Existe uma maneira de fazer a filtragem da camada 7 no Linux?

3

O projeto do filtro L7 parece ter 15 anos, requer patches de kernel sem suporte para os kernels anteriores à versão 2.6, e a maioria dos arquivos padrão parece ter sido escrito em 2003.

Normalmente, quando há um projeto que é antigo e popular, há novos projetos para substituí-lo, mas não consigo encontrar nada mais recente para o Linux que faça filtragem de camada 7.

Eu não estou procurando nos lugares certos? A ideia da filtragem da camada 7 foi abandonada inteiramente por algum motivo? Eu acho que hoje em dia, com hardware mais potente, isso seria ainda mais prático do que costumava ser.

    
por Tal 30.08.2018 / 22:07

1 resposta

4

Você deve estar falando do (antigo) projeto Classificador de Pacotes de Camada de Aplicação para Linux que foi implementado como correções para o 2.4 e os kernels 2.6.

O principal problema com este projeto é que a tecnologia que ela propôs controlar superou rapidamente a utilidade e a eficácia da implementação.

Os membros do projeto também não tiveram tempo (e dinheiro) para investir mais em superar alguns avanços da tecnologia, até onde eu me lembro, e depois venderam a implementação que matou para sempre um projeto já problemático.

Os desafios que este projecto / tecnologia tem enfrentado ao longo dos anos não estão, por nenhuma ordem particular:

  • adaptando os patches para as versões do kernel 3.x / 4.x;
  • escassez de poder de processamento - em vários países, atualmente a velocidade de até mesmo gigabit doméstico amplo exigirá que os ASICs façam o shapping de camada 7 eficiente;
  • o bit-torrent começou a usar ofuscação pesada;
  • O HTTPS começou a ser usado intensamente para encapsular vários protocolos e / ou evitar a detecção;
  • Os protocolos ponto-a-ponto
  • pararam de usar portas fixas e começaram a tentar abrir caminho por qualquer porta aberta / permitida;
  • a ascensão do voIP onipresente e do vídeo em tempo real, o que torna o tráfego muito sensível até mesmo a pequenos atrasos:
  • o uso generalizado de conexões VPN.

A Heavy R & D foi então investida pesadamente em produtos profissionais de shapping.

O estado da arte há dez anos envolvia ASICs já específicos e (uso pesado) de heurística para detectar tráfego criptografado / ofuscado.

Atualmente, além de mais de uma década de experiência em heurística avançada, com o avanço dos fornecedores de banda larga global, shapping (e firewall) também estão usando o compartilhamento peer-2-peer em tempo real de dados globais. para avançar a eficácia de suas soluções.

Eles estão combinando heurística avançada com dados em tempo real de perfis / compartilhamento de milhares de locais no mundo.

Seria muito difícil montar um produto de código aberto que funcionasse de forma tão eficiente quanto o Allot NetEnforcer.

Usando soluções de código aberto, para fins de integridade da largura de banda de infra-estrutura, não é mais tão comum tentar trafegar de acordo com o tipo / natureza do tráfego que o endereço IP está usando.

Atualmente, para controle genérico de tráfego e proteção da capacidade de banda da infra-estrutura, a estratégia usual é (além de firewall), sem usar hardware avançado de modelagem de tráfego, alocando uma pequena parte da largura de banda por endereço IP.

    
por 30.08.2018 / 22:33