Blocage des programmes de partage de fichiers poste à

Blocage des programmes de partage de fichiers poste à poste avec le
pare-feu PIX
Contenu
Introduction
Conditions préalables
Conditions requises
Composants utilisés
Conventions
Configuration PIX
Configuration Blubster/Piolet
configuration d'eDonkey
Fast-Track - Configuration Kazaa/KazaaLite/Grokster/iMesh
Gnutella - Configuration BearShare/Limewire/Morpheus/ToadNode
Informations connexes
Introduction
Ce document décrit comment (la tentative) bloquer les programmes de partage de fichier (de P2P peer-to-peer les plus communs) avec le Parefeu PIX. Si l'application ne peut pas efficacement être bloquée avec le PIX, on inclut des configurations de Reconnaissance d'application fondée
sur le réseau (NBAR) de ½ du ¿  de Cisco IOSï qui peuvent être configurées sur n'importe quel routeur de Cisco entre l'hôte de source et
l'Internet.
Remarque importante : En raison de la nature du contenu que ce document aide au blocage, Cisco ne peut pas bloquer différentes adresses du
serveur. Au lieu de cela, Cisco recommande que vous des plages d'adresses de bloc afin de t'assurer le bloc tous les serveurs possibles pour
chacun des programmes énumérés. Le résultat de ceci peut être que vous bloquez l'accès pour légitimer des services. Si c'est le cas, vous devez
ajouter les déclarations à la configuration qui permettent ces services individuels. Support technique de Cisco de contact si vous avez n'importe
quelle difficulté.
Conditions préalables
Conditions requises
Aucune spécification déterminée n'est requise pour ce document.
Composants utilisés
Ces configurations ont été testées avec l'utilisation des ces logiciel PIX et versions de matériel, bien qu'on s'attende à ce qu'elles travaillent à
n'importe quelle révision matérielle et logicielle :
Pare-feu 501 de Cisco PIX
Version 6.3(3) de Logiciels pare-feu Cisco PIX
Logiciel Cisco IOS version 12.2(13)T
Ces configurations ont été testées avec l'utilisation de ces versions de logiciel P2P :
Version 2.5 de Blubster
version 0.51 d'eDonkey
Construction 137 de version 4.2 d'IMesh
Version 2.4.3 de KazaaLite
Version 3.6.6 de LimeWire
Version 3.4 de Morpheus
Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les
périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous
que vous comprenez l'effet potentiel de toute commande.
Conventions
Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.
Configuration PIX
interface ethernet0 10baset
interface ethernet1 10full
ip address outside dhcp setroute
ip address inside 192.168.1.1 255.255.255.0
global (outside) 1 interface
nat (inside) 1 0 0
http server enable
http 192.168.1.0 255.255.255.0 inside
dhcpd address 192.168.1.2-192.168.1.129 inside
dhcpd auto_config
dhcpd enable inside
pdm logging informational
timeout xlate 0:05:00
Configuration Blubster/Piolet
Blubster et Piolet utilisent le protocole multipoint du P2P (MP2P). Ceci au commencement se connecte aux serveurs centraux des réseaux afin de
gagner la liste d'hôtes de pair et peut être bloqué efficacement avec une liste d'accès, donc désactivant le programme. Les connexions de P2P
sont habituellement sur le port TCP 80. Cependant, si la connexion initiale est bloquée, vous ne pouvez pas télécharger cette liste de pair.
L'application de ces derniers sur votre PIX devrait bloquer ce programme :
access-list outbound deny tcp any 128.121.0.0 255.255.0.0 eq www
access-list outbound permit ip any any
access-group outbound in interface inside
Alternativement, si vous voulez être un peu plus sélectif, ceci devrait également fonctionner :
access-list outbound deny tcp any 128.121.20.0 255.255.255.240 eq www
access-list outbound deny tcp any 128.121.4.0 255.255.255.0 eq www
access-list outbound permit ip any any
access-group outbound in interface inside
configuration d'eDonkey
l'eDonkey utilise deux ports, un pour des recherches de fichier et un pour des transferts de fichiers. Des recherches de fichier sont faites utilisant
un port aléatoirement sélectionné de source d'UDP à une destination port aléatoire. Des transferts de fichiers sont faits utilisant une destination
port de TCP/4662. Le blocage de ce port arrête des téléchargements de fichier. Bien que, les utilisateurs puissent encore rechercher des fichiers
car la partie d'UDP de ce programme ne peut pas être bloquée efficacement avec une liste d'accès.
Le port par défaut de TCP/4662 peut être changé simplement dans les options de programme, mais ceci n'affecte pas le port que des fichiers sont
téléchargés en fonction. Cette option de numéro de port semble être le port qui l'autre utilisation d'hôtes aux fichiers téléchargés de votre hôte de
source. À moins qu'un grand nombre d'autres utilisateurs de P2P aient changé ce port dans leurs configurations, qui est douteux, des
téléchargements de fichier sont arrêtés (ou pour le moins sévèrement affectés) juste en bloquant TCP/4662 sortant.
L'application de ces derniers sur votre PIX devrait bloquer ce programme :
access-list outbound deny tcp any any eq 4662
access-list outbound permit ip any any
access-group outbound in interface inside
Fast-Track - Configuration Kazaa/KazaaLite/Grokster/iMesh
Fast-Track est le réseau P2P le plus populaire autour d'aujourd'hui. Les applications de partage de fichiers P2P telles que Kazaa, KazaaLite,
Grokster et iMesh tous en utilisent ce réseau et se connectent à d'autres hôtes employant port ouvert TCP/UDP pour rechercher et fichiers
téléchargés. Ceci rend les filtrant avec une liste d'accès impossible.
Remarque: Ces applications ne peuvent pas être filtrées avec un Pare-feu PIX.
Afin de filtrer efficacement ces applications, utilisation NBAR sur votre routeur extérieur (ou tout routeur entre l'hôte de source et la connexion
Internet). NBAR peut s'assortir spécifiquement sur des rapports établis au réseau accéléré et peut ou être relâché complètement ou débit-limité.
Une configuration du l'IOS-routeur NBAR témoin pour relâcher les paquets accélérés apparaissent ici :
class-map match-any p2p
match protocol fasttrack file-transfer *
policy-map block-p2p
class p2p
drop
!--- The drop command was introduced in
!--- Cisco IOS Software Release 12.2(13)T.
int FastEthernet0
description PIX-facing interface
service-policy input block-p2p
Si le routeur exécute un logiciel de Cisco IOS plus tôt que le Logiciel Cisco IOS version 12.2(13)T, alors la commande de baisse sous le policymap n'est pas disponible. Afin de relâcher ce trafic, employez un policy-map pour placer le bit de DSCP en paquets assortis comme ils entrent
dans le routeur. Ensuite, définissez une liste d'accès pour relâcher tous les paquets avec ce bit réglé comme ils quittent le routeur. Le bit de DSCP
est utilisé car il est peu probable que n'importe quel trafic « normal » utilise ceci. Une configuration d'échantillon pour ceci est affichée ici :
class-map match-any p2p
match protocll fasttrack file-transfer *
policy-map block-p2p
class p2p
set ip dscp 1
int FastEthernet0
description PIX/Inside facing interface
service-policy input block-p2p
int Serial0
description Internet/Outside facing interface
ip access-group 100 out
access-list 100 deny ip any any dscp 1
access-list 100 permit ip any any
Gnutella - Configuration BearShare/Limewire/Morpheus/ToadNode
Gnutella est un protocole ouvert de source et a plus de 50 applications utilisant lui sur une grande variété de systèmes d'exploitation. Les
applications P2P populaires incluent BearShare, Limewire, Morpheus et ToadNode. Ils emploient le port ouvert TCP/UDP pour communiquer
avec un autre hôte de P2P, et de là se connectent à beaucoup d'autres hôtes, rendant filtrant ces programmes à une liste d'accès impossible.
Remarque: Ces programmes ne peuvent pas être filtrés avec un Pare-feu PIX.
Employez NBAR sur votre routeur extérieur pour filtrer efficacement ces protocoles. NBAR peut s'assortir spécifiquement sur des rapports
établis au réseau Gnutella et peut ou être relâché complètement ou débit-limité.
Une configuration du l'IOS-routeur NBAR témoin ressemble à l'exemple dans la section accélérée de ce document. L'ajout d'une ligne Gnutellaappariante sous le même class-map est affiché ici :
class-map match-any p2p
match protocol gnutella file-transfer *
Informations connexes
Demandes de commentaires (RFC)
Notes techniques de dépannage
© 1992-2010 Cisco Systems Inc. Tous droits réservés.
Date du fichier PDF généré: 18 octobre 2016
http://www.cisco.com/cisco/web/support/CA/fr/109/1095/1095356_block_p2p_pix.html