セキュリティ : Cisco PIX 500 シリーズ セキュリティ アプライアンス

PIX Firewall によるピアツーピア ファイル共有プログラムのブロック

2015 年 11 月 25 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2005 年 2 月 28 日) | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

このドキュメントでは、最も一般的なピアツーピア(P2P)ファイル共有プログラムを、PIX Firewall でブロックする(ブロックを試みる)方法について説明します。 アプリケーションが PIX と効果的にブロックすることができない場合 Cisco IOS か。 Network-Based Application Recognition (NBAR) コンフィギュレーションはソースホストとインターネット間のあらゆる Ciscoルータで設定することができること含まれています。

特記事項: この資料がブロッキングで、Cisco 助けるコンテンツの性質が原因で個々のサーバ アドレスをブロックすることができません。 その代り、Cisco はブロックを確認するためにアドレス範囲をリストされたプログラムのそれぞれのすべての可能性のあるサーバ ブロックすることを推奨します。 これの結果はサービスを正当化するためにアクセスをブロックすることであることができます。 これが事実である場合、その割り当てこれらの個々のサービス 設定に文を追加する必要があります。 問題がある場合 Cisco テクニカル サポートに連絡して下さい。

前提条件

要件

このドキュメントに関する特別な要件はありません。

使用するコンポーネント

これらのコンフィギュレーションはこれらのの使用と彼らがあらゆるハードウェア および ソフトウェア修正で動作すると期待されるが、PIX Software およびハードウェアバージョン テストされました:

  • Cisco PIX Firewall 501

  • Cisco PIX Firewall ソフトウェア バージョン 6.3(3)

  • Cisco IOS ソフトウェア リリース 12.2(13)T

これらのコンフィギュレーションはこれらの P2P ソフトウェア バージョンの使用とテストされました:

  • Blubster バージョン 2.5

  • eDonkey バージョン 0.51

  • IMesh バージョン 4.2 ビルド 137

  • KazaaLite バージョン 2.4.3

  • LimeWire バージョン 3.6.6

  • Morpheus バージョン 3.4

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

PIX の設定

interface ethernet0 10baset 
interface ethernet1 10full 
ip address outside dhcp setroute 
ip address inside 192.168.1.1 255.255.255.0 
global (outside) 1 interface 
nat (inside) 1 0 0 
http server enable 
http 192.168.1.0 255.255.255.0 inside 
dhcpd address 192.168.1.2-192.168.1.129 inside 
dhcpd auto_config 
dhcpd enable inside 
pdm logging informational 
timeout xlate 0:05:00

Blubster/Piolet 設定

Blubster および Piolet はマルチポイント P2P (MP2P)プロトコルを使用します。 従ってこれはネットワークのセントラルサーバに最初にピア ホストのリストを得るために接続し、アクセス リストと効果的にブロックすることができまプログラムをディセーブルにします。 P2P 接続は TCPポート 80 に通常あります。 ただし、最初 の 接続がブロックされれば、このピアリストをダウンロードできません。

PIX でこれらを適用することはこのプログラムをブロックする必要があります:

access-list outbound deny tcp any 128.121.0.0 255.255.0.0 eq www
access-list outbound permit ip any any
access-group outbound in interface inside

またでありたいと思えばこれはまたはたらく必要があります:

access-list outbound deny tcp any 128.121.20.0 255.255.255.240 eq www
access-list outbound deny tcp any 128.121.4.0 255.255.255.0 eq www
access-list outbound permit ip any any
access-group outbound in interface inside

eDonkey に対する設定

eDonkey では、ファイル検索用とファイル転送用の 2 つのポートが使用されます。 ファイル検索は任意のデスティネーション宛先ポートへのランダムに選ばれた UDP 送信元ポートを使用して行われます。 ファイル転送は TCP/4662 の宛先ポートを使用して行われます。 このポートをブロックすることはファイルのダウンロードを停止します。 このプログラムの UDP 部分がアクセス リストと効果的にブロックすることができないので、ユーザがファイルを捜せるまだが。

デフォルトの TCP/4662 ポートは、プログラムのオプションによって簡単に変更できますが、ファイルがダウンロードされるポートには影響が及びません。 このポート番号のオプションは、使用している発信元ホストから他のホストがファイルのダウンロードに使用するポートのように見えます。 非常に多数の他の P2P ユーザが、それぞれの設定でこのポートを変更しない限り(非常に考えにくいことです)、TCP/4662 の発信をブロックするだけで、ファイルのダウンロードを停止させる(あるいは影響を非常に小さな範囲にとどめる)ことができます。

PIX でこれらを適用することはこのプログラムをブロックする必要があります:

access-list outbound deny tcp any any eq 4662
access-list outbound permit ip any any
access-group outbound in interface inside

FastTrack - Kazaa/KazaaLite/Grokster/iMesh 設定

FastTrack は今日最も普及した P2P ネットワークです。 Kazaa、KazaaLite、Grokster、および iMesh などの P2P ファイル共有アプリケーションは、すべてこのネットワークを使用しており、TCP/UDP の空ポートのいずれかを使用して他のホストに接続し、ファイルの検索とダウンロードを行います。 このため、これらはアクセス リストではフィルタリングできません。

注: PIX ファイアウォールでは、これらのアプリケーションをフィルタリングできません。

効果的にこれらのアプリケーションをフィルタリングするために、外部ルータ使用して下さい(またはソースホストとインターネット接続間のルータ)の NBAR を。 NBAR はなされる FastTrack ネットワークへの接続で適合、またはレートリミットされした完全に廃棄することができます。

FastTrack パケットを廃棄するサンプル IOSルータ NBAR 設定はここに現われます:

class-map match-any p2p
   match protocol fasttrack file-transfer *


policy-map block-p2p 
   class p2p
      drop

!--- The drop command was introduced in 
!--- Cisco IOS Software Release 12.2(13)T.


int FastEthernet0
   description PIX-facing interface
   service-policy input block-p2p

ルータが Cisco IOS ソフトウェア リリース 12.2(13)T 以前の Cisco IOSソフトウェアを実行する場合 policy-map の下の drop コマンドは利用できません。 それらがルータに入って来るようにこのトラフィックを廃棄するために、一致するパケットの DSCP ビットを設定 するのに policy-map を使用して下さい。 次にルータを終了するように、このビットが設定が付いているすべてのパケットを廃棄するためにアクセス リストを定義して下さい。 DSCP ビットを使用するのは、「通常の」トラフィックで DSCP が使用されることはまずないためです。 これのための設定 例はここに示されています:

class-map match-any p2p
   match protocll fasttrack file-transfer *

policy-map block-p2p
   class p2p
      set ip dscp 1

int FastEthernet0
   description PIX/Inside facing interface
   service-policy input block-p2p

int Serial0
   description Internet/Outside facing interface
   ip access-group 100 out

access-list 100 deny ip any any dscp 1
access-list 100 permit ip any any

Gnutella - BearShare/Limewire/Morpheus/ToadNode 設定

Gnutella はオープン ソース プロトコルで、多様なオペレーティング システムの 50 のアプリケーションにそれを使用して持っています。 一般的な P2P アプリケーションには、BearShare、Limewire、Morpheus、および ToadNode があります。 これらのアプリケーションは、TCP/UDP の空ポートのいずれかを使用して他の P2P ホストと通信し、そこから他の多数のホストに接続します。このため、アクセス リストではこれらのプログラムをフィルタリングできません。

注: PIX ファイアウォールでは、これらのプログラムをフィルタリングできません。

効果的にこれらのプロトコルをフィルタリングするのに外部ルータの NBAR を使用して下さい。 NBAR はなされる Gnutella ネットワークへの接続で適合、またはレートリミットされした完全に廃棄することができます。

この資料の FastTrack セクションの例のようにサンプル IOSルータ NBAR 設定見え。 同じ class-map で Gnutella を照合する行を追加したものを次に示します。

class-map match-any p2p
   match protocol gnutella file-transfer *

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 42700