Transparencias de clase sobre “Firewalls”

Continuando con las publicaciones de viejas transparencias de clase de Administración e Instalación de Redes de Computadores, en particular, de las que dedicaba a seguridad en red, hoy toca el turno de la presentación que hice sobre el diseño y configuración de cortafuegos. Para estas transparencias usé como principal fuente de información el libro “Building Internet Firewalls” de D. Bremt Chapman y Elizabeth D. Zwicky, editado por O’Reilly.

¡Espero que os sea útil!


Thepiratebay.se, bloqueo y técnicas para evadirlo

Creo que casi todos conocemos ya que un juez ha ordenado bloquear el acceso a The piratebay desde España. Esta orden afecta a los proveedores de servicio españoles que suelen cumplirlo mediante:

  • Las resoluciones DNS
  • Inspección de paquetes

(El que no usen un filtro contra la IP es porque esa IP puede estar asignada para más de un sitio web y estos no deberían “pagar” por el hecho denunciado si no son los responsables)

Si se aplica el bloqueo en el DNS, con indicarle a nuestros sistemas que usen otros que no se hayan visto afectados por la orden sobra para que podamos seguir accediendo a dicho sitio. Por ejemplo, podemos usar openDNS o los de Google (8.8.8.8).

Si se realiza inspección de paquetes, con conectarnos mediante HTTPS sobra para acceder al sitio. En la inspección de paquetes lo que se busca es información relevante para realizar la tarea encomendada (normalmente, se busca en el nivel de aplicación). Para este caso, lo normal es que se busque la cabecera host del protocolo HTTP ya que se encarga de identificar el sitio al que nos queremos conectar. Si usamos HTTPS esta información va cifrada y “no la encontrará el analizador”.

Si se usaran combinadas las 2 técnicas, tendríamos que combinar las 2 “soluciones”. No es necesario ni VPNs ni TOR como se menciona en este artículo sobre cómo saltarse el bloqueo, aunque, evidentemente, son buenas opciones que, además, nos dan otras ventajas añadidas a simplemente conectarnos a ThepirateBay.se

¡Espero que os sea útil!

PD: No soy usuario de este sitio, pero he probado desde mi PC, con Vodafone como ISP, y  funciona perfectamente  la conexión con HTTPS y no con HTTP.

PD2: Conseguir el efecto que pretende la orden del juez es muy complicado tal y como funciona y se organiza Internet

 

 


Protocolo de transporte p2p

Hemos comentado varias veces en clase el tema de los filtros anti-p2p en Internet y la cabezonería de algunos gobiernos de intentar “ponerle puertas al mar“.

En meneame he encontrado esta noticia referente al protocolo de transporte de p2p. En el resumen se comenta:

El cliente para intercambio P2P de ficheros de BitTorrent, uTorrent, ha cambiado, como respuesta a un sistema de filtrado de la compañia Bell Canada, el protocolo de transporte de ficheros por defecto de TCP a UDP, que antes sólo usaba como protocolo para intercambio de trackers. Otras aplicaciones, concretamente las de VoIP, juego en red y videoconferencia, usan ese mismo protocolo, con lo que las medidas que los ISP puedan tomar, como limitar ese protocolo por el alto tráfico generado, puede afectar mucho la calidad de esos servicios.

Por otra parte, un compañero vuestro (Antonio Manuel Espinosa) me propuso una entrada relacionada con el p2p:

Es muy comun el utilizar programas de intercambio como emule, y como administradores de una red, sabemos lo que ocasiona este tipo de trafico en una red, por lo que una posible entrada para nuestro blog seria el como afectaría ( o como afecta ) el trafico p2p a las redes, y cual sería la solución para aligerar la red. Así como si las medidas que piensan llevar a cabo los operadores son adecuadas o no.

¿Qué pensáis vosotros? Los comentarios deben ir enfocados a argumentaciones sobre:

  • Cómo afecta al tráfico p2p a otros servicios de la red y consecuencias.
  • Posibles soluciones para la convivencia de estos servicios y protocolos.
  • Qué pensáis que supone la estrategia de cambiar el protocolo de transporte de TCP a UDP de los protocolos p2p.

Ponerle puertas al mar

Pues eso, estamos de nuevo con el socorrido tema de filtrar-controlar-… el P2P para “acabar” con el “pirateo” de música, pelis, etc.

He leído (a través de barrapunto) el artículo del diario Público en el que se analiza la intención de las grandes operadoras de tomar el ejemplo de Gran Bretaña y Francia para limitar el uso de las redes P2P.

Al margen de los comentarios políticos-económicos y de los morales, si nos centramos en los técnicos, podríamos aprender mucho simplemente pensando en cuáles son los pasos que, como administradores de redes, realizaríamos para conseguir el objetivo marcado por “los jefes”; ver qué se puede hacer, qué conseguiríamos y que no, nos puede ayudar a aprender de redes, TCP/IP, filtros,…

Si no nos queremos calentar la cabeza, siempre están las iptables y el módulo ipp2p que realizan un trabajo aceptable (aunque no perfecto)

IPP2P identifies P2P patterns in TCP and UDP packets, the default behavior is to search TCP traffic
only. The need to specify “-p tcp” is reversed with IPP2P version 0.7-pre2 and above. You now have
different ways to search UDP and TCP packets:
iptables -A FORWARD -p tcp -m ipp2p –bit -j DROP /*TCP traffic only*/
iptables -A FORWARD -p udp -m ipp2p –bit -j DROP /*UDP traffic only*/
iptables -A FORWARD -m ipp2p –bit -j DROP /*UDP and TCP traffic*/


Direcciones IP y datos personales

Existe un dicho que dice que “todo depende del color del cristal con el que se mire”.

La Unión Europea (y también el Gobierno de España) considera la dirección IP como un dato de carácter personal, por lo que debe ser tratado según dicta, para el caso español, la Ley de Protección de Datos (para más información).

Google no opina lo mismo. Argumenta que una IP cambia constantemente (para eso está el DHCP pensarán 😉 ) y que la dirección IP sólo proporciona información del usuario a los ISP (ya que éstos, cruzando datos, pueden saber a qué usuario le corresponde, en un momento dado, una dirección IP).

¿Quién pensáis tiene razón? ¿O quién se saldrá con la suya?

Dos preguntas que pueden no tener la misma respuesta…


Las cookies nos permiten ofrecer nuestros servicios. Al utilizar nuestros servicios, aceptas el uso que hacemos de las cookies. Más información.