iptables y control

Gino Paolo Peirano Alvarado gpeirano en interior.gov.cl
Mar Dic 21 21:20:31 CLST 2010 

Primero, sorry por el top-posting y por enviar el correo desde esta cosa.

El tema de p2p es complejo,cada dia tratan de camuflar el trafico, por lo 
que sera una caceria eterna.

Lo recomendable es aplicar politicas de seguridad potentes y sanciones de 
algun tipo para dar ejemplo. Con eso y una cuota de snortio y/o tcpdump, 
wireshark. Esas cosas tienen un patron definido, hay que pillarlo, segun 
recuerdo hace poco muto ares.

Cuando pilles a alguien, notificas y haces correr todo lo que preparaste en 
tu politica, luego creas una leyenda estilo matanza de san p2p. Eso ultimo 
era broma ... O no? Jjejej


Saludos!

Gino

Enviado desde el servicio Blackberry del Ministerio del Interior, Chile.

----- Mensaje original -----
De: linux-bounces en listas.inf.utfsm.cl <linux-bounces en listas.inf.utfsm.cl>
Para: Discusion de Linux en Castellano <linux en listas.inf.utfsm.cl>
Enviado: Tue Dec 21 19:29:44 2010
Asunto: Re: iptables y control


El 21-12-2010 18:22, Javier Garay escribió:
> El día 21 de diciembre de 2010 18:14, Miguel Oyarzo O.<admin en aim.cl> 
> escribió:
>> .
>>
>>
>> Suena como matar mosquitos a cañonazos.
>>
>> Mas eficiente es seguir las recomendaciones previas:
>> Cerrar todo y abrir solo los protocolos y puertos autorizados.
>>
>
> P2P pasa fácilmente por el puerto 80 o cualquiera que tengas abierto,
> para frenar el envío de paquetes de ese tipo hay que marcar el trafico
> y luego decidir si lo desechas o lo tratas de una forma especial, eso
> lo haces con l7, ipp2p o tc, entre otros. Con cerrar puertos no logras
> nada.
>


Tienes razón en que clientes P2P pueden usar puertos 80 y otros
conocidos para pasar trafico pero esto no le conviene al cliente, pues
la mayoria de los algoritmos peer-to-peer implementados consideran que
el trafico debe provenir desde puertos fijos o dinamicos sobre el puerto
1536 (almenos Kazaa, Ares, Genutela, EDK2000 son asi)

Además, estos nodos aun requieren de puertos "altos" y fijos para
conectarse a los supernodos. Si el nodo no se pueden conectar a estos
supernodos/indices y recibir el listado de IP/Puertos con los peers y
files disponibles no trabajaran adecuadamente y terminará abortando sus
intentos quedar totalmente desconectados.

Sigo pensando que la solución Cerrar todo y abrir lo permitido es la
mejor herramienta contra el P2P.


=====================================
Miguel A. Oyarzo O.
Ingeniería en Redes y Telecomunicaciones
Austro Internet S.A.  &  INALAMBRICA S.A.
Teléfono: [+05661] 710030
Punta Arenas - Chile
Linux User: # 483188 - counter.li.org
=====================================

Más información sobre la lista de distribución Linux