Prawdziwym problemem dla firm są programy typu peer-to-peer, służące do pobierania plików z Internetu, używane przez pracowników na firmowych komputerach. Po pierwsze w znaczący sposób obciążają firmowe łącza, co wpływa na wydajność pracy w sieci. Po drugie, programy P2P umożliwiają pobierania z Internetu niedozwolonych przez polskie prawo treści takich jak filmy, pliki muzyczne czy nielegalne wersje oprogramowania. Aprobata dla takiego procederu skutkować może poważnymi konsekwencjami karnymi dla firmy. Po trzecie to często źródło złośliwego oprogramowania takiego jak wirusy czy trojany.

Autorzy aplikacji peer-to-peer tworzą nowe, zaawansowane sposoby obejścia blokad na firewallu. Do ich blokowania posłużyć się należy rozwiązaniami z systemem blokowania włamań (IPS), który analizuje połączenia w warstwie aplikacji, dając administratorom możliwość blokowania ruchu P2P przechodzącego przez firewall.

Jednym z dostępnych na rynku rozwiązań jest urządzenie NETASQ UTM, z wbudowanym systemem IPS. IPS posiada bazę sygnatur niechcianego przez administratorów ruchu. Jego konfigurowanie odbywa się w nieskomplikowany sposób. Służy do tego konsola graficzna Administration Suite. Poniżej zobaczyć można jak uruchomić blokowanie w minutę.
 

Potrzebne do tego będą dwie aplikacje wchodzące w skład NETASQ Administration Suite: NETASQ Unified Manger i NETASQ Real-Time Monitor. NETASQ Unified Manager służy na konfigurowania urządzenia, a NETASQ Real-Time Monitor pozwala śledzić aktywności użytkowników w czasie rzeczywistym. Przed zablokowaniem aplikacji możesz za pomocą NETASQ Real-Time Monitora sprawdzić, na których stacjach roboczych generowany jest uciążliwy ruch. Opisałem to w części Wykrywanie ruchu. Jeśli zamierzasz od razu przejść do Blokowania ruchu  pomiń pierwszą część.

 

Sprawdź jaki ruch jest generowany na komputerach użytkowników sieci za pomocą programu NETASQ Real-Time Monitor, która pozwoli Ci przeglądać komunikaty i alarmy IPS w czasie rzeczywistym. Po otwarciu aplikacji NETASQ Real-Time Monitor przejdź do sekcji Alarms.

 

 

W tej sekcji wyświetlona zostanie lista wszystkich alarmów IPS, które możesz posortować w dowolny sposób np. chronologicznie (Date), według protokołu (Protocol), źródła (Source) lub sygnatury alarmu (Message). 

W ten sposób odszukaj na liście nazwę odpowiedniej sygnatury ruchu. Źródło niechcianej aktywności wyświetlane w kolumnie Source może podać Ci nazwę lub adresy IP stacji roboczych, których ten ruch dotyczy.
 
Tutaj ruch „P2P : BitTorrent announce” z hosta o nazwie „hp”.

 

 

Innym sposobem jest wyszukiwanie sygnatur ruchu za pomocą sekcji Hosts, która w zakładce Alarms wyświetla informacje o alarmach na wskazanej stacji roboczej. Poniżej lista alarmów dla hosta „hp”.

 

 

Na wykazie alarmów dla stacji „hp” odszukaj nazwy sygnatury.

 

 

Skoro znasz nazwy sygnatur ruchu uruchom program NETASQ Unified Manager.
Zwróć uwagę, aby pole Profile w lewym nagłówku ustawione było na „01: default (outgoing traffic)”, czyli ruch wychodzący.

 

 

W programie NETASQ Unified Manager po wybraniu sekcji Intrusion Prevention przejdź do konfigurowania modułu IPS, który wyświetli się w nowym oknie. W lewej tabeli dostępne będzie menu. Wskaż w nim Contextual signatures -> Content filtering.

 

 

W kolumnie Message w głównym oknie wyświetlają się sygnatury ruchu. Wybierz tą, którą chcesz zablokować. Blokowanie odbywa się poprzez zaznaczenie sygnatury oraz wybranie w kolumnie Action polecania Block.

Aby zapisać i aktywować wprowadzone zmiany kliknij w pole Apply w prawym dolnym rogu okna. Od tego momentu ruch „P2P : BitTorrent announce” będzie blokowany przez system IPS.

Powyższa instrukcja prezentuje możliwości blokowania połączeń P2P poprzez BitTorrent. Analogicznie zablokować należy pozostałych klientów peer-to-peer, do których IPS NETASQ posiada sygnatury.