El siguiente documento explica pasó a paso la configuración usando el análisis de tráfico (DPI) o Traffic Analysis reduciendo las conexiones para el bloqueo de tráfico específico como YouTube, Facebook, WhatsApp, p2p, etc.
Cabe destacar antes de realizar esta configuración que esta característica no es un Firewall de capa 7 por lo que no permite tener reglas de acceso complejas
Requisitos:
Versión: 1.8.0 o superior.
Configuración básica con salida a internet.
Habilitamos el DPI:
Desde la GUI, vamos a Traffic Analysis y en ‘Operation Status’ marcamos ‘Enabled’.
Desde CLI podemos habilitarlo con este comando: set system traffic-analysis dpi enable
Podemos forzar la actualización de firmas para el análisis del tráfico con el siguiente comando: */usr/sbin/ubnt-update-dpi > /dev/null
NOTAS:
El DPI no funciona correctamente si utilizamos una interfaz bridge (br0) para aunar los dos puertos LAN en una RED.
Para realizar las configuración a través del CLI es necesario conectarse por SSH o utilizar la ‘consola’ CLI desde la GUI.
Una vez hecho esto, podemos ver el tráfico separado por host:
Nota: Sólo podemos ver el tráfico de páginas web o protocolos de los que el router tenga firmas. Es probable que páginas web más modestas no aparezcan en el gráfico.
Como vemos en la imagen el tráfico en nuestra red, si queremos evitarlo en gran medida, no siempre lo podremos controlar del todo. Tenemos que realizar una regla específica para este caso. Para ello necesitamos crear un ruleset (conglomerado de reglas).
Los ruleset tienen la característica de tener una acción por defecto y cubrir una interfaz y la dirección del tráfico. Llegados a este punto tenemos que elegir el tipo/diseño de política que queremos adoptar en nuestro router. Existen varios tipos de política, generalmente se utilizan estas dos:
Denegar todo el tráfico por defecto y aceptar sólo lo que nos interesa.
Aceptar todo el tráfico por defecto y denegar todo el que no nos interesa.
Para este ejemplo vamos a elegir la segunda ya que permite muchas menos reglas para que funcione. También es más insegura.
Colocaremos en categorías el tráfico, para ejemplo utilizaremos Facebook y Youtube podemos realizar una categoría “SocialNetworks” En ella colocamos todo el tráfico de Facebook, Twitter, G+, etc.
De ésta manera es más fácil administrar las políticas de acceso y realizar cambios en ellas
Vamos a Firewall/Firewall Policies y añadimos un ruleset. Le añadimos un nombre y la acción por defecto.
Name: Nombre con el que identificaremos la regla.
Description: Breve descripción del Resulset.
Default Action: Utilizamos Accept ya que todo el tráfico será aceptado a excepción del que nosotros decidamos bloquear.
Seleccionamos la dirección del tráfico en éste caso bloquearemos todo el tráfico directo desde el puerto WAN claro que se puede realizar por cada interfaz para redes LAN o sub-interfaces para redes VLAN, en este caso todo el tráfico de Facebook que entre por el puerto eth0 será bloqueado.
Agregamos una nueva regla:
Description: Una breve descripción para identificar la regla.
Acction: En esta sección será DROP ya que esta regla bloqueará el tráfico que nosotros especifiquemos.
State: Seleccionamos todos para que el tráfico sea detenido en cualquier estado de conexión.
Application: Seleccionamos el grupo que creamos.
Una vez terminado la configuración requerimos reiniciar el dispositivo.
Nota: Una vez que hemos terminado la configuración se recomienda realizar un backup de la configuración para evitar la pérdida de dichas configuraciones.