Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 2 subscribers
  • Views 6556 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

BitTorrent

feng
How to block the BitTorrent packet on ASL v5.0? [:S]


This thread was automatically locked due to age.
  • 0
    Bit Torrent clients can operate on any TCP port number, and through a variety of proxies. It is not the easiest protocol to choke off at the firewall.

    Blocking outbound Bit Torrent connections is not that simple, since the client can use any high order port (1024 - 65535), either directly or through a proxy. Simply blocking the default TCP port of 6881 won't do it.

    Blocking inbound Bit Torrent connections is really easy when you are the router/firewall administrator. Simply don't permit the forwarding of inbound traffic from the WAN link to the active Bit Torrent port on the client workstation. You will have to create a specific SNAT rule if you do wish to let an internal Bit Torrent client be able to present itself as an accessible service on the WAN interface. So don't make any inbound SNAT rules for your LAN users' PCs.

    Make sure that the potential Bit Torrent users do not have access to the SOCKS proxy in ASL, since a number of Bit Torrent clients can operate through a SOCKS proxy.

    Some more advanced Bit Torrent clients, such as Azureus, when connected to a network inside of a cheap 4-port router, will use UPnP to autoconfigure the router to open port 6881 (or whatever port the BT client wants to use) and set it inbound forwarding to itself. But that should not be a problem when using an ASL firewall.

    A number of modern Internet client software packages have been designed to be able to to connect using several alternate methods. In addition to Bit Torrent clients, MSM and Skype comes to mind. It isn't that easy to completely block these, since they basically can use any port on the firewall that you leave open. A smart end user will usually find a way to get his Peer-to-Peer client working, in spite of whatever button-down effort the gnomes managing the firewall did. Blocking every port is usually  not that practical.
  • 0 in reply to VelvetFog
    Using the HTTP proxy in transparent mode, and blocking CONNECT helps with blocking a lot of things that use http (although I think MSN , Yahoo IM, and maybe AIM still manage).

    Barry
  • 0 in reply to BarryG
    but it also prevents from accessing SSL secured sites. In this case you'd have to allow 443 for outgoing traffic directly which opens a hole for Bit Torrent again.

    Greetings
    cyclops
  • 0 in reply to BarryG
    I have used HTTP proxy in transparent mode and enable "Block CONNECT method on HTTP port".
    But ,BT still is not blocked.
  • 0 in reply to feng
    Hi,

    thats the trouble with those flexible programms [:)].
    The only thing that grabs such things is the IPS, because you can inspect the packet byte by byte. But the torrent people dont sleep, and so an IPS filter that grabs one versions can be useless in the next release or version of torrent. 

    Chris
  • 0 in reply to NimmdirKeks
    I agree on this count. BT base on P2p.
    I'm using IPS p2p to block BT,but it  fail.
    if can we add the IPS signatures about p2p ourselves ?Thus we can resolve many problems. 

    However,I don't know How to add the IPS signatures to blocK a Packet that i want to block.
  • 0 in reply to feng
    Hi,

    thats exactly the problem.
    Its a stony way from analyzing the packet to actually generating a filter (that dose not generate a thousand false positives). 

    Could someone confirm, that the only thing they search for in the packet is the string "Bittorrent protocol"?

    Chris
  • 0 in reply to NimmdirKeks
    I can set a test environment that only one application is opened.so i can useing sniffer to capture the BT packet and analyze it's signatures.
    Do you think this is a good way ?
  • 0
    [ QUOTE ]
    How to block the BitTorrent packet on ASL v5.0? [:S] 

    [/ QUOTE ]

    P2P blocking has morphed into a policy enforcement issue since techology alone is not easily going to fix it.  If you are going use a policy..make sure it is strictly enforced or the policy is useless.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0 in reply to William Warren
    [ QUOTE ]
    P2P blocking has morphed into a policy enforcement issue since techology alone is not easily going to fix it. If you are going use a policy..make sure it is strictly enforced or the policy is useless. 

    [/ QUOTE ]I think William has hit the nail on the head here. 

    Banning peer-to-peer software such as Bit Torrents, networked games, MSN, ICQ, Skype, etc. from your network is easier to achive by having a a clear usage policy for the office in writing. A policy which every staff member has to sign off on as read and understood. Such a written policy should explicitly ban all non-business related usage of the company's LAN and PCs, and clearly point out that violating it will be grounds for reprimand or dismissal.

    Not every problem can be solved by technical means. How do you effectively block peer-to-peer software that will work via practically any TCP port, and will use whatever HTTP or SOCKS proxy that is available on the firewall?

    One would have to block outbound client VPNs from passing through the firewall as well, since the user on the LAN who so badly want to run a peer-to-peer client, might just open a VPN from his PC to some off-site machine, and then run the client with full Internet access via the VPN tunnel.
Unfiltered HTML