Optimizando el Ancho de Banda: Quality of Service con Filtro de Contenido en Layer7

Transcripción

1 Optimizando el Ancho de Banda: Quality of Service con Filtro de Contenido en Layer7 Sebastián Norberto Mussetta Norberto Gaspar Cena Alumnos de la Especialización en Ingeniería en Sistemas de Información Av. universidad Villa María Córdoba. Tutor: Ing. Daniel Britos. ngcena@frvm.utn.edu.ar ABSTRACT Las redes de computadoras crecieron de manera exponencial en los últimos años. Esto se vio reflejado en la necesidad de subdividir las redes para hacer un uso más eficiente de las direcciones de red. La necesidad de un mayor ancho de banda para la conexión fue necesaria y los programas p2p (emule, Ares, edonkey, etc.), mensajeros instantáneos, redes privadas virtuales, accesos remotos, etc. fueron ganando espacio en las PC s de todos los usuarios de la red. Esto hizo que las empresas proveedoras de enlaces no dieran abasto por gran consumo que tienen estos programas. Hace algunos años atrás se controlaba el uso de estos programas aplicando filtros en la capa de Internet del protocolo TCP/IP. Los programas fueron creciendo y encontraron una forma de burlar los controles que los administradores de las redes imponían. Como los servidores de control de acceso filtraban los puertos conocidos de los programas, cuando encontraban bloqueado el puerto por defecto por el que se comunicaban habitualmente, empezaron a hacerlo por el primer puerto que encontraban libre en los Gateways. Así fue el caso de que se comunicaban por el puerto WEB (80), de SMTP (25) o cualquier puerto que detectaran disponibles. Ya no basta, para controlar el ancho de banda de manera eficiente disponible en las organizaciones, aplicar filtros de contenido en la capa de Internet. Por otra parte también los Gateways creciendo y proveían de herramientas para que los administradores pudieran lidiar con este problema. Así fue que los sistemas los sistemas operativos del tipo GNU/Linux agrego en su núcleo la posibilidad de poder filtrar el contenido de los paquetes que pasaban por la maquina a nivel de aplicación. De esta forma los controles ahora no se realizan más a nivel de la capa de Internet si no que se llego a la cima de la pirámide del protocolo TCP/IP (capa de aplicación) para poder lidiar con este inconveniente. A lo largo de este trabajo se pretende introducir al lector en la implementación de un eficiente filtro de contenido, mediante filtro de contenido en la capa de Aplicación. 1. INTRODUCCION Para poder realizar una comunicación entre computadoras es necesario que las mismas comprendan un leguaje común o sea que implementen un mismo protocolo de comunicación. A lo largo de los años, diferentes compañías informáticas, desarrollaron diversas tecnologías de red propietarias. Al principio era muy complejo poder comunicar estas tecnologías propias de diversos proveedores ya que carecían de un protocolo común. Es por esto que en 1984 la ISO (International Organization for Standardization) desarrollo un modelo de comunicación estándar OSI (Open Systems Interconectd) que facilitó a los proveedores informáticos poder compatibilizar sus tecnologías de red unos con otros. Este modelo esta dividido en 7 capas, cada una con una función de red especifica. Una implementación del modelo OSI que gano muchos adeptos con el correr de los años es el del protocolo TCP/IP, una implementación de 5 capas del modelo OSI.

2 GNU/Linux es un sistema operativo que se distribuye bajo la licencia GPL. A las distintas distribuciones que existen las acompañan software que se basan en la misma licencia y que son desarrollados por The Free Software Foundation. Una entidad sin fines de lucro fundada en el año 1985 por Richard Matthew Stallman con la finalidad de eliminar las restricciones sobre la copia, redistribución, entendimiento, y modificación de programas de computadoras. En este trabajo nos enfocaremos en la capa 7 Capa de aplicación del modelo OSI (Capa 5 del modelo TCP/IP). En esta capa están especificados los mecanismos de comunicación entre diferentes aplicaciones (pop3, smtp, telnet, ftp, http, dnmp, ssh, etc.) Normalmente cuando se desea filtrar o especificar un determinado ancho de banda para una determinada aplicación se suele tener en cuenta el/los puertos que utilizan dichas aplicaciones y en función de eso se crean reglas. Este esquema no es eficiente por varios motivos particulares: Si bien por lo general las aplicaciones de manera predeterminada corren siempre en los mismos puertos, el administrador puede cambiar dicha configuración. Ej. Se puede configurar un servicio web en el puerto 29 en lugar del 80. Esto produce que el administrador de red no pueda optimizar los filtros deseados ya que no puede conoce a ciencia cierta en que puertos corren determinados servicios remotos. Hay Servicios que utilizan varios puertos, como es el ejemplo del servicio ftp. Si bien este servicio corre por defecto en el puerto 21, además utiliza otros puertos a la hora de realizar las transferencias. Estos puertos son dinámicos resultando un inconveniente a la hora de establecer reglas. Los servicios P2P (peer to peer) como las aplicaciones que utilizaban en sus orígenes puertos estáticos determinados para realizar las comunicaciones. El administrador de red conocía estos puertos y configuraba las reglas en función de los mismos. Con el tiempo, estos programas fueron evolucionando y obtuvieron la capacidad de utilizar cualquier puerto disponible en la red, incluso el 80, que casi siempre esta disponible para que pueda existir trafico http. Por suerte para los administradores de red existe una solución llamada L7-filter. L7-filter es un clasificador de paquetes para el kernel de GNU/Linux que no busca en los puertos de origen y destino o protocolos utilizados en el paquete, sino que busca una expresión regular dentro del mismo para determinar la aplicación en cuestión. 2. PREREQUISITOS 2.1. Netfilter/Iptables Netfilter es una parte importante del kernel de Linux en términos de seguridad, manejo y manipulación de paquetes. La herramienta de consola del paquete netfilter es iptables, con esta herramienta el usuario le ordena al kernel lo que tiene que hacer cuando los paquetes llegan, pasan a través o salen de la maquina GNU/Linux. El uso mas común de netfilter es el de filtro de paquetes y el de network address translation (NAT), pero existe una cantidad extensa de cosas que se pueden hacer con netfilter, una de ellas es el filtro en layer7. Una breve explicación de cómo funciona netfilter es: El usuario instruye al kernel de lo que necesita que este haga cuando llega un paquete desde una IP especifica usando el comando iptables.

3 El kernel analiza la cabecera IP de todos los paquetes siguiendo las instrucciones del usuario. Si cuando mira la cabecera IP, esta coincide con la regla, el paquete es manipulado de acuerdo a las preferencias del usuario. Netfilter consta de tablas, estas contienen ciertas reglas por defecto, que son llamadas cadenas. La tabla por defecto cargada dentro del kernel es la de filter y contiene las siguientes cadenas: INPUT: Contiene las reglas para los paquetes que como destino tienen la propia maquina GNU/Linux. FORWARD: Contiene las reglas para los paquetes que la maquina con GNU/Linux enruta hacia otra dirección en la red. OUTPUT: Contiene las reglas para los paquetes que salen de la propia maquina con GNU/Linux. Opciones de iptables Existen distintas operaciones que se pueden realizar con iptables, las más comunes que se pueden enumerar son: Listas las reglas de una cadena (iptables -L CADENA). Cambiar la política de una cadena (iptables -P CADENA ACCEPT). Especificaciones en el filtrado de paquetes Los paquetes IP pueden ser identificados por las reglas de iptables de numerosas formas, como ser las interfaces de entrada/salida, protocolo, puerto, etc. El comando iptables permite que el usuario pueda hacer uso de cada una de estas opciones individualmente o utilizando todas en conjunto. Esta flexibilidad que otorga iptables, permite al usuario crear desde simples reglas como puede ser filtrar un puerto hasta complejas reglas que permitan hacer filtros en las capas 2, 3 y 4 del modelo TCP/IP. Especificaciones de Target En la tabla filter las opciones más comunes son DROP y ACCEPT. Si un paquete coincide con una regla de filtrado que tiene DROP, el paquete es descartado. Una vez que un paquete tiene coincidencia con una regla y el paquete es descartado no es analizada ninguna de las reglas siguientes en el caso de que hubiese. En cambio si el paquete coincide con una regla en ACCEPT, es aceptado y no se consulta ninguna otra regla del firewall en el caso que hubiese. Una alternativa a DROP es REJECT. Esta opción descarta el paquete y envía un paquete ICMP a la dirección IP del emisor informando de lo sucedido. iproute2 y Control de Trafico El iproute2 es un paquete que provee de varias herramientas para el ruteo avanzado, túneles y control de tráfico. Las herramientas más importantes que vienen incluidas en este paquete son ip y tc. La herramienta ip provee todo lo que necesita un administrador para configurar su GNU/Linux. Puede configurar las interfaces, hacer túneles, crear distintas políticas de ruteo, etc. Esta herramienta provee además la opción de monitorear rutas, direcciones y el estado de los dispositivos en tiempo real.

4 El comando tc permite a los administradores crear diferentes políticas de QoS en las maquinas con GNU/Linux. Para poder utilizar este soporte es necesario que las opciones CONFIG_NET_QOS y CONFIG_NET_SCHED estén cargadas en el kernel del sistema operativo. Encolado de Paquetes y Disciplinas de Cola. El encolado de paquetes es usado para determinar de qué manera se van a enviar los datos; con esta técnica se puede controlar, siguiendo algún criterio, la cantidad y prioridad de los datos que se envían. Existen algoritmos que hacen posible que los paquetes puedan ser encolados, estos algoritmos se denominan disciplinas de cola. La más simple de las disciplinas de cola es la Classless ya que permite únicamente las opciones accept, delay o reschedule en los datos. Esta disciplina se asocia con una interfaz de la maquina y controla el trafico de toda ella. Existe un tipo más complejo de disciplinas de colas que se denominan Classful. El uso común de estas disciplinas es el de separar diferentes tipos de datos. Se basa en el concepto de jerarquías. 3. MANIPULACION DE PAQUETES Este concepto esta relacionado con la alteración del contenido de los paquetes con la finalidad de tomar decisiones de ruteo correctas. La idea principal de utilizar la manipulación de paquetes es la de modificar las cabeceras del paquete IP en las opciones TOS y TTL. Con el comando iptables se puede marcar el paquete IP y esto puede ser utilizado por iproute2 para tomar decisiones de ruteo / QoS utilizando el comando tc. Esta marca interna se llama nfmark y no altera en absoluto ninguno de los campos de la cabecera del paquete IP. 4. FILTRO EN LAYER7 - CASO DE ESTUDIO Las pruebas del presente trabajo se van a realizar sobre una red de computadoras con un esquema estrella de 8 maquinas. Como medio de transmisión se utiliza cable UTP categoría 5. Las placas de red de las maquinas esta conectadas a un servidor a través de un switch ethernet a una velocidad de transmisión de 100Mbps. Este servidor cuenta con una conexión a Internet mediante un enlace ADSL de 256kbps de UpStream y 2.4Mbps de DownStream. Descripción del Servidor: (Mother MSI, Micro AMD Atlhon de 64 bits, 1Gb de Memoria ddr2, Disco Rígido sata2 de 160Gb, Placa de red 10/100, Placa Video Estándar) Descripción de los Clientes: (5 Computadoras móviles con sistema operativo Windows XP con placas de red 10/100, 2 PC escritorio con Windows XP con placas de red 10/100, 1 Servidor con Windows 2003 Server con placa de red 10/100) Paso 1: Compilar el Kernel. Si bien todas las distribuciones existentes de GNU/Linux están compiladas por defecto con soporte para netfilter, traen instalado el paquete iptables y todos los módulos necesarios

5 para hacer funcionar el Network Address Translation, es muy recomendable que el administrador compile nuevamente un kernel con las opciones especificas que se necesitan para el servidor, por estrictas razones de performance en el funcionamiento de la maquina. El kernel se puede obtener desde y a la fecha de escribir este artículo, se encuentra disponible la versión Esta fuera del alcance de este articulo la compilación misma del kernel, pero un buen articulo, escrito por Kwan Lowe, para aprender a hacerlo se puede encontrar en Cuando se compile el nuevo kernel se debe seleccionar la opción NETFILTER=y. En las versiones 2.6.x esta opción se puede encontrar en Device Drivers -> Networking support -> Networking support (NET=y). Con Netfilter de manera predeterminada se pueden crear reglas para hacer match con las primeras capas de TCP/IP. Ejemplo Capa acceso a red: Capa de red: iptables A CADENA m mac mac-source 00:AB:C3:11:22:33 j DROP iptables A CADENA s j ACCEPT Capa de transporte: iptables A CADENA p tcp dport 80 j ACCEPT L7-filter le agrega funcionalidad a netfilter para poder crear reglas que funcionen con la capa de aplicación, independientemente de los puertos, direcciones de red, protocolos, etc. Utilizados. Capa de aplicación: iptables A CADENA m layer7 --l7proto msn-messenger j DROP L7-filter esta compuesto por tres módulos: Kernel patch que brinda la capacidad al kernel de husmear dentro de los paquetes IP. Iptables patch, que brinda la capacidad a iptables para poder hacer coincidir match reglas con paquetes. Un conjunto de archivos patrones que tienen las expresiones regulares que utilizan las diferentes aplicaciones. Instalando L7-filter Lo primero que se debe realizar para poder aplicar el parche es bajar el codigo fuente de la apliccacion desde la pagina Con el codigo fuente en nuestro poder debemos proceder a parchear el kernel de la siguiente manera patch p1 < xxx/netfilter-layer7-vx. Luego se procede a compilar el kernel y dar soporte a las nuevas caracteristicas. Particularmente se deben marcar las siguientes opciones Network packet filtering, Connection tracking, Connection tracking flow accounting, Layer 7 match support.

6 Luego de tener el kernel correctamente configurado e instalado se debe instalar las definiciones de protocolos descargandolos desde la pagina Aplicando el iptables-patch: A continuacion se debe aplicar el parche para el iptables. Se deben descargar los fuentes desdes y aplicar el el parche de la siguiente forma: patch p1 < xxx/iptables-layer7-vx. Una vez realizados los pasos anteriores ya contamos con soporte en GNU/Linux para utilizar l7-filter. Ejemplo: Bloqueando acceso a red edonkey iptables A FORWARD m layer7 l7proto edonkey j DROP 5. CONCLUSIONES La implementación de esta herramienta permite la optimización del consumo de ancho de banda a la hora de acceder a recursos de Internet. El costo de implementación es mínimo en cuanto a dinero y esfuerzo, y el control de los paquetes se realiza de manera ágil consumiendo pocos recursos de hardware. La licencia de usuario de esta solución es GPL resultando una ser ventaja a la hora de elegir soluciones similares. Otras herramientas solo tienen en cuenta los puertos utilizados sin contemplar las aplicaciones, resultando ser alternativas ineficientes. Además de optimizar el consumo del ancho de banda, el administrador puede programar reglas de filtrado de paquetes según el host de origen y la aplicación utilizada. De esta manera restringe el acceso a determinadas aplicaciones según un criterio preestablecido (Ej. Chat en horario de trabajo, etc.). Los registros logs generados por esta herramienta pueden ser utilizados por otras aplicaciones permitiendo generar estadísticas útiles para el administrador y los directivos. El filtro de contenido en capa 7 sirve como base para la implementación del balance de carga. 6. BIBLIOGRAFIA Daniel P. Bovet, Marco Cesati, Understanding the Linux Kernel, 3 edición, Ed. O Reilly,2005 Richard Blum, Linux Command Line and Shell Scripting Bible, Ed. Wiley, 2008 Steve Hunger, Debian Gnu-Linux Bible, Ed. Hungry Minds, 2001 Linux Kernel Organization, Inc, The Linux Kernel Archives, Jun. 2008, Free Software Foundation Inc., GNU Operating System, Jun. 2008, Matthew Strait, Application Layer Packet Classifier for Linux, Abr filter.sourceforge.net Kwan Lowe, Kernel Rebuild Guide, 2004, HOWTO.html Debian Project, Debian GNU/Linux, Jun. 2008,