Jak zablokować P2P w 1 minutę?
Prawdziwym problemem dla firm są programy typu peer-to-peer, służące do pobierania plików z Internetu, używane przez pracowników na firmowych komputerach. Po pierwsze w znaczący sposób obciążają firmowe łącza, co wpływa na wydajność pracy w sieci. Po drugie, programy P2P umożliwiają pobierania z Internetu niedozwolonych przez polskie prawo treści takich jak filmy, pliki muzyczne czy nielegalne wersje oprogramowania. Aprobata dla takiego procederu skutkować może poważnymi konsekwencjami karnymi dla firmy. Po trzecie to często źródło złośliwego oprogramowania takiego jak wirusy czy trojany.
Autorzy aplikacji peer-to-peer tworzą nowe, zaawansowane sposoby obejścia blokad na firewallu. Do ich blokowania posłużyć się należy rozwiązaniami z systemem blokowania włamań (Intrusion Prevention System), który analizuje połączenia w warstwie aplikacji, dając administratorom możliwość blokowania ruchu P2P przechodzącego przez firewall.
Jednym z dostępnych na rynku rozwiązań jest urządzenie NETASQ UTM, z wbudowanym systemem IPS. IPS posiada bazę sygnatur niechcianego przez administratorów ruchu. Jego konfigurowanie odbywa się w nieskomplikowany sposób. Służy do tego konsola graficzna Administration Suite. Poniżej zobaczyć można jak uruchomić blokowanie w minutę.
Monitoring i zarządzenie
Potrzebne do tego będą dwie aplikacje wchodzące w skład NETASQ Administration Suite: NETASQ Unified Manger i NETASQ Real-Time Monitor. NETASQ Unified Manager służy na konfigurowania urządzenia, a NETASQ Real-Time Monitor pozwala śledzić aktywności użytkowników w czasie rzeczywistym. Przed zablokowaniem aplikacji możesz za pomocą NETASQ Real-Time Monitora sprawdzić, na których stacjach roboczych generowany jest uciążliwy ruch. Opisałem to w części
Wykrywanie ruchu. Jeśli zamierzasz od razu przejść do
Blokowania ruchu pomiń pierwszą część.
Wykrywanie ruchu
Sprawdź jaki ruch jest generowany na komputerach użytkowników sieci za pomocą programu NETASQ Real-Time Monitor, która pozwoli Ci przeglądać komunikaty i alarmy IPS w czasie rzeczywistym. Po otwarciu aplikacji
NETASQ Real-Time Monitor przejdź do sekcji
Alarms.
W tej sekcji wyświetlona zostanie lista wszystkich alarmów IPS, które możesz posortować w dowolny sposób np. chronologicznie
(Date), według protokołu
(Protocol), źródła
(Source) lub sygnatury alarmu
(Message).
W ten sposób odszukaj na liście nazwę odpowiedniej sygnatury ruchu. Źródło niechcianej aktywności wyświetlane w kolumnie
Source może podać Ci nazwę lub adresy IP stacji roboczych, których ten ruch dotyczy.
Tutaj ruch
„P2P : BitTorrent announce” z hosta o nazwie
„hp”.
Innym sposobem jest wyszukiwanie sygnatur ruchu za pomocą sekcji
Hosts, która w zakładce
Alarms wyświetla informacje o alarmach na wskazanej stacji roboczej. Poniżej lista alarmów dla hosta „hp”.
Na wykazie alarmów dla stacji „hp” odszukaj nazwy sygnatury.
Blokowanie ruchu
Skoro znasz nazwy sygnatur ruchu uruchom program NETASQ Unified Manager.
Zwróć uwagę, aby pole
Profile w lewym nagłówku ustawione było na
„01: default (outgoing traffic)”, czyli ruch wychodzący.
W programie NETASQ Unified Manager po wybraniu sekcji
Intrusion Prevention przejdź do konfigurowania modułu IPS, który wyświetli się w nowym oknie. W lewej tabeli dostępne będzie menu. Wskaż w nim
Contextual signatures > Content filtering.
W kolumnie
Message w głównym oknie wyświetlają się sygnatury ruchu. Wybierz tą, którą chcesz zablokować. Blokowanie odbywa się poprzez zaznaczenie sygnatury oraz wybranie w kolumnie
Action polecania
Block.
Aby zapisać i aktywować wprowadzone zmiany kliknij w pole
w prawym dolnym rogu okna. Od tego momentu ruch
„P2P : BitTorrent announce” będzie blokowany przez system IPS.
Powyższa instrukcja prezentuje możliwości blokowania połączeń P2P poprzez BitTorrent. Analogicznie zablokować należy pozostałych klientów peer-to-peer, do których IPS NETASQ posiada sygnatury
drukuj stronę
Materiały informacyjne