Ciao a tutti!

sto facendo un pò di test ed osservazioni con vari firewall per il blocco totale dei programmi p2p (edonkey, gnutella, kazaa ecc....)
Ne ho tratto che i migliori sono sicuramente quelli che integrano UTM in modo tale che si aggiornino cadenzialmente contro le nuove minacce,
Una menzione particolare voglio farla per VPN-1 (con UTM ovviamente!) di Checkpoint che mi sembra davvero ottimo....
ce n'era anche un altro, forse migliore ma adesso mi sfugge il nome... era giallo ed era sia firewall hardware che c'era l'iso per montarlo su COMPUTER.

VS considerazioni?

c'e' un plugin apposta per iptables

c'e' un plugin apposta per iptables

si chiama ftwall ed è per esempio usando anche in ipcop, ma sinceramente dubito del funzionamento

si chiama ftwall ed è per esempio usando anche in ipcop, ma sinceramente dubito del funzionamento

mi sono ricordato il nome del firewall "tosto":
ASTARO
http://www.astaro.it

c'e' un plugin apposta per iptables

iptables (http://www.netfilter.org/projects/iptables/index.html) + l7-filter (http://l7-filter.sourceforge.net/) + ipp2p (http://www.ipp2p.org/) :)

Scusami... ma credo di non capire..... non basta chiudere tutte le porte, ad esempio come fa Monowall

Scusami... ma credo di non capire..... non basta chiudere tutte le porte, ad esempio come fa Monowall

no AS non ci siamo. In che senso parli di chiudere tutte le porte?
cmq in ogni caso non funziona con debian, te lo dico perchè gia lo uso e "non chiude"
i nuovi client P2P con connessioni offuscate e porte random sono terribili da bloccare e per questo serve un IDS e SPI avanzato.
Mi serve appunto replicare un gateway linux debian, con qualcosa di dedicato a bloccare il P2P.
Finora ho trovato 3 soluzioni:
- Astaro
- Watchguard
- VPN-1 UTM (CHP)

ma non ho avuto riscontri veri...

no AS non ci siamo. In che senso parli di chiudere tutte le porte?
cmq in ogni caso non funziona con debian, te lo dico perchè gia lo uso e "non chiude"
i nuovi client P2P con connessioni offuscate e porte random sono terribili da bloccare e per questo serve un IDS e SPI avanzato.
Mi serve appunto replicare un gateway linux debian, con qualcosa di dedicato a bloccare il P2P.
Finora ho trovato 3 soluzioni:
- Astaro
- Watchguard
- VPN-1 UTM (CHP)

ma non ho avuto riscontri veri...

Beh... io ho usato Monowall e di default le due reti sono totalmente isolate....
Quindi puoi avere la connessione offuscata o porte random finchè vuoi, ma non esci...

si chiama ftwall ed è per esempio usando anche in ipcop, ma sinceramente dubito del funzionamentono, non si chiama cosi'

iptables (http://www.netfilter.org/projects/iptables/index.html) + l7-filter (http://l7-filter.sourceforge.net/) + ipp2p (http://www.ipp2p.org/) :)
ecco è questo

ma cmq va ricompilata un po' di roba prima

no, non si chiama cosi'


ecco è questo

ma cmq va ricompilata un po' di roba prima

già c'è l'ho. configurato e tutto, con kernel ricompilato ma non va.

EDIT: continuo a non capire AS. Io non voglio 2 reti isolate tra loro. Voglio che funzioni tutto tranne il P2P (anche offuscato e su porte note)

http://m0n0.ch/wall/features.php

infatti su m0n0wall non esiste nessuna voce P2P.

Guardate, quello che serve è un buon firewall hardware che abbia l'utm. quest'ultimo è più che necessario quando si ha a che fare col P2P (anche altre cose) in quanto continuo aggiornamento.

CHECKPOINT VPN-1 UTM e WATCHGUARD FIREBOX e1250

sto valutando tra queste ipotesi...

EDIT: continuo a non capire AS. Io non voglio 2 reti isolate tra loro. Voglio che funzioni tutto tranne il P2P (anche offuscato e su porte note)

Magari sono io che non ti seguo..... per bloccare p2p a me verrebbe da partire appunto da una configurazione "tutto chiuso" e poi aprire le porte che servono http, ftp ecc....

Magari tu sei a conoscenza di situazioni in cui il p2p viene "mascherato", come ad esempio skype che viene incapsulato dentro un pacchetto http ed esce sulla porta 80....

cmq per bloccare il p2p si fa generalmente presto
si chiudono le porte > 1024 e sulle restanti si impongono restrizioni, tipo lasciare solo le porte web e ftp, se possibile attuare una quota di banda massima ecc

cmq per bloccare il p2p si fa generalmente presto
si chiudono le porte > 1024 e sulle restanti si impongono restrizioni, tipo lasciare solo le porte web e ftp, se possibile attuare una quota di banda massima ecc

non posso ragazzi.....

il problema sta nel fatto che se effettuo la politica del "chiudo tutto tranne" ho un casino di problemi in quanto mi passano davanti migliaia e migliaia di connessioni da tutte le porte con tutti i servizi possibili....

Tipo: programmi di remote banking, vpn, vnc, skype stesso, msn...... ecc........

non posso bloccare tutto.

Mi serve qualcosa a livello di sonda (quindi ids/idp, meglio se aggiornabile tipo UTM) per spacchettare il traffico, riconoscere il P2P e dropparlo.

Capito ora le mie esigenze?

Cmq ho già un gateway con ipp2p e non riesce a chiudere il P2P "offuscato". P.S. Fa anche traffic shaping....

l7 non serve proprio per il principio che i pacchetti vengono spoofati a livello applicativo (7 appunto)

eppure i cisco riescono a bloccare comunque

eppure i cisco riescono a bloccare comunque

perchè agiscono come dico io su SPI profondi....

quali modelli di PIX dici che sono buoni per questo? hai qualche riferimento? tipo manuali ecc....

http://www.cisco.com/en/US/products/ps6150/products_white_paper0900aecd8023500d.shtml

http://www.cisco.com/en/US/products/ps6150/index.html
http://www.cisco.com/en/US/products/ps6151/index.html

perchè agiscono come dico io su SPI profondi....

quali modelli di PIX dici che sono buoni per questo? hai qualche riferimento? tipo manuali ecc....

trovato qualcosa:

http://www.cisco.com/en/US/products/hw/vpndevc/ps4077/products_data_sheet0900aecd805baef2.html

se vedi le specifiche parla di peer to peer, ma anche di application tunneling on 80 port