Bloqueio de P2P com Iptables e Layer7 em uma Rede Corporativa

(1)

Bloqueio de P2P com Iptables e Layer7 em uma Rede Corporativa

Aroldo Paizany Chociai Junior – Fernando Castagnino Martins de Souza

Curso de Especialização em Redes e Segurança de Sistemas Pontifícia Universidade Católica do Paraná

Curitiba, março 2010. Resumo

O objetivo deste trabalho é utilizar o Iptables juntamente de sua extensão de camada 7 (Layer7) no bloqueio de tráfego P2P em uma rede corporativa, bem como, testar seu funcionamento e funcionalidades, gerando as condições deste tipo de tráfego com a instalação de softwares diversificados nas estações de trabalho, documentando todas as ações para que este trabalho em sua versão final possa expressar resultados obtidos.

1. Introdução

O compartilhamento de arquivos proporcionados por programas P2P (peer-to-peer) é um segmento muito atrativo para os usuários de uma forma geral. Músicas, vídeos, documentos, livros, entre outros formatos de arquivos, podem ser obtidos com apenas alguns clicks. Porém toda esta facilidade em se obter algo que procura, pode também gerar sérios problemas [1].

Em redes corporativas, geralmente, o link de conexão com a internet, é compartilhado de forma com que todos os usuários usufruam do mesmo, entretanto, a utilização deste link não é feita de forma igualitária e a largura de banda disponibilizada é “dividida” entre os usuários. Esta “divisão”, se não tratada por um profissional competente, será desproporcional e conseqüentemente favorecerá, ou não, determinado funcionário.

Um dos problemas encontrados em uma boa gestão de rede é manter o link de conexão disponível para todos os usuários, bem como, distribuí-lo de maneira correta. Empresas de diferentes segmentos podem possuir políticas pré-estabelecidas para esta distribuição, onde, por exemplo, um gerente deve ter seu link disponível em determinado horário, e por outro lado, a direção deve ter disponibilidade em horário integral. Essas regras de negócios utilizadas nas empresas demonstram a necessidade de que a conexão não seja apenas compartilhada, mais sim disponibilizada conforme a necessidade dos usuários da rede.

Entretanto, a disponibilidade do link pode não estar associada apenas às regras de negócios da empresa. A facilidade na utilização de softwares para compartilhamento de arquivos (peer-to-peer), fez com que o administrador da rede, recebesse implicitamente a árdua tarefa de selecionar o tráfego de maneira coerente, pois um único usuário pode “comer” toda a largura de banda disponível. A dificuldade na distribuição da banda não é o único problema quando se pensa em P2P, os malefícios podem causar desde a infestação da rede por vírus, até um possível ataque mais elaborado.

Baseado nestas afirmações este trabalho apresenta na seção 2, uma descrição resumida do problema, algumas restrições impostas pelo ambiente e os resultados almejados com esta implementação. Na seção 3 é apresentada uma breve revisão bibliográfica, logo, nas seguintes seções são apresentadas as técnicas de implementação e configuração, bem como, os testes realizados e seus resultados.

(2)

2. Descrição do Contexto

A empresa citada neste documento possui uma rede de computadores com 41 (quarenta e uma) estações de trabalho, interligadas a 1 (um) servidor, em topologia de estrela, através de 2 (dois) concentradores (switches) em cascata, onde no primeiro concentrador é conectado o modem de acesso a internet, o servidor e o link para o outro concentrador, que tem por finalidade, distribuir para as estações de trabalho um link de conexão de internet com largura de 2MB ADSL.

Este cenário, e as regras utilizadas pela empresa, proporcionam aos funcionários, aqui chamados de usuários, grande flexibilidade na utilização da estrutura de rede, link de conexão com a internet e demais serviços disponíveis.

Esta autonomia navegacional por parte do usuário tem gerado enormes dores de cabeça para toda a equipe de T.I., sendo que, a incidência de máquinas afetadas por vírus já faz parte da rotina diária, gerando um número inaceitável de manutenções corretivas destas estações. Como se tal problema já não fosse suficiente para a direção da empresa tomar uma atitude mais radical em relação à utilização da estrutura de rede, nos últimos meses, a conexão da internet esta praticamente sendo utilizada por um, ou alguns, usuários, impossibilitando os outros de efetuar seu trabalho, quando esses necessitam de conexão com a web.

A direção da empresa procurou caminhos de conscientização na utilização da estrutura, ministrando palestras, imprimindo material publicitário, no intuito de instruir seus funcionários para uma utilização mais coerente com as funções profissionais executadas no seu dia a dia, pois tomam como regra, o ditado “o direito de um indivíduo, vai até onde inicia o do outro”. Estas ações não tiveram a efetividade esperada, pelo contrário, os problemas agravaram-se ainda mais, dessa maneira não houve outro meio, senão estabelecer uma política menos “liberal”, sendo assim, foi solicitada à equipe de T.I., uma solução que reduzisse estes problemas, porem, que proporcionasse ainda alguma liberdade aos funcionários, pois como dito antes, a filosofia da direção prefere apostar na conscientização.

Analisando as possíveis causas do problema, em uma primeira etapa foi constatado, em 8 estações de trabalho a instalação de softwares para compartilhamento de arquivos (P2P), e é focado nesta constatação que este trabalho foi desenvolvido.

A solução apresentada foi bloquear o tráfego P2P, no servidor, de forma com que os usuários, continuassem com permissões para instalar aplicativos, mesmo estes tendo a finalidade de compartilhamento de arquivos, proporcionando, dessa maneira, uma alternativa para resolução dos problemas, sem restringir a liberdade almejada pela direção.

3. Breve Revisão Bibliográfica 3.1. Visão Geral do P2P

Peer-to-Peer (do inglês: par-a-par), entre pares, é uma arquitetura de sistemas distribuídos caracterizada pela descentralização das funções na rede, onde cada nodo realiza tanto funções de servidor quanto de cliente.

Sistemas peer-to-peer permitem o compartilhamento de dados e recursos numa larga escala eliminando qualquer requisito por servidores gerenciados separadamente e a sua infra-estrutura associada. Com o propósito de suportar sistemas e aplicações distribuídas utilizando os recursos computacionais disponíveis em computadores pessoais e estações de trabalho em número crescente. Isso tem se mostrado bastante atrativo, já que a diferença de desempenho entre desktops e servidores tem diminuído, e as conexões de banda larga têm se proliferado [1].

(3)

3.2. Visão Geral do Iptables

Desenvolvido pela Netfilter Core Team, e outros colabores, o iptables é uma ferramenta para configuração das regras de filtragem de pacotes IPv4, nas versões 2.4.x e 2.6.x do kernel do Linux. Sua utilização é feita através de linha de comando e destinada aos administradores dos sistemas [2]. Os recursos de NAT (Network Address Translation), também estão habilitados e disponíveis para utilização através do iptables.

Entre seus recursos principais estão a: listagem, adição, edição e remoção das regras de filtragem de pacotes.

3.3. Visão Geral do Layer 7

No intuito de criar uma solução de código fonte aberto para o controle da largura de banda utilizada por protocolos específicos, também conhecidos como, “arbitragem de largura de banda” e QoS “Quality of Service”, foi desenvolvido o Layer 7. Sua implementação foi feita utilizando o Netfilter, dessa maneira, todos os recursos disponíveis no Netfilter, são utilizados integralmente nas saídas geradas pelo Layer7.

Descrito como um classificador de pacotes para o Linux, o L7-Filter é diferente da maior parte dos classificadores de pacotes, pois o mesmo, não olha simplesmente para os valores como número de portas, ao invés disso, utiliza expressões regulares para identificar os dados na camada de aplicação, determinando quais são os protocolos que estão sendo utilizados neste momento [3].

Existe uma necessidade eminente de maior utilização de recursos do processador e da memória para execução do Layer7, portanto, sua utilização deve ser feita com cautela e somente onde outros classificadores não atuam. Sua aplicação ideal é feita quando há a necessidade de:

• Verificar a utilização de protocolos que utilizam portas imprevisíveis (ex.: aplicações P2P)

• Verificar o tráfego em portas não padrão (ex.: serviço HTTP rodando na porta 1111)

• Fazer a distinção entre protocolos que compartilham uma porta (ex.: P2P utilizando a porta 80)

4. Pacotes Necessários

Os pacotes listados nas subseções abaixo, foram exatamente os mesmos utilizados nesta implementação, logo, foram testados e suas versões adequadas às necessidades e compatibilidades [7].

4.1 Kernel

Versão Utilizada: 2.6.25

Disponível em: http://www.kernel.org/pub/linux/kernel/v2.6/linux-2.6.25.tar.bz2

4.2 Iptables

Versão Utilizada: 1.4.0

(4)

4.3 Layer 7

Versão Utilizada: 2.18

Disponível em: http://downloads.sourceforge.net/l7-filter/netfilter-layer7-v2.18.tar.gz?modtime=1209437315&big_mirror=0

4.4 Protocolos do Layer 7 Versão Utilizada: 2008.04.23

Disponível em: http://downloads.sourceforge.net/l7-filter/l7-protocols-2008-04-23.tar.gz?modtime=1208987798&big_mirror=0

5. Procedimentos de Instalação 5.1 Preparando o Ambiente

Remover a instalação anterior do iptables: # removepkg iptables

Descompactar os pacotes: # cd /usr/src

# tar -jxvf /root/linux-2.6.25.tar.bz2 -C /usr/src # tar -jxvf /root/iptables-1.4.0.tar.bz2 -C /usr/src # tar -zxvf /root/netfilter-layer7-v2.18.tar.gz -C /usr/src # tar -zxvf /root/l7-protocols-2008-04-23.tar.gz-C /usr/src Aplicando os patches (kernel):

# cd /usr/src/linux

# patch -p1 < ../netfilter-layer7-v2.18/kernel-2.6.25-layer7-2.18.patch Aplicando os patches (iptables):

# cd /usr/src/iptables-1.3.4

# patch -p1 < ../netfilter-layer7-v2.18/iptables-1.4-for-kernel-2.6.20forward-layer7-2.18.patch

# chmod +x extensions/.layer7-test 5.2 Configurando e Compilando o Kernel

Importando as configurações do kernel atual, para não precisar configurar todas as opções novamente:

# cp /boot/(config) /usr/src/linux-2.6.25/.config # make oldconfig

(responder enter para todas as questões) Compilando o Kernel:

# make menuconfig Networking-->

(5)

Network Packet Filtering framework (Netfilter) --> Core Netfilter Configuration -->

(M) layer7 match suport (M) string match support # make

# make modules

# make modules_install

Copiando a imagem para o kernel novo:

# cp /usr/src/linux-2.6.25/arch/i386/boot/bzImage /boot/bzImage # cp /usr/src/linux-2.6.25/System.map /boot/ # cd /boot # rm -rf vmlinuz # ln -s bzImage vmlinuz Adicionando ao LILO: # vim /etc/lilo.conf image = /boot/vmlinuz root = /dev/hda2 label = Linux_new read-only # lilo 5.3 Compilando o Iptables

# make SBIN_DIR=/sbin LIBDIR=/lib # make SBIN_DIR=/sbin LIBDIR=/lib install 5.4 Instalando os Protocolos do Layer 7:

# cd /usr/src/l7-protocols-2008-04-23 # make install

# reboot

6. Regras de Filtragem/Log Utilizadas

#iptables -A FORWARD -m layer7 --l7proto 100bao -d any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto 100bao -s any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto applejuice -d any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto applejuice -s any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto ares -d any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto ares -s any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto bittorrent -d any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto bittorrent -s any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto directconnect -d any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto directconnect -s any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto edonkey -d any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto edonkey -s any/0 -j DROP

(6)

#iptables -A FORWARD -m layer7 --l7proto fasttrack -d any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto fasttrack -s any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto freenet -d any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto freenet -s any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto gnucleuslan -d any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto gnucleuslan -s any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto gnutella -d any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto gnutella -s any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto goboogy -d any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto goboogy -s any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto hotline -d any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto hotline -s any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto imesh -d any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto imesh -s any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto kugoo -d any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto kugoo -s any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto mute -d any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto mute -s any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto napster -d any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto napster -s any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto openft -d any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto openft -s any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto poco -d any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto poco -s any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto soribada -d any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto soribada -s any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto soulseek -d any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto soulseek -s any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto tesla -d any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto tesla -s any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto thecircle -d any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto thecircle -s any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto xunlei -d any/0 -j DROP #iptables -A FORWARD -m layer7 --l7proto xunlei -s any/0 -j DROP 7. Procedimentos de Teste e Avaliação

Para avaliar o funcionamento da estrutura desenvolvida, foi gerado tráfego P2P, através da utilização de softwares para tal finalidade, em uma determinada estação de trabalho.

Preparou-se o ambiente de forma que o usuário tivesse total liberdade para compartilhar arquivos utilizando alguns softwares P2P, conseqüentemente foram aplicadas as regras do Layer 7 junto ao servidor, registrando assim, em forma de arquivos de log, o bloqueio do referido tráfego.

Considerando que é muito grande a quantidade de softwares disponíveis, que tem por finalidade o compartilhamento de arquivos utilizando P2P, foram selecionados para a amostragem de testes 3 softwares, sendo eles: Utorrent, Bittorrent, Emule.

Os resultados obtidos com esta metodologia de teste são apresentados abaixo, na forma de figuras e trechos do arquivo de log do servidor:

(7)

Software: uTorrent Versão: 2.0

Imagem:

Registros de Log:

Mar 11 19:50:20 ESQ kernel: IN=eth1 OUT=eth0 SRC=192.168.0.5 DST=67.215.242.138 LEN=95 TOS=0x00 PREC=0x00 TTL=127 ID=13710 PROTO=UDP SPT=57795 DPT=6881 LEN=75

Mar 11 19:50:31 ESQ kernel: IN=eth1 OUT=eth0 SRC=192.168.0.5

DST=62.149.24.72 LEN=209 TOS=0x00 PREC=0x00 TTL=127 ID=13721 DF PROTO=TCP SPT=1311 DPT=3402 WINDOW=65535 RES=0x00 ACK PSH URGP=0

(8)

Mar 11 19:50:37 ESQ kernel: IN=eth0 OUT=eth1 SRC=62.149.24.72 DST=192.168.0.5 LEN=40 TOS=0x00 PREC=0x00 TTL=52 ID=31537 DF PROTO=TCP SPT=3402 DPT=1311 WINDOW=5840 RES=0x00 ACK FIN URGP=0

Mar 11 19:50:37 ESQ kernel: IN=eth0 OUT=eth1 SRC=62.149.24.72 Status: Tráfego detectado e bloqueado (aproximadamente 50% das vezes) Software: BitTorrent

Versão: 6.4 Imagem:

Registros de Log:

(9)

Mar 11 19:58:54 ESQ kernel: IN=eth0 OUT=eth1 SRC=62.149.24.72 DST=192.168.0.5 LEN=40 TOS=0x00 PREC=0x00 TTL=52 ID=15593 DF PROTO=TCP SPT=3402 DPT=1370 WINDOW=5840 RES=0x00 ACK FIN URGP=0

Status:

Tráfego detectado e bloqueado (100%) Software: Emule

Versão: 0.49c Imagem:

Trecho de Log:

Mar 11 19:40:22 ESQ kernel: IN=eth0 OUT=eth1 SRC=189.46.57.188 DST=192.168.0.5 LEN=1480 TOS=0x00 PREC=0x00 TTL=115 ID=10592 DF PROTO=TCP SPT=6759 DPT=1256 WINDOW=65489 RES=0x00 ACK URGP=0

(10)

Status: Tráfego detectado e bloqueado (100%) 8. Observações de Desempenho

A utilização do Layer 7 requer a disponibilidade de recursos de hardware para tratamento e futuro processamento do tráfego gerado na camada de aplicação [4]. Sua utilização deve ser feita com cautela, dessa maneira, para a certeza de que seu funcionamento não foi comprometido pela falta de recursos, durante o período de testes, foram monitorados o disco rígido, processador e memórias, e os resultados são apresentados abaixo:

Memória Ram Disponível: 4GB Verificando a utilização da memória: #free

Antes:

Total used free shared buffers cached

Mem: 3362216 236320 3125896 0 17976 161416 -/+ buffers/cache: 56928 3305288

Swap: 7879872 0 7879872 Depois:

total used free shared buffers cached Mem: 3362216 283700 3078516 0 32012 179436 -/+ buffers/cache: 72252 3289964

Swap: 7879872 0 7879872 Processador: AMD X2 64 – 2.0 GHz Verificando a utilização do processador: # mpstat

(11)

Antes:

07:53:30 PM CPU %user %nice %sys %iowait %irq %soft %steal %idle intr/s 07:53:30 PM all 0.09 0.00 0.14 0.42 0.00 0.00 0.00 99.36 25.42

Depois:

06:38:04 PM CPU %user %nice %sys %iowait %irq %soft %steal %idle intr/s 06:38:04 PM all 0.61 0.00 0.52 4.59 0.00 0.01 0.00 94.26 40.04

Disco Rígido: Samsung 320GB – 7200 RM – SATA Verificando a utilização dos Discos:

# iostat Antes:

avg-cpu: %user %nice %system %iowait %steal %idle 0.09 0.00 0.14 0.42 0.00 99.36

Device: tps Blk_read/s Blk_wrtn/s Blk_read Blk_wrtn sda 2.97 94.35 17.80 468045 88312 sda1 1.42 68.18 8.09 338226 40128 sda2 0.59 15.39 0.02 76364 120 sda3 0.95 10.68 9.69 52994 48064 sda4 0.01 0.04 0.00 181 0 Depois:

avg-cpu: %user %nice %system %iowait %steal %idle 0.63 0.00 0.54 4.68 0.00 94.15

Device: tps Blk_read/s Blk_wrtn/s Blk_read Blk_wrtn sda 26.96 1050.68 66.57 447485 28352 sda1 13.57 746.38 56.91 317882 24240 sda2 6.89 179.30 0.21 76364 88 sda3 6.41 123.92 9.45 52778 4024 sda4 0.06 0.42 0.00 181 0 9. Conclusão

A execução deste trabalho proporcionou acima de tudo, ganho de aprendizado na relação entre políticas da empresa, e aplicação dos meios de T.I..

O bloqueio do tráfego P2P não foi efetuado de maneira satisfatória pelo L7-Filter, sendo que o mesmo falhou ao bloquear um dos softwares utilizados na amostragem de testes. Sua utilização implica em uma demanda muito grande de processamento, o que não o torna interessante em servidores com poucos recursos de hardware.

Foi verificado também, que o Layer 7 é capaz de bloquear com maior facilidade aplicações como os comunicadores de mensagens instantâneas, MSN, Yahoo Messenger, e afins, logo, sendo uma ferramenta muito interessante nesses casos.

Para que a proposta de bloquear o tráfego P2P fosse cumprida, fez necessária a instalação de outro módulo do iptables, o ipp2p ou o ipt_p2p. Esta instalação não foi descrita neste trabalho, pois o mesmo estava atrelado à utilização do Layer 7, embora, fica disponível aqui a dica para possíveis futuras melhorias.

10. Referências [1] http://pt.wikipedia.org/wiki/P2P#Hist.C3.B3ria_do_Peer-to-Peer [2] http://www.netfilter.org/projects/iptables/index.html [3] http://l7-filter.sourceforge.net/ [4] http://l7-filter.sourceforge.net/README [5] http://l7-filter.sourceforge.net/HOWTO-kernel

(12)

[6] http://l7-filter.sourceforge.net/protocols

[7] http://www.vivaolinux.com.br/dica/Layer-7-Slackware-Linux-12-Kernel-2.6.25-[8] +-IPTables-1.4-(passo-a-passo)/