Як ви заглушите трафік Dropbox?

10

Схоже, що Dropbox використовує Amazon AWS для зберігання, тому я не в змозі просто заблокувати або запустити трафік на dropbox.com

Оскільки існує багато веб-служб, які покладаються на AmazonAWS, я не можу просто заблокувати цей домен.

Чи є у вас які-небудь пропозиції, як обробляти трафік в скриньці?

Я працюю з ASA cisco, але підозрюю, що це стосується всіх менеджерів брандмауера

cisco  qos  security  cisco-asa  firewall 
Блейк
джерело
3
Яка модель ASA? Модель 1-го чи 2-го покоління X з можливостями CX?
generalnetworkerror

Відповіді:

4

Оновіть брандмауер до того, хто знає програми (зазвичай сьогодні називається "Брандмауери нового покоління"). Пало Альто Мережі - хороший приклад. Замість того, щоб відкривати брандмауер до IP-адресотів, ви дозволяєте програмі "Dropbox" і не хвилюєтесь про призначення. Ви також можете поставити якісь QoS поверх Dropbox. Наприклад, ви можете створити політику QoS, яка надає Dropbox максимум 5 мбіт / с.

Дуже багато інших виробників брандмауерів придумали подібні рішення, ніж у мережі Palo Alto. Я знаю, що Juniper SRX і Checkpoint роблять це зараз, але не впевнені в Cisco. Важливим є те, що ваш брандмауер розуміє програми (на рівні 7) порівняно з шаром 3/4.

криптохром
джерело
Дякую. хоча я сподівався, що це не відповідь. Схоже, ASA виходить зі своєю серією X, яка спрямовується більше на верхній шар, але це, ймовірно, буде залучати більше $$$ Я хотів би, щоб ми могли оновити свій парк пристроїв, а не тестувати нове обладнання та вивчати нове програмне забезпечення для того, щоб для розміщення нових технологій в Інтернеті.
Блейк
13

Незважаючи на те, що дроп-бокс використовує AWS, вони можуть бути заблоковані ...

Блокування Dropbox

Я використовую адресний підхід для подібних матеріалів, просто знайдіть адреси адреси, якими володіє зазначена компанія, і відфільтруйте її ...

Використання інформації про Robtex для AS19679 (Dropbox) для блокування папки "

object-group network DROPBOX_AS19679
 network-object 108.160.160.0 255.255.240.0
 network-object 199.47.216.0 255.255.252.0
!
! I assume you don't care whether you also block web / email traffic to dropbox.com...
! The following ACL should be applied inbound on your Inside interface
access-list <your-acl-name> extended deny ip any object-group DROPBOX_AS19679 log

FYI, Dropbox підтримує з'єднання через http-проксі, тому якщо ваш проксі не стоїть на шляху до ACL вище, переконайтесь, що ви також заблокували dropbox на своєму проксі-сервері.

Дросельний Dropbox

Я зробив кілька досліджень після того, як я повернувся додому з роботи ... Коли я тестував, Dropbox використовує поєднання власного рідного адресного простору та адресного простору AWS для з'єднань.

Dropbox використовував SSL, тому важко було точно сказати, що вони роблять, але якщо я дивлюся на послідовність, це виглядає, коли ви переміщуєте файл у свою локальну Dropbox/папку чи виходите з неї , спочатку вони розмовляють із власними блоками адреси, а потім використовують AWS для масового переказу за потребою.

Оскільки вони використовували AWS для більшості байтів, які я бачив, я не впевнений, що ви можете легко заглушити їх, використовуючи лише адреси адреси; однак, принаймні сьогодні вони можуть бути заблоковані ACL.

Нижче наведено резюме, див. Нижче для всієї супровідної інформації про Syslog ...

Time       Action               Connection No.   Destination    ASA Bytes
--------   -------------------  --------------   ------------   ---------
22:26:51   Delete-dropbox-file  591637           Dropbox            6965
22:26:51   "                    591638           Dropbox           11590
22:28:46   Paste-into-dropbox   591738           Dropbox            7317
22:28:46   "                    591741           AWS             2422218
22:28:46   "                    591788           Dropbox            7674

Оскільки Dropbox динамічно використовує адресний простір AWS, вони не можуть бути ефективно заглушені, але я наведу приклад того, що ви зробите для інших сайтів / додатків , що не належать до AWS , використовуючи адресний простір Dropbox як приклад ... вам також знадобиться для визначення object-groupадресних блоків "Всередині" (FYI, я використовую ASA 8.2) ...

access-list ACL_Dropbox extended permit ip object-group Inside object-group DROPBOX_AS19679
access-list ACL_Dropbox extended permit ip object-group DROPBOX_AS19679 object-group Inside
!
class-map Class_Dropbox
 match access-list ACL_Dropbox
!
policy-map Policy_Police
 class Class_Dropbox
  police input 384000
  police output 384000
 class class-default
!
service-policy Policy_Police interface INSIDE

Я використовую цю техніку, щоб зменшити пропускну здатність для багатьох соціальних мереж (наприклад, Facebook), і це досить ефективно. Я автоматизував періодичні перевірки змін блоку адреси та додаю що-небудь інше, цілі починають оголошувати ... автоматизація, звичайно, не потрібна.

Підтримка Syslog інформації

Jun 27 22:26:51 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591637 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56957 (11.40.219.148/28663)
Jun 27 22:26:51 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591638 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56958 (11.40.219.148/54828)
Jun 27 22:28:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591637 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56957 duration 0:01:21 bytes 6965 TCP FINs
Jun 27 22:28:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591638 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56958 duration 0:01:20 bytes 11590 TCP FINs
Jun 27 22:28:46 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591738 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56959 (11.40.219.148/17163)
Jun 27 22:28:46 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591741 for OUTSIDE:174.129.221.92/443 (174.129.221.92/443) to INSIDE:mpenning_Vista/56960 (11.40.219.148/15739)
Jun 27 22:29:05 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591788 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56961 (11.40.219.148/36777)
Jun 27 22:29:05 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591738 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56959 duration 0:00:19 bytes 7317 TCP FINs
Jun 27 22:30:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591741 for OUTSIDE:174.129.221.92/443 to INSIDE:mpenning_Vista/56960 duration 0:01:25 bytes 2422218 TCP FINs
Jun 27 22:30:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591788 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56961 duration 0:01:07 bytes 7674 TCP FINs
Майк Пеннінгтон
джерело
Чи вважаєте ви, що сервіси випадаючих вікон завжди відображаються на тих же серверах AWS? Здається, це завжди змінюватиметься, оскільки це "хмара", тому блокування блоку ip для поліції може не спрацювати.
Блейк
1
Я оновив свою відповідь після повернення додому з роботи ... Ви можете заблокувати їх, оскільки вони, схоже, використовують власний IP-блок для "керуючих" з'єднань ... мої тести показали, що вони використовували AWS для масових передач даних, так виглядає так важко було б їх придушити.
Майк Пеннінгтон
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.