Bonjour,
 
Suite à un plantage de la box au bureau .. pour des raisons de collègues qui téléchargent sur limewire et emule ..
Je me demande comment configurer le firewall de la box ( zyxel prestige ) afin de dropper toutes les connections de ce genre, sans avoir à bloquer directement leurs postes
 
Merci d'avance  

le mieux c'est de faire une règle de QoS si l'equipement le permet.
 
tu crées des règles pour les accès standard http, https, dns, puis une règle finale qui autorise mais limite la bande passante.  
 
en général c'est suffisamment dissuasif.

Bloquer les ports P2P ne suffiraient-il pas ? Ou plus simplement autoriser seulement ceux dont tu as besoin...

ftp:21 ssh:22 http:80 https:221 pop:90 smtp:25 & 465 imap:995 & 993
ça dépend des config .. je ne les connais pas tous
et si son programme se basculait automatiquement sur un port ouvert ?

La meilleur config d'un parefeu c'est de tout interdire d'office. Après tu laisses passer les protocoles qui te sont utiles.  C'est comme ça que je configure le mien.

et ouvrir wireshark sur le réseau pour ouvrir les ports nécessaires ?

Pas forcement, Wireshark te permettra plutôt de contrôler dans le cas présent. Chaque application fait appel à différents ports.

Par exemple il me semble qu'émule utilise les ports et protocoles suivant:
- TCP : 16759
- UDP : 21172

Tu bloques un de ces deux (voir les deux) ports et il ne pourrons plus télécharger. En théorie.

Il me semblait pourtant que le P2P utilisait une large plage de ports, ce n'est pas le cas ? Je pense qu'une liste doit être disponible de toute façon ^^.
Edit :  
 

sauf s'ils activent le port randomize ou alors qu'ils modifident le numéro de port manuellement
Donc comme le dit nckd, la meilleure solution, c'est tous fermer et ensuite mettre des exceptions.

Ferme tous les ports, ensuite ajoute les exceptions, et si tu à encore des problèmes avec du p2p, tu fais une analyse de trame avec Wireshark et c'est lui qui va te dire quel port est utilisé par tel ou tel machine et pour tel ou tel logiciel. Après l'analyse de trame ça commence a rentrer dans le technique.  
Ça va les calmer de plus pouvoir télécharger Ha et tu leurs diras que c'est des Has Been de faire du P2P

 
 
Et la direction, elle en dit quoi que le lien vers Internet tombe à cause de P2P ?
Vous n'avez pas de charte informatique ?

Et un responsable ?

De toute façon il y aura toujours des ports ouverts pour sortir, sans un firewall très évolué capable d'analyser les paquets/appli y compris le ssh, le problème doit être réglé à la base sur les stations.
1 Faire le ménage sur les postes
2 utilisateurs non administrateurs des postes (des droits sur les dossiers des applications si nécessaires sont généralement suffisants)
3 blocage  
-Les antivirus pro proposent maintenant le blocage d'applications
-Sinon une bonne petite clé de registre disallowrun
 
Autre solution pour le web : utiliser un proxy qui sera le seul a accéder a internet

moi perso jles aurais mis sur un vieux truc réseau pour limiter leur bandwidth...
ensuite, comment faire un wireshark sur un prestige? elles ont la capacité de faire tourner ce soft ces betes la?
de plus faire tourner un wireshark permet de voir son interface réseau, pas celui du voisin. a moins de sniffer avec une attaque man in the middle, jvois pas comment surveiller les connexions des utilisateurs.
vérifier les logs du routeur?  
faudrait dans ce cas vérifier a qui appartient chaque ip, si c'est un site, prestataire, fournisseur adsl (pour le p2p);
et je doute que le prestige sache indiquer qui DL le plus..
 
moi perso j'aurais fait tourner un iftop pour savoir qui DL un max au niveau du routeur, avec l'ip jserai remonté jusqu'a l'utilisateur et j'aurais demandé à son supérieur si ca lui serait autorisé.
sinon méthode bien brute le proxy aussi, mais ca bloque les sites en général, jsuis pas bien sur que l'on bloque le p2p avec.. le filtre est un filtre web.
 
reste au niveau du poste client : interdire d'exécuter un binaire portant tel nom (pour les logiciels de p2p jconnais pas...) via les GPO
 
apres soit ils DL en DDL (direct) et j'aurais fait un 'cutter' de la connexion via le routeur sur l'ip concernée (ca coupe toutes les connexions actives de l'ip)
 
reste ensuite a voir si ils prenent leur pc portable, ca arrive que pour bypasser les restrictions les utilisateurs se branchent direct sur le lan.  
 
top fatigué pour dire plus de conneries, à vous de faire le tri
 
vla vla

 
 
Ah perso c'est ce que je retiens de ta contribution

 
Je pense qu'on parle d'utilisateurs lambda là. Si il applique la solution de nckd à savoir uniquement l'ouverture des ports dont l'entreprise a besoin, je doute qu'il soit capable de surpasser cette sécurité là. Ils vont tester de changer les ports du logiciel P2P par des ports en random mais vu que ça ne passera pas, je pense qu'ils lâcheront l'affaire. Bon après, plus personne ne t'offre de café mais ça c'est un autre problème  

On passe toujours pour les méchants alors qu'ils font des conneries et qu'on leur évite un potentiel licenciement