+ Responder ao Tópico



  1. #1

    Angry Interessante - Layer7 foi por água abaixo para P2P!!! :(

    Olá Pessoal,

    É o seguinte tenho aqui na empresa um servidor linux com suporte a layer7 habilitado no kernel para barrar programas P2P(Emule, Ares, etc..), até um dia desses estava tudo normal, um usuario meu descobriu uma forma de burlar o layer7 atraves de uma opção de um protocolo de ofuscação que esses programas tem. Estou sem saber como bloquear esses programas agora, alguem tem alguma idéia? Não consigo barrar nem o emule, nem o Ares Galaxy....

    Segue abaixo o que é protocolo de ofuscação e para que serve:

    O Protocolo de Ofuscação (Protocol Obfuscation) é uma função que esconde o protocolo que o eMule utiliza quando se comunica com servidores e outros clientes. Sem a ofuscação, cada comunicação feita através do eMule pode ter sua estrutura facilmente identificada como um pacote do eMule por qualquer observador. Se esta função estiver ligada, toda a comunicação feita pelo eMule aparecerá como dados aleatórios dificultando uma identificação automática. Isto ajuda em situações onde o protocolo do eMule é injustamente discriminado ou mesmo completamente bloqueado pelo provedor de internet através da identificação dos pacotes. Entretanto, é importante notar o que não se pretende com a Ofuscação: ela não irá aumentar seu anonimato, não lhe deixará invisível e não é uma proteção efetiva contra eavesdroppers. Lembre-se, também, que se o administrador da sua rede possui uma boa razão legal para bloquear o eMule (um provedor de banda larga, por exemplo), poderá trazer outras conseqüências indesejáveis. A Ofuscação está disponível para as conexões TCP e UDP da rede eD2k, TCP e UDP com os servidores e conexões TCP da Kad. Pacotes UDP da rede Kademlia ainda não estão sendo ofuscados.

    Fonte: eMule-Project.net - Site oficial do eMule. Downloads, Ajuda, Documentos, Noticias, ...


    Abraços pessoal,


    Diego Araújo

  2. #2
    Moderador Avatar de Bruno
    Ingresso
    Nov 2002
    Localização
    Guarapuava-PR
    Posts
    4.181
    Posts de Blog
    1

    Padrão

    é isto infelismente isto é a pura verdade

  3. #3

    Padrão

    controlar p2p tá ficando cada vez mais difícil, acho que num futuro breve nao terá mais como bloquear...

  4. #4
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.201
    Posts de Blog
    9

    Padrão

    Citação Postado originalmente por antoni Ver Post
    controlar p2p tá ficando cada vez mais difícil, acho que num futuro breve nao terá mais como bloquear...
    Tanto que todo provedor de banda larga está ou já modificou seus contratos para franquia de volume trafegado... estourou a franquia, baixa a banda para valores mínimos ou corta a conexão.

  5. #5

    Padrão vnc neles

    Use controle de banda, assim a pessoa que tiver usando não vai derrubar tua rede, tranca todo trafego UDP para fora da rede.

    Você não falou como é sua rede, se é uma empresa, se é uma escola... mas se for ambiente empresarial é facil de resolver, eu no seu lugar como o administrador da rede, instalaria em todas as maquinas o vncserver e deixaria funcionando em modo daemon(sem icone no systray), alteraria o caminho de instalação e o nome do executavel para ele se confundir entre os wins e sys que compoem a lista de processos do windows..
    Configuraria no vnc uma senha de "somente ver", para quando conectar na maquina não mecher o mouse da pessoa e levantar suspeitas, assim também é bem mais facil trabalhar com varias janelinhas do vnc abertas
    Configuraria no firewall um programa para identificar os pcs que estão gerando trafego intenso de rede e então conectaria no pc e faria alguns "Print Screans" e entregaria para a gerencia resolver.

    Assim resolve com certeza.

    Agora se o ambiente for escolar ou qualquer outro ambiente onde os usuarios não sejam subordinados aos donos da empresa a coisa fica mais complicada.

    Porém uma maneira de resolver seria você instalar um programa que faça a administração do windows para impedir que se instale mais programas e entre em algumas configurações...

    è isso ae. abraço

  6. #6

    Padrão

    Citação Postado originalmente por lawrence Ver Post
    Use controle de banda, assim a pessoa que tiver usando não vai derrubar tua rede, tranca todo trafego UDP para fora da rede.

    Você não falou como é sua rede, se é uma empresa, se é uma escola... mas se for ambiente empresarial é facil de resolver, eu no seu lugar como o administrador da rede, instalaria em todas as maquinas o vncserver e deixaria funcionando em modo daemon(sem icone no systray), alteraria o caminho de instalação e o nome do executavel para ele se confundir entre os wins e sys que compoem a lista de processos do windows..
    Configuraria no vnc uma senha de "somente ver", para quando conectar na maquina não mecher o mouse da pessoa e levantar suspeitas, assim também é bem mais facil trabalhar com varias janelinhas do vnc abertas
    Configuraria no firewall um programa para identificar os pcs que estão gerando trafego intenso de rede e então conectaria no pc e faria alguns "Print Screans" e entregaria para a gerencia resolver.

    Assim resolve com certeza.

    Agora se o ambiente for escolar ou qualquer outro ambiente onde os usuarios não sejam subordinados aos donos da empresa a coisa fica mais complicada.

    Porém uma maneira de resolver seria você instalar um programa que faça a administração do windows para impedir que se instale mais programas e entre em algumas configurações...

    è isso ae. abraço
    Faz algo parecido com isso num provedor internet, que é a nossa situação, p/ ver onde vc vai parar...

  7. #7
    Moderador Avatar de xandemartini
    Ingresso
    Nov 2005
    Localização
    Espumoso, Brazil
    Posts
    2.405
    Posts de Blog
    1

    Padrão

    Citação Postado originalmente por sergio Ver Post
    Tanto que todo provedor de banda larga está ou já modificou seus contratos para franquia de volume trafegado... estourou a franquia, baixa a banda para valores mínimos ou corta a conexão.
    Sérgio, uma dúvida que sempre me assolou... digamos que o warez passe do controle do MK (que é HTB, snme) e eu tenha um server rodando myauth entre o MK e o roteador do meu provedor, será q o controle de banda do myauth vai barrar? Pergunto pq não tenho notado esgoelamento do meu link, tenho cerca de 450 clientes num link de 4 mb, e apenas de 1 mês prá cá está dando uma "esgoeladinha" nos horários de pico... Ou estou enganado, ou não estou tendo esse tipo de problema com o warez...

  8. #8
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.201
    Posts de Blog
    9

    Padrão

    Citação Postado originalmente por xandemartini Ver Post
    Sérgio, uma dúvida que sempre me assolou... digamos que o warez passe do controle do MK (que é HTB, snme) e eu tenha um server rodando myauth entre o MK e o roteador do meu provedor, será q o controle de banda do myauth vai barrar? Pergunto pq não tenho notado esgoelamento do meu link, tenho cerca de 450 clientes num link de 4 mb, e apenas de 1 mês prá cá está dando uma "esgoeladinha" nos horários de pico... Ou estou enganado, ou não estou tendo esse tipo de problema com o warez...
    Se o MyAUTH tem o layer7 ou ipp2p ativo e com regras de bloqueio não terá problemas. Também existe controle de banda no MyAUTH e se estiver ativo provavelmente dá uma segurada. Além disso quem usa limite de conexões simultâneas evita que novos conexões (syn) sejam abertas além das permitidas. Tudo isso ajuda a rede não "esgoelar".

  9. #9

    Padrão

    Citação Postado originalmente por analistaslack Ver Post
    Olá Pessoal,

    É o seguinte tenho aqui na empresa um servidor linux com suporte a layer7 habilitado no kernel para barrar programas P2P(Emule, Ares, etc..), até um dia desses estava tudo normal, um usuario meu descobriu uma forma de burlar o layer7 atraves de uma opção de um protocolo de ofuscação que esses programas tem. Estou sem saber como bloquear esses programas agora, alguem tem alguma idéia? Não consigo barrar nem o emule, nem o Ares Galaxy....

    Segue abaixo o que é protocolo de ofuscação e para que serve:

    O Protocolo de Ofuscação (Protocol Obfuscation) é uma função que esconde o protocolo que o eMule utiliza quando se comunica com servidores e outros clientes. Sem a ofuscação, cada comunicação feita através do eMule pode ter sua estrutura facilmente identificada como um pacote do eMule por qualquer observador. Se esta função estiver ligada, toda a comunicação feita pelo eMule aparecerá como dados aleatórios dificultando uma identificação automática. Isto ajuda em situações onde o protocolo do eMule é injustamente discriminado ou mesmo completamente bloqueado pelo provedor de internet através da identificação dos pacotes. Entretanto, é importante notar o que não se pretende com a Ofuscação: ela não irá aumentar seu anonimato, não lhe deixará invisível e não é uma proteção efetiva contra eavesdroppers. Lembre-se, também, que se o administrador da sua rede possui uma boa razão legal para bloquear o eMule (um provedor de banda larga, por exemplo), poderá trazer outras conseqüências indesejáveis. A Ofuscação está disponível para as conexões TCP e UDP da rede eD2k, TCP e UDP com os servidores e conexões TCP da Kad. Pacotes UDP da rede Kademlia ainda não estão sendo ofuscados.

    Fonte: eMule-Project.net - Site oficial do eMule. Downloads, Ajuda, Documentos, Noticias, ...


    Abraços pessoal,


    Diego Araújo
    manoo
    passa sua situacao da rede para nos

    eu estive com um problema parecido aki

    e resolvi libera somente as portas q a minha rede precisava
    pois eh uma rede empresarial

    se for provedor, dai vai tudo por agua abaixo heheheh

  10. #10

    Padrão

    Citação Postado originalmente por xandemartini Ver Post
    Sérgio, uma dúvida que sempre me assolou... digamos que o warez passe do controle do MK (que é HTB, snme) e eu tenha um server rodando myauth entre o MK e o roteador do meu provedor, será q o controle de banda do myauth vai barrar? Pergunto pq não tenho notado esgoelamento do meu link, tenho cerca de 450 clientes num link de 4 mb, e apenas de 1 mês prá cá está dando uma "esgoeladinha" nos horários de pico... Ou estou enganado, ou não estou tendo esse tipo de problema com o warez...
    Eu faço o controle de banda no Mikrotik, mas o meu roteador é um Linux com CBQ. Quando noto tráfego acima do controle de banda do cliente, eu coloco uma regra no CBQ do roteador que ele passa a ter a banda controlada pelo CBQ... Já peguei muitos casos onde o MK nãum controlava a banda, mas o CBQ no Linux controla na boa...

  11. #11

    Padrão

    Citação Postado originalmente por hyperpotato Ver Post
    manoo
    passa sua situacao da rede para nos

    eu estive com um problema parecido aki

    e resolvi libera somente as portas q a minha rede precisava
    pois eh uma rede empresarial

    se for provedor, dai vai tudo por agua abaixo heheheh
    É o seguinte, tenho uma rede empresarial com 9 servidores slackware rodando em cada filial com acessoa a internet via ADSL(Velox). Notei que um pessoal descobriu como burlar o firewall para usar o emule habilitando o protocolo de ofuscação. Queria são 9 servidores, eu não posso tá controlando o fluxo de dados de cada servidor, pois eu perderia muito tempo e estou no meio de uma implantação de sistema de ERP. Meu diretor veio reclamar que em algumas filiais a internet estava lenta. Resolvi dá uma verificada e vi que o meu firewall com layer7 habilitado não está funcionando para o bloquear o emule e o ares galaxy por causa desse protocolo de ofuscação. Gostaria de saber se tem como resolver isso sem está monitorando essas máquinas, pois seria praticamente inviável monitorar cerca de 250 máquina no total.

    Abraços pessoal....

  12. #12

    Padrão

    Citação Postado originalmente por lawrence Ver Post
    Use controle de banda, assim a pessoa que tiver usando não vai derrubar tua rede, tranca todo trafego UDP para fora da rede.

    Você não falou como é sua rede, se é uma empresa, se é uma escola... mas se for ambiente empresarial é facil de resolver, eu no seu lugar como o administrador da rede, instalaria em todas as maquinas o vncserver e deixaria funcionando em modo daemon(sem icone no systray), alteraria o caminho de instalação e o nome do executavel para ele se confundir entre os wins e sys que compoem a lista de processos do windows..
    Configuraria no vnc uma senha de "somente ver", para quando conectar na maquina não mecher o mouse da pessoa e levantar suspeitas, assim também é bem mais facil trabalhar com varias janelinhas do vnc abertas
    Configuraria no firewall um programa para identificar os pcs que estão gerando trafego intenso de rede e então conectaria no pc e faria alguns "Print Screans" e entregaria para a gerencia resolver.

    Assim resolve com certeza.

    Agora se o ambiente for escolar ou qualquer outro ambiente onde os usuarios não sejam subordinados aos donos da empresa a coisa fica mais complicada.

    Porém uma maneira de resolver seria você instalar um programa que faça a administração do windows para impedir que se instale mais programas e entre em algumas configurações...

    è isso ae. abraço
    Olá amigo,

    Gostei da sua idéia, muito interessante. Em primeiro lugar, vc pode me dizer como faço para que o vnc server fique rodando como um deamon, sem aparecer o ícone no systray?

    Segunda Pergunta: Como faço para que o firewall faça um controle para identificar os pcs que estão gerando trafego intenso de rede?

    P.S - Ficarei grato se vc me mostrar pelo menos o caminho das pedras, o resto me viro!


    Obrigado pela atenção,


    Diego Araújo

  13. #13

    Padrão

    Achei uma coisa aqui e parece que pode ajudar:

    Linux Layer 7 filter FAQ

    Pelo que entendi quando o emule criptografa uma conexão o Layer7 reconhece como sendo SSL. Será que se entao limitarmos o número de conexões SSL isso também não vai ajudar?

    Alguém poderia testar?

  14. #14

    Padrão

    Citação Postado originalmente por FabricioViana Ver Post
    Achei uma coisa aqui e parece que pode ajudar:

    Linux Layer 7 filter FAQ

    Pelo que entendi quando o emule criptografa uma conexão o Layer7 reconhece como sendo SSL. Será que se entao limitarmos o número de conexões SSL isso também não vai ajudar?

    Alguém poderia testar?
    Pode ser uma boa idéia, mas como ficaria a questão da vpn que tambem usa conexões SSL?

    Alguem experiente que possa respondar essa questão?


    Abraços a todos


    Diego Araújo

  15. #15

    Padrão

    Temos um provedor, fazemos assim:
    01- Link adsl, 1MB, que sai o trafego padrao, TUDO.
    01- Link Full 1MB, q marcamos pacotes, 80,25,110,22,1863, para sair por esse.

    Usamos ap's com controle de banda no cliente, e pronto. Mais nd.

  16. #16

    Padrão

    wppitpmp, qual script vc usou para dividir os links assim? Tentei fazer isso aqui, exatamente como vc disse mas os downloads estavam congelando no meio, nao sei pq...

  17. #17

    Padrão

    Seguinte, se o problema for apenas barrar o funcionamento desses softwares você realmente pode usar apenas algumas regrinhas de firewall para resolver essa questão, já que o layer 7 acusa como sendo ssl.

    Limite no seu firewall todos os hosts a fazer ssl apenas para os ips dos sites que eles mais utilizam, ou melhor ainda para o dominio desses sites, e claro para os patrões deixa a coisa mas frouxa, de o mesmo acesso e mais uns 5 ssl com destino livre.

    Com relação a vpn não tera problemas, pois é um tunel e o trafego de ssl é apenas entre os servidores, quando um cliente inicia uma conexão ela vai trafegando os protocolos normais ate o servidor que "encapsula como ssl" manda pro outro lado e o outro servidor desencapsula enviando para o destinatario com o mesmo protocolo inicial, por isso não tera problemas se vc liberar o trafego ssl tão somente entre os servidores.


    Isso iria impedir esses programas de funcionar, porem logo algum outro maluko inventa mais um protocolo de ofuscação e vai camuflar como sendo uma porta de um outro serviço e você vai ter que ficar quebrando a cabeça cada vêz que isso acontecer.
    Outra coisa é que mesmo que o programa pare de funcionar, os funcionarios vão ficar tentando faze-lo funcionar novamente e perdendo tempo ao inves de se dedicar ao trabalho, além de que esses programas vão ficar infinitamente tentando se conectar com os servidores gerando trafego ruim para sua rede.

    Sendo uma empresa que possui um parque grande de servidores e maquinas, acho que vc deveria utilizar um sistema de monitoramento assim como eu falei.

    Veja a responta do outro post.
    Abraço

    Citação Postado originalmente por analistaslack Ver Post
    Pode ser uma boa idéia, mas como ficaria a questão da vpn que tambem usa conexões SSL?

    Alguem experiente que possa respondar essa questão?


    Abraços a todos


    Diego Araújo

  18. #18

    Padrão

    Então, não sei te dizer de cabeça sobre o vnc mas, mas veja esse link:
    INFO Online - Fórum - Alguem sabe com ocultar o VNC do systray ??
    Ou procure no google que é bem simples.

    Você tera de utilizar um programa de monitoramento, eu utilizo o Nagios com interface web.
    Nagios: Home, tem no apt-get também.

    COm ele vc consegue fazer uma rotina verificar de tempos em tempos quem é que tá gerando trafego proibido na rede, claro que isso vai gerar um log etc, a questão do vnc é só mais uma sacada, apenas com os logs vc já pode repassar o problema em diante tendo certeza de qual maquina fez o que.

    Podes instalar o sarg para quantizar o trafego de rede pelos hosts e usar um plugin do nagios para ele te informar o que está ocorrendo pela interface web, fora os outras muitas utilidades dele como monitorar os hosts que estão ativos, testar alguns serviços neles, verificar também serviços no proprio servidor em outros etc. Muito versatil.

    Não sei lhe dar maiores detalhes sobre o sarg pois ainda não peguei essa batalha, mas já domino razoavelmente esse programa, se vc precisar de ajuda estamos ai.






    Citação Postado originalmente por analistaslack Ver Post
    Olá amigo,

    Gostei da sua idéia, muito interessante. Em primeiro lugar, vc pode me dizer como faço para que o vnc server fique rodando como um deamon, sem aparecer o ícone no systray?

    Segunda Pergunta: Como faço para que o firewall faça um controle para identificar os pcs que estão gerando trafego intenso de rede?

    P.S - Ficarei grato se vc me mostrar pelo menos o caminho das pedras, o resto me viro!


    Obrigado pela atenção,


    Diego Araújo

  19. #19

    Padrão

    Blz cara,

    Vou entrar de cabeça nesse Nagios, qualquer coisa te incomodo um pouco!!!!


    Abraços,



    Citação Postado originalmente por lawrence Ver Post
    Então, não sei te dizer de cabeça sobre o vnc mas, mas veja esse link:
    INFO Online - Fórum - Alguem sabe com ocultar o VNC do systray ??
    Ou procure no google que é bem simples.

    Você tera de utilizar um programa de monitoramento, eu utilizo o Nagios com interface web.
    Nagios: Home, tem no apt-get também.

    COm ele vc consegue fazer uma rotina verificar de tempos em tempos quem é que tá gerando trafego proibido na rede, claro que isso vai gerar um log etc, a questão do vnc é só mais uma sacada, apenas com os logs vc já pode repassar o problema em diante tendo certeza de qual maquina fez o que.

    Podes instalar o sarg para quantizar o trafego de rede pelos hosts e usar um plugin do nagios para ele te informar o que está ocorrendo pela interface web, fora os outras muitas utilidades dele como monitorar os hosts que estão ativos, testar alguns serviços neles, verificar também serviços no proprio servidor em outros etc. Muito versatil.

    Não sei lhe dar maiores detalhes sobre o sarg pois ainda não peguei essa batalha, mas já domino razoavelmente esse programa, se vc precisar de ajuda estamos ai.

  20. #20

    Question

    Citação Postado originalmente por sergio Ver Post
    Tanto que todo provedor de banda larga está ou já modificou seus contratos para franquia de volume trafegado... estourou a franquia, baixa a banda para valores mínimos ou corta a conexão.
    Tem como fazer um controle de trafego no linux, quando der o limite ele bloquea o ip.

    Usando softwares open source ?