مسدود کردن برنامه های Peer to Peer توسط آنتی ویروس SEP

Peer to Peer (P2P) Application چیست؟

P2P یک مدل ارتباطی غیرمتمرکز است که در آن هریک از طرفین قابلیتهای یکسانی دارند و هریک از طرفین میتوانند یک جلسه ارتباطی را آغاز کنند. مدل P2P در اینترنت برای بسیاری از پروتکلها و ارتباطات تلفنی، استاندارد است. شناخته شده ترین برنامه ها Freenet، eMule، Skype هستند.

شما یک برنامه P2P بر روی کامپیوتر نصب میکنید، یک اجتماع از کاربران برنامه P2P ایجاد میکنید و یک شبکه مجازی بین این کاربران ایجاد میشود.

برای کاربر بنظر میرسد که در یک شبکه Peer to Peer است و میتواند فایلها را از کامپیوتر لوکال خود به اشتراک بگذارد و فایلهای به اشتراک گذاشته شده توسط سایر کاربران را دانلود کند.

این بسیار شبیه به پیام‌رسانی فوری مانند Yahoo، AOL یا GTalk است که در آن با وجود اینکه ما با آنها تماس میگیریم، آنها در شبکه دیگری هستند، اما یک شبکه مجازی ایجاد میشود که بنظر میرسد ما در یک شبکه هستیم و میتوانیم فایلها را به اشتراک بگذاریم و چت کنیم.

برنامه P2P از چند سال گذشته بسیار مورد تقاضا بوده است. یک برنامه P2P عمدتا برای به اشتراک گذاری موسیقی، فیلم، بازی و سایر فایلها استفاده میشود.

معایب برنامه Peer to Peer (P2P) چیست؟

تخمین زده میشود که برای هر ISP معینی 60 تا 80 درصد از ترافیک، توسط ترافیک P2P مصرف میشود.

بنابراین حتی اگر در دفتر شما افراد از برنامه P2P استفاده میکنند، بدون بهره وری، پهنای باند زیادی مصرف میکنند. برنامه P2P بدلیل توزیع نرم افزار Pirated بسیار معروف است.

کاربران شما ممکن است از نرم‌ افزار غیرقانونی در کامپیوترهای خود استفاده کنند و حسابرسان هرگز از آن استقبال نخواهند کرد.

Symantec Underground Economy میگوید که: “هزینه جهانی سالانه دزدی نرم افزاری برای کسب و کارها در یک مطالعه در سال 2007، نزدیک به 40 میلیارد دلار نشان میدهد.”

شما هرگز نمیتوانید به فایلی که از یک کاربر راه دور در محیط P2P دانلود میکنید اعتماد کنید. 90% فایلها حاوی بدافزار هستند. بنابراین اگر کاربران شما از برنامه P2P استفاده میکنند، نرخ شیوع ویروس در شبکه شما بسیار زیاد است.

در سال 2008، ده درصد بدافزارها از طریق برنامه های کاربردی P2P منتشر شدند. حتی W32.Downadup بسیار بدنام، نیز از طریق برنامه های کاربردی P2P خود را منتشر و آپدیت کرد.

P2P مکانیزم بسیار معروفی برای توزیع رباتها، جاسوس افزارها، ابزارهای تبلیغاتی مزاحم، تروجانها، روت کیتها، کرمها و انواع دیگر بدافزارها است. از آنجاییکه تغییر پورت برای برنامه های P2P بسیار آسان است، مسدود کردن این ترافیک بسیار دشوار است.

 اکیداً توصیه نمیشود که برنامه P2P در شبکه شما مجاز باشند. شرکتها باید اقداماتی را برای جلوگیری از نصب کلاینتهای P2P بر روی هر کامپیوتری در شبکه انجام دهند. کاربران نهایی که فایلها را از شبکه‌ های P2P دانلود میکنند، باید همه فایلها را با یک محصول آنتی ‌ویروس بروز شده اسکن کنند.

چگونه با استفاده از Symantec Endpoint Protection برنامه های P2P را مسدود کنیم؟

سه راه برای مسدود کردن برنامه های P2P در شبکه شما با استفاده از Symantec Endpoint Protection وجود دارد.

1. Blocking Peer to Peer Applications using Intrusion Prevention System

Symantec Endpoint Protection Manager را باز کنید

روی Policies -> Intrusion Prevention -> Edit IPS Policies کلیک کنید.

به Exceptions بروید و روی Add کلیک کنید.

سپس در قسمت Show Category آنرا به پایین اسکرول کرده و Peer to Peer را انتخاب کنید.

در سمت راست پایین پالیسی روی Select all و سپس روی  nextکلیک کنید.

Action –Block

Log – Log the Traffic

روی OK کلیک کنید سپس روی پالیسی OK کنید و آنرا به همه گروههای مشتری اختصاص دهید.

2. Blocking Peer to Peer Traffic using Symantec Endpoint Protection Firewall

در این مورد میتوانید ترافیک P2P را با استفاده از Symantec Endpoint Firewall مسدود کنید، حتی اگر کاربر برنامه ‌های P2P را نصب کرده باشد، این برنامه‌ ها اجازه اتصال به اینترنت را نخواهند داشت.

از آنجاییکه ردیابی شماره پورت برای برنامه بسیار دشوار است زیرا کاربر میتواند براحتی آنها را تغییر دهد، پس میتوانید ترافیک ورودی/ خروجی را از فرآیندهای P2P مسدود کنید.

در Symantec Endpoint Protection Manager بروید به Policies -Firewall -Edit Firewall Policy – Rules- Add Rule و Next را بزنید.

در Rule نوع Application را انتخاب کرده و Next را کلیک کنید.

Define an Application را انتخاب کرده و Next را بزنید.

در File Name نام فرآیند را تایپ کرده و روی Next کلیک کنید

روی Add More کلیک کنید و نام سایر فرآیندهای برنامه P2P را اضافه کنید.

روی Finish کلیک کنید.

نام rule را به چیزی مانند “Blocking P2P” تغییر دهید تا بتوانید شناسایی کنید.

در زیر Action، Aloow را به Block تغییر دهید.

در زیر Logging آنرا به “Write to Traffic Log” تغییر دهید.

توجه: بیشتر برنامه‌های P2P از فایل Torrent برای دانلود فایلها از سایر برنامه‌های P2P استفاده میکنند، بنابراین مطمئن شوید که هنگام ایجاد رول فایروال یا رول کنترل برنامه، فایل torrent.* را مسدود کنید.

3. Blocking Peer to Peer Applications using Application Control of Application and Device Control

از آنجاییکه برنامه Peer to Peer (P2P) نرم افزاری است که روی کامپیوتر شما نصب شده است، پس میتوانید فرآیند مورد استفاده برای اجرای این برنامه ها را مسدود کنید.

از آنجاییکه آنها نرم افزار کاملی هستند، بنابراین اگر کاربر سعی کند نام فرآیند اصلی را تغییر نام دهد، برنامه کار نخواهد کرد.

پس میتوانید این فرآیندها را با استفاده از Application Control مسدود کنید. برای راهنمایی بیشتر به این سند مراجعه کنید:

http://service1.symantec.com/SUPPORT/ent-security.nsf/docid/2007092616264848