Re: "Best practise" pour filtrer le p2p

Pàgina inicial
Aquest missatge és part del següent fil:
Ml'arbre de fils complet ordenat per data
M\Olivier Guerrier en <-
MMOlivier Guerrier en ->

Reply to this message
Autor: Olivier Allard-Jacquin
Data:  
A: Olivier Guerrier
CC: guilde
Assumpte: Re: "Best practise" pour filtrer le p2p


Olivier Guerrier wrote:

> Oui mais non :) il est super simple de spécifier un port différent à
> tous les logiciels de p2p, et cette méthode est intrinséquement
> "mauvaise", parce qu'à terme, si elle est généralisée on va se retrouver
> avec toutes les mules de la planète sur le port 80 ou 21. 

    Je suis d'accord avec ton analyse : Interdire les port 4662 en INPUT 
n'est pas une vrai solution, car n'importe qui peut changer le port sur 
lequel écoute sa mule.


    Par contre, les P2Pistes de ton réseau local n'ont aucun contrôle le 
sur les ports des machines sur lesquels ils téléchargent.


    Une solution simple, et efficace contre la majorité des clients P2P 
externes au réseau local est donc d'interdire les connexion vers ET 
depuis les ports 4662 (prenons même un peu plus large : 4600->4700). Et 
de plus, il ne faut pas limiter les connexions qu'au simple paquets TCP. 
Le P2P peut aussi utiliser l'UDP :


iptables -I INPUT -t tcp -sport 4600:4700 -j DROP
iptables -I INPUT -t tcp -dport 4600:4700 -j DROP
iptables -I OUTPUT -t udp -sport 4600:4700 -j DROP
iptables -I OUTPUT -t udp -dport 4600:4700 -j DROP 

    Ces règles "ratissent larges" et ne pourrons pas empêcher les petits 
malins de contourner la protection. Mais contre la majorité des 
utilisateurs, ce sera suffisant.


    On peut aussi blacklister (interdire) les adresses IP des principaux 
serveurs(*) emule/donkey/kazaa/etc... Je ne sais pas si ses sites 
références celles-ci, mais en utilisant Google, on doit pouvoir se faire 
une petite base de données de ces serveurs, et retrouver leur IP en 
interrogeant les DNS.


(*) Je parle des serveurs de recherches des sources de dowload. 

    On peut enfin utiliser un proxy filtrant pour interdire les pages 
contenant les mots-clefs de type emule/donkey/etc.... ou les pseudo-URL 
de P2P.


    Bref, pas de solutions miracles. Mais de petites astuces qui peuvent 
freiner l'utilisation du P2P en réseau local.



> Je ne connais pas les 2 outils proposés plus haut, mais la logique de fonctionnement à l'air plus intéressante, puisque basée sur le contenu des trames. 

    Et le jour ou les clients P2P cryptent leur paquets en SSL, ces outils 
ne servirons plus à rien... :)


                        Olivier


-- 
~~~~~~~  _____/\_____  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Phoenix /   _ \/ _   \    Olivier Allard-Jacquin
       /   / \  / \   \   Web:  http://olivieraj.free.fr/
      /___/  /  \  \___\  Mail: olivieraj@???
~~~~ /////  ///\\\  \\\\\ ~~~~~~~~~~~~~~~~~~~~~~~ Linux Powered !!


Aquest missatge es va enviar a les següents llistes de correu:
Guilde
Informació sobre la llista de correu | Missatges propers		<-Re: Suite de ... Re: Migration kernel 2.6 / Debian WoodyNoyau 2.6 & modconf / Woody->
Archive des listes de la GUILDE administrat per L'administrateurLurker (versió 2.3)