uTorrent Verso: 2.0 Imagem:

Registros de Log:
Mar 11 19:50:20 ESQ kernel: IN=eth1 OUT=eth0 SRC=192.168.0.5 DST=67.215.242.138 LEN=95 TOS=0x00 PREC=0x00 TTL=127 ID=13710 PROTO=UDP SPT=57795 DPT=6881 LEN=75 Mar 11 19:50:20 ESQ kernel: IN=eth1 OUT=eth0 SRC=192.168.0.5 DST=67.215.242.138 LEN=95 TOS=0x00 PREC=0x00 TTL=127 ID=13710 PROTO=UDP SPT=57795 DPT=6881 LEN=75 Mar 11 19:50:20 ESQ kernel: IN=eth1 OUT=eth0 SRC=192.168.0.5 DST=67.215.242.139 LEN=95 TOS=0x00 PREC=0x00 TTL=127 ID=13711 PROTO=UDP SPT=57795 DPT=6881 LEN=75 Mar 11 19:50:20 ESQ kernel: IN=eth1 OUT=eth0 SRC=192.168.0.5 DST=67.215.242.139 LEN=95 TOS=0x00 PREC=0x00 TTL=127 ID=13711 PROTO=UDP SPT=57795 DPT=6881 LEN=75 Mar 11 19:50:31 ESQ kernel: IN=eth1 OUT=eth0 SRC=192.168.0.5 DST=62.149.24.72 LEN=209 TOS=0x00 PREC=0x00 TTL=127 ID=13721 DF PROTO=TCP SPT=1311 DPT=3402 WINDOW=65535 RES=0x00 ACK PSH URGP=0 Mar 11 19:50:31 ESQ kernel: IN=eth1 OUT=eth0 SRC=192.168.0.5 DST=62.149.24.72 LEN=209 TOS=0x00 PREC=0x00 TTL=127 ID=13721 DF PROTO=TCP SPT=1311 DPT=3402 WINDOW=65535 RES=0x00 ACK PSH URGP=0 Mar 11 19:50:34 ESQ kernel: IN=eth1 OUT=eth0 SRC=192.168.0.5 DST=62.149.24.72 LEN=209 TOS=0x00 PREC=0x00 TTL=127 ID=13741 DF PROTO=TCP SPT=1311 DPT=3402 WINDOW=65535 RES=0x00 ACK PSH URGP=0 Mar 11 19:50:34 ESQ kernel: IN=eth1 OUT=eth0 SRC=192.168.0.5 DST=62.149.24.72 LEN=209 TOS=0x00 PREC=0x00 TTL=127 ID=13741 DF PROTO=TCP SPT=1311 DPT=3402 WINDOW=65535 RES=0x00 ACK PSH URGP=0

Mar 11 19:50:37 ESQ kernel: IN=eth0 OUT=eth1 SRC=62.149.24.72 DST=192.168.0.5 LEN=40 TOS=0x00 PREC=0x00 TTL=52 ID=31537 DF PROTO=TCP SPT=3402 DPT=1311 WINDOW=5840 RES=0x00 ACK FIN URGP=0 Mar 11 19:50:37 ESQ kernel: IN=eth0 OUT=eth1 SRC=62.149.24.72

Status: Trfego detectado e bloqueado (aproximadamente 50% das vezes) Software: BitTorrent Verso: 6.4 Imagem:

Registros de Log:
Mar 11 19:58:42 ESQ kernel: IN=eth1 OUT=eth0 SRC=192.168.0.5 DST=67.215.242.139 LEN=95 TOS=0x00 PREC=0x00 TTL=127 ID=14249 PROTO=UDP SPT=32375 DPT=6881 LEN=75 Mar 11 19:58:42 ESQ kernel: IN=eth1 OUT=eth0 SRC=192.168.0.5 DST=67.215.242.139 LEN=95 TOS=0x00 PREC=0x00 TTL=127 ID=14249 PROTO=UDP SPT=32375 DPT=6881 LEN=75 Mar 11 19:58:42 ESQ kernel: IN=eth1 OUT=eth0 SRC=192.168.0.5 DST=67.215.242.139 LEN=95 TOS=0x00 PREC=0x00 TTL=127 ID=14250 PROTO=UDP SPT=32375 DPT=6881 LEN=75 Mar 11 19:58:42 ESQ kernel: IN=eth1 OUT=eth0 SRC=192.168.0.5 DST=67.215.242.139 LEN=95 TOS=0x00 PREC=0x00 TTL=127 ID=14250 PROTO=UDP SPT=32375 DPT=6881 LEN=75 Mar 11 19:58:48 ESQ kernel: IN=eth1 OUT=eth0 SRC=192.168.0.5 DST=62.149.24.72 LEN=211 TOS=0x00 PREC=0x00 TTL=127 ID=14254 DF PROTO=TCP SPT=1370 DPT=3402 WINDOW=65535 RES=0x00 ACK PSH URGP=0

Mar 11 19:58:48 ESQ kernel: IN=eth1 OUT=eth0 SRC=192.168.0.5 DST=62.149.24.72 LEN=211 TOS=0x00 PREC=0x00 TTL=127 ID=14254 DF PROTO=TCP SPT=1370 DPT=3402 WINDOW=65535 RES=0x00 ACK PSH URGP=0 Mar 11 19:58:51 ESQ kernel: IN=eth1 OUT=eth0 SRC=192.168.0.5 DST=62.149.24.72 LEN=211 TOS=0x00 PREC=0x00 TTL=127 ID=14270 DF PROTO=TCP SPT=1370 DPT=3402 WINDOW=65535 RES=0x00 ACK PSH URGP=0 Mar 11 19:58:51 ESQ kernel: IN=eth1 OUT=eth0 SRC=192.168.0.5 DST=62.149.24.72 LEN=211 TOS=0x00 PREC=0x00 TTL=127 ID=14270 DF PROTO=TCP SPT=1370 DPT=3402 WINDOW=65535 RES=0x00 ACK PSH URGP=0 Mar 11 19:58:54 ESQ kernel: IN=eth0 OUT=eth1 SRC=62.149.24.72 DST=192.168.0.5 LEN=40 TOS=0x00 PREC=0x00 TTL=52 ID=15593 DF PROTO=TCP SPT=3402 DPT=1370 WINDOW=5840 RES=0x00 ACK FIN URGP=0 Mar 11 19:58:54 ESQ kernel: IN=eth0 OUT=eth1 SRC=62.149.24.72 DST=192.168.0.5 LEN=40 TOS=0x00 PREC=0x00 TTL=52 ID=15593 DF PROTO=TCP SPT=3402 DPT=1370 WINDOW=5840 RES=0x00 ACK FIN URGP=0

Status: Trfego detectado e bloqueado (100%) Software: Emule Verso: 0.49c Imagem:

Trecho de Log:
Mar 11 19:40:22 ESQ kernel: IN=eth0 OUT=eth1 SRC=189.46.57.188 DST=192.168.0.5 LEN=1480 TOS=0x00 PREC=0x00 TTL=115 ID=10592 DF PROTO=TCP SPT=6759 DPT=1256 WINDOW=65489 RES=0x00 ACK URGP=0

Mar 11 19:40:37 ESQ kernel: IN=eth1 OUT=eth0 SRC=192.168.0.5 DST=88.191.72.23 LEN=30 TOS=0x00 PREC=0x00 TTL=127 ID=7691 PROTO=UDP SPT=7143 DPT=47074 LEN=10 Mar 11 19:40:37 ESQ kernel: IN=eth1 OUT=eth0 SRC=192.168.0.5 DST=88.191.72.23 LEN=30 TOS=0x00 PREC=0x00 TTL=127 ID=7691 PROTO=UDP SPT=7143 DPT=47074 LEN=10 Mar 11 19:40:38 ESQ kernel: IN=eth1 OUT=eth0 SRC=192.168.0.5 DST=212.63.206.35 LEN=126 TOS=0x00 PREC=0x00 TTL=127 ID=7695 DF PROTO=TCP SPT=1267 DPT=4242 WINDOW=65535 RES=0x00 ACK PSH URGP=0 Mar 11 19:40:38 ESQ kernel: IN=eth1 OUT=eth0 SRC=192.168.0.5 DST=212.63.206.35 LEN=126 TOS=0x00 PREC=0x00 TTL=127 ID=7695 DF PROTO=TCP SPT=1267 DPT=4242 WINDOW=65535 RES=0x00 ACK PSH URGP=0 Mar 11 19:40:41 ESQ kernel: IN=eth1 OUT=eth0 SRC=192.168.0.5 DST=212.63.206.35 LEN=126 TOS=0x00 PREC=0x00 TTL=127 ID=7698 DF PROTO=TCP SPT=1267 DPT=4242 WINDOW=65535 RES=0x00 ACK PSH URGP=0 Mar 11 19:40:41 ESQ kernel: IN=eth1 OUT=eth0 SRC=192.168.0.5 DST=212.63.206.35 LEN=126 TOS=0x00 PREC=0x00 TTL=127 ID=7698 DF PROTO=TCP SPT=1267 DPT=4242 WINDOW=65535 RES=0x00 ACK PSH URGP=0 Mar 11 19:40:41 ESQ kernel: IN=eth1 OUT=eth0 SRC=192.168.0.5 DST=85.60.143.110 LEN=30 TOS=0x00 PREC=0x00 TTL=127 ID=7701 PROTO=UDP SPT=7143 DPT=11115 LEN=10 Mar 11 19:40:41 ESQ kernel: IN=eth1 OUT=eth0 SRC=192.168.0.5 DST=85.60.143.110 LEN=30 TOS=0x00 PREC=0x00 TTL=127 ID=7701 PROTO=UDP SPT=7143 DPT=11115 LEN=10 Mar 11 19:40:43 ESQ kernel: IN=eth1 OUT=eth0 SRC=192.168.0.5 DST=85.250.124.58 LEN=30 TOS=0x00 PREC=0x00 TTL=127 ID=7706 PROTO=UDP SPT=7143 DPT=4672 LEN=10

Status: Trfego detectado e bloqueado (100%) 8. Observaes de Desempenho

A utilizao do Layer 7 requer a disponibilidade de recursos de hardware para tratamento e futuro processamento do trfego gerado na camada de aplicao [4]. Sua utilizao deve ser feita com cautela, dessa maneira, para a certeza de que seu funcionamento no foi comprometido pela falta de recursos, durante o perodo de testes, foram monitorados o disco rgido, processador e memrias, e os resultados so apresentados abaixo: Memria Ram Disponvel: 4GB Verificando a utilizao da memria: #free Antes:
Total cached Mem: 3362216 -/+ buffers/cache: Swap: 7879872 used 236320 56928 0 free 3125896 3305288 7879872 shared 0 buffers 17976 161416

Depois:
total Mem: 3362216 -/+ buffers/cache: Swap: 7879872 used 283700 72252 0 free 3078516 3289964 7879872 shared 0 buffers 32012 cached 179436

Processador: AMD X2 64 2.0 GHz Verificando a utilizao do processador: # mpstat

Antes:
07:53:30 PM 07:53:30 PM CPU all %user 0.09 %nice 0.00 %sys %iowait 0.14 0.42 %irq 0.00 %soft 0.00 %steal 0.00 %idle 99.36 intr/s 25.42

Depois:
06:38:04 PM 06:38:04 PM CPU all %user 0.61 %nice 0.00 %sys %iowait 0.52 4.59 %irq %soft %steal %idle 0.00 0.01 0.00 94.26 intr/s 40.04

Disco Rgido: Samsung 320GB 7200 RM SATA Verificando a utilizao dos Discos: # iostat Antes:
avg-cpu: %user 0.09 %nice %system %iowait 0.00 0.14 0.42 tps 2.97 1.42 0.59 0.95 0.01 Blk_read/s 94.35 68.18 15.39 10.68 0.04 %steal 0.00 %idle 99.36 Blk_read 468045 338226 76364 52994 181 Blk_wrtn 88312 40128 120 48064 0 Device: sda sda1 sda2 sda3 sda4 Blk_wrtn/s 17.80 8.09 0.02 9.69 0.00

Depois:
avg-cpu: %user 0.63 %nice %system %iowait 0.00 0.54 4.68 tps 26.96 13.57 6.89 6.41 0.06 Blk_read/s 1050.68 746.38 179.30 123.92 0.42 %steal 0.00 %idle 94.15 Blk_read 447485 317882 76364 52778 181 Blk_wrtn 28352 24240 88 4024 0 Device: sda sda1 sda2 sda3 sda4 Blk_wrtn/s 66.57 56.91 0.21 9.45 0.00

9.

Concluso

A execuo deste trabalho proporcionou acima de tudo, ganho de aprendizado na relao entre polticas da empresa, e aplicao dos meios de T.I.. O bloqueio do trfego P2P no foi efetuado de maneira satisfatria pelo L7-Filter, sendo que o mesmo falhou ao bloquear um dos softwares utilizados na amostragem de testes. Sua utilizao implica em uma demanda muito grande de processamento, o que no o torna interessante em servidores com poucos recursos de hardware. Foi verificado tambm, que o Layer 7 capaz de bloquear com maior facilidade aplicaes como os comunicadores de mensagens instantneas, MSN, Yahoo Messenger, e afins, logo, sendo uma ferramenta muito interessante nesses casos. Para que a proposta de bloquear o trfego P2P fosse cumprida, fez necessria a instalao de outro mdulo do iptables, o ipp2p ou o ipt_p2p. Esta instalao no foi descrita neste trabalho, pois o mesmo estava atrelado utilizao do Layer 7, embora, fica disponvel aqui a dica para possveis futuras melhorias. 10. Referncias [1] http://pt.wikipedia.org/wiki/P2P#Hist.C3.B3ria_do_Peer-to-Peer [2] http://www.netfilter.org/projects/iptables/index.html [3] http://l7-filter.sourceforge.net/ [4] http://l7-filter.sourceforge.net/README [5] http://l7-filter.sourceforge.net/HOWTO-kernel

[6] http://l7-filter.sourceforge.net/protocols [7] http://www.vivaolinux.com.br/dica/Layer-7-+-Slackware-Linux-12-+-Kernel-2.6.25-[8] +IPTables-1.4-(passo-a-passo)/ [9] http://www.vivaolinux.com.br/artigo/Slackware-11-+-kernel2.6.18-+-Layer7-+-iptables/