UNIVERSIDADE PARA O DESENVOLVIMENTO DO ALTO VALE DO ITAJAÍ Pró-reitoria de Pós-Graduação, Pesquisa e Extensão Latu Sensu Redes de Computadores e Segurança de Sistemas Projeto e Configuração de Firewalls Prof. Dr. Emerson Ribeiro de Mello Data: 11/12/2010. Acadêmicos: Diego Adriano Sieves Joel Schafer Paulo Luis Steinhauser Thiago Branco Meurer
O Iptables consiste em um módulo do kernel do Linux utilizado como front-end para configurar o Netfilter; É o Netfilter que realiza toda a filtragem de pacotes no Linux; O Iptables nada mais é que uma ferramenta que nos permite adicionar e remover regras a cada uma das chains (filas onde os pacotes são processados).
Exemplos: Bloquear qualquer pacote TCP destinado à porta 80 de sua máquina. Bastaria que fosse utilizado o seguinte comando: # iptables -A OUTPUT -p tcp --dport 80 -j DROP Descartar qualquer pacote enviado à máquina local pela máquina de endereço 200.156.12.3, por exemplo. O comando neste caso seria # iptables -A INPUT -s 200.156.12.3 -j DROP
Uma característica que confere muito poder ao Iptables é a expansibilidade, ou seja, podem ser criados módulos que lhe acrescentem funcionalidades, como filtragem por protocolo de camada de aplicação. Como bloquear o uso de MSN na minha rede? E para bloquear serviço Web?
É inquestionável a utilidade de um mecanismo de filtragem que atue diretamente na camada de aplicação, bloqueando diretamente o protocolo http, por exemplo, ou o protocolo usado por messengers. É exatamente isso que faz o Layer 7.
História O desenvolvimento do Layer 7 começou em 2003 em resposta a constatação de que quase todas as aplicações de controle de largura de banda e Qos em uso eram proprietárias, muito caras e de difícil adaptação. Buscava-se então uma solução de código-aberto.
História Em maio de 2003 foi lançada a primeira versão do l7, um patch adicionando um "filtro" (classificador) no kernel do Linux. Até outubro 2003, nada havia sido feito de funcional com relação a QoS, sendo lançada então uma versão para Netfilter.
História Esta versão foi a 1.0, de janeiro de 2005. Até dezembro de 2006, percebeu-se que trabalhar em nível de kernel não era uma boa idéia, então foi lançada uma versão que funcionava no nível do usuário e obtinha seus dados através do Netfilter QUEUE.
As formas tradicionais de classificação de pacotes, baseadas geralmente no tipo de protocolo de transporte, na camada 4 do modelo de rede OSI e nas portas de origem e/ou destino, são suficientes na maioria dos casos. Porém ela pode ser ineficaz em alguns casos específicos, como por exemplo, no caso de programas de P2P, como o Kazaa, que utilizam portas aleatórias ou em caso de serviços rodando em uma porta não padrão (por exemplo um servidor HTTP rodando na porta 1111).
Assim surge o Projeto l7 filtering <http://l7- filter.sourceforge.net>, e como o próprio nome diz, ele trabalhou com filtro para a camada 7 do modelo OSI, ou seja, a camada de aplicação. Normalmente o kernel do Linux trabalhando na camada 4 acaba por não observar o conteúdo de um pacote, podendo por isso passar muito tráfego sem ser percebido. O Layer7 olha dentro dos pacotes, a procura de expressões regulares para achar determinados tipos de conteúdo, sendo considerado uma grande solução para procura de aplicações em uma rede.
Mas como nada é perfeito, o Layer 7 também tem suas desvantagens, pois ele pode trazer prejuízos para a empresa dependendo da situação em que é utilizado. O fato de haver a análise do conteúdo pode acarretar em grande uso de CPU, o que não é recomendado, por exemplo, a sua utilização em um roteador Linux com alto tráfego, podendo haver perda de informações e aplicações como o VOIP.
Como já sabemos, o iptables pode atuar nas camadas de enlace, rede e transporte: Enlace: iptables -A CHAIN -m mac -mac-source; Rede: iptables -A CHAIN -s IP_ADDRESS; Transporte: iptables -A CHAIN -p tcp -dport xxx. No entanto, combinando o Layer 7 serão aplicados novas features para o netfilter filtrar alguma aplicação que normalmente pertenceria apenas a camada 4.
Apesar da utilização do l7 não ser muito complexa, a sua instalação é um tanto quanto trabalhosa, pois devemos baixar vários pacotes, entre eles o próprio kernel do Sistema Operacional, que pode ser encontrado no seguinte endereço: http:/ /www.kernel.org. Para o trabalho foi utilizado o kernel linux-2.6.31.14, utilizado no Ubuntu 9.10
Além da versão do kernel utilizada pelo sistema operacional, houve a necessidade de baixar outros arquivos correspondentes ao Layer 7, bem como a instalação de pacotes para compilar o novo kernel, já com o iptables Layer7 instalado. A instalação foi feita dentro de um ambiente virtual, uma vez que um problema na compilação poderia ocasionar problemas maiores se fosse numa máquina real.
Após baixar todos os arquivos, foi criado um link chamado linux que apontava para o kernel recém baixado; Entrando no kernel através do link linux foram aplicados os seguintes comandos: # patch -p1 < /usr/src/netfilter-layer7-v2.22/kernel-2.6.25-2.6.28-layer7-2.22.patch # cp /boot/config-2.6.31-14-generic /usr/src/linux-2.6.31-14/.config
O próximo passo foi entrar dentro do menu de configuração do kernel e ativar o módulo l7. # make menuconfig
Saindo da configuração do kernel, foi dado o comando para a compilação do mesmo: # make-kpkg initrd kernel-image
Depois desta etapa, foi utilizado o comando abaixo para instalar o novo kernel:
Após todos os procedimentos anteriores, resta acessar a pasta dos fontes do iptables e compilálos para posteriormente instalar o iptables (já com o layer7). Para finalizar, foram instalados os protocolos que foram baixados e descompactados no início da instalação.
Podemos bloquear, por exemplo, o uso do msn (e de aplicativos que utilizem o mesmo protocolo) com os comandos: # iptables -A OUTPUT -m layer7 --l7proto msnmessenger -j DROP # iptables -A INPUT -m layer7 --l7proto msnmessenger -j DROP Repare que utilizamos a opção -m para especificar que utilizaremos o módulo layer7 e, com isso, habilitamos a opção --l7proto que vai especificar qual protocolo iremos bloquear.
Podemos bloquear, por exemplo, vídeo pela Web (youtube, por exemplo): # iptables -A INPUT -m layer7 --l7proto httpvideo -j DROP Bloqueando DNS: # iptables -A INPUT -m layer7 --l7proto dns -j DROP
Estes são alguns exemplos de protocolos que podem ser bloqueados, mas podemos bloquear vários outros programas como doom3, skype, edonkey, etc. Para uma lista dos protocolos disponíveis nesta versão no Layer 7 basta acessar os diretórios /etc/l7- protocols/extra e /etc/l7- protocols/protocols.
Protocolos São vários os protocolos, aplicações e arquivos que o Layer 7 consegue verificar, como softwares P2P, VoIP, Chat, Games, Mail, Remote Acess, File, Networking, Audio e Video Streaming, entre outros. Abaixo apresentamos apenas alguns dos protocolos mais conhecidos.
Protocolo Qualidade Descrição Bittorrent OK P2P Torrent Dhcp Bom Protocolo DHCP Dns Ótimo Protocolo DNS Edonkey Bom P2P Edonkey (Emule, entre outros) Fasttrack Bom P2P (Kazaa, Morpheus, Imesh, etc.) ftp Ótimo Protocolo FTP http Ótimo Protocolo HTTP Imap Ótimo Protocolo IMAP Msnmessenger Bom MSN Messenger Pop3 Ótimo Protocolo POP3 skypeout OK Skype para telefone skypetoskype OK Skype para Skype
Protocolo Qualidade Descrição Smtp Ótimo Simple Mail Transport Protocol Ssh Ótimo Secure Shell Vnc Ótimo Acesso Remoto Counterstrike-source Bom Game Gtalk Bom Google Talk Httpvideo Bom Vídeo sobre HTTP (Youtube) Legenda Qualidade: Ótimo: Funciona; Bom: Funciona até onde sabemos; OK: Provavelmente Funciona.
A seguir serão apresentados alguns testes primeiramente sem aplicar as regras do iptables layer7 e posteriormente utilizando as regras para barrar o acesso ao msn, skype e a um site de vídeos.
http://l7-filter.sourceforge.net https://help.ubuntu.com/community/kernel/com pile http://www.howtoforge.com/kernel_compilation_ ubuntu http://receitasdebolo.wordpress.com/2009/09/05 /layer7/ http://www.howtoforge.com/how-to-set-up-alinux-layer-7-packet-classifier-on-centos5.1