[GTER] Netenforcer e P2P criptografado

Fri Sep 5 11:56:35 -03 2008

Fabricio,

Como assim que aplicação está gerando? Vc diz se é edonkey, torrent, etc?

A análise não é feita somente em relação à quantidade de informação
transferida, mas a padrões específicos de cada protocolo p2p. Uma vez
identificados peers p2p, você também pode imaginar que os pacotes que
vão para ou vem daquele ip tem maior probabilidade de ser p2p.

Agora, de fato, pelo que eu li até hoje, o match não é de 100% e pode
levar algum tempo (segundos ou minutos) até que um determinado fluxo
seja identificado.

[]s Leandro

2008/9/5 Fabrício Cabral <fabriciofx at gmail.com>:
> Olá todos!
>
>> Trabalho com a solução da Allot aqui em SC. Segundo a documentação, o
>> que a solução faz com relação a criptografia é trabalhar com o
>> comportamento do tráfego, para poder identificá-lo como p2p, uma vez
>> que, sendo criptografado ela só consegue verificar o cabeçalho.
>> Acredito que o comportamento analisado deve ser com relação a conexões
>> e outras informações nesse sentido, mas é claro que os métodos
>> utilizados realmente, dificilmente saberemos ;).
>
> É justamente aí que me confunde. Se ele está fazendo uma análise em cima
> do comportamento do tráfego, então, possivelmente, eles estão fazendo esta
> análise em cima dos fluxos (agregação) gerados na rede. Através do comportamento
> destes fluxos é possível estimar que tráfego é aquele. Por exemplo, tráfego P2P
> se caracteriza por possuirem fluxos de longa duração e de centenas de MB.
> Assumindo isso, me ocorrem as seguintes perguntas:
>
> 1. Se é feita uma agregação do tráfego para então fazer uma estimativa da
> aplicação que está gerando esse tráfego, então o reconhecimento desta
> aplicação não é realizada em tempo real, tendo em vista que primeiro é
> preciso realizar a agregação pra depois tentar avaliar a aplicação;
>
> 2. Além de reconhecer o tipo de aplicação (HTTP, P2P e etc) ele também
> reconhece qual aplicação está gerando aquele tráfego? Como, se os pacotes
> são criptografados? Para fazer isso acredito que eles estão buscando mais
> informações no tráfego do que apenas uma análise dos fluxos.
>
>> Tecnicamente o
>> produto é realmente muito bom, entretanto a avaliação do retorno só
>> será real se ele realmente atender às suas necessidades e ainda, tenha
>> sido dimensionado corretamente. Acredito ainda que não cabe comparar
>> valores com cisco, até pelo segmento de atuação da solução.
>>
>> Tenho registros reais de detecção de tráfego criptografado de
>> aplicações P2P. Entretanto, qual é a versão do Ares em questão? Assim
>> que possível posso verificar essa possibilidade de detecção.
>
> Você diz "aplicações P2P" ele reconhece que aquele tráfego X está sendo
> gerado pela aplicaçãoes P2P Y? Além disso, ela é em tempo real?
>
> E só respondendo aos outros e-mails: pouco importa se o appliance é
> baseado em Slack, Linux ou *BSD. O importante é funcionar e ser
> estável. ;)
>
> []'s
>
> --fx
>
>
>
>
> --
> --fx
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>

-- 
Leandro Pereira de Lima e Silva