Witam,
mamy w firmie firewalla ciscowego ASA 5540 i chciałbym np. za pomocą access list zablokować ruch P2P z sieci wewnętrznej. Czy macie może listę portów do programów P2P lub może w pracy już macie takie ACL. Znalazłem w sieci jakieś informacje o portach ale nie wiem czy są wystarczające.
P2P - blokada
P2P - blokada
-------------------------------
Cisco
Cisco
ACL-ki to raczej średni pomysł dla ruchu P2P. Niestety ale większość z nich potrafi działać pomimo wycięcia ich natywnych portów. Zresztą dziwię się - z zasady powinniście mieć zablokowane wszystkie porty i otwarte tylko te które służą do pracy w firmie. Radziłbym zacząć od tej strony, a później conajwyżej otwierać odpowiednie porty.
Najlepszym rozwiązaniem dla P2P (a raczej najgorszym dla niego) jest wprowadzenie klasyfikacji w oparciu o NBAR i odpowiednie skierowanie ruchu P2P na tej podstawie bądź przydzielenie mu odpowiedniego pasma (najlepiej 0).
W przypadku NBAR masz większe szanse na wycięcie opdowiedniej transmisji niż w przypadku acl-ek. Łącznie z tym, że NBAR jest w stanie sprawdzać pakiety lecące portem np 80, czego w przypadku aclki nie zrobisz (nie wytniesz przecież www w firmie).
Życzę udanej walki.
Najlepszym rozwiązaniem dla P2P (a raczej najgorszym dla niego) jest wprowadzenie klasyfikacji w oparciu o NBAR i odpowiednie skierowanie ruchu P2P na tej podstawie bądź przydzielenie mu odpowiedniego pasma (najlepiej 0).
W przypadku NBAR masz większe szanse na wycięcie opdowiedniej transmisji niż w przypadku acl-ek. Łącznie z tym, że NBAR jest w stanie sprawdzać pakiety lecące portem np 80, czego w przypadku aclki nie zrobisz (nie wytniesz przecież www w firmie).
Życzę udanej walki.
CCNP,CCDP,JNCIA-FWV,CCNA-sec
Może tu znajdziesz rozwiązanie
http://www.cisco.com/en/US/products/hw/ ... 419a.shtml
http://www.cisco.com/en/US/products/hw/ ... 419a.shtml
A nie jest tak że NBAR nie działa na ASAch? Poza tym NBAR może mieć kłopoty z opakowanymi pakietami - np BitTorrent "zapakowany" w SSH i generalnie z szyfrowaniem.adikb pisze:ACL-ki to raczej średni pomysł dla ruchu P2P. Niestety ale większość z nich potrafi działać pomimo wycięcia ich natywnych portów. Zresztą dziwię się - z zasady powinniście mieć zablokowane wszystkie porty i otwarte tylko te które służą do pracy w firmie. Radziłbym zacząć od tej strony, a później conajwyżej otwierać odpowiednie porty.
Najlepszym rozwiązaniem dla P2P (a raczej najgorszym dla niego) jest wprowadzenie klasyfikacji w oparciu o NBAR i odpowiednie skierowanie ruchu P2P na tej podstawie bądź przydzielenie mu odpowiedniego pasma (najlepiej 0).
W przypadku NBAR masz większe szanse na wycięcie opdowiedniej transmisji niż w przypadku acl-ek. Łącznie z tym, że NBAR jest w stanie sprawdzać pakiety lecące portem np 80, czego w przypadku aclki nie zrobisz (nie wytniesz przecież www w firmie).
Życzę udanej walki.
--
Pozdrawiam
Piotrek
NBAR faktycznie jest funkcjonalnoscia IOS. Ogolnie chyba wiekszosc, jesli nie wszystkie filtry pakietow maja problemy z blokowaniem ruchu X, czy Y, ktory idzie tunelem SSH, i nie jest to "niedoskonalosc NBAR.Sofcik pisze:A nie jest tak że NBAR nie działa na ASAch? Poza tym NBAR może mieć kłopoty z opakowanymi pakietami - np BitTorrent "zapakowany" w SSH i generalnie z szyfrowaniem.
Na ASA do wyboru masz ACL + engine inspekcji na poziomie aplikacyjnym, gdzie mozna blokowac ruch, ktory jest niezgodny ze specyfikacja np. HTTP. Rozwiazanie z AIP jest juz calkiem niezle.
Uwaga ogolna.
Pomysly o zastosowaniu linux, czy UTM innej firmy ogolnie nic nie wnosza do tematu, chociazby z tego wzgledu, ze kolega otwierajacy napisal wyraznie, ze ma ASA5540 i to wlasnie na tym urzadzeniu chce zaimplementowac swoja konfiguracje.
Aha, zeby nie bylo, ja nie jestem anty-linuksowi, czy tez UTM innych firm, ale trzymajamy sie tematu.
"Two things are infinite: the universe and human stupidity; and I'm not sure about the universe."
A. Einstein
A. Einstein