Vision general del filtrado- Filtering overwiew

El sistema operático del Switch Alteon incluye capacidades de filtrado en la capa 2(MAC) ,
capa3(IP) y capa 4(TCP/UDP).

El filtrado son una serie de reglas que son aplicadas en el trafico antes que cualquier otra
acción.

Filtrado puede no ser aplicado o ser aplicado por puerto o ser aplicado por vlan.

Con el filtrado los administradores pueden controlar el trafico a través del switch y procesos
basados en reglas.

Visión general del filtrado-Filtering Overview

El filtrado da a los administradores de red una poderosa herramienta con los los siguientes
beneficios:

Los filtros pueden ser configurados para permitir o denegar de capa 2-capa7: MAC address, IP

-nat puede ser usado para mapear la fuente o el destino

-Interceptar trafico transparente y redirigir el trafico y puertos.

Aplicar una administración de ancho de banda en base a un criterio de selección

Motor de filtrado basado en políticas-Policy based Filtering engine.

Hasta 2048 filtros pueden ser configurados en Alteon.Nombres descriptivos pueden ser
usados para definir los filtros.

Cada filtro puede ser puesto ejecutando acciones de filtrado basadas en una combinación de
las siguientes opciones de filtro.

Direccion Mac fuente.

Direccion Mac de destino.

Direccion ip fuente o un rango.

Numero de protocolo o nombre es decir Aplicación TCP/UDP o puerto fuente o rango de

puerto fuente.

Aplicación TCP/UDP o puerto de destino o rango de puertos de destino.

Opciones de filtrado avanzado tales como flags o mensajes ICMP .

Url de capa 7 y Cookies.

La acciones de filtrado son las siguientes:

Allow- Permite el paso del frame.

Deny- Descarta los frames que encajan con el perfil del filtro.Esto puede ser usado para
construir perfiles de seguridad básicos

Redir- Redirecciona frames que encajan con el perfil de filtrado por ejemplo
redireccionamiento de la cache del servidor

Goto-Permite al usuario especificar un Id de filtro objetivo de forma que el filtro de búsqueda

deberia saltar cuando concuerden. La acción “Goto” causa un procesamiento de filtrado para
saltar al filtro designado, de esta forma eficazmente se salta sobre un bloque de IDs de
filtrado. De esta forma la búsqueda de filtrado continua desde el ID de filtro designado.

Nat-Esto puede ser usado para mapear la dirección ip fuente o de destino y la información de
puerto de una red privada a /desde las direcciones ip y puertos de red especificados
Uso de filtrado-Filter Usage

Usando el criterio de filtrado tu podrias crear un filtrado único que bloquee el trafico externo
de telnet a tu servidor excepto desde una dirección ip de confianza.

Otro filtro podría advetirte si el acceso a FTP es llevado a cabo desde una dirección ip
especifica.

Otro filtro podría redirigir todo el trafico de correo entrante a un servidor donde podría ser
analizado para buscar spam.

Las opciones son casi infinitas.

Deben configurarse filtros globales y ello es posible para uno o mas parametros a ser
chequeados.

Pueden existir hasta 2048 filtros. Asigna los filtros localmente por puerto físico.

Cuando multiples filtros son asignados en un puerto el numero de filtro determina el orden de
precedencia.El filtro con el numero mas bajo es chequeado primero

Cuando el trafico pasa por el puerto del switch si el filtro concuerda con uno definido la acción
configurada tiene lugar a cabo y el resto de filtros son ignorados.

Si el criterio de filtrado no concuerda el próximo filtro es probado.

Es una practica recomendada poner números de filtro en pequeños incrementos(5,10,15,20)

para hacer mas fácil la inserccion de filtros a la lista mas tarde.Sin embargo como el numero
de filtros aumenta tu puedes mejorar el rendimiento minimizando el incremento entre filtros.

Los filtros pueden ser nombrados.

Antes de configurar filtros debería ser habilitado en cualquier puerto dado un filtro por
defecto. Este filtro por defecto manejara cualquier trafico no cubierto por cualquier otro filtro.

Todos los criterios en el filtro por defecto deben abarcar el mayor rango posible (any).
Ips Fuente e Ips de destino
Tu puedes especificar un rango de direcciones ip para filtrar las direcciones ip fuente y de
destino para el trafico. Cuando un rango de direcciones ip es necesario las direcciónes ip
fuente o la direcciónes ip de destino definen las direcciones ip del rango deseado.
Ejemplo de filtrado

En este ejemplo observamos como todo el trafico http necesita ser enviado a un servidor de
proxy transparente. Para ello podríamos crear un filtro para interceptar el trafico http y
redirigirlo al servidor de proxy.

Optimizando el rendimiento de filtrado- Optimizing filter performance

Para un filtrado eficiente los filtros que son usados mas a menudo se colocan cerca del
comienzo de la lista de filtrado es decir se colocan los primeros en la lista.

Es recomendable practicar un designación de números de filtrado en pequeños incrementos

(5,10,15,20 etc..) para hacer mas fácil la inserccion de filtros en la lista mas tarde.

Se puede mejorar el rendimiento minimizando el incremento entre filtros.Por ejemplo los

filtros numerados como 2,4, 6 y 8 son mas eficientes que 20,40,60 y 80.

El mejor rendimiento es logrado cuando los filtros son numerados secuencialmente

comenzado desde 1.

Configurando redirección de filtros

Los pasos son los siguientes:

-Primero crea un servidor real y entonces crea un grupo y añadelo o añadelo a un grupo
previamente creado.

-Crea el filtro. Primero asignamos un numero de filtro , asignamos la opción de

filtrado(protocolo y puerto porejemplo),y asignamos la acción a realizar a un grupo

-Agrega la regla de filtro al puerto que necesites y habillita el filtrado en el puerto

-habilita el balanceo (se puede permitir o denegar en este paso aunque con esta acción
configurada no tiene sentido)
Comparación de SLB

Aquí podemos ver la diferencia entre un balanceo de carga con VIP y un balanceo de carga con
filtrado usando como acción de filtrado la redirección.

Caso de uso de filtrado NAT

A continuación vamos a ver dos caso de acciones de filtrado NAT(ver primeros puntos donde
se explican las acciones de filtrado)
Configuración estática PIP:

El hecho de hacer nat como es el caso de usar un proxy es una acción de filtrado para
configurarlo en un puerto o un rango o una vlan para configurar pip lo hacemos como en la
imagen:

Inserccion de pip condicional en salida

Este puede ser otro caso de acción de filtrado, la insercción de una ip de proxy puede ser
habiltada sobre un servicio virtual o un proxy cuando un paquete abandona el switch por un
puerto o por una vlan.

En este caso si el criterio del filtro(opción de filtrado ip, mac etcc..) concuerda con el paquete
la source ip es reemplazada con la IP del proxy
Podemos ver en la imagen de arriba como se configura el filtro para hacer el nat con el proxy.

Caso de uso de redirección. Redirección de http a https

A continuacion vemos un ejemplo de uso de acción de filtrado mediante la redirección de http

a https.

Podemos crear un filtro en Alteon que redirigira las peticiones http a https de manera que
cuando los clientes envían una petición http a la virtual IP se redirigirán al servicio https
En este caso el filtrado examinaría el servicio peticionado por el cliente y al ver que es http lo
redirecciona a https que es el servicio que la VIP soporta o para el que esta configurado.

Para configurar elementos de capa 7 vamos a usar la interfaz de línea de comandos para ello
iremos al menú de configuracion de load balancing luego escribremos “slb”, esto nos llevara a
“Server Loadbalance Recourse” a continuación necesitamos añadir un string(que será el
recurso) asi que escribiremos addstr.

A continuación necesitamos escribir el tipo de string, en este caso será de “búsqueda de

capa7” asi que escribimos l7

Como queremos aplicar esto a un string de cabecera necesitamos seleccionar “yes” para
configurar “HHTP header string”

A continuacion nosotros necesitamos escribir el nombre del header: host:www.radware.com”

Si estuviésemos usando valores de string de cabecera para load balancing a continuación los
pondríamos como no es nuestro caso saltaremos este paso y diremos que no “n”

A continuación añadimos nuestro string , date cuenta que especificamos el header seguido por
dos puntos y entonces entramos el nombre de host seguido por dos puntos tambien,
finalmente especificamos el puerto en este caso 443 porque queremos redirigir a HTTPS.

Alternativamente a esto ultimo podemos especificar “any” en lugar de especificar el host

name
A conitnuacion podemos ver los números de string ID que acabamos de crearsi no lo hemos
grabado todavía podemos podemos escribir diff y ver los ID Numbers.

De otro forma si ya lo salvamos podemos ir al menude configuracion de slb para ver los strings
y sus ids.
Configurando filtros
Ahora que hemos creado nuestros strings en el apartado anterior y tenemos nuestros IDS
vamos a configurar los filtros.Para hacer esto vamos al menú de configuracion slb y
configuramos el filtro 1 , habilitamos el filtro y especificamos la acción de filtrado que en
nuestro caso será redirección, tambien necesitamos especificar la versión de ip , protocolo y
puerto de destino.

A continuación en el menú avanzado del filtro seleccionamos layer 7 y habilitamos “layer 7

lookup” y entonces añadimos los strings de redirección por el ID

Bajo el menú de redirección nosotros necesitamos habilitar dbind

Por ultimo necesitamos habilitar el filtro sobre el puerto, en nuestro caso notostros queremos
aplicar el filtro que acabamos de crear en el puerto 1, por tanto habilitamos el filtro y lo
añadimos al puerto.

Traza de Informacion

Podemos usar wireshark o hhtpfox para asegurarnos que el filtro esta siendo aplicado
Caso de uso redirección transparente
Redirección de aplicaciones
SLB Transparente

Aceleracion SSL con dispositivos externos