Незважаючи на те, що дроп-бокс використовує AWS, вони можуть бути заблоковані ...
Блокування Dropbox
Я використовую адресний підхід для подібних матеріалів, просто знайдіть адреси адреси, якими володіє зазначена компанія, і відфільтруйте її ...
Використання інформації про Robtex для AS19679 (Dropbox) для блокування папки "
object-group network DROPBOX_AS19679
network-object 108.160.160.0 255.255.240.0
network-object 199.47.216.0 255.255.252.0
!
! I assume you don't care whether you also block web / email traffic to dropbox.com...
! The following ACL should be applied inbound on your Inside interface
access-list <your-acl-name> extended deny ip any object-group DROPBOX_AS19679 log
FYI, Dropbox підтримує з'єднання через http-проксі, тому якщо ваш проксі не стоїть на шляху до ACL вище, переконайтесь, що ви також заблокували dropbox на своєму проксі-сервері.
Дросельний Dropbox
Я зробив кілька досліджень після того, як я повернувся додому з роботи ... Коли я тестував, Dropbox використовує поєднання власного рідного адресного простору та адресного простору AWS для з'єднань.
Dropbox використовував SSL, тому важко було точно сказати, що вони роблять, але якщо я дивлюся на послідовність, це виглядає, коли ви переміщуєте файл у свою локальну Dropbox/
папку чи виходите з неї , спочатку вони розмовляють із власними блоками адреси, а потім використовують AWS для масового переказу за потребою.
Оскільки вони використовували AWS для більшості байтів, які я бачив, я не впевнений, що ви можете легко заглушити їх, використовуючи лише адреси адреси; однак, принаймні сьогодні вони можуть бути заблоковані ACL.
Нижче наведено резюме, див. Нижче для всієї супровідної інформації про Syslog ...
Time Action Connection No. Destination ASA Bytes
-------- ------------------- -------------- ------------ ---------
22:26:51 Delete-dropbox-file 591637 Dropbox 6965
22:26:51 " 591638 Dropbox 11590
22:28:46 Paste-into-dropbox 591738 Dropbox 7317
22:28:46 " 591741 AWS 2422218
22:28:46 " 591788 Dropbox 7674
Оскільки Dropbox динамічно використовує адресний простір AWS, вони не можуть бути ефективно заглушені, але я наведу приклад того, що ви зробите для інших сайтів / додатків , що не належать до AWS , використовуючи адресний простір Dropbox як приклад ... вам також знадобиться для визначення object-group
адресних блоків "Всередині" (FYI, я використовую ASA 8.2) ...
access-list ACL_Dropbox extended permit ip object-group Inside object-group DROPBOX_AS19679
access-list ACL_Dropbox extended permit ip object-group DROPBOX_AS19679 object-group Inside
!
class-map Class_Dropbox
match access-list ACL_Dropbox
!
policy-map Policy_Police
class Class_Dropbox
police input 384000
police output 384000
class class-default
!
service-policy Policy_Police interface INSIDE
Я використовую цю техніку, щоб зменшити пропускну здатність для багатьох соціальних мереж (наприклад, Facebook), і це досить ефективно. Я автоматизував періодичні перевірки змін блоку адреси та додаю що-небудь інше, цілі починають оголошувати ... автоматизація, звичайно, не потрібна.
Підтримка Syslog інформації
Jun 27 22:26:51 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591637 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56957 (11.40.219.148/28663)
Jun 27 22:26:51 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591638 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56958 (11.40.219.148/54828)
Jun 27 22:28:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591637 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56957 duration 0:01:21 bytes 6965 TCP FINs
Jun 27 22:28:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591638 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56958 duration 0:01:20 bytes 11590 TCP FINs
Jun 27 22:28:46 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591738 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56959 (11.40.219.148/17163)
Jun 27 22:28:46 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591741 for OUTSIDE:174.129.221.92/443 (174.129.221.92/443) to INSIDE:mpenning_Vista/56960 (11.40.219.148/15739)
Jun 27 22:29:05 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591788 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56961 (11.40.219.148/36777)
Jun 27 22:29:05 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591738 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56959 duration 0:00:19 bytes 7317 TCP FINs
Jun 27 22:30:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591741 for OUTSIDE:174.129.221.92/443 to INSIDE:mpenning_Vista/56960 duration 0:01:25 bytes 2422218 TCP FINs
Jun 27 22:30:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591788 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56961 duration 0:01:07 bytes 7674 TCP FINs