Manual configuración de EdgeRouter 3 Lite con Traffic Analysis y filtrado

Introducción

Este manual pretende configurar un EdgeRouter 3 Lite para el análisis de tráfico (DPI) o Traffic Analysis (marca propiedad de Ubiquiti) reduciendo las conexiones p2p. Cabe destacar antes de realizar esta configuración que esta característica no es un firewall de capa 7 por lo que no permite tener reglas de acceso complejas. El filtrado p2p se realiza a través de puertos por lo que es probable que deje de funcionar en el futuro si la tecnología cambia.

Requisitos

  • EdgeRouter 3 Lite o equivalente.
  • Versión: 1.7.0 o superior.
  • Configuración básica con salida a internet.

Aviso

Este manual se ha realizado en Windows 10 64bits y un EdgeRouter 3 Lite con la versión 1.7.0. Para generar el tráfico se ha utilizado el software Bittorrent 7.9.5 (build 41203). Cualquier modificación puede reportar resultados diferentes.

Paso a paso

    1-. Establecemos una configuración básica a través del 'wizard' del EdgeRouter3. Donde la interfaz eth0 será la salida a internet y las interfaces eth1/2 serán redes internas.

  • Es necesario establecer la ruta por defecto y la regla NAT para salir a internet.

    Notas: En la versión 1.7.0 hemos encontrado dificultades con la configuración de IP de clases que no sean 'c' (192.168.X.X). Si te encuentras en otra versión superior es probable que funcione correctamente.

    Nota 2: El DPI o 'Traffic Analysis' sólo esta disponible desde la versión 1.7.0

    2-. Habilitamos el DPI:

    Manual configuración de EdgeRouter 3 Lite con Traffic Analysis y filtrado de conexiones p2p
    • Desde la GUI, vamos a Traffic Analysis y en 'Operation Status' marcamos 'Enabled'.
    • Desde CLI podemos habilitarlo con este comando: set system traffic-analysis dpi enable
    • Podemos forzar la actualización de firmas para el análisis del tráfico con el siguiente comando: */usr/sbin/ubnt-update-dpi > /dev/null

    *El sistema se encarga de efectuar esta actualización cada día a la 6.25AM.

    Nota 1: El DPI no funciona correctamente si utilizamos una interfaz bridge (br0) para aunar los dos puertos LAN en una RED.

  • Nota 2: Para realizar las configuración a través del CLI es necesario conectarse por SSH o utilizarla 'consola' CLI desde la GUI.

    3-. Una vez hecho esto, podemos ver el tráfico separado por host:

    Manual configuración de EdgeRouter 3 Lite con Traffic Analysis y filtrado de conexiones p2p

    Nota: Sólo podemos ver el tráfico de páginas web o protocolos de los que el router tenga firmas. Es probable que páginas web más modestas no aparezcan en el gráfico.

    4-. Como vemos en la figura 1 hay tráfico p2p en nuestra red, si queremos evitarlo en gran medida, no siempre lo podremos controlar del todo. Tenemos que realizar una regla especifica para este caso. Para ello necesitamos crear un ruleset (conglomerado de reglas).

    Los ruleset tienen la característica de tener una acción por defecto y cubrir una interfaz y la dirección del tráfico. Llegados a este punto tenemos que elegir el tipo/diseño de política que queremos adoptar en nuestro router. Existen varios tipos de política, generalmente se utilizan estas dos:

    • Denegar todo el tráfico por defecto y aceptar sólo lo que nos interesa.
    • Aceptar todo el tráfico por defecto y denegar todo el que no nos interesa.

    Para este ejemplo vamos a elegir la segunda ya que permite muchas menos reglas para que funcione. También es más insegura.

    • Vamos a Firewall/Firewall Policies y añadimos un ruleset. Le añadimos un nombre y la acción por defecto.
    • Manual configuración de EdgeRouter 3 Lite con Traffic Analysis y filtrado de conexiones p2p
    • En la pestaña de 'Interfaces' seleccionamos el origen y la dirección en la que queremos que afecte las reglas.
    • Manual configuración de EdgeRouter 3 Lite con Traffic Analysis y filtrado de conexiones p2p
    • Una vez creado el ruleset en la pestaña de 'Rules' añadimos una nueva regla. Ponemos el nombre, acción en este caso bloqueamos y los protocolos que afecta.
    • Manual configuración de EdgeRouter 3 Lite con Traffic Analysis y filtrado de conexiones p2p
    • Para bloquear el tráfico p2p tenemos que ir a la pestaña 'Advanced' y en el apartado de p2p seleccionamos 'All' podemos hacerlo también por nombre de aplicaciones que utilizan este tipo de conexiones. p.e. Bittorrent.
    • Manual configuración de EdgeRouter 3 Lite con Traffic Analysis y filtrado de conexiones p2p
    • Una vez guardada la regla en el asistente de configuración de la ruleset en la pestaña 'status' podemos ver el uso en paquetes/bytes que están aceptando o bloqueando las reglas dependiendo el caso.
    • Manual configuración de EdgeRouter 3 Lite con Traffic Analysis y filtrado de conexiones p2p

      No bloqueamos todo el tráfico p2p con esta regla pero si que lo reducimos en gran parte. Si quisiéramos hacerlo totalmente necesitaríamos otro tipo de dispositivo.