Filtrage du peer-to-peer sur un réseau régional

Filtrage du peer-to-peer sur le
réseau régional Lothaire
Sébastien MOROSI
[email protected]
Plan
z Politique générale de sécurité
z Problèmes
z Filtrage
„ classification
„ configuration
„ exceptions
„ limiter sans bloquer
z Résultats
2
Politique générale de sécurité
z Les machines de Lothaire
„ ont tous les droits en SORTIE de Lothaire
„ ne sont pas joignables depuis l'extérieur
z Tout ce qui n'est pas autorisé est interdit
z Si une machine doit être 'visible' depuis Internet, alors
elle est considérée comme un serveur ; des droits
particuliers sont positionnés
3
Plan
z Politique générale de sécurité
z Problèmes
z Filtrage
„ classification
„ configuration
„ exceptions
„ limiter sans bloquer
z Résultats
4
Problèmes
z La métrologie nous a permis de mettre en évidence
des comportements atypiques :
„ de plus en plus de machines se sont mises à jouer un rôle de
serveur sans être déclarées comme tel
„ des PC personnels/individuels "envoyaient" des quantités
importantes de données à destination de l'Internet national et
international
z Des machines envoyant quotidiennement plusieurs
dizaines de giga octets de données, et ce sur des ports
utilisés par des applications de mise à disposition de
fichiers
5
Problèmes
Les machines les plus actives ne sont
plus les serveurs 'bien connus' mais des PC
d'utilisateurs (70% du top 15 !)
6
Pics de trafic
Problèmes
Protocoles ciblés
Quantités importantes
7
Question
z Doit-on limiter ou interdire ce type de trafic ?
„ oui
„ et non
z Non
„ l'utilisation qui est faite de l'outil informatique ne nous concerne
pas, encore moins s'il s'agit du domaine privé
z Oui
„ l'utilisation qui en est faite ne doit pas pénaliser l'ensemble de la
communauté ou mettre en péril l'infrastructure
„ rôle d'opérateur sur Lothaire : trouver un compromis satisfaisant les
politiques de sécurité (chartes et règlements intérieurs) des
différentes communautés présentes sur Lothaire
„ utilisateur de Renater : garantir au maximum le respect de la
"Charte de déontologie et de sécurité" de Renater
8
Notre réponse
z Non, nous ne devons pas l'interdire
z Oui, nous devons limiter ce type d'utilisation des
ressources
„ cette limitation devant être débrayable, à la demande des
utilisateurs
z Mise en place d'un filtrage du peer-to-peer sur
Lothaire
9
Plan
z Politique générale de sécurité
z Problèmes
z Filtrage
„ classification
„ configuration
„ exceptions
„ limiter sans bloquer
z Résultats
10
Le filtrage
z Filtrer
„ sur l'ensemble de Lothaire
 sur le routeur régional - un Cisco 7206 NPE-G1
„ les protocoles incriminés
 dynamiques, adaptatifs, utilisation de protocoles standards
comme HTTP pour réaliser les transferts de fichiers
 nécessite un mécanisme évolué de classification du trafic
„ à l'exception des @IP pour lesquelles une demande a été
réalisée
 nécessite la mise en place d'un mécanisme d'exclusion
„ limiter mais ne pas bloquer
 mise à disposition d'une certaine bande passante
 le blocage total étant qui plus est beaucoup plus compliqué
11
Filtrer au niveau régional
Collège Européen de Technologie
Lycée Alfred Mézières
IUT de Longwy
LONGWY
THIONVILLE
IUT de Metz-Thionville
FORBACH
VERDUN
IUT de Nancy-Verdun
IUT de Metz-Forbach
METZ
SAULCY
Pôle Universitaire Européen
IUT de Metz-Sarreguemines
IUT de Metz- Saint Avold
Lycée Georges De La Tour
SARREGUEMINES
SAINT AVOLD
Inspection Académique 57
Incubateur Lorrain - Metz
IUFM Montigny
Réseau Métropolitain
AmpereNet
IRTS Metz
Réseau Métropolitain
StanNet
CIRIL
LUNEVILLE
Réseau National
Renater
IUT de Nancy-Lunéville
IRTS Nancy
NANCY
LSGC - Prabil
Incubateur Lorrain - Nancy
BAR LE DUC
Pôle Européen de Santé
Inspection Académique 54
Inspection Académique 55
EPINAL
MIRECOURT
IUFM
CESS
SAINT DIE
INRA
IUT de Saint-Dié
CIRTES - INSIC
ENSTIB
Lycée Raymond Poincaré
CEJE
Lycée Louis Lapicque
CESS
Inspection Académique 88
IUT d’Epinal
ESITE
IUFM
12
Plan
z Politique générale de sécurité
z Problèmes
z Filtrage
„ classification
„ configuration
„ exceptions
„ limiter sans bloquer
z Résultats
13
Classification du trafic
z Utilisation du mécanisme NBAR :
"Network-Based Application Recognition" de Cisco
z Classification du trafic en analysant le contenu des
paquets (access-list de niveau 7)
z Connaissance d'un certain nombre de protocoles
standards
„ http, ftp, dhcp, dns, ntp, nfs …
z et propriétaires
„ CITRIX, MS Exchange, pc-anywhere, …
14
Classification du trafic
z La liste des protocoles peut-être étendue
„ par l'utilisateur sur identification des numéros de ports tcp
et/ou udp
„ par Cisco par le biais de "Packet Description Language
Module" (PDLM)
 Kazaa
 eDonkey
 napster
…
„ sans mise à jour de l'IOS : chargement de module
15
Classification du trafic
Protocol
IP
Header
TCP/UDP
Header
Data
Packet
Source
IP Address
Destination
IP Address
Source
Port
Destination
Port
NBAR
Deep Packet
(Payload)
Inspection
© 2003 Cisco Systems, Inc. All rights reserved.
16
Plan
z Politique générale de sécurité
z Problèmes
z Filtrage
„ classification
„ configuration
„ exceptions
„ limiter sans bloquer
z Résultats
17
Configuration NBAR
z Importation de PDLM Cisco
ip
ip nbar
nbar pdlm
pdlm disk2://edonkey.pdlm
disk2://edonkey.pdlm
ip
nbar
pdlm
disk2://kazaa2.pdlm
ip nbar pdlm disk2://kazaa2.pdlm
z Définition d'un protocole personnalisé pour BitTorent
ip
ip nbar
nbar port-map
port-map custom-01
custom-01 tcp
tcp 6881
6881 6882
6882 6883
6883 6884
6884
6885
6885 6886
6886 6887
6887 6888
6888 6889
6889
18
Configuration NBAR
z Création d'une "class-map" décrivant les protocoles de
type peer-to-peer à filtrer
class-map
class-map match-any
match-any protocol4P2P
protocol4P2P
match
match protocol
protocol kazaa2
kazaa2
match
match protocol
protocol fasttrack
fasttrack
match
protocol
edonkey
match protocol edonkey
match
match protocol
protocol http
http url
url "\.hash=*"
"\.hash=*"
match
match protocol
protocol http
http url
url "/.hash=*"
"/.hash=*"
match
match protocol
protocol custom-01
custom-01
19
Plan
z Politique générale de sécurité
z Problèmes
z Filtrage
„ classification
„ configuration
„ exceptions
„ limiter sans bloquer
z Résultats
20
Gérer les exceptions
z Filtrage applicable à tout Lothaire, à l'exception des
utilisateurs en faisant la demande
z Utilisation d'une "class-map" de type "match-all"
„ pour qu'un flux soit filtré, il faut
 qu'il fasse partie des réseaux autorisés dans par une access-list
ET (match-all)
 qu'il soit identifié comme faisant partie des protocoles
peer-to-peer (la "class-map" protocol4P2P)
class-map
class-map match-all
match-all p2p
p2p
match
access-group
match access-group name
name network4P2P
network4P2P
match
match class-map
class-map protocol4P2P
protocol4P2P
21
Gérer les exceptions
z Utilisation d'une "access-list" pour déterminer les
réseaux qui ne passeront pas dans la class-map :
ip
ip access-list
access-list extended
extended network4P2P
network4P2P
deny
deny ip
ip any
any 152.81.0.0
152.81.0.0 0.0.255.255
0.0.255.255
deny
deny ip
ip 152.81.0.0
152.81.0.0 0.0.255.255
0.0.255.255 any
any
deny
deny ip
ip any
any 195.220.95.0
195.220.95.0 0.0.0.255
0.0.0.255
deny
deny ip
ip 195.220.95.0
195.220.95.0 0.0.0.255
0.0.0.255 any
any
permit
permit ip
ip any
any any
any
22
Plan
z Politique générale de sécurité
z Problèmes
z Filtrage
„ classification
„ configuration
„ exceptions
„ limiter sans bloquer
z Résultats
23
Limiter sans bloquer
z Utilisation d'un "shaper" : tout le trafic identifié
comme devant être filtré (class-map) est limité
(policy-map) en entrée et en sortie de Lothaire
policy-map
policy-map p2p
p2p
class
class p2p
p2p
police
police 512000
512000 16000
16000 16000
16000 conform-action
conform-action transmit
transmit
exceed-action
exceed-action drop
drop
class-map
class-map match-all
match-all p2p
p2p
match
match access-group
access-group name
name network4P2P
network4P2P
match
class-map
protocol4P2P
match class-map protocol4P2P
interface
interface GigabitEthernet0/1.50
GigabitEthernet0/1.50
description
description *****
***** Lothaire
Lothaire <->
<-> Renater3
Renater3 *****
*****
service-policy
service-policy input
input p2p
p2p
service-policy
service-policy output
output p2p
p2p
24
Résumé
Paquet
non
∈ Réseau filtré
oui
non
∈ Protocole filtré
oui
Débordement
25
Résumé
ip nbar pdlm disk2://edonkey.pdlm
ip nbar pdlm disk2://kazaa2.pdlm
!
ip nbar port-map custom-01 tcp 6881 6882
6883 6884 6885 6886 6887 6888 6889
policy-map p2p
class p2p
police 512000 16000 16000
conform-action transmit
exceed-action drop
class-map match-any protocol4P2P
match protocol kazaa2
match protocol fasttrack
match protocol edonkey
match protocol http url "\.hash=*"
match protocol http url "/.hash=*"
match access-group name eMule
match protocol custom-01
match access-group name BitTorrent
class-map match-all p2p
match access-group name network4P2P
match class-map protocol4P2P
interface GigabitEthernet0/1.50
description : Lothaire <-> Renater3
service-policy input p2p
service-policy output p2p
ip access-list extended network4P2P
deny
ip any 152.81.0.0 0.0.255.255
deny
ip 152.81.0.0 0.0.255.255 any
deny
ip any 195.220.95.0 0.0.0.255
deny
ip 195.220.95.0 0.0.0.255 any
permit ip any any
26
Plan
z Politique générale de sécurité
z Problèmes
z Filtrage
„ classification
„ configuration
„ exceptions
„ limiter sans bloquer
z Résultats
27
Résultats
z Filtrage efficace
„ NBAR actif et limitation en vigueur
gw1.nancy#sh
gw1.nancy#sh policy-map
policy-map interface
interface gigabitEthernet
gigabitEthernet 0/1.50
0/1.50 input
input
GigabitEthernet0/1.50
GigabitEthernet0/1.50
Service-policy
Service-policy input:
input: p2p
p2p
Class-map:
Class-map: p2p
p2p (match-all)
(match-all)
2533775985
packets,
2533775985 packets, 827179686411
827179686411 bytes
bytes
55 minute
minute offered
offered rate
rate 682000
682000 bps,
bps, drop
drop rate
rate 174000
174000 bps
bps
Match:
access-group
name
network4P2P
Match: access-group name network4P2P
Match:
Match: class-map
class-map match-any
match-any protocol4P2P
protocol4P2P
Match:
Match: protocol
protocol kazaa2
kazaa2
313924
313924 packets,
packets, 352084782
352084782 bytes
bytes
55 minute
minute rate
rate 254000
254000 bps
bps
[...]
[...]
Match:
Match: protocol
protocol custom-01
custom-01
458060
458060 packets,
packets, 187008711
187008711 bytes
bytes
55 minute
rate
38000
bps
minute rate 38000 bps
police:
police:
512000
512000 bps,
bps, 16000
16000 limit
limit
conformed
2395613428
conformed 2395613428 packets,
packets, 645232743767
645232743767 bytes;
bytes; action:
action: transmit
transmit
exceeded
exceeded 138136226
138136226 packets,
packets, 182136227308
182136227308 bytes;
bytes; action:
action: drop
drop
conformed
conformed 512000
512000 bps,
bps, exceed
exceed 174000
174000 bps
bps
28
Résultats
z Retour à un Top 15 cohérent
29
Résultats
z Lissage des pics
„ meilleure utilisation de la bande passante
z Quantités octet redevenues raisonnables
30
Problème
z Utilisation accrue de la CPU du routeur régional
„ environ x2
„ plus sensible aux attaques de type DoS
CPU du routeur régional
SANS
AVEC
NBAR
31
Question
z NBAR c'est bien
z mais peut-on le mettre en œuvre sur un réseau
régional routant 180 Mb/s ?
32
33