Sécurité : Dispositifs de sécurité de la gamme Cisco PIX 500

Blocage des programmes de partage de fichiers poste à poste avec le pare-feu PIX

16 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Ce document décrit comment (la tentative) bloquer les programmes de partage de fichier (de P2P peer-to-peer les plus communs) avec le Pare-feu PIX. Si l'application ne peut pas efficacement être bloquée avec le PIX, on inclut des configurations de Reconnaissance d'application fondée sur le réseau (NBAR) de Cisco IOSÝ qui peuvent être configurées sur n'importe quel routeur de Cisco entre l'hôte de source et l'Internet.

Remarque importante : En raison de la nature du contenu que ce document aide au blocage, Cisco ne peut pas bloquer différentes adresses du serveur. Au lieu de cela, Cisco recommande que vous des plages d'adresses de bloc afin de t'assurer le bloc tous les serveurs possibles pour chacun des programmes énumérés. Le résultat de ceci peut être que vous bloquez l'accès pour légitimer des services. Si c'est le cas, vous devez ajouter les déclarations à la configuration qui permettent ces services individuels. Support technique de Cisco de contact si vous avez n'importe quelle difficulté.

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Composants utilisés

Ces configurations ont été testées avec l'utilisation des ces logiciel PIX et versions de matériel, bien qu'on s'attende à ce qu'elles travaillent à n'importe quelle révision matérielle et logicielle :

  • Pare-feu 501 de Cisco PIX

  • Version 6.3(3) de Logiciels pare-feu Cisco PIX

  • Logiciel Cisco IOS version 12.2(13)T

Ces configurations ont été testées avec l'utilisation de ces versions de logiciel P2P :

  • Version 2.5 de Blubster

  • version 0.51 d'eDonkey

  • Construction 137 de version 4.2 d'IMesh

  • Version 2.4.3 de KazaaLite

  • Version 3.6.6 de LimeWire

  • Version 3.4 de Morpheus

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Configuration PIX

interface ethernet0 10baset 
interface ethernet1 10full 
ip address outside dhcp setroute 
ip address inside 192.168.1.1 255.255.255.0 
global (outside) 1 interface 
nat (inside) 1 0 0 
http server enable 
http 192.168.1.0 255.255.255.0 inside 
dhcpd address 192.168.1.2-192.168.1.129 inside 
dhcpd auto_config 
dhcpd enable inside 
pdm logging informational 
timeout xlate 0:05:00

Configuration Blubster/Piolet

Blubster et Piolet utilisent le protocole multipoint du P2P (MP2P). Ceci au commencement se connecte aux serveurs centraux des réseaux afin de gagner la liste d'hôtes de pair et peut être bloqué efficacement avec une liste d'accès, donc désactivant le programme. Les connexions de P2P sont habituellement sur le port TCP 80. Cependant, si la connexion initiale est bloquée, vous ne pouvez pas télécharger cette liste de pair.

L'application de ces derniers sur votre PIX devrait bloquer ce programme :

access-list outbound deny tcp any 128.121.0.0 255.255.0.0 eq www
access-list outbound permit ip any any
access-group outbound in interface inside

Alternativement, si vous voulez être un peu plus sélectif, ceci devrait également fonctionner :

access-list outbound deny tcp any 128.121.20.0 255.255.255.240 eq www
access-list outbound deny tcp any 128.121.4.0 255.255.255.0 eq www
access-list outbound permit ip any any
access-group outbound in interface inside

configuration d'eDonkey

l'eDonkey utilise deux ports, un pour des recherches de fichier et un pour des transferts de fichiers. Des recherches de fichier sont faites utilisant un port aléatoirement sélectionné de source d'UDP à une destination port aléatoire. Des transferts de fichiers sont faits utilisant une destination port de TCP/4662. Le blocage de ce port arrête des téléchargements de fichier. Bien que, les utilisateurs puissent encore rechercher des fichiers car la partie d'UDP de ce programme ne peut pas être bloquée efficacement avec une liste d'accès.

Le port par défaut de TCP/4662 peut être changé simplement dans les options de programme, mais ceci n'affecte pas le port que des fichiers sont téléchargés en fonction. Cette option de numéro de port semble être le port qui l'autre utilisation d'hôtes aux fichiers téléchargés de votre hôte de source. À moins qu'un grand nombre d'autres utilisateurs de P2P aient changé ce port dans leurs configurations, qui est douteux, des téléchargements de fichier sont arrêtés (ou pour le moins sévèrement affectés) juste en bloquant TCP/4662 sortant.

L'application de ces derniers sur votre PIX devrait bloquer ce programme :

access-list outbound deny tcp any any eq 4662
access-list outbound permit ip any any
access-group outbound in interface inside

Fast-Track - Configuration Kazaa/KazaaLite/Grokster/iMesh

Fast-Track est le réseau P2P le plus populaire autour d'aujourd'hui. Les applications de partage de fichiers P2P telles que Kazaa, KazaaLite, Grokster et iMesh tous en utilisent ce réseau et se connectent à d'autres hôtes employant port ouvert TCP/UDP pour rechercher et fichiers téléchargés. Ceci rend les filtrant avec une liste d'accès impossible.

Remarque: Ces applications ne peuvent pas être filtrées avec un Pare-feu PIX.

Afin de filtrer efficacement ces applications, utilisation NBAR sur votre routeur extérieur (ou tout routeur entre l'hôte de source et la connexion Internet). NBAR peut s'assortir spécifiquement sur des rapports établis au réseau accéléré et peut ou être relâché complètement ou débit-limité.

Une configuration du l'IOS-routeur NBAR témoin pour relâcher les paquets accélérés apparaissent ici :

class-map match-any p2p
   match protocol fasttrack file-transfer *


policy-map block-p2p 
   class p2p
      drop

!--- The drop command was introduced in 
!--- Cisco IOS Software Release 12.2(13)T.


int FastEthernet0
   description PIX-facing interface
   service-policy input block-p2p

Si le routeur exécute un logiciel de Cisco IOS plus tôt que le Logiciel Cisco IOS version 12.2(13)T, alors la commande de baisse sous le policy-map n'est pas disponible. Afin de relâcher ce trafic, employez un policy-map pour placer le bit de DSCP en paquets assortis comme ils entrent dans le routeur. Ensuite, définissez une liste d'accès pour relâcher tous les paquets avec ce bit réglé comme ils quittent le routeur. Le bit de DSCP est utilisé car il est peu probable que n'importe quel trafic « normal » utilise ceci. Une configuration d'échantillon pour ceci est affichée ici :

class-map match-any p2p
   match protocll fasttrack file-transfer *

policy-map block-p2p
   class p2p
      set ip dscp 1

int FastEthernet0
   description PIX/Inside facing interface
   service-policy input block-p2p

int Serial0
   description Internet/Outside facing interface
   ip access-group 100 out

access-list 100 deny ip any any dscp 1
access-list 100 permit ip any any

Gnutella - Configuration BearShare/Limewire/Morpheus/ToadNode

Gnutella est un protocole ouvert de source et a plus de 50 applications utilisant lui sur une grande variété de systèmes d'exploitation. Les applications P2P populaires incluent BearShare, Limewire, Morpheus et ToadNode. Ils emploient le port ouvert TCP/UDP pour communiquer avec un autre hôte de P2P, et de là se connectent à beaucoup d'autres hôtes, rendant filtrant ces programmes à une liste d'accès impossible.

Remarque: Ces programmes ne peuvent pas être filtrés avec un Pare-feu PIX.

Employez NBAR sur votre routeur extérieur pour filtrer efficacement ces protocoles. NBAR peut s'assortir spécifiquement sur des rapports établis au réseau Gnutella et peut ou être relâché complètement ou débit-limité.

Une configuration du l'IOS-routeur NBAR témoin ressemble à l'exemple dans la section accélérée de ce document. L'ajout d'une ligne Gnutella-appariante sous le même class-map est affiché ici :

class-map match-any p2p
   match protocol gnutella file-transfer *

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 42700