Pagina 1 di 1
ASA 5505
Inviato: mar 29 gen , 2008 8:24 pm
da giurassico
Ciao a tutti
Se è possibile vorrei sapere se con questo firewall ASA 5505 è possibile sistemare definitivamente la possibilità di non utilizzare software P2P come Bittorrent ed EMULE
Ho letto qualche post e la speranza mi sembra buona.
Se fosse possibile mi date qualche dritta per poterlo fare
Vi ringrazio
Inviato: mer 30 gen , 2008 10:36 am
da Wizard
Con un asa5505 l'unico modo "sicuro" è quelo di permettere in uscita SOLO le connessioni indispensabili (http, dns, posta...).
ASA 5505 non ha per il momento filtri per protocollo specifico...
Inviato: mer 30 gen , 2008 12:06 pm
da giurassico
Ciao,
Ma se Emule e Bittorrent usano la porta 80 quando le loro sono chiuse vuol dire che sono fregato?
Oltre ad ASA ho a disposizione un CISCO 1700 e un PIX506E, se riuscissi a metterli insieme potrei farcela?
Oppure siccome l'ASA lo devo ancora comprare che cosa mi consigli di prendere per attuare la mia idea? Posso spentere una cosa come 2000 euro
Grazie
Inviato: mer 30 gen , 2008 4:05 pm
da Wizard
Emule non dovrebbe usare la porta 80.
Sul Cisco 1700, se ha ios adeguata puoi impostare dei filtri per i vari protocolli, che, abbinati alle acl bloccano gran parte del traffico p2p.
Se vuoi fare tutto da ASA ti serve almeno un ASA 5510 con modulo IPS ma con 2000 € non ci stai dentro in questo caso!
Sappi che bloccare il p2p al 100% non è così semplice...!
Io cmq, proverei inizialmente con le acl in uscita sul firewall perchè è una tecnica relativamente poco costosa, veloce e che blocca molto!
ASA 5505
Inviato: mer 30 gen , 2008 4:44 pm
da giurassico
Ciao,
Ma per impostare le ACL in uscita come faccio blocco tutto il traffico in uscita a parte le porte che utilizzo cioè:
SAP dalla 3200 alla 3299
Mail 25 e 110
Web 80
Webs 443
in uscita oltre a queste blocco tutto?
Grazie
Inviato: mer 30 gen , 2008 5:09 pm
da Wizard
Si! Oltre alle porte che hai scritto tu insirei dns, ftp, telnet...
X il resto tutto negato!
Inviato: mer 30 gen , 2008 5:55 pm
da andrewp
Per bloccare il peer to peer ci vuole la DPI...mano al portafogli
ASA 5505
Inviato: mer 30 gen , 2008 6:16 pm
da giurassico
Scusate DPI sta per?
Modulo IPS sta per?
Grazie di tutto tento di applicare queste regole e vi faccio sapere
Inviato: gio 31 gen , 2008 11:36 am
da Wizard
DPI (Deep Packet Inspection):
http://www.programmazione.it/index.php? ... Item=34680
http://blog.quintarelli.it/blog/circa-l ... -insp.html
http://www.areanetworking.it/index_docs ... Inspection
IPS (Intrusion Prevention System):
In questo caso il modulo ips che installi su asa inspeziona il traffico che vuoi e controlla che non ci sia traffico anomalo (lo decidi tu quello che è anomalo grazie alla attivazione di precise firme).
Nel tuo caso però, + che altro per questioni economiche non so se solo le soluzioni più adatte...
ASA 5505
Inviato: gio 31 gen , 2008 12:17 pm
da giurassico
Grazie a tutti per le info alla fine ho blindato tutto per un solo IP che è quello che utilizzava EMULE e Bittorrent da questa mattina finalmente si respira meglio sulla rete.
Ciao