Як ви блокуєте бітовий торрент-трафік за допомогою Cisco ASA?

13

Я посилаюся стара зовнішня стаття Cisco про те , як блокувати Bit потік трафік , на який посилається на лінії Тут

Ця процедура, яку я знайшов, працює лише 50% часу.

Я вважаю, що блокує бітові торент-конкретні порти, і виконуючи регулярний вираз, він просто не залучає весь трафік.

object-group service bit-torrent-services tcp-udp
port-object eq 6969
port-object range 6881 6999

і

regex bit-torrent-tracker ".*[Ii][Nn][Ff][Oo]_[Hh][Aa][Ss][Hh]=.*"

Хтось має більш сучасний регулярний гекс для пошуку бітового поточного трафіку? Або це обмеження ASA на даний момент?

cisco cisco-asa

— Блейк
джерело

Я вважаю, що це була б межа ASA на даний момент. Інші пристрої UTM використовують "прикладний модуль (на основі IPS)" і можуть успішно його блокувати. Тим не менш, я впевнений, що ви можете це зробити, але використовуючи модуль IPS, приєднаний до ASA.

— лаф

14

<joke> Відключіть його від мережі </joke>

Клієнти Bittorrent можуть (і робити) використовувати випадкові порти. Блокування загальних портів лише спонукає користувачів переходити до різних портів. Також трафік між клієнтами вже кілька років підтримує шифрування - спочатку як засіб для обмеження втручання в Інтернет-провайдера - що робить фактичний трафік ptp невпізнанним.

Шукаючи "info_hash" у спілкуванні клієнт-трекер, хоча і дещо ефективний, також легко перемогти. (tor, ssl, vpn і т. д.) Він також не робить нічого для того, щоб зупинити безродовий рой (DHT), рівний обмін (PEX), протокол UDP-трекера ...

Якщо вам вдалося вбити 50%, порахуйте себе щасливчиком. Це гра в удар-моль, яку ви не можете виграти.

— Рікі Бім
джерело

9

Налаштуйте його в прозорому режимі проксі для всіх підтримуваних протоколів додатків і дозволяйте лише близькі з'єднання. Будь-який невідомий протокол не вдасться, включаючи BitTorrent. Тунелювання SSL для BitTorrent нездійсненне, тому HTTPS не надто великий отвір. В основному пропуск через будь-яке маршрутизоване з'єднання, яке не було схвалено L7, дозволить BitTorrent прослизнути.

— Монсьєр
джерело

Б'юсь об заклад, що багато чого зірветься з цим методом. Що з обмеженням номера з'єднання, коли номер з'єднання від одного хоста x потрапить на x, знищити всі його з'єднання протягом y секунди. Це ефективний спосіб відмовити користувачів від передачі файлів p2p. Існують програмні засоби / прилади з безпеки / аудиту, які можуть це зробити. Не впевнений про ASA tho.

— sdaffa23fdsf

Існують і інші рішення, які доходять до крайнощів, такі як запит до трекера та чорний список всіх однолітків. Якщо це офісне середовище, лише довірені користувачі повинні мати доступ до будь-якого іншого, крім HTTP. Для решти з них прозорий HTTP-проксі не матиме негативного ефекту, і маршрутизований / NATED доступ може бути наданий у кожному конкретному випадку.

— Монсьєр

Як саме тунелювання SSL є "нездійсненним"? Ви розумієте, що багато VPN - це лише з'єднання SSL. Користувачі, які користуються БТ , знайдуть спосіб через ваші спроби їх заблокувати.

— Рікі Бім

Тунелювання TCP з високою пропускною здатністю через SSL швидко розтопиться до тієї точки, коли це вже не свиня пропускної здатності. Зовнішня кінцева точка тунелю буде IP-адресою, яка відображається як клієнт Torrent, а не адреса вашої компанії.

— Монсьєр

-1

Одне з вирішень цього - обмежити обмеження трафіку по торенту, склавши специфічний набір списку управління. IP-порт Soure і Destination (ваші IP-пули).

Виключіть порти для загальних служб, таких як RDP (віддалений робочий стіл 3389), VNC, HTTP 8080 (замінити на 80)

— інженербаз
джерело