Peer-to-Peer sítě (zkr. P2P sítě) je označení pro celosvětové distribuované systémy, ve kterých může každý uzel sloužit zároveň jako klient i jako server. Tyto sítě slouží ke sdílení velkého objemu dat mezi uživateli (většinou soubory s nelegálním obsahem). Typickými představiteli těchto sítí jsou např. DirectConnect nebo Kazaa.
Používání P2P sítí jednak napomáhá šíření nelegálních souborů, ale zejména značně zatěžuje linku, kterou je uživatel připojen do Internetu. Pokud se takový uživatel nachází v lokální síti, která je připojena do Internetu jedinou linkou, pak jsou jeho aktivity na úkor ostatních uživatelů, případně i zvýšených nákladů na připojení (např. jedná-li se o linku s limitem přenesených dat).
WinRoute obsahuje modul P2P Eliminator, který umožňuje detekovat přístup do P2P sítí a provádět určitá opatření vůči příslušným uživatelům. Vzhledem k tomu, že P2P sítí existuje velké množství a uživatelé mohou na svých uzlech měnit řadu parametrů (např. porty pro server, počet spojení atd.), nelze jejich používání vždy s určitostí detekovat[6]. P2P Eliminator na základě určitých charakteristických znaků (známé porty, otevřená spojení atd.) vyhodnotí, že uživatel pravděpodobně používá jednu nebo více P2P sítí.
Na uživatele P2P sítí (tzn. na počítače, na nichž jsou klienti těchto sítí provozováni) je možné aplikovat tyto typy omezení:
Blokování komunikace — příslušnému počítači může být zcela zablokován přístup do Internetu nebo povolen přístup pouze k některým službám (např. WWW a e-mail),
Omezení šířky pásma — klientům P2P sítí lze omezit rychlost přenosu dat tak, aby nedocházelo ke zbytečnému zatěžování internetové linky na úkor ostatních uživatelů a služeb.
Detekce P2P sítí probíhá automaticky (modul P2P Eliminator je stále aktivní). Parametry modulu P2P Eliminator lze nastavit v sekci Konfigurace → Další volby, záložka P2P Eliminator.
Z výše uvedeného popisu vyplývá, že není technicky možné blokovat přístup do konkrétní P2P sítě. P2P Eliminator umožňuje kompletně zablokovat veškerou komunikaci (tj. přístup do Internetu z daného počítače), povolit pouze služby, které bezpečně nepatří do P2P sítí, nebo omezit šířku pásma (přenosovou rychlost), kterou mohou klienti P2P sítí využívat. Nastavené omezení bude vždy aplikováno na všechny klienty P2P sítí, které P2P Eliminator detekuje.
Po zapnutí volby Informovat uživatele e-mailem bude uživateli přihlášenému z počítače, na kterém byl detekován klient P2P sítě, zaslán e-mail s varováním a informací o provedeném opatření (blokování veškeré komunikace / povolení pouze určitých služeb a doba trvání tohoto omezení). E-mail je samozřejmě zaslán pouze v případě, že je v příslušném uživatelském účtu uvedena platná e-mailová adresa (viz kapitola 15.1 Zobrazení a definice uživatelských účtů). Na nepřihlášené uživatele nemá tato volba žádný vliv.
Parametr Komunikace bude blokována ... určuje dobu, na po kterou bude příslušné omezení daného počítače platit. Modul P2P Eliminator po této době blokování zruší — není nutný zásah administrátora WinRoute. Doba blokování komunikace by měla být dostatečně dlouhá, aby si uživatel uvědomil následky své činnosti a nepokoušel se znovu připojovat k P2P sítím.
Není-li komunikace klientů P2P sítí blokována, pak je možné v dolní části záložky P2P Eliminator nastavit omezení šířky pásma pro P2P sítě. Internetové linky bývají zpravidla asymetrické (různá rychlost v příchozím a v odchozím směru), a proto se toto omezení nastavuje pro každý směr přenosu dat odděleně. Omezení šířky pásma má vliv pouze na komunikaci v rámci P2P sítí (detekovaných modulem P2P Eliminator), ostatní služby nejsou omezovány.
Poznámka:
Je-li z určitého počítače k firewallu přihlášen uživatel, který má právo používat P2P sítě (viz kapitola 15.1 Zobrazení a definice uživatelských účtů), pak při detekci P2P sítě nejsou na tento počítač aplikována žádná omezení. Pro nepřihlášené uživatele platí vždy volby nastavené v záložce P2P Eliminator.
Informace o detekci P2P sítí a blokování komunikace se zobrazují v sekci Stav → Počítače / uživatelé (podrobnosti viz kapitola 19.1 Aktivní počítače a přihlášení uživatelé).
Chceme-li při detekci P2P zasílat e-mail jiné osobě (např. správci WinRoute), můžeme definovat příslušnou výstrahu v sekci Konfigurace → Statistiky a záznamy, záložka Nastavení výstrah. Podrobnosti viz kapitola 19.4 Výstrahy.
Tlačítko otevírá dialog pro nastavení parametrů detekce P2P sítí.
Seznam portů, o nichž je ověřeno, že jsou používány výhradně aplikacemi pro P2P sítě. Jedná se zpravidla o porty pro řídicí spojení — porty (resp. rozsah portů) pro sdílení souborů si většinou může každý uživatel nastavit téměř libovolně.
Do seznamu portů lze zadávat čísla portů nebo rozsahy portů. Jednotlivé hodnoty se oddělují čárkami, pro zápis rozsahu se používá pomlčka.
Pro P2P sítě je typický velký počet navázaných spojení z klientského počítače (zpravidla jedno spojení pro každý soubor). Parametr Počet spojení určuje minimální počet síťových spojení klienta, při kterém bude jeho komunikace považována za podezřelou.
Optimální hodnota toho parametru závisí na konkrétních podmínkách (charakter činnosti uživatelů, typické síťové aplikace, které používají atd.) a je třeba ji najít experimentálně. Příliš nízká hodnota může způsobit nesprávný výsledek (tj. podezření na P2P síť u uživatele, který ji ve skutečnosti nepoužívá), naopak příliš vysoká hodnota zhoršuje úspěšnost detekce (nižší procento detekovaných P2P sítí).
Určité legitimní služby mohou rovněž vykazovat charakteristiky komunikace v P2P sítích (např. velký počet současně otevřených spojení). Aby tato komunikace nebyla nesprávně detekována a uživatelé těchto služeb nebyli neprávem omezováni, je možné definovat seznam tzv. bezpečných služeb. Tyto služby budou vyloučeny z detekce P2P komunikace.
Tlačítko P2P síti. K dispozici všechny služby definované v sekci Konfigurace → Definice → Služby (podrobnosti viz kapitola 14.3 Služby).
otevírá dialog pro nastavení služeb, které nebudou považovány za komunikaci vVýchozí hodnoty parametrů detekce P2P sítí byly nastaveny empiricky na základě dlouhodobého testování. Jak již bylo uvedeno, v mnoha případech není možné s určitostí říci, zda daný uživatel skutečně používá P2P síť či nikoliv, a výsledkem je pouze určitá pravděpodobnost. Změna parametrů detekce může mít zásadní vliv na její výsledek. Z tohoto důvodu doporučujeme měnit parametry detekce P2P sítí pouze v opodstatněných případech (např. zjistíme nové číslo portu, které používá pouze P2P síť a žádná legitimní aplikace, nebo zjistíme, že určitá legitimní služba je opakovaně detekována jako P2P síť).