Маршрутизаторы : Устройства защиты Cisco PIX серии 500

Блокирование программ однорангового обмена файлами с помощью брандмауэра PIX

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Этот документ описывает, как к (пытаются к) блокируют наиболее распространенное одноранговое (P2P) программы общего файла с Межсетевым экраном PIX. Если приложение не может эффективно быть заблокировано с PIX, Cisco, конфигурации Сетевого распознавания приложений (NBAR) IOS� включены, который может быть настроен на любом маршрутизаторе Cisco между исходным хостом и Интернетом.

ВАЖНОЕ ПРИМЕЧАНИЕ: Из-за природы этого документа содержания помогает в блокировании, Cisco неспособна заблокировать адреса индивидуального сервера. Вместо этого Cisco рекомендует, адрес блока располагается, чтобы гарантировать вам, заблокировать все возможные серверы для каждой из перечисленных программ. Результат этого может состоять в том, что вы блокируете доступ к легитимным сервисам. Если это верно, вам нужно к операторам add к конфигурации, которые разрешают эти отдельные сервисы. Обратитесь в техническую поддержку Cisco, если вы испытываете какие-либо затруднения.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Эти конфигурации были протестированы с использованием их программное обеспечение PIX и версии аппаратного обеспечения, невзирая на то, что они, как ожидают, будут работать на любую версию аппаратного и программного обеспечения:

  • Межсетевой экран Cisco PIX 501

  • Версия 6.3 (3) Программного обеспечения Cisco PIX Firewall

  • Cisco IOS Software Release 12.2.(13)T

Эти конфигурации были протестированы с использованием этих версий программного обеспечения P2P:

  • Версия Blubster 2.5

  • версия eDonkey 0.51

  • Сборка версии IMesh 4.2 137

  • Версия KazaaLite 2.4.3

  • Версия LimeWire 3.6.6

  • Версия Morpheus 3.4

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Более подробную информацию о применяемых в документе обозначениях см. в описании условных обозначений, используемых в технической документации Cisco.

Конфигурация PIX

interface ethernet0 10baset 
interface ethernet1 10full 
ip address outside dhcp setroute 
ip address inside 192.168.1.1 255.255.255.0 
global (outside) 1 interface 
nat (inside) 1 0 0 
http server enable 
http 192.168.1.0 255.255.255.0 inside 
dhcpd address 192.168.1.2-192.168.1.129 inside 
dhcpd auto_config 
dhcpd enable inside 
pdm logging informational 
timeout xlate 0:05:00

Конфигурация Blubster/Piolet

Blubster и Piolet используют Многоточечного P2P (MP2P) протокол. Это первоначально соединяется с центральными серверами сетей, чтобы получить список одноранговых хостов и может быть заблокировано эффективно со списком доступа, поэтому отключив программу. Соединения P2P обычно находятся на порте TCP 80. Однако, если первоначальное подключение заблокировано, вы не можете загрузить этот список одноранговых узлов.

Применение их на вашем PIX должно заблокировать эту программу:

access-list outbound deny tcp any 128.121.0.0 255.255.0.0 eq www
access-list outbound permit ip any any
access-group outbound in interface inside

Также, если вы хотите быть немного более выборочными, это должно также работать:

access-list outbound deny tcp any 128.121.20.0 255.255.255.240 eq www
access-list outbound deny tcp any 128.121.4.0 255.255.255.0 eq www
access-list outbound permit ip any any
access-group outbound in interface inside

конфигурация eDonkey

eDonkey использует два порта, один для поиска файлов, другой для передачи. Поиски файла сделаны с помощью случайным образом выбранного исходного порта UDP для порта случайного получателя. Передачи файла сделаны с помощью порта назначения TCP/4662. Блокирование этого порта останавливает загрузки файла. Несмотря на то, что пользователи все еще в состоянии искать файлы, поскольку часть UDP этой программы не может быть заблокирована эффективно со списком доступа.

Порт по умолчанию TCP/4662 можно изменить в параметрах программы, но это не повлияет на порт, на который загружаются файлы. Этот параметр номера порта, вероятно, является портом, который другие узлы используют для загрузки файлов с узла-источника. Если большое количество пользователей P2P не изменили этот порт в настройках, что мало вероятно, загрузка файлов остановлена (или на нее было оказано значительное влияние) из-за блокировки исходящего порта TCP/4662.

Применение их на вашем PIX должно заблокировать эту программу:

access-list outbound deny tcp any any eq 4662
access-list outbound permit ip any any
access-group outbound in interface inside

FastTrack - Конфигурация Kazaa/KazaaLite/Grokster/iMesh

FastTrack является самой популярной сетью P2P вокруг сегодня. Приложения с общим доступом к файлам P2P, такие как Kazaa, KazaaLite, Grokster и запутывают все использование эта сеть и подключение к другим хостам с помощью любого открытого порта TCP/UDP, чтобы искать и загрузить файлы. Фильтрование списком доступа становится невозможным.

Примечание: Эти приложения нельзя отфильтровать с помощью межсетевого экрана PIX.

Для эффективной фильтрации этих приложений используйте NBAR на внешнем маршрутизаторе (или любой маршрутизатор между исходным хостом и Интернет-соединением). NBAR может совпасть в частности на соединениях, сделанных к Сети FastTrack, и может или быть отброшен полностью или с ограниченной скоростью.

Типовая конфигурация NBAR маршрутизатора IOS для отбрасывания Пакетов fasttrack появляется здесь:

class-map match-any p2p
   match protocol fasttrack file-transfer *


policy-map block-p2p 
   class p2p
      drop

!--- The drop command was introduced in 
!--- Cisco IOS Software Release 12.2(13)T.


int FastEthernet0
   description PIX-facing interface
   service-policy input block-p2p

Если маршрутизатор выполняет программное обеспечение Cisco IOS ранее, чем программное обеспечение Cisco IOS версии 12.2(13)T, то команда отбрасывания под policy-map не доступна. Для отбрасывания этого трафика используйте policy-map для установки бита DSCP в соответствующих пакетах, поскольку они входят в маршрутизатор. Затем, определите список доступа для отбрасывания всех пакетов с этим установленным битом, поскольку они выходят из маршрутизатора. DSCP укусил, используется, поскольку маловероятно, что любой "обычный" трафик использует это. Пример конфигурации для этого показывают здесь:

class-map match-any p2p
   match protocll fasttrack file-transfer *

policy-map block-p2p
   class p2p
      set ip dscp 1

int FastEthernet0
   description PIX/Inside facing interface
   service-policy input block-p2p

int Serial0
   description Internet/Outside facing interface
   ip access-group 100 out

access-list 100 deny ip any any dscp 1
access-list 100 permit ip any any

Gnutella - BearShare/Limewire/Morpheus/ToadNode Конфигурация

Gnutella является протоколом с открытым исходным кодом и имеет более чем 50 приложений с помощью него на большом разнообразии операционных систем. К распространенным приложениям P2P относятся BearShare, Limewire, Morpheus и ToadNode. Они используют любой открытый порт TCP/UDP для связи с другим главным узлом P2P, а оттуда соединяются с множеством других главных узлов, устанавливая фильтрацию этих программ с помощью access-list impossible.

Примечание: Эти программы межсетевой экран PIX отфильтровать не может.

Используйте NBAR на своем внешнем маршрутизаторе для эффективной фильтрации этих протоколов. NBAR может совпасть в частности на соединениях, сделанных к сети Gmutella, и может или быть отброшен полностью или с ограниченной скоростью.

Типовая конфигурация NBAR маршрутизатора IOS похожа на пример в разделе FastTrack этого документа. Ниже показано добавление согласующей строки Gnutella под одинаковой картой класса:

class-map match-any p2p
   match protocol gnutella file-transfer *

Дополнительные сведения


Document ID: 42700