blocco totale p2p

Ilpastore · 26-08-2007, 23:03

Ciao a tutti!

sto facendo un pò di test ed osservazioni con vari firewall per il blocco totale dei programmi p2p (edonkey, gnutella, kazaa ecc....)
Ne ho tratto che i migliori sono sicuramente quelli che integrano UTM in modo tale che si aggiornino cadenzialmente contro le nuove minacce,
Una menzione particolare voglio farla per VPN-1 (con UTM ovviamente!) di Checkpoint che mi sembra davvero ottimo....
ce n'era anche un altro, forse migliore ma adesso mi sfugge il nome... era giallo ed era sia firewall hardware che c'era l'iso per montarlo su COMPUTER.

VS considerazioni?

Stev-O · 27-08-2007, 00:29

c'e' un plugin apposta per iptables

Ilpastore · 27-08-2007, 02:21

Quote:

Originariamente inviato da Stev-O

c'e' un plugin apposta per iptables

si chiama ftwall ed è per esempio usando anche in ipcop, ma sinceramente dubito del funzionamento

Ilpastore · 27-08-2007, 02:53

Quote:

Originariamente inviato da Ilpastore

si chiama ftwall ed è per esempio usando anche in ipcop, ma sinceramente dubito del funzionamento

mi sono ricordato il nome del firewall "tosto":
ASTARO
http://www.astaro.it

Devil! · 27-08-2007, 07:22

Quote:

Originariamente inviato da Stev-O

c'e' un plugin apposta per iptables

iptables + l7-filter + ipp2p

as10640 · 27-08-2007, 07:58

Scusami... ma credo di non capire..... non basta chiudere tutte le porte, ad esempio come fa Monowall

Ilpastore · 27-08-2007, 08:46

Quote:

Originariamente inviato da as10640

Scusami... ma credo di non capire..... non basta chiudere tutte le porte, ad esempio come fa Monowall

no AS non ci siamo. In che senso parli di chiudere tutte le porte?
cmq in ogni caso non funziona con debian, te lo dico perchè gia lo uso e "non chiude"
i nuovi client P2P con connessioni offuscate e porte random sono terribili da bloccare e per questo serve un IDS e SPI avanzato.
Mi serve appunto replicare un gateway linux debian, con qualcosa di dedicato a bloccare il P2P.
Finora ho trovato 3 soluzioni:
- Astaro
- Watchguard
- VPN-1 UTM (CHP)

ma non ho avuto riscontri veri...

as10640 · 27-08-2007, 09:32

Quote:

Originariamente inviato da Ilpastore

no AS non ci siamo. In che senso parli di chiudere tutte le porte?
cmq in ogni caso non funziona con debian, te lo dico perchè gia lo uso e "non chiude"
i nuovi client P2P con connessioni offuscate e porte random sono terribili da bloccare e per questo serve un IDS e SPI avanzato.
Mi serve appunto replicare un gateway linux debian, con qualcosa di dedicato a bloccare il P2P.
Finora ho trovato 3 soluzioni:
- Astaro
- Watchguard
- VPN-1 UTM (CHP)

ma non ho avuto riscontri veri...

Beh... io ho usato Monowall e di default le due reti sono totalmente isolate....
Quindi puoi avere la connessione offuscata o porte random finchè vuoi, ma non esci...

Stev-O · 27-08-2007, 10:17

Quote:

Originariamente inviato da Ilpastore

si chiama ftwall ed è per esempio usando anche in ipcop, ma sinceramente dubito del funzionamento

no, non si chiama cosi'

Quote:

Originariamente inviato da Devil!

iptables + l7-filter + ipp2p

ecco è questo

ma cmq va ricompilata un po' di roba prima

Ilpastore · 28-08-2007, 12:18

Quote:

Originariamente inviato da Stev-O

no, non si chiama cosi'

ecco è questo

ma cmq va ricompilata un po' di roba prima

già c'è l'ho. configurato e tutto, con kernel ricompilato ma non va.

EDIT: continuo a non capire AS. Io non voglio 2 reti isolate tra loro. Voglio che funzioni tutto tranne il P2P (anche offuscato e su porte note)

Ilpastore · 28-08-2007, 12:25

http://m0n0.ch/wall/features.php

infatti su m0n0wall non esiste nessuna voce P2P.

Guardate, quello che serve è un buon firewall hardware che abbia l'utm. quest'ultimo è più che necessario quando si ha a che fare col P2P (anche altre cose) in quanto continuo aggiornamento.

CHECKPOINT VPN-1 UTM e WATCHGUARD FIREBOX e1250

sto valutando tra queste ipotesi...

as10640 · 28-08-2007, 13:19

Quote:

Originariamente inviato da Ilpastore

EDIT: continuo a non capire AS. Io non voglio 2 reti isolate tra loro. Voglio che funzioni tutto tranne il P2P (anche offuscato e su porte note)

Magari sono io che non ti seguo..... per bloccare p2p a me verrebbe da partire appunto da una configurazione "tutto chiuso" e poi aprire le porte che servono http, ftp ecc....

Magari tu sei a conoscenza di situazioni in cui il p2p viene "mascherato", come ad esempio skype che viene incapsulato dentro un pacchetto http ed esce sulla porta 80....

Stev-O · 28-08-2007, 13:39

cmq per bloccare il p2p si fa generalmente presto
si chiudono le porte > 1024 e sulle restanti si impongono restrizioni, tipo lasciare solo le porte web e ftp, se possibile attuare una quota di banda massima ecc

Ilpastore · 29-08-2007, 12:52

Quote:

Originariamente inviato da Stev-O

cmq per bloccare il p2p si fa generalmente presto
si chiudono le porte > 1024 e sulle restanti si impongono restrizioni, tipo lasciare solo le porte web e ftp, se possibile attuare una quota di banda massima ecc

non posso ragazzi.....

il problema sta nel fatto che se effettuo la politica del "chiudo tutto tranne" ho un casino di problemi in quanto mi passano davanti migliaia e migliaia di connessioni da tutte le porte con tutti i servizi possibili....

Tipo: programmi di remote banking, vpn, vnc, skype stesso, msn...... ecc........

non posso bloccare tutto.

Mi serve qualcosa a livello di sonda (quindi ids/idp, meglio se aggiornabile tipo UTM) per spacchettare il traffico, riconoscere il P2P e dropparlo.

Capito ora le mie esigenze?

Cmq ho già un gateway con ipp2p e non riesce a chiudere il P2P "offuscato". P.S. Fa anche traffic shaping....

l7 non serve proprio per il principio che i pacchetti vengono spoofati a livello applicativo (7 appunto)

Stev-O · 29-08-2007, 12:54

eppure i cisco riescono a bloccare comunque

Ilpastore · 29-08-2007, 12:59

Quote:

Originariamente inviato da Stev-O

eppure i cisco riescono a bloccare comunque

perchè agiscono come dico io su SPI profondi....

quali modelli di PIX dici che sono buoni per questo? hai qualche riferimento? tipo manuali ecc....

Devil! · 29-08-2007, 13:04

http://www.cisco.com/en/US/products/...8023500d.shtml

http://www.cisco.com/en/US/products/ps6150/index.html
http://www.cisco.com/en/US/products/ps6151/index.html

Ilpastore · 29-08-2007, 13:04

Quote:

Originariamente inviato da Ilpastore

perchè agiscono come dico io su SPI profondi....

quali modelli di PIX dici che sono buoni per questo? hai qualche riferimento? tipo manuali ecc....

trovato qualcosa:

http://www.cisco.com/en/US/products/...d805baef2.html

se vedi le specifiche parla di peer to peer, ma anche di application tunneling on 80 port

26-08-2007, 23:03	#1
Ilpastore Senior Member Iscritto dal: Jul 2005 Città: Comino Beach Messaggi: 972	blocco totale p2p Ciao a tutti! sto facendo un pò di test ed osservazioni con vari firewall per il blocco totale dei programmi p2p (edonkey, gnutella, kazaa ecc....) Ne ho tratto che i migliori sono sicuramente quelli che integrano UTM in modo tale che si aggiornino cadenzialmente contro le nuove minacce, Una menzione particolare voglio farla per VPN-1 (con UTM ovviamente!) di Checkpoint che mi sembra davvero ottimo.... ce n'era anche un altro, forse migliore ma adesso mi sfugge il nome... era giallo ed era sia firewall hardware che c'era l'iso per montarlo su COMPUTER. VS considerazioni? __________________ "Il firewall più sicuro al mondo? Colui che sta seduto davanti al pc ore ed ore..." http://www.antoniodavanzo.com

27-08-2007, 00:29	#2
Stev-O Senior Member Iscritto dal: Sep 2005 Città: Opinions are like assholes: anybody has one... Messaggi: 34262	c'e' un plugin apposta per iptables __________________ Ну давай !! . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Cina, bugiardo - stolen conto: non paghi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . *NON CERCO PIU' UN ALIMENTATORE DECENTE ----------------> LINK*

27-08-2007, 07:58	#6
as10640 Senior Member Iscritto dal: Jul 2005 Città: Ferrara Messaggi: 3494	Scusami... ma credo di non capire..... non basta chiudere tutte le porte, ad esempio come fa Monowall __________________ The flapping of a single butterfly's wing is enough to change the weather patterns throughout the world.

28-08-2007, 12:25	#11
Ilpastore Senior Member Iscritto dal: Jul 2005 Città: Comino Beach Messaggi: 972	http://m0n0.ch/wall/features.php infatti su m0n0wall non esiste nessuna voce P2P. Guardate, quello che serve è un buon firewall hardware che abbia l'utm. quest'ultimo è più che necessario quando si ha a che fare col P2P (anche altre cose) in quanto continuo aggiornamento. CHECKPOINT VPN-1 UTM e WATCHGUARD FIREBOX e1250 sto valutando tra queste ipotesi... __________________ "Il firewall più sicuro al mondo? Colui che sta seduto davanti al pc ore ed ore..." http://www.antoniodavanzo.com

28-08-2007, 13:39	#13
Stev-O Senior Member Iscritto dal: Sep 2005 Città: Opinions are like assholes: anybody has one... Messaggi: 34262	cmq per bloccare il p2p si fa generalmente presto si chiudono le porte > 1024 e sulle restanti si impongono restrizioni, tipo lasciare solo le porte web e ftp, se possibile attuare una quota di banda massima ecc __________________ Ну давай !! . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Cina, bugiardo - stolen conto: non paghi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . *NON CERCO PIU' UN ALIMENTATORE DECENTE ----------------> LINK*

29-08-2007, 12:54	#15
Stev-O Senior Member Iscritto dal: Sep 2005 Città: Opinions are like assholes: anybody has one... Messaggi: 34262	eppure i cisco riescono a bloccare comunque __________________ Ну давай !! . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Cina, bugiardo - stolen conto: non paghi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . *NON CERCO PIU' UN ALIMENTATORE DECENTE ----------------> LINK*

29-08-2007, 13:04	#17
Devil! Senior Member Iscritto dal: Feb 2003 Città: Padova Messaggi: 5905	http://www.cisco.com/en/US/products/...8023500d.shtml http://www.cisco.com/en/US/products/ps6150/index.html http://www.cisco.com/en/US/products/ps6151/index.html __________________ Ultima modifica di Devil! : 29-08-2007 alle 13:11.

Strumenti
Mostra una versione stampabile Invia questa pagina per email