bloquer tout les p2p !!!!

 
rhaaa... je te dis que même avec ISA, tu peux faire en sorte que le p2p (n'importe quel logiciel) ne passe pas... Tes utilisateurs n'ont pas à télécharger des mp3 au boulot même si ceux ci sont légaux. Tu n'autorises que le html, les images et quelques scripts et basta.
Avant de parler d'ISA, apprends à l'utiliser !!!!

 
Tu connais ISA en mode Intragrated ou juste en mode Proxy ?
 
Je n'ai jamais vu une application ne serait-ce qu'accéder à une carte réseau avec ISA Serveur installé et son Client déployé sur le réseau.
 
ISA Client se comporte comme un ptit Kerio ou ZoneAlarm mais qui reçoit ces règles du serveur ISA Membre (utilisation ces signatures MD5).
 
Au delà de celà, avec le filtrage de protocol comme dit krapaud, c'est hard, il faudrait que le client P2P communique en HTTP ou FTP pour faire les échanges...
Avec ISA, tu peux non seulement limiter les protocols (HTTP, FTP, Gother, MSN, ICQ etc..) mais aussi les requetes de chacun des protocols.
 
Bon c'est clair c'est du concept, mais pour ma part pour deux réseaux que j'ai vu fonctionner avec ISA, je n'ai pas vu de p2p passer.
Maintenant, je vais en remonter un dès que j'ai le temps et faire des tests au cas où je serai passé à coté de quelque chose. Ainsi vrobaina si tu as un client de p2p que tu sais être malicieux... file moi son nom que je puisse le tester, mais je ferai le tour des clients connus.

 
Moi non plus, mais il a l'air tellement sur de lui, je ne veux pas adopter la politique de l'autruche, mais bon...

 
jamais vu un qui passait le filtrage de protocole.

 
Euh, si tu l'as essayé toi, fais nous part de tes résultat.
 
Quand à moi je tacherai de le faire au plus vite.
Tu as une liste de client p2p que tu sais être recommandé pour passer les proxy ?

 
On ne parle malheureusement pas que de kazaa, ce serait beaucoup trop simple (je le repete, test ISA avec d'autres p2p et je te garantie que tu vas avoir une sale suprise).
 
 

 
En effet ISA est chère et loin d'être conseillé uniquement pour bloquer le p2p dans un réseau et sa mise en oeuvre n'est pas simple en effet.

 
En fait, je ne faisais que présenter la solution que j'ai déjà utilisé. Mais en effet il en existe plusieurs, comme je l'ai précisé dans ce post
 

 
Mais je copie les infos sur ton soft WatchDog, ca peut servir.

 
Très simplement
ton navigateur ferait
 
GET /madonna.mp3 HTTP/1.0
 
alors que Kazaa ne ferait pas ca. Kazaa utilise les ports des serveurs Web(HTTP), mais pas le protocol HTTP.
 
ISA analyse les entete HTTP et voit la différence.

 
Avec un proxy (comme ISA) tu peux définir le contenu qui passe par le protocole http... En gros si tu dis autoriser uniquement l'html, les documents et les images... Tu peux toujours éssayer de faire passer du p2p !!

 
ça c'est parce que l'infrasctructure est mal configurée ;)
 
quand le seul moyen de sortir est un proxy, qu'il ne peut lui-même communiquer avec le firewall que sur le port 8080 par ex et que seul le port 8080 est autorisé en sortie bah tu peux en essayer des manips ;)

 
Ca c'est ce que tu crois (test Winmx ou Morpheus par ex... ;) ). PLusieurs Clients p2p sont capables de passer outre les proxy. De plus tu peux tres bien configurer ton client p2p pour qu'il utilise le meme port que celui que tu utilises pour surfer (habituellement le 80).

 
Iptables (entre autres) peut tres bien se contenter de ca...

 
c'est ce que je pense aussi mais ne l'ayant jamais essayé ni meme étudié, je suis un peu moins catégorique ;)

 
Un bon proxy avec analyse des requetes HTTP marche bien.
SQuid ou ISA bien configurés ne laissent pas passer KaZaa ou autres.

 
seulement si c'est dans la charte info de l'entreprise :o
 
:D

 
 :heink:  
en bossant sur les url_regex, tu peux pas eviter aux paquets de P2P de passer ? Je n'ai jamais trop fait gaffe à le tronche de ces paquets, mais à mon avis ca doit etre possible...
 
Je regarderais ca chez moi ce week-end...vais essayer de pondre une ACL pour Squid qui va bien contre le P2P

 
Niet malheureusement cela ne suffit pas....

 
+1
proxy transparent avec des ACL bien senties, ca devrait pouvoir le faire :o

 
qd j'entend ce nom, cela me donne envie d'aller aux toilettes.  
 
Serieusement, le fait de bloquer certains ports diminuera ton pb de p2P par contre cela ne l'empechera en rien.
 
Pour bloquer efficacement TOUS les flux p2p, j'ai pour ma part trouver qq solutions :
 
1) solution gratuite : Lettre de la D.R.H. stipulant que les flux p2p sont interdits. Et que l'utilisateur employant un logiciel de p2p sera dorenavent sanctionner. Cela refroidit les hardeurs....
 
2) Si cela ne suffit pas alors : solution gratuite avec legere prise de tete :
Installation d'un vrai firewall sous Linux, et utilisation de la version gratuite de p2pmon sous linux :  avec celle-ci tu pourras savoir QUI (quel ip de ta boite) telecharge Quoi (tu auras le nom en clair du fichier), (mais tu ne pourras pas l'arreter) .  Il suffit alors d'aller voir la personne faisant du p2p et de lui dire d'arreter sinon Sanction.  Tu verras à partir du moment ou tes utilisateurs seront au courant que tu peux savoir ce qu'ils telechargent, le flux p2p va s'arreter de lui-meme.  
 
3) Solution gratuite mais avec prise de tete :
Installation d'un firewall sous linux et utilisation d'IPTABLE compilé avec le petit patch qui va bien : resultat plus de p2p connus ne passera.
 
4)Solution tres efficace mais payante : p2pmon full version : monitoring et blocage de TOUS les flux p2p.
 
il existe biensur d'autres solution basées sur des firewall applicatif qui peuvent etre mise en place.
 
 
 
 
 

 
tu vas etre en galere passke les ports sont différents pour chak p2p, et il yen a pléthore
de + kom tu dis, on peut les changer
et le pire, par exemple, c, kom avec kazaa (dautres doivent permettre ca aussi, genre shareaza) permettent de tourner sur le port 80...
oui oui, donc si tu veux bloquer les p2p absolument, il faut aussi empecher les acces http... :/ ca pue donc
 
jme suis retrouvé confronté au m pb a mon bahut (+ de 200pcs disséminés dans 5 batiments différents) et la seule soluce a été de passer ts les pcs en win2000 avec des acces ultra restreints pour le user de base et faire la chasse aux p2p sur les machines ne pouvant être passées sous 2000 (config trop vieille) ou alors ne pouvant passer kkes jours/semaines en mainteant dissi la fin de lannée
 
bon courage a toi... :/

 
Bah selon moi y a pas une liste de port à bloquer mais plutot une liste de port a autoriser...c est plutot dans ce sens là qu il faut voir les choses à mon avis...