Layer 7 Pattern [Exist



  • Pessoal, boa tarde

    Por acaso existe algum pacote ou forma de criar Patterns Layer 7 de acordo com parâmetros digitados por nós?

    Estou perguntando porquê existe um firewall proprietário chamado Aker que possui implementações BSD.  O Mesmo possui uma opção chamada Filtragem de aplicação onde existem diversos parâmetros que podem ser obtidos à partir de uma monitoria via TCMDUMP ou por comportamento da aplicação em questão.  Dessa forma é possível bloquear diversos aplicativos como Google Talk, Skype e outros.

    Sabem se alguém está implementando isso ou é exclusividade do Core Team?



  • Infelizmente nativo no pfsense ainda não.

    Você pode tentar criar essas regras no snort ou suricata.



  • @marcelloc:

    Infelizmente nativo no pfsense ainda não.

    Você pode tentar criar essas regras no snort ou suricata.

    É uma pena.  Creio que se existisse um pacote que desse para integrar isso, seria uma forma da própria comunidade ajudar o core team à atualizar essa área que é complexa e ao meu "esquecida".  Se eu tivesse conhecimento aprofundado em programação, talvez começaria por aí hehehe



  • Bota conhecimento aprofundado nisso. O Ermal que é um dos core developer, portou a última versão do pf do openbsd para o freebsd.

    Da última vez que li um post dele sobre isso, ele afirma que esse tipo de regra degrada consideravelmente a performance do firwall.

    Esse deve ser um dos motivos para o L7 no pfsense se limitar a uns bloqueios pré definidos.

    De qualquer forma, a ultima atualização do snort, como já escrevi no outro post, pode ajudar bastante nisso.

    Acredito até que possa ser a base para um firewall totalmente L7(lógico que sem todas as cpu extras exclusivas para isso que vemos em soluções comerciais).



  • @marcelloc:

    Bota conhecimento aprofundado nisso. O Ermal que é um dos core developer, portou a última versão do pf do openbsd para o freebsd.

    Da última vez que li um post dele sobre isso, ele afirma que esse tipo de regra degrada consideravelmente a performance do firwall.

    Esse deve ser um dos motivos para o L7 no pfsense se limitar a uns bloqueios pré definidos.

    De qualquer forma, a ultima atualização do snort, como já escrevi no outro post, pode ajudar bastante nisso.

    Acredito até que possa ser a base para um firewall totalmente L7(lógico que sem todas as cpu extras exclusivas para isso que vemos em soluções comerciais).

    Certamente filtrar conteúdo na camada de aplicação consome muita cpu, mas à casos em que valha à pena investir em um processador mais partido hehehe.

    Com relação à colocar conhecimento aprofundado, o que você me sugeriria?  Eu realmente estou interessado em mecher nas entranhas e espinhos do código do pfsense, mas não sei por onde começar.
    :-\

    Forte abraço



  • Pode começar vendo como o l7 é  implementado no freebsd 10 ou superior.

    Depois a parte mais demorada ao meu ver é conseguir aplicar isso junto com os patches de kernel que o pfsense recebe bem como a certeza que isso não quebra nada do que ja tem implementado.


Log in to reply