Empecher le P2P sur le reseau local ?

Le
Robert T.
Bonjour,

Je cherche comment faire pour empecher les utilisateurs de mon reseau de ne
pas utiliser des soft de P2Psurtout edonkey

J ai essaye de creer des filtre sur notre routeur, un Xyzel prestige 310, je
n y arrive pasou ça marche pas.

J ai essaye d activer le filtrage TCP/IP sous XP, mais je n y arrive pas
aussi
Lorsque je coche : accepter uniquement pour TCP ou UDP, je n ai plus le
script de connexion reseau qui s execute (se script fait un net /use sur le
disque partage de notre serveur)
Quel sont les port TCP et UDP a ouvrir sur un reseau d entreprise ?
sachant que nous avons un routeur, un serveur de mail, un serveur ftp, un
serveur web ?

Avez vous une autre solution ? sachant que je ne peux pas
restrindre/controler l install de soft sur chaque PC

Merci d avance pour vos reponses

A +
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
chunter
Le #31106
Salut,

Robert T. wrote:
Bonjour,

Je cherche comment faire pour empecher les utilisateurs de mon reseau de ne
pas utiliser des soft de P2P...surtout edonkey...


Mission difficile, a moins d'eduquer les utilisateurs.

J ai essaye de creer des filtre sur notre routeur, un Xyzel prestige 310, je
n y arrive pas...ou ça marche pas.

J ai essaye d activer le filtrage TCP/IP sous XP, mais je n y arrive pas
aussi...
Lorsque je coche : accepter uniquement pour TCP ou UDP, je n ai plus le
script de connexion reseau qui s execute (se script fait un net /use sur le
disque partage de notre serveur)...


Normal car ton partage se fait en netbios.

Quel sont les port TCP et UDP a ouvrir sur un reseau d entreprise ?
sachant que nous avons un routeur, un serveur de mail, un serveur ftp, un
serveur web ?


53 en udp pour la resolution de nom.
20 et 20 en tcp et configurer les clients en mode passif.
80,8080,443(https) tcp/udp pour le web
25 et 110 pour le mail.

Avez vous une autre solution ? sachant que je ne peux pas
restrindre/controler l install de soft sur chaque PC...


Installer un proxy web/ftp pour les sites internet, si la taille de la
societe/association le permet installer un serveur mail et demander au
provider la redirection des mails du domaine vers ton serveur.
Et sur ton routeur/firewall n'autoriser que le proxy/serveur de mail a
sortir.
Si les machines son en dhcp et qu'il n'y ait qu'un lan ne pas donner de
passerelle par defaut.

Mais pour un peut plus d'indication sur la topologie, peut lever
d'autres solutions mieux adaptees.

Merci d avance pour vos reponses...

A +


Bye
Chunter

RAKOTOMALALA Renaud
Le #31105

Bonjour,

Je cherche comment faire pour empecher les utilisateurs de mon reseau de ne
pas utiliser des soft de P2P...surtout edonkey...

J ai essaye de creer des filtre sur notre routeur, un Xyzel prestige 310, je
n y arrive pas...ou ça marche pas.

J ai essaye d activer le filtrage TCP/IP sous XP, mais je n y arrive pas
aussi...
Lorsque je coche : accepter uniquement pour TCP ou UDP, je n ai plus le
script de connexion reseau qui s execute (se script fait un net /use sur le
disque partage de notre serveur)...
Quel sont les port TCP et UDP a ouvrir sur un reseau d entreprise ?
sachant que nous avons un routeur, un serveur de mail, un serveur ftp, un
serveur web ?

Avez vous une autre solution ? sachant que je ne peux pas
restrindre/controler l install de soft sur chaque PC...



Le seul moyen d'empecher le P2P de manière sur sur un réseau réside dans
la séparation direct entre Internet et votre réseau lcoal. Cette
configuration bien que complexe et cependant très efficace.

Actuellement vous êtes dans la logique suivante:

J'autorise tout ce qui n'est pas explicitement interdit.

Hors cette politique permet à des applicatifs (et utilisateurs avances)
de contourner les filtrages en evoluant dans leur methode de connexion.


Si tu veux securiser ton réseau mieux vaut utiliser la methode:

J'interdis tout ce qui n'est pas explicitement autorisé.

Une fois dans cette logique, il revient de definir quels sont les
services autorisés par les utilisateurs de ton réseau, puis de mettre ce
que l'on appel des serveurs/services mandataires pour chacun de ces
services.


Cordialement,
--
RAKOTOMALALA RENAUD
W-CONSULTING http://www.w-consulting.fr
Librenet Network http://www.librenet.net
InsideNetworks http://www.insidenetworks.net

RAKOTOMALALA Renaud
Le #31104



Bonjour,

Je cherche comment faire pour empecher les utilisateurs de mon reseau
de ne
pas utiliser des soft de P2P...surtout edonkey...

J ai essaye de creer des filtre sur notre routeur, un Xyzel prestige
310, je
n y arrive pas...ou ça marche pas.

J ai essaye d activer le filtrage TCP/IP sous XP, mais je n y arrive pas
aussi...
Lorsque je coche : accepter uniquement pour TCP ou UDP, je n ai plus le
script de connexion reseau qui s execute (se script fait un net /use
sur le
disque partage de notre serveur)...
Quel sont les port TCP et UDP a ouvrir sur un reseau d entreprise ?
sachant que nous avons un routeur, un serveur de mail, un serveur ftp, un
serveur web ?

Avez vous une autre solution ? sachant que je ne peux pas
restrindre/controler l install de soft sur chaque PC...




Je me reponds à moi même du fait que pour completer mon poste precedent,
il existe certains firewall applicatifs permettant de detecter les
signatures à la volée de logiciel P2P, permettant un ajustement
automatique du firewall en conséquence.

Cependant je n'ai aps de nom sous la main :)

--
RAKOTOMALALA RENAUD
W-CONSULTING http://www.w-consulting.fr
Librenet Network http://www.librenet.net
InsideNetworks http://www.insidenetworks.net


Fabien LE LEZ
Le #30603
On Fri, 7 May 2004 14:52:51 +0200, "Robert T."

Je cherche comment faire pour empecher les utilisateurs de mon reseau de ne
pas utiliser des soft de P2P...surtout edonkey...


Jette un oeil sur les archives de fr.comp.securite, la question y est
abordée régulièrement.
--
;-)
FLL, Epagneul Breton

guigui
Le #30095
Robert T. wrote:
Bonjour,

Je cherche comment faire pour empecher les utilisateurs de mon reseau de ne
pas utiliser des soft de P2P...surtout edonkey...



Tu peux essayer kill-p2p :
http://gforge.org/snippet/detail.php?type=package&id=6

C'est un soft à lancer sur une machine linux en coupure. Ce soft fait
une analyse de couche 7 et loggue ou tue le traffic p2p.

Je l'ai utilisé, ça fonctionne impec. On le lance une ou 2 journées pour
logguer, puis avec l'option -k pour tuer le traffic. Ca ne coupe pas le
connexions établies mais toute nouvelle connexion est impossible.

Robert T.
Le #30089
Merci a tous pour vos reponses...

Ne pouvant installer de serveur linux, je me dirige vers la solution d
activer le firewall integre a Windows XP.

J ai autorise :
TCP UDP
80 53
8080 20
443
25
110

Le probleme c est que je n ai plus le script de connexion au serveur Win2000
qui s execute...embetant car c est lui qui assigne les lecteurs reseaux
partages...

Quel sont les autres ports a ouvrir pour un serveur d entreprise qui a un
serveur web, email, ftp local, active directory ?

Merci d avance pour vos reponses...

A +
Robert T.
Le #30088
Bon, ben c est la galere !!!

J ai installe le soft Kerio firewall, j ai attendu qu il detecte tout les
ports, je les ai note, puis je l ai desinstalle.

J ai alors active le firewall d XP avec ces ports :

Nom TCP UDP
IE6 1131
LSA shell 1027
" 500
Generic host 1025
" 1026
" 1900
"
" 135
" 5000
Session NT 1049
System 1042
" 445 445
" 139
" 137
" 138

Et bien le systeme se bloque apres l ouverture de cession...

Merci pour votre aide...

A +

"Robert T." news:409f31da$0$13076$
Merci a tous pour vos reponses...

Ne pouvant installer de serveur linux, je me dirige vers la solution d
activer le firewall integre a Windows XP.

J ai autorise :
TCP UDP
80 53
8080 20
443
25
110

Le probleme c est que je n ai plus le script de connexion au serveur
Win2000

qui s execute...embetant car c est lui qui assigne les lecteurs reseaux
partages...

Quel sont les autres ports a ouvrir pour un serveur d entreprise qui a un
serveur web, email, ftp local, active directory ?

Merci d avance pour vos reponses...

A +




GuiGui
Le #29583

Merci a tous pour vos reponses...

Ne pouvant installer de serveur linux, je me dirige vers la solution d
activer le firewall integre a Windows XP.



Ca ne fonctionnera pas. Si tu laisses passer sur le routeur, par exemple
le pop3 (110) pour le mail, un utilisateur pourra utiliser ce port pour
faire du p2p. Seule une analyse applicative permet de savoir si ce qui
passe est du p2p ou pas.

Sinon, un début de solution est de définir ce qui a droit de sortir du
réseau. Apparemment, d'après ce que tu liste, il y a un serveur interne
pour le mail. Sur le serveur, installer un proxy http si il n'y est pas
déjà, activer le cache DNS. Ensuite, ne laisser que le serveur sortir
sur internet (simple filtre sur IP du serveur dans le routeur). Plus
aucune machine ne sort en direct, tout passe par le serveur.

Ensuite, si les utilisateurs ne sont pas trop malins, c'est bloqué.
Sinon ils vont faire du p2p tunellé dans un autre protocole (par exemple
http). Dis-toi que de toutes façons si qqun veut faire du p2p il y arrivera.

Publicité
Poster une réponse
Anonyme