Niebezpieczna wymiana plików
-
- 27.04.2010
Jak zablokować niepożądany ruch
W pierwszej kolejności należy dokonać inspekcji ustawień firmowej zapory sieciowej i skonfrontować wyniki z zapisami polityki bezpieczeństwa. Najważniejszą polityką powinno być ograniczenie ruchu poza ściśle dozwolonym - stąd wynika zablokowanie niestandardowych portów TCP/UDP.
Problemy z blokowaniem ruchu peer to peer polegają także na tym, że w wielu przypadkach połączenie to jest szyfrowane (np. Skype) lub przenoszone w sesjach HTTP, co utrudnia analizę ruchu. Zatem zablokowanie portów poza 80 nie powoduje automatycznie zablokowania połączeń wychodzących z takich aplikacji, chociaż są wyjątki (na przykład usługa Bittorrent).
Bardzo ważnym orężem w blokowaniu takich usług jest wdrożenie serwera pośredniczącego (proxy), przez który musi wychodzić cały ruch HTTP. Zablokowanie wszystkich połączeń wychodzących na zaporze i konieczność uwierzytelnienia na serwerze pośredniczącym utrudnia pracę takich sieci, a jednocześnie podwyższa bezpieczeństwo korzystania z Internetu w firmie.
W niektórych organizacjach wdrożono bardzo sensowną, choć restrykcyjną politykę połączeń, polegającą na zablokowaniu całego ruchu SSL z wyjątkiem dozwolonego do wybranych stron. To samo dotyczy ruchu DNS - wiele firm posiada otwarte połączenie z LAN na port 53 (standardowy port zapytań DNS) do dowolnego IP. W poprawnie skonfigurowanej sieci, stacje robocze mogą korzystać wyłącznie z korporacyjnego serwera DNS, którego zapytania powinny być dodatkowo kontrolowane. Bezpośrednie połączenie powinno być zablokowane.
Protokół i aplikacja, nie port
Oprócz blokowania konkretnej komunikacji, należy rozważyć wdrożenie rozwiązań firewall/IPS, które potrafią rozpoznawać ruch sieci peer to peer na podstawie zawartości pakietów, a nie tylko adresu docelowego i portu. Większość komercyjnych rozwiązań rozpoznaje typowy ruch takich sieci i doskonale sobie radzi z ich blokowaniem. Najtrudniejszą aplikacją do zablokowania jest Skype, gdyż protokół tego komunikatora był opracowywany pod kątem omijania zabezpieczeń sieciowych.
Bardzo ważnym elementem ochrony jest prawidłowa konfiguracja stacji roboczych, uniemożliwiająca instalację niezatwierdzonego przez IT oprogramowania. Należy także sprawdzać, jakie dokładnie oprogramowanie jest zainstalowane na stacjach roboczych, ale nie jest to stuprocentowo pewna ochrona. Niektóre aplikacje klienckie p2p są napisane w językach Java lub .NET i mogą być uruchomione bez instalacji na twardym dysku komputera przy standardowych uprawnieniach.
Typowe porty komunikacji używane przez sieci peer to peer:
BitTorrent - 6969 (połączenia do trackerów, typ ruchu - HTTP), 6881-6999 (transfer danych, typ ruchu - szyfrowany strumień), 58261 - port niektórych klientów dla Windows.
eDonkey/overnet/eMule - 4661, 4662, 4672, 4665, ale często używane są także inne porty
Kad - 6419, 6429
Gnutella oraz Gnutella2 - 6346, przy czym to oprogramowanie może pracować na dowolnym porcie.
FastTrack - 1214
OpenNap - 6699 (klient), 8888(serwer), 8875(metaserwer), 8889 (statystyki)
DirectConnect - 1412
SoulSeek - 2234, 5534
Skype - każdy port, wykorzystuje z powodzeniem 443, 80, 53 i inne otwarte. Lista statycznych IP niezbędnych do inicjacji połączenia jest zmienna, dlatego najlepiej działa blokowanie za pomocą IPS-ów, które znają protokół tej aplikacji.
