Jak blokujesz ruch bit torrent za pomocą Cisco ASA?

13

Odniosłem się do starego zewnętrznego artykułu Cisco na temat blokowania ruchu Bit torrent, o którym mowa tutaj

Ta procedura, którą znalazłem, działa tylko w 50% przypadków.

Uważam, że blokowanie portów specyficznych dla torrentów i wykonywanie wyrażenia regularnego działa, po prostu nie przechwytuje całego ruchu. 

object-group service bit-torrent-services tcp-udp
port-object eq 6969
port-object range 6881 6999

i 

regex bit-torrent-tracker ".*[Ii][Nn][Ff][Oo]_[Hh][Aa][Ss][Hh]=.*"

Czy ktoś ma bardziej aktualne wyrażenia regularne do wyszukiwania ruchu bit torrent? Czy jest to obecnie limit ASA?

cisco cisco-asa Blake
źródło
Uważam, że w tej chwili byłby to limit ASA. Inne urządzenia UTM używają „modułu aplikacji (opartego na IPS)” i mogą go skutecznie zablokować. Niemniej jestem pewien, że możesz to zrobić, ale używając modułu IPS dołączonego do ASA.
laf

Odpowiedzi:

14

<joke> Odłącz to </joke>

Klienci Bittorrent mogą (i robią) korzystać z losowych portów. Zablokowanie wspólnych portów zachęci tylko użytkowników do przejścia do różnych portów. Ponadto ruch między klientami obsługuje szyfrowanie od kilku lat - pierwotnie jako sposób ograniczenia interferencji ISP - co uniemożliwia rozpoznanie rzeczywistego ruchu ptp.

Poszukiwanie „info_hash” w komunikacji klient-moduł śledzący, choć nieco skuteczne, jest również łatwe do pokonania. (tor, ssl, VPN itp.) Nie robi też nic, aby zatrzymać roje bez śledzenia (DHT), wymianę równorzędną (PEX), protokół śledzenia UDP ...

Jeśli udało ci się zabić 50%, licz sobie szczęście. To gra w walenie na mola, której nie można wygrać.

Ricky Beam
źródło
9

Skonfiguruj go w trybie transparentnego proxy dla wszystkich obsługiwanych protokołów aplikacji i zezwalaj tylko na połączenia proxy. Każdy nieznany protokół zawiedzie, w tym BitTorrent. Tunelowanie SSL dla BitTorrenta jest niewykonalne, więc HTTPS nie jest zbyt wielką dziurą. Zasadniczo przepuszczenie dowolnego połączenia routowanego, które nie zostało zatwierdzone przez L7, pozwoli BitTorrentowi przejść.

Monstieur
źródło
Założę się, że przy tej metodzie wiele rzeczy się zepsuje. Co z ograniczeniem numeru połączenia, gdy numer połączenia z jednego hosta x uderzy x, zabij wszystkie połączenia przez y sekund. Jest to skuteczny sposób na zniechęcenie użytkowników do korzystania z transferu plików p2p. Istnieją programy / urządzenia zabezpieczające / kontrolujące, które mogą to zrobić. Nie jestem pewien co do ASA.
sdaffa23fdsf
Istnieją inne rozwiązania, które idą w skrajności, takie jak odpytywanie modułu śledzącego i umieszczanie na czarnej liście wszystkich peerów. Jeśli jest to środowisko biurowe, tylko zaufani użytkownicy powinni mieć dostęp do czegokolwiek innego niż HTTP. W pozostałych przypadkach przezroczysty serwer proxy HTTP nie będzie miał złych skutków, a dostęp do routingu / NAT może zostać przyznany indywidualnie dla każdego przypadku.
Monstieur
W jaki sposób tunelowanie SSL jest „niewykonalne”? Zdajesz sobie sprawę, że wiele sieci VPN to tylko połączenie SSL. Użytkownicy hellbent na wykorzystaniu BT będzie znaleźć drogę poprzez swoimi próbami je zablokować.
Ricky Beam
Tunelowanie TCP o dużej przepustowości przez SSL szybko stopi się do punktu, w którym nie jest już świnią przepustowości. Zewnętrznym punktem końcowym tunelu byłby adres IP widoczny jako klient Torrent, a nie adres Twojej firmy.
Monstieur
-1

Jednym z obejść tego problemu jest ograniczenie prędkości ruchu Torrent poprzez utworzenie określonego zestawu listy Kontroli. Soure Port i docelowy adres IP (twoje baseny IP).

Wyklucz porty dla popularnych usług, takich jak RDP (Remote Desktop 3389), VNC, HTTP 8080 (zastąp 80)

Engineerbaz
źródło