Este documento describe cómo utilizar Layer7 para detectar y filtrar tráfico basado en el contenido de los paquetes, así como aplicar políticas de QoS. Explica los diferentes tipos de comunicaciones como DNS, HTTP, HTTPS y QUIC y cómo Layer7 puede detectar cada uno. Luego proporciona ejemplos de reglas de filtro y QoS usando Layer7 para detectar y bloquear/priorizar sitios como Facebook y YouTube. Finalmente, discute algunas consideraciones como alternativas más escalables para filtrado y limitaciones actuales con IPv6.
0 calificaciones0% encontró este documento útil (0 votos)
87 vistas27 páginas
Este documento describe cómo utilizar Layer7 para detectar y filtrar tráfico basado en el contenido de los paquetes, así como aplicar políticas de QoS. Explica los diferentes tipos de comunicaciones como DNS, HTTP, HTTPS y QUIC y cómo Layer7 puede detectar cada uno. Luego proporciona ejemplos de reglas de filtro y QoS usando Layer7 para detectar y bloquear/priorizar sitios como Facebook y YouTube. Finalmente, discute algunas consideraciones como alternativas más escalables para filtrado y limitaciones actuales con IPv6.
Este documento describe cómo utilizar Layer7 para detectar y filtrar tráfico basado en el contenido de los paquetes, así como aplicar políticas de QoS. Explica los diferentes tipos de comunicaciones como DNS, HTTP, HTTPS y QUIC y cómo Layer7 puede detectar cada uno. Luego proporciona ejemplos de reglas de filtro y QoS usando Layer7 para detectar y bloquear/priorizar sitios como Facebook y YouTube. Finalmente, discute algunas consideraciones como alternativas más escalables para filtrado y limitaciones actuales con IPv6.
Este documento describe cómo utilizar Layer7 para detectar y filtrar tráfico basado en el contenido de los paquetes, así como aplicar políticas de QoS. Explica los diferentes tipos de comunicaciones como DNS, HTTP, HTTPS y QUIC y cómo Layer7 puede detectar cada uno. Luego proporciona ejemplos de reglas de filtro y QoS usando Layer7 para detectar y bloquear/priorizar sitios como Facebook y YouTube. Finalmente, discute algunas consideraciones como alternativas más escalables para filtrado y limitaciones actuales con IPv6.
Descargue como PDF, TXT o lea en línea desde Scribd
Descargar como pdf o txt
Está en la página 1/ 27
Utilizando Layer7
Para Filter y QoS
Sobre nosotros Objetivo de esta presentación ● Poder detectar y marcar tráfico en base al contenido de alguno de los paquetes de una conexión.
● Aplicar reglas de Filter.
● Aplicar políticas de QoS.
● En esta presentación se darán ejemplos con sitios web.
Agenda ● Layer7 en acción ● Introducción ○ Detección con Layer7 ○ Ejemplos con Filter y QoS ● Comunicación con un sitio web ○ Comunicación DNS ● Consideraciones especiales ○ Comunicación HTTP ○ Compatibilidad con IPv6 ○ Comunicación HTTPs ○ DNS gestionado ○ Comunicación QUIC Tipo de comunicaciones Introducción Algunos mitos y verdades:
“Layer7 no funciona con tráfico HTTPs”
Cierto, aunque de todos modos algo puede hacerse.
“Layer7 no funciona con servicios de Google”
Falso, el problema viene de asociado al protocolo QUIC.
“Layer7 me carga mucho el CPU”
Cierto, pero bien configurado podemos evitar el problema. Comunicación con un sitio Web ● Para conocer cómo funcionan estas comunicaciones utilizamos Wireshark: Comunicación con un sitio Web ● Sitio común HTTP/HTTPs
1) Consulta DNS (UDP 53)
2) Conexión HTTP/HTTPs (TCP 80 o TCP 443) Comunicación con un sitio Web ● Sitio de Google Inc. desde Chrome
1) Consulta DNS (UDP 53)
2) Conexión QUIC (UDP 80 o UDP 443) Comunicación DNS
● Se puede detectar y filtrar
esta consulta.
● No es posible realizar QoS.
Comunicación HTTP
● Se puede detectar y filtrar
esta consulta.
● Acá si es posible realizar QoS.
Comunicación HTTPs
● HTTPs es encriptado, pero antes de
establecerse utiliza ClientHello que tiene un parámetro llamado Server Name.
● Se puede detectar y filtrar
esta consulta.
● Acá si es posible realizar QoS.
Comunicación QUIC
● QUIC corre sobre UDP y es encriptado, pero
antes de establecerse también utiliza ClientHello que tiene un parámetro llamado Server Name (igual que TLS).
● Se puede detectar y filtrar
esta consulta.
● Acá si es posible realizar QoS.
Layer7 en acción Ejemplo con Filter - Detección con Layer7 /ip firewall layer7-protocol add name=Facebook regexp="^.+(facebook).*\$" Ejemplo con Filter (HTTP/HTTPs) /ip firewall filter add comment="Analisis TCP" \ chain=forward \ protocol=tcp \ dst-port=80,443 \ Acotar la regla a conexiones TCP 80 y 443.
connection-bytes=0-100000 \ Conexiones de hasta 100k de transferencia.
action=jump jump-target=analisis_layer7 Salto a otra cadena. Ejemplo con Filter (HTTP/HTTPs) /ip firewall filter add comment="Bloquear Facebook" \ chain=analisis_layer7 \ protocol=tcp \ layer7-protocol=Facebook \ Registro Layer7.
Ejemplo con Filter (QUIC) /ip firewall filter add comment="Analisis UDP" \ chain=forward \ QUIC funciona en UDP. protocol=udp \ dst-port=80,443 \ Acotar la regla a conexiones UDP 80 y 443.
connection-bytes=0-100000 \ action=jump jump-target=analisis_layer7 Salto a otra cadena. Ejemplo con Filter (QUIC) /ip firewall filter add comment="Bloquear YouTube" \ chain=analisis_layer7 \ layer7-protocol=YouTube \ Registro Layer7. action=reject reject-with=icmp-admin-prohibited Rechazo casi instantáneo. Ejemplo con Filter (HTTP/HTTPs/QUIC) Ejemplo con QoS - Detección con Layer7 /ip firewall layer7-protocol add name=YouTube \ regexp="^.+(youtube.com|youtu.be|googlevideo.com).*\$" Ejemplo con QoS /ip firewall mangle add comment="Marcar conexiones de YouTube" \ chain=forward \ connection-mark=no-mark \ layer7-protocol=YouTube \ action=mark-connection \ new-connection-mark=mc_youtube \ passthrough=yes Ejemplo con QoS /ip firewall mangle add comment="Marcar paquetes de YouTube" \ chain=forward \ connection-mark=mc_youtube \ action=mark-packet \ new-packet-mark=mc_youtube \ passthrough=no Ejemplo con QoS /queue simple add name="No Vas A Ver YouTube, No" \ target="" \ packet-marks=mc_youtube \ max-limit=1k/1k Consideraciones especiales Consideraciones especiales ● Para QoS por sitio web, de momento esta es la única técnica que se puede utilizar sobre cierto patrón de tráfico*.
● Para filtrado, esta técnica es poco escalable y es recomendable
utilizar un DNS gestionado.
● En IPv6 aún no está disponible el comparador Layer7, pero puede
utilizarse el comparador content. ¿Preguntas? Utilizando Layer7 para Filter y QoS
