Voz y Comunicaciones unificadas : Dispositivos de seguridad Cisco PIX de la serie 500

Bloqueo de los programas entre iguales de la capacidad de compartir archivos con el firewall PIX

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios


Contenido


Introducción

Este documento describe cómo se puede (hacer un intento de) bloquear los programas más comunes para compartir archivos peer a peer (P2P) con el Firewall PIX. Si la aplicación no se puede bloquear con eficacia con el PIX, las configuraciones del Network-Based Application Recognition (NBAR) del ½ del ¿Â de Cisco IOSï son incluidas que puede ser configurado en cualquier router Cisco entre el host de origen y Internet.

Nota importante: Debido a la naturaleza del contenido que este documento ayuda al bloqueo, Cisco no puede bloquear los direccionamientos del servidor individual. En lugar, Cisco recomienda que usted bloquea los intervalos de direcciones para asegurarle el bloque todos los servidores posibles para cada uno de los programas mencionados. El resultado de esto puede ser que usted bloquea el acceso para legitimar los servicios. Si éste es el caso, usted necesita agregar las declaraciones a la configuración que permiten estos servicios individuales. Entre en contacto el Soporte técnico de Cisco si usted tiene cualquier dificultad.

prerrequisitos

Requisitos

No hay requisitos específicos para este documento.

Componentes Utilizados

Estas configuraciones fueron probadas con el uso de estos software PIX y las versiones de hardware, aunque se espere que trabajen en cualquier revisión de hardware y de software:

  • Cisco PIX Firewall 501

  • Versión 6.3(3) del Software Cisco PIX Firewall

  • Cisco IOS Software Release 12.2(13)T

Estas configuraciones fueron probadas con el uso de estas versiones de software P2P:

  • Blubster versión 2.5

  • versión eDonkey 0.51

  • Estructura 137 del IMesh versión 4.2

  • Kazaalite versión 2.4.3

  • LimeWire versión 3.6.6

  • Morpheus versión 3.4

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.

Configuración de PIX

interface ethernet0 10baset 
interface ethernet1 10full 
ip address outside dhcp setroute 
ip address inside 192.168.1.1 255.255.255.0 
global (outside) 1 interface 
nat (inside) 1 0 0 
http server enable 
http 192.168.1.0 255.255.255.0 inside 
dhcpd address 192.168.1.2-192.168.1.129 inside 
dhcpd auto_config 
dhcpd enable inside 
pdm logging informational 
timeout xlate 0:05:00

Configuración Blubster/Piolet

Blubster y Piolet utilizan el protocolo de múltiples puntos P2P (MP2P). Esto conecta con los servidores centrales de las redes para ganar la lista de host del par y se puede inicialmente bloquear con eficacia con una lista de acceso, por lo tanto inhabilitando el programa. Las conexiones P2P están generalmente en el puerto TCP 80. Sin embargo, si se bloquea la conexión inicial, usted no puede descargar esta lista del peer.

La aplicación de éstos en su PIX debe bloquear este programa:

access-list outbound deny tcp any 128.121.0.0 255.255.0.0 eq www
access-list outbound permit ip any any
access-group outbound in interface inside

Alternativamente, si usted quiere ser más selectivo, esto debe también trabajar:

access-list outbound deny tcp any 128.121.20.0 255.255.255.240 eq www
access-list outbound deny tcp any 128.121.4.0 255.255.255.0 eq www
access-list outbound permit ip any any
access-group outbound in interface inside

Configuración de eDonkey

eDonkey usa dos puertos, uno para búsquedas de archivos y uno para transferencias de archivos. Las búsquedas del archivo se hacen usando un puerto de origen aleatoriamente escogido UDP a un puerto de destino aleatorio. Las transferencias de archivos se hacen usando un puerto destino de TCP/4662. El bloqueo de este puerto para las descargas del archivo. Aunque, los usuarios puedan todavía buscar para los archivos pues la porción UDP de este programa no se puede bloquear con eficacia con una lista de acceso.

El puerto predeterminado de TCP/4662 se puede modificar simplemente en las opciones del programa pero esto no afecta el puerto en el que se descargan los archivos. Esta opción de número de puerto parece ser el puerto que utilizan otros hosts para descargar archivos desde el host de origen. Las descargas de archivo se interrumpen (o como mínimo se ven afectadas seriamente) simplemente bloqueando la salida TCP/4662. Esta situación tendrá lugar a menos que un gran número de otros usuarios P2P hayan cambiado este puerto en su configuración, lo que es poco probable.

La aplicación de éstos en su PIX debe bloquear este programa:

access-list outbound deny tcp any any eq 4662
access-list outbound permit ip any any
access-group outbound in interface inside

FastTrack - Configuración Kazaa/KazaaLite/Grokster/iMesh

El FastTrack es la red más popular P2P alrededor hoy. Las aplicaciones de intercambio de archivos P2P tales como Kazaa, KazaaLite, Grokster e iMesh todo utilizan esta red y conectan con otros host que usan ningunos puerto abierto TCP/UDP para buscar y para descargar los archivos. Esto imposibilita su filtrado con una lista de acceso.

Nota: Estas aplicaciones no se pueden filtrar con un escudo de protección PIX.

Para filtrar con eficacia estas aplicaciones, utilice el NBAR en su router externo (o cualquier router entre el host de origen y la conexión de Internet). El NBAR puede hacer juego específicamente en las conexiones hechas a la red FastTrack (de Rastreo Rápido) y se puede caer totalmente o tarifa limitada.

Una configuración de NBAR del Ios router de la muestra para caer los paquetes fastTrack aparece aquí:

class-map match-any p2p
   match protocol fasttrack file-transfer *


policy-map block-p2p 
   class p2p
      drop

!--- The drop command was introduced in 
!--- Cisco IOS Software Release 12.2(13)T.


int FastEthernet0
   description PIX-facing interface
   service-policy input block-p2p

Si el router funciona con un Cisco IOS Software anterior que el Cisco IOS Software Release 12.2(13)T, después el comando del descenso bajo el directiva-mapa no está disponible. Para caer este tráfico, utilice un directiva-mapa para fijar el bit DSCP en los paquetes que corresponden con como entran en al router. Después, defina una lista de acceso para caer todos los paquetes con este conjunto de bits como salen al router. Se utiliza el bit DSCP pues es inverosímil que algún tráfico “normal” utiliza esto. Una configuración de muestra para esto se muestra aquí:

class-map match-any p2p
   match protocll fasttrack file-transfer *

policy-map block-p2p
   class p2p
      set ip dscp 1

int FastEthernet0
   description PIX/Inside facing interface
   service-policy input block-p2p

int Serial0
   description Internet/Outside facing interface
   ip access-group 100 out

access-list 100 deny ip any any dscp 1
access-list 100 permit ip any any

Gnutella - Configuración BearShare/Limewire/Morpheus/ToadNode

El Gnutella es un protocolo del código abierto y tiene sobre 50 aplicaciones usando él en una amplia variedad de sistemas operativos. Entre las aplicaciones P2P más populares se encuentran BearShare, Limewire, Morpheus y ToadNode. Utilizan cualquier puerto TCP/UDP abierto para comunicarse con otro host P2P y, a partir de allí, conectarse con muchos otros host, lo que hace que el filtrado de estos programas con una lista de acceso sea imposible.

Nota: Estos programas no pueden filtrarse con un firewall PIX.

Utilice el NBAR en su router externo para filtrar con eficacia estos protocolos. El NBAR puede hacer juego específicamente en las conexiones hechas a la red Gnutella y se puede caer totalmente o tarifa limitada.

Una configuración de NBAR del Ios router de la muestra parece el ejemplo en la sección del FastTrack de este documento. A continuación se muestra la adición de una línea concordante con Gnutella en el mismo mapa de clases:

class-map match-any p2p
   match protocol gnutella file-transfer *

Información Relacionada


Document ID: 42700