The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Cisco ASA 5510 и борьба с P2P"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [ Отслеживать ]

"Cisco ASA 5510 и борьба с P2P"  
Сообщение от weih (ok) on 18-Июн-08, 17:08 
ASA Version 8.0(3)

Есть сеть всяких VIP, сидящих на Eth 0/2.2 интерфейсе моей ASA, на который наложена дефолтная политика (т.е. разрешено всё исходящее на интерфейсы с более низким security-level). Ограничить по портам не представляется возможным - препона чисто организационная (воля начальства). По этой же воле нужно реализовать запрет использования P2P сетей.

Прочитал
http://www.cisco.com/en/US/products/ps6120/products_configur...

Там показан пример как рубить P2P по 80 порту. Учитывая, что в сети сидят люди ушлые, смена порта для них дело плёвое.

Поэтому прошу камрадов помочь советом, как на ASA 5510 можно зафильтровать на 7-ом уровне все p2p протоколы.


спасибо.

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Cisco ASA 5510 и борьба с P2P"  
Сообщение от sh_ email(??) on 18-Июн-08, 18:26 
Как все - не знаю, но вот для ослега.
http://l7-filter.sourceforge.net/layer7-protocols/protocols/...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Cisco ASA 5510 и борьба с P2P"  
Сообщение от Vaso_Petrovich on 19-Июн-08, 10:12 
>Как все - не знаю, но вот для ослега.
>http://l7-filter.sourceforge.net/layer7-protocols/protocols/...

от лохов, может и поможет...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Cisco ASA 5510 и борьба с P2P"  
Сообщение от fix (??) on 20-Июн-08, 15:29 
>http://www.cisco.com/en/US/products/ps6120/products_configur...
>

Такой вариант:

class-map inspection_default
match default-inspection-traffic
class-map type regex match-any test_p2p
match regex _default_x-kazaa-network
match regex _default_GoToMyPC-tunnel_2
match regex _default_GoToMyPC-tunnel
match regex _default_httport-tunnel
match regex _default_gnu-http-tunnel_uri
match regex _default_gnu-http-tunnel_arg
match regex _default_firethru-tunnel_2
match regex _default_firethru-tunnel_1
!
policy-map type inspect ftp Low_Sec_Ftp
parameters
policy-map type inspect http Low_Sec_Http
description Check protocol violations
parameters
  protocol-violation action drop-connection
policy-map type inspect im test_p2p_pol_map
parameters
match filename regex class test_p2p
  drop-connection log
policy-map global_policy
class inspection_default
  inspect dns preset_dns_map
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
  inspect http Low_Sec_Http
  inspect ftp strict Low_Sec_Ftp
  inspect im test_p2p_pol_map

Дополнительно доступ к http и ftp вообще проверяется на protocol violation, то есть рубится все кроме самих протоколов.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Cisco ASA 5510 и борьба с P2P"  
Сообщение от lenny on 09-Июл-08, 15:51 
>[оверквотинг удален]
>  inspect xdmcp
>  inspect sip
>  inspect netbios
>  inspect tftp
>  inspect http Low_Sec_Http
>  inspect ftp strict Low_Sec_Ftp
>  inspect im test_p2p_pol_map
>
>Дополнительно доступ к http и ftp вообще проверяется на protocol violation, то
>есть рубится все кроме самих протоколов.

извините, немного не понял, по этому глобальной политике получается что проверются протоколы ftp, http и im. Это порты 21, 80 и 5190? А остальные как же?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру