Nachdem man eine Richtlinie entwickelt, die Anwender entsprechend geschult und alle Client-Rechner von vorhandenen P2P-Anwendungen gereinigt hat, sollte man ein- und ausgehende P2P-Pakete auf Netzwerkebene abfangen. Auf dem Router an der Netzwerkgrenze sollte man eine entsprechende Methode einrichten, um unerwünschten Traffic zu erkennen und abzuweisen.
Das folgende Beispiel zeigt, wie man einen Cisco-Router so konfiguriert, dass er P2P-Pakete unterdrückt:
Config t [Konfigurations-Modus starten] Ip cef [Cisco Express Forwarding aktivieren] Interface fa 0/0 [Interface-Konfigurations-Modus starten] Ip nbar protocol-discovery [nbar protocol-discovery aktivieren] End [Konfigurations-Modus beenden]
Dies aktiviert CEF (Cisco Express Forwarding) und NBAR (Network-Based Application Recognition). Nun kann man Pakete abfangen, indem man unerwünschten Paketen einen DSCP (Differentiated Services Code Point) zuweist und sie mithilfe einer Zugriffsliste aussortiert:
ip cef class-map match-any p2p match protocol fasttrack match protocol gnutella match protocol napster match protocol httpurl? ".hash=*" match protocol httpurl? ".hash=*" match protocol kazaa2 ! policy-map p2p class p2p set ip dscp 1
Diese Konfiguration weist den aufgeführten Protokollen eine Prioritätsmarkierung zu und ermöglicht das Ausfiltern aller Pakete mit der Markierung „dscp 1“. Als Nächstes fügt man die folgende Zugriffsliste sowohl den eingehenden als auch den ausgehenden Router-Interfaces hinzu:
interface FastEthernet 0/0 access-list 100 deny ip any any dscp 1 log access-list 100 permit ip any any
Diese Konfiguration blockiert die meisten P2P-Anwendungen und verhindert, dass Kazaa die Ports wechselt und Port 80 nutzt.
Man kann P2P-Traffic auch auf Anwendungsebene stoppen, bevor die Pakete die Clients erreichen. Das Programm Packet Shaper von Packeteer ist eine Anwendungs-intelligente Traffic-Management-Lösung, die Layer 7-Kontrolle über das Netzwerk ermöglicht. Packet Shaper blockt unerwünschten Traffic, bestimmte URLs und vieles andere ab. Es kann auch Musik- und Film-Downloads von P2P-Anwendungen blockieren, die eine Verletzung von Urheberrechten bedeuten könnten.
Fazit
P2P-Anwendungen sind ein Sicherheitsalptraum für jedes Unternehmensnetzwerk. Um dieser Bedrohung zu begegnen, sollte man die beschriebenen Sicherheitsmaßnahmen implementieren und das Netzwerk von diesen unproduktiven und bandbreitenintensiven Programmen befreien.
Neueste Kommentare
6 Kommentare zu File-Sharing-Software aus dem Netzwerk entfernen
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
artikelschreiber bitte erst informieren!
filesharing software verletzt kein urheberrecht. nur wenn ein nutzer eine urheberrechtlich geschützte datei herunterläd dann verletzt er das urheberrecht nicht aber die software. bevor mann software/freie meinungsäußerung verunglimpft sollte mann sich kundig machen. ihr artikel kann auch als verleumdungsversuch und missinformation im namen der musikindustrie gedeutet werden.
KAAZA Filesharing
Also ich habe ein Unternehmen mit 12 Mitarbeitern, alle Internet usw. Ich habe im Arbeitsvertrag klipp und klar vereinbart, wer Filesharing benutzt mit KAAZA oden WINMX speziell hat eine fristlose Kündigung. Hier is nicht abmahnen angesagt. Die Gefahr der Viren und Trojaner ist viel zu gross.
Und wenn ich meine Homeerfahrungen von früher Anwende, dann brauch ich 3 Rechner davor geschalten mit jeweils anderen Virenprogramm. und die Systeme oha fanden immer noch nicht alles.
Also meine Herren, Finger weg von Filesharing auch wenn es in den Finger juckt.
AW: KAAZA Filesharing
Kauf Dir ne Tüte Deutsch-hat mir auch gehelft!
P2P vs. Netzwerksicherheit
Ist die Problemlösung über eine korrekte NAT-Tabelle nicht wesentlich einfacher und sinnvoller? Motto: alle ports, die nicht zwingend gebraucht werden, sind geschlossen!
AW: P2P vs. Netzwerksicherheit
Hi,
mach das mal mit Port 80 wg Surfen Dumm gelaufen, oder? Diese Schrottsoftware hat schlicht nix in Firmennetzen verloren. Wer sie lokal draufhat, braucht einen Warnschuß und beim nächsten mal gibt´s richtig Ärger oder die Papiere.
Wenn ein mittelständisches Unternehmen sich mit Firewall´s und 2 Instanzen Virenschutz(30.000€ Aufwand/3 Jahre) gegen mal. Code wehrt und ein Computerbild-Möchtegern-Experte in bester DAU-Manier die Pest mit P2P ins Netz holt, ist Schluss mit Lustig!
AW: AW: P2P vs. Netzwerksicherheit
ich finde die pest sind menschen wie sie die die freie meinungsäußerung für ein appel und ein ei verkaufen um sich loyal gegenüber der musikindustrie/mafia zu verhalten. sie sind wirklich ekelerregend!!!