Hi,
suche eine gute Content Firewall, welche gezielt P2P Pakete sucht und verwirft.
Kennt ihr zufälligerweise gute Geräte, mit denen ihr Erfahrungen gemacht habt?
Grüße
Sebastian
Hardware Content Firewall gesucht -> P2P Traffic filtern
-
Six
- Beiträge: 8066
- Registriert: 21.12.2001 13:39:28
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Siegburg
Nun, P2P-Netzwerke benutzen kein spezielles Paketformat und auch die Inhalte müssen nicht unbedingt in der Form sein, daß ein Content-Filter das Material erkennen könnte. Wenn du z. B. grundsätzlich Musik im MP3 Format filtern willst, dann könnte dir ein Content-Filter helfen, aber dabei würden auch alle legitimen Dateien in dem Format flöten gehen. Content-Filter (wie alle Computersysteme) kriegen nämlich den Sprung über die semantische Lücke nicht hin.
Technisch dürfte daher die einfachste auch die beste Lösung sein. Wenn du Content begucken darfst, dann bist du wohl kompletter Herr über die Netzwerkstruktur. Stelle also eine normale Firewall auf und mache zunächst alles dicht, evtl. öffnest du die üblichen Ports, also SMTP, POP, WWW. Raus darf nur, wer vorher einen Antrag stellt. Schalte dann gezielt IP und Ports frei. Du wirst überrascht sein, wie wenige Ports das eigentlich sind. Wer P2P Ports haben möchte kriegt einfach ein NEIN und evtl. eine Warnung zu hören.
Tunnel? Klar, das geht. Ist aber nicht trivial und wenn jemand seinen illegitimen Verkehr auf erlaubten Ports verstecken kann, dann kann er das auch vor einem Content-Filter verstecken.
Für das Ziel, P2P Verkehr zu unterdrücken ist ein Content-Filter nicht die richtige Wahl.
Technisch dürfte daher die einfachste auch die beste Lösung sein. Wenn du Content begucken darfst, dann bist du wohl kompletter Herr über die Netzwerkstruktur. Stelle also eine normale Firewall auf und mache zunächst alles dicht, evtl. öffnest du die üblichen Ports, also SMTP, POP, WWW. Raus darf nur, wer vorher einen Antrag stellt. Schalte dann gezielt IP und Ports frei. Du wirst überrascht sein, wie wenige Ports das eigentlich sind. Wer P2P Ports haben möchte kriegt einfach ein NEIN und evtl. eine Warnung zu hören.
Tunnel? Klar, das geht. Ist aber nicht trivial und wenn jemand seinen illegitimen Verkehr auf erlaubten Ports verstecken kann, dann kann er das auch vor einem Content-Filter verstecken.
Für das Ziel, P2P Verkehr zu unterdrücken ist ein Content-Filter nicht die richtige Wahl.
-
Six
- Beiträge: 8066
- Registriert: 21.12.2001 13:39:28
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Siegburg
Ein Content-Filter könnte im Falle eines unverschlüsselten Tunnels vielleicht noch ein paar Schlawiner erwischen, aber wer benutzt schon unverschlüsselte Tunnel? Aber sicher weiß ich das natürlich nicht, bei 10000€ für eine Einsteiger-Content-Filter-Appliance bin ich bisher nicht in die Verlegenheit gekommen, so was mal zu testen 
Somit ist meine Ansicht nur auf dem Funktionsprinzip von Content-Filtern basiert, praktische Erfahrung habe ich nicht. Anhand des Funktionsprinzip glaube ich aber, eine gute FW plus Blacklisting und Monitoring ist effektiv genug in der Unterdrückung von P2P Traffic.
Somit ist meine Ansicht nur auf dem Funktionsprinzip von Content-Filtern basiert, praktische Erfahrung habe ich nicht. Anhand des Funktionsprinzip glaube ich aber, eine gute FW plus Blacklisting und Monitoring ist effektiv genug in der Unterdrückung von P2P Traffic.
-
Six
- Beiträge: 8066
- Registriert: 21.12.2001 13:39:28
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Siegburg
Angeregt durch unser kleines Gespräch habe ich mal ein wenig geforscht und bin auf einen FOSS Content-Filter aus dem Smoothwall-Umfeld gestoßen.
http://dansguardian.org/?page=whatisdg
Mir waren vorher nur Krüppelware-Produkte bekannt. Mit DansGuardian kann man das ja mal kostenlos testen, allerdings habe ich in der Featureliste nichts bzgl. P2P gefunden -- hätte mich auch gewundert Ob DG auch in der Hardware-Appliance Riege mittanzen kann, weiß ich aber auch nicht.
http://dansguardian.org/?page=whatisdg
Mir waren vorher nur Krüppelware-Produkte bekannt. Mit DansGuardian kann man das ja mal kostenlos testen, allerdings habe ich in der Featureliste nichts bzgl. P2P gefunden -- hätte mich auch gewundert
Ob DG auch in der Hardware-Appliance Riege mittanzen kann, weiß ich aber auch nicht.