[GTER] Netenforcer e P2P criptografado

Fabrício Cabral fabriciofx at gmail.com
Fri Sep 5 11:02:20 -03 2008


Olá todos!

> Trabalho com a solução da Allot aqui em SC. Segundo a documentação, o
> que a solução faz com relação a criptografia é trabalhar com o
> comportamento do tráfego, para poder identificá-lo como p2p, uma vez
> que, sendo criptografado ela só consegue verificar o cabeçalho.
> Acredito que o comportamento analisado deve ser com relação a conexões
> e outras informações nesse sentido, mas é claro que os métodos
> utilizados realmente, dificilmente saberemos ;).

É justamente aí que me confunde. Se ele está fazendo uma análise em cima
do comportamento do tráfego, então, possivelmente, eles estão fazendo esta
análise em cima dos fluxos (agregação) gerados na rede. Através do comportamento
destes fluxos é possível estimar que tráfego é aquele. Por exemplo, tráfego P2P
se caracteriza por possuirem fluxos de longa duração e de centenas de MB.
Assumindo isso, me ocorrem as seguintes perguntas:

1. Se é feita uma agregação do tráfego para então fazer uma estimativa da
aplicação que está gerando esse tráfego, então o reconhecimento desta
aplicação não é realizada em tempo real, tendo em vista que primeiro é
preciso realizar a agregação pra depois tentar avaliar a aplicação;

2. Além de reconhecer o tipo de aplicação (HTTP, P2P e etc) ele também
reconhece qual aplicação está gerando aquele tráfego? Como, se os pacotes
são criptografados? Para fazer isso acredito que eles estão buscando mais
informações no tráfego do que apenas uma análise dos fluxos.

> Tecnicamente o
> produto é realmente muito bom, entretanto a avaliação do retorno só
> será real se ele realmente atender às suas necessidades e ainda, tenha
> sido dimensionado corretamente. Acredito ainda que não cabe comparar
> valores com cisco, até pelo segmento de atuação da solução.
>
> Tenho registros reais de detecção de tráfego criptografado de
> aplicações P2P. Entretanto, qual é a versão do Ares em questão? Assim
> que possível posso verificar essa possibilidade de detecção.

Você diz "aplicações P2P" ele reconhece que aquele tráfego X está sendo
gerado pela aplicaçãoes P2P Y? Além disso, ela é em tempo real?

E só respondendo aos outros e-mails: pouco importa se o appliance é
baseado em Slack, Linux ou *BSD. O importante é funcionar e ser
estável. ;)

[]'s

--fx




-- 
--fx



More information about the gter mailing list