Jak ograniczać ruch Dropbox?

10

Wygląda na to, że Dropbox korzysta z Amazon AWS do przechowywania danych, więc nie jestem w stanie po prostu blokować ani przekierowywać ruchu na dropbox.com

Ponieważ istnieje wiele usług internetowych opartych na AmazonAWS, nie mogę po prostu zablokować tej domeny.

Czy masz jakieś sugestie dotyczące obsługi ruchu dropbox?

Pracuję z ASA firmy cisco, ale podejrzewam, że dotyczy to wszystkich menedżerów zapory

cisco qos security cisco-asa firewall Blake
źródło
3
Który model ASA? Model pierwszej lub drugiej generacji X z funkcjami CX?
generalnetworkerror

Odpowiedzi:

4

Zaktualizuj zaporę ogniową do takiej, która zna aplikacje (zwana obecnie „zaporami nowej generacji”). Palo Alto Networks jest dobrym przykładem. Zamiast otwierać zaporę na miejsca docelowe oparte na protokole IP, zezwalasz aplikacji „Dropbox” i nie przejmujesz się miejscem docelowym. Możesz także umieścić QoS na Dropbox. Na przykład możesz utworzyć zasadę QoS, która daje Dropboxowi maksymalną przepustowość 5 Mb / s.

Wielu innych dostawców Firewall wymyśliło podobne rozwiązania do tego z Palo Alto Networks. Wiem, że Juniper SRX i Checkpoint robią to teraz, ale nie jestem pewien co do Cisco. Ważne jest, aby Twoja zapora ogniowa rozumiała aplikacje (na warstwie 7), a nie tylko warstwę 3/4.

kryptochrom
źródło
Dzięki. chociaż miałem nadzieję, że to nie jest odpowiedź. Wygląda na to, że ASA wychodzi z serią X, która jest bardziej skierowana w stronę górnej warstwy, ale prawdopodobnie będzie to wymagało więcej $$$ Chciałbym, abyśmy mogli ulepszyć naszą flotę urządzeń zamiast testować nowy sprzęt i uczyć się nowego oprogramowania w celu w celu dostosowania nowych technologii w Internecie.
Blake
13

Mimo że dropbox używa AWS, można je zablokować ...

Blokowanie Dropbox

Używam podejścia opartego na adresie do takich rzeczy, wystarczy wyszukać bloki adresowe, które są własnością firmy i filtrować je ...

Używanie informacji Robtex dla AS19679 (Dropbox) do blokowania Dropbox ...

object-group network DROPBOX_AS19679
 network-object 108.160.160.0 255.255.240.0
 network-object 199.47.216.0 255.255.252.0
!
! I assume you don't care whether you also block web / email traffic to dropbox.com...
! The following ACL should be applied inbound on your Inside interface
access-list <your-acl-name> extended deny ip any object-group DROPBOX_AS19679 log

Do Twojej wiadomości, Dropbox obsługuje łączenie się za pośrednictwem serwera proxy HTTP, więc jeśli twój serwer proxy nie znajduje się na ścieżce ACL powyżej, upewnij się, że blokujesz również Dropbox na swoim serwerze proxy.

Dławienie Dropbox

Przeprowadziłem pewne badania po powrocie do domu z pracy ... kiedy testowałem, Dropbox używa kombinacji własnej natywnej przestrzeni adresowej i przestrzeni adresowej AWS do połączeń.

Dropbox używał protokołu SSL, więc trudno było powiedzieć dokładnie, co robią, ale jeśli spojrzę na sekwencjonowanie, wygląda to tak, jak przenosisz plik do lub z Dropbox/folderu lokalnego , najpierw rozmawiają z własnymi blokami adresów, a następnie używają AWS do masowego transferu zgodnie z wymaganiami.

Ponieważ używali AWS przez większość bajtów, które widziałem, nie jestem pewien, czy można łatwo dławić je za pomocą samych bloków adresów; jednak przynajmniej dzisiaj można je zablokować za pomocą list ACL.

Poniżej znajduje się podsumowanie, patrz poniżej wszystkie informacje pomocnicze Syslog ...

Time       Action               Connection No.   Destination    ASA Bytes
--------   -------------------  --------------   ------------   ---------
22:26:51   Delete-dropbox-file  591637           Dropbox            6965
22:26:51   "                    591638           Dropbox           11590
22:28:46   Paste-into-dropbox   591738           Dropbox            7317
22:28:46   "                    591741           AWS             2422218
22:28:46   "                    591788           Dropbox            7674

Ponieważ Dropbox dynamicznie wykorzystuje przestrzeń adresową AWS, nie można ich skutecznie dławić, ale dam przykład tego, co zrobiłbyś dla innych stron / aplikacji innych niż AWS , używając przestrzeni adresowej Dropbox jako przykładu ... będziesz również potrzebować aby zdefiniować object-groupdla bloków adresów „Inside” (FYI, używam ASA 8.2) ...

access-list ACL_Dropbox extended permit ip object-group Inside object-group DROPBOX_AS19679
access-list ACL_Dropbox extended permit ip object-group DROPBOX_AS19679 object-group Inside
!
class-map Class_Dropbox
 match access-list ACL_Dropbox
!
policy-map Policy_Police
 class Class_Dropbox
  police input 384000
  police output 384000
 class class-default
!
service-policy Policy_Police interface INSIDE

Używam tej techniki do ograniczania przepustowości do wielu serwisów społecznościowych (takich jak Facebook) i jest dość skuteczna. Zautomatyzowałem okresowe sprawdzanie zmian w bloku adresu i dodawałem wszystko, co cele zaczęły ogłaszać ... automatyzacja oczywiście nie jest wymagana.

Wspieranie informacji Syslog

Jun 27 22:26:51 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591637 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56957 (11.40.219.148/28663)
Jun 27 22:26:51 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591638 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56958 (11.40.219.148/54828)
Jun 27 22:28:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591637 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56957 duration 0:01:21 bytes 6965 TCP FINs
Jun 27 22:28:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591638 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56958 duration 0:01:20 bytes 11590 TCP FINs
Jun 27 22:28:46 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591738 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56959 (11.40.219.148/17163)
Jun 27 22:28:46 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591741 for OUTSIDE:174.129.221.92/443 (174.129.221.92/443) to INSIDE:mpenning_Vista/56960 (11.40.219.148/15739)
Jun 27 22:29:05 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591788 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56961 (11.40.219.148/36777)
Jun 27 22:29:05 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591738 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56959 duration 0:00:19 bytes 7317 TCP FINs
Jun 27 22:30:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591741 for OUTSIDE:174.129.221.92/443 to INSIDE:mpenning_Vista/56960 duration 0:01:25 bytes 2422218 TCP FINs
Jun 27 22:30:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591788 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56961 duration 0:01:07 bytes 7674 TCP FINs
Mike Pennington
źródło
Czy uważasz, że usługi drop-box zawsze są mapowane na te same serwery AWS? Wygląda na to, że zawsze się zmienia, ponieważ jest to „chmura”, więc blokowanie bloku adresów IP policji może nie działać.
Blake
1
Zaktualizowałem odpowiedź po powrocie do domu z pracy ... Możesz je zablokować, ponieważ wydają się używać własnego bloku IP do połączeń „kontrolujących” ... moje testy wykazały, że używali AWS do masowego przesyłania danych, więc wygląda na to, że trudno byłoby je zdławić.
Mike Pennington