Que es Layer 7?

Publicado en 'Redes Inalámbricas' por Chinotec, 9 Nov 2010.





  1. Chinotec

    Chinotec Miembro maestro

    Registro:
    11 Oct 2010
    Mensajes:
    674
    Likes:
    14




    Hola quisiera saber Qué es ?, para q sirve Layer7 ó q funcion cumple.
     


  2. jemersonalonso

    jemersonalonso Miembro maestro

    Registro:
    4 Mar 2010
    Mensajes:
    978
    Likes:
    305
    Segun el amigo Google son reglas, que actúan directamente sobre la capa 7, sirven para dar
    prioridad a algunos servicios importantes, si usted tiene poco ancho de banda y quiere garantizar su buen funcionamiento de navegación, resolución de nombres, MSN video y voz, como también si usted usa voip en su red, estas reglas ayudan mucho.

    [​IMG]
     
    Última edición: 9 Nov 2010
  3. caliguladax

    caliguladax Miembro maestro

    Registro:
    11 Jul 2010
    Mensajes:
    565
    Likes:
    21
    asha se maneja bajo el modelo OSI no sabia, Seria como decir demos mayor prioridad al msn Ahora algun tipo de configuracion o como se manejaria eso Jermerson un ejemplo o pantallaso seria muy generoso de tu parte y muchas gracias por tu apoyo
     
  4. Johncito

    Johncito Miembro frecuente

    Registro:
    6 Feb 2009
    Mensajes:
    164
    Likes:
    9
    Su funcion principal no es la de brindar prioridad a servicios, eso lo hace el comando TC (Traffic Control) despues de aplicar el target MARK con el iptables.

    El concepto del Layer 7 es la de poder analizar el trafico que cruza en tu router, es decir agrega un paso mas para que el paquete que cruza el dispositivo sea visto por la aplicacion, esto se hace con patrones previamente diseñados de distintos programas (puede ser texto, hexadecimal o binario) que trabajan en red. Esto tambien quiere decir que por cada paquete que entre o salga (dependiendo de tu politica de trabajo) se analizara con cada uno de los patrones que tu escojas (la mayoria le pone check a todos los patrones) por lo tanto dependiendo de lo que escoges puede hacer uso intensivo del CPU (generalmente cuando cruzan muchos MBs en el cable)

    Usado junto con iptables se puede decidir que hacer con el trafico analizado, siendo el mejor la opcion de marcado (MARK) y decidir entonces con tc cuanto ancho de banda o prioridad quieras darle.

    Saludos.
     
  5. chipset

    chipset Miembro maestro

    Registro:
    18 Abr 2010
    Mensajes:
    631
    Likes:
    29
    La capa 7 es la capa de aplicaciones, es la capa mas alta del modelo OSI y en la que se puede ejercer el mayor control.

    Es a su vez la capa mas cercana al usuario y en la que los firewalls pueden realizar un mejor control.

    Saludos
     
  6. kuroro

    kuroro Miembro nuevo

    Registro:
    26 Mar 2010
    Mensajes:
    34
    Likes:
    1
    Bueno, no se porque tanto floro..
    si layer7 es solo para filtrar P2P, como lo es el ipp2p.
    Es lo que se usa en linux, y tambien en mikrotik.
    Ojo que como reconoce el trafico p2p, entonces puede manejar el p2p a su antojo, si quiere lo elimina o si quiere lo controla.
    salu2.
     
  7. Johncito

    Johncito Miembro frecuente

    Registro:
    6 Feb 2009
    Mensajes:
    164
    Likes:
    9
    Aqui estamos hablando con gente deseosa de ganar conocmientos, no para tratar de vender algo de manera apura, aun si fuese lo ultimo mi etica no me permitiria realizar tal cosa.


    --
    Si tu dices que es SOLO para P2P entonces que asi sea. Por tu forma de expresarte hace parecer que el programa actua solo, cuando es un completo al sistema base.

    ipp2p ya es obsoleto, ahora se llama OpenDPI =)
     
    Última edición: 10 Nov 2010
  8. kuroro

    kuroro Miembro nuevo

    Registro:
    26 Mar 2010
    Mensajes:
    34
    Likes:
    1
    Hola, sé que fue presuroso el poner lo que puse, pero ver tantos comentarios, y no mencionar el P2P, hizo que reaccione de esa manera.
    Esta bien, pero según la información que esta en la página de layer-7, es recomendable usar este clasificador cuando se necesite:
    * to match any protocol that uses unpredictable ports (e.g. P2P filesharing)
    * to match traffic on non-standard ports (e.g. HTTP on port 1111)
    * to distinguish between protocols which share a port (e.g. P2P filesharing that uses port 80)
    osea su uso principa es el de clasificar el p2p, o no?..
    bueno. y sobre el ipp2p, yo lo uso, y me funciona bien, tampoco dije que era la actual, sabia de la existencia del opendpi, pero es la que uso actualmente, y junto con el layer-7.
    y a decir verdad me quedo con el ipp2p. por ahora :)

    saludos.
     
  9. Johncito

    Johncito Miembro frecuente

    Registro:
    6 Feb 2009
    Mensajes:
    164
    Likes:
    9
    Yo solia usar ipp2p por que es mas sencillo crearle un rpm para trabajarlo, en cambio con Layer 7 se necesita recompilar el kernel y no me agrada hacerlo. A las finales tuve que dejar de usar ambos y meterme mas al iptables y asi controlo mejor el flujo de informacion sin necesidad de modulos extra. =)
     
  10. kuroro

    kuroro Miembro nuevo

    Registro:
    26 Mar 2010
    Mensajes:
    34
    Likes:
    1
    Sin ipp2p o layer-7, no me cabe como puedes hacerle control del p2p, si es por puertos, hay complicaciones, e igual con limitar las conexiones.


    Salu2.
     
  11. Johncito

    Johncito Miembro frecuente

    Registro:
    6 Feb 2009
    Mensajes:
    164
    Likes:
    9
    Simplemente deniego toda conexion entrante y saliente, dejando unicamente lo necesario activo, en los juegos pues los manejo por IP y no me ha dado complicaciones, incluso el skype y programas proxy no cruzan =)
     
  12. xpercy5

    xpercy5 Miembro frecuente

    Registro:
    8 Set 2010
    Mensajes:
    76
    Likes:
    1
    capa 7 leete todo el modelo OSI y lo entenderas man.
     
  13. kuroro

    kuroro Miembro nuevo

    Registro:
    26 Mar 2010
    Mensajes:
    34
    Likes:
    1
    Supongo que el p2p los bloqueas por puertos entonces, un gran rango de puertos están cerrados, mmm .. pero si haces eso y dejas que entren al msn, entonces el problema es cuando quieren usar las webcam. ya que estos usan puertos de p2p!.
    Es por eso que es mejor usar estos clasificadores.
    saludos.
     
    Última edición: 11 Nov 2010
  14. Johncito

    Johncito Miembro frecuente

    Registro:
    6 Feb 2009
    Mensajes:
    164
    Likes:
    9
    DROP a todo en ambas interfaces, para la red local solo esta abierto el 3128 (squid), ftp, ssh, smtp, imap, pop3 y los de mensajeria instantea, con esos son mas que suficientes, no necesito preocuparme por lo demas ya que no esta permitido cruzar y si son vivos y quieren hacerlo pasar por el proxy el squid tiene controles de que metodos son validos y deniega el resto.
     
  15. MikroRAT

    MikroRAT Miembro maestro

    Registro:
    22 Oct 2009
    Mensajes:
    415
    Likes:
    48
    Bien es excelente? la discusion pero no es mejor dejarlo abierto ? pues las personas pagan por tener abierto todos los servicios , claro si fuera empresa estaria deacuerdo
    por temas de empresa para que no chateen o hagan videoconferencias jueguen Gb O RAKION , quizas esto de cerrar puertos generales les genere incomodidades con los clientes puesto lo que pueden hacer en una cabina no lo van poder hacer en sus casas ,
    en que me ayudaria o que haria yo cerrando port yo lo veo como seguridad al router
    input = aceptar todo solo lo que sea necesario y lo demas cerrarlo.
    output por temas de ataques etc al router (DoS) quizas limitar conexiones por ahi un virus
    te hace la vida dificil etc etc


    ahora por que USAR LAYER 7 y no puertos(capa 3) ?? por que si vemos un ejemplo


    BLOQUEAMOS EL MSN SUPUESTAMENTE = 1863
    ese puerto es solo de conexion al servidor , que viene a asu cola port 80 y 443
    entonces lo mas probable es que no se cierre como queramos por que tomara estos otros port para salir

    entonces aplicamos CAPA7 = http://l7-filter.sourceforge.net/protocols
    con ello bloqueamos la aplicacion ya si tendra 1863 o 443 0 80 o lo que sea lo cerrara solo y solo a esa aplicacion

    espero haber ayudado,
    saludos
     
    Última edición: 11 Nov 2010
  16. Johncito

    Johncito Miembro frecuente

    Registro:
    6 Feb 2009
    Mensajes:
    164
    Likes:
    9
    Si tienes un proxy squid entonces puedes puedes bloquear usando:
    1) Los IP del MSN
    2) MIME que usa el Messenger cuando sale a traves del proxy
    3) Denegar gateway.dll

    Lo malo: Se te llena el log con conexiones al messenger y resulta mas tedioso medir el rendimiento del proxy.

    Si hablas de clientes wireless es mas sencillo hacerles saber a que recursos tienen accesos, como hacer uso de ellos y que peligros conlleva hacer uso de otros que estan restringidos, de ese modo los clientes ganan mas confianza y se vuelven leales al proveedor.

    Para eso no hay limite en la creatividad, dos soluciones serian:

    1) Al instalar un CPE dejar una cartilla en donde se indica los valores para acceder a internet (Si es que el cliente reinstala su PC)

    2) Si le cliente reinstala su PC o por x motivos añade otro mas a su CPE pues que su peticion se redireccione a un web server interno que incluya los pasos para configurar adecuadamente las aplicaciones, asi me evito las llamadas.

    El pensar que repartir internet inalambricamente es algo amateur esta equivocado, es por eso que muchos que entran al negocio terminan tirando la toalla. Personalmente prefiero concientizar a los futuros clientes y ganarme el respeto de ellos, por eso los trato como si fueran parte de una empresa que necesita seguridad en su red interna.

    Y si el futuro cliente quiere P2P pues directamente le digo que mejor visita Wilson, busca lo que necesites y estaras libre de virus (la mayoria busca musica y videos).
     
  17. kuroro

    kuroro Miembro nuevo

    Registro:
    26 Mar 2010
    Mensajes:
    34
    Likes:
    1
    No puedo creer que hayan personas que acepten que les bloqueen el msn.
    es casi como un crimen.
    que cuesta el echo que se habrán los puertos 1863 o 443 (https, correo, etc), y explicarles que no descargen .exe o cualquier otro archivo por msn, o que no hagan click en links dudosos que se mandan por ahi.

    bueno, ya cada uno tiene sus propias políticas, algunas es difícil respaldarlas, pero igual se las respetan.

    salu2.
     
    Última edición: 12 Nov 2010
  18. MikroRAT

    MikroRAT Miembro maestro

    Registro:
    22 Oct 2009
    Mensajes:
    415
    Likes:
    48
     
    Última edición: 12 Nov 2010
  19. Johncito

    Johncito Miembro frecuente

    Registro:
    6 Feb 2009
    Mensajes:
    164
    Likes:
    9
    Depende de las politicas de la empresa, algunas no quieren que sus trabajadores vagen, eso afecta la productividad y caballero nomas se les bloquea el MSN, YT, redes sociales, etc. El unico inconveniente en estos dias son los trabajadores que tienen celulares de ultima generacion con conexion a internet, eso es mas yuca para bloquear salvo la empresa compre bloqueadores de celulares :w0w:

     
    Última edición: 12 Nov 2010
  20. MikroRAT

    MikroRAT Miembro maestro

    Registro:
    22 Oct 2009
    Mensajes:
    415
    Likes:
    48
    si por que ya estaba pensando en hacer que mi router de DHCP con ips falsos entonces en el NAT lo redirecciono esos pools de ips falsos a un anuncio en especial dandolo la informacion necesaria :) excelente Johncito te hizistes una