Bloquear BitTorrent en un ASA

Una de las cosas que en cualquier firewall de nueva generación (aunque tenga unos años) se hace con un par de clicks .. en estos cacharros (vale que son muy viejos) puede ser un autentico infierno.

Leyendo un poco por ahi, parece que la cosa esta complicada. Bloquear puertos no suele servir de mucho (porque el Bittorrent los usa de forma aleatoria).

Hay un bonito (y largo) documento de Cisco que explica como hacerlo (para versiones 7.X) y nada de gui … hay que hacerlo a mano.

https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/98684-pixasa-imblock-config.html

Lo que dice (así a lo bestia) es que crees …

Un class map


class-map P2P
match port tcp eq www

Luego creas un policy map

policy-map type inspect http P2P_HTTP
parameters
match request uri regex _default_gator
drop-connection log
match request uri regex _default_x-kazaa-network
drop-connection log

policy-map IM_P2P
class imblock
inspect im impolicy
class P2P
inspect http P2P_HTTP

Y para acabar, aplicar el policy map al interface en cuestión por el que pasa el trafico (el externo normalmente).

service-policy IM_P2P interface inside

y luego te dan una serie de expresiones regulares para ir «cazando» protocolos …

regex _default_GoToMyPC-tunnel «machinekey»
regex _default_GoToMyPC-tunnel_2 «[/\\]erc[/\\]Poll»
regex _default_yahoo-messenger «YMSG»
regex _default_httport-tunnel «photo[.]exectech[-]va[.]com»
regex _default_gnu-http-tunnel_uri «[/\\]index[.]html»
regex _default_firethru-tunnel_1 «firethru[.]com»
regex _default_gator «Gator»
regex _default_firethru-tunnel_2 «[/\\]cgi[-]bin[/\\]proxy»
regex _default_shoutcast-tunneling-protocol «1»
regex _default_http-tunnel «[/\\]HT_PortLog.aspx»
regex _default_x-kazaa-network «[xX]-[kK][aA][zZ][aA][aA]-[nN][eE][tT][wW][oO][rR][kK]»
regex _default_msn-messenger «[Aa][Pp][Pp][Ll][Ii][Cc][Aa][Tt][Ii][Oo][Nn][/\\][Xx][-][Mm][Ss][Nn][-] [Mm][Ee][Ss][Ss][Ee][Nn][Gg][Ee][Rr]»
regex _default_aim-messenger «[Hh][Tt][Tt][Pp][.][Pp][Rr][Oo][Xx][Yy][.][Ii][Cc][Qq][.][Cc][Oo][Mm]»
regex _default_gnu-http-tunnel_arg «crap»
regex _default_icy-metadata «[iI][cC][yY]-[mM][eE][tT][aA][dD][aA][tT][aA]»
regex _default_windows-media-player-tunnel «NSPlayer»

Por suerte, san google lo indexa todo … y en otro foro encontré la linea en cuestión.

regex bit-torrent-tracker «.*[Ii][Nn][Ff][Oo]_[Hh][Aa][Ss][Hh]=.*»

Y ahora lo gracioso, voy a ver si me dejan probarlo … (que algo me dice que la respuesta va a ser un NO) asi que ojo …

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.