Dropbox Trafiğini nasıl kısarsınız?


10

Dropbox'ın depolama alanı için Amazon AWS kullandığı anlaşılıyor, bu yüzden dropbox.com'a giden trafiği engelleyemiyorum veya kısıtlamıyorum

AmazonAWS'ye dayanan çok sayıda web hizmeti olduğundan, sadece bu etki alanını engelleyemiyorum.

Dropbox trafiğini nasıl ele alacağınız konusunda herhangi bir öneriniz var mı?

Cisco ASA'dan çalışıyorum, ancak bunun tüm güvenlik duvarı yöneticileri için geçerli olduğundan şüpheleniyorum


3
Hangi ASA Modeli? CX özellikli 1. nesil veya 2. nesil X modeli?
generalnetworkerror

Yanıtlar:


4

Güvenlik duvarınızı uygulamaları bilen biriyle güncelleyin (bu günlerde genellikle "Yeni Nesil Güvenlik Duvarları" olarak adlandırılır). Palo Alto Networks buna iyi bir örnek. Güvenlik duvarınızı IP tabanlı hedeflere açmak yerine "Dropbox" uygulamasına izin verirsiniz ve hedefle ilgilenmezsiniz. Ayrıca Dropbox'ın üstüne bazı QoS koyabilirsiniz. Örneğin, Dropbox'a maksimum 5 mbps bant genişliği veren bir QoS ilkesi oluşturabilirsiniz.

Diğer birçok Güvenlik Duvarı satıcısı, Palo Alto Networks ile benzer çözümler üretmiştir. Juniper SRX ve Checkpoint'in şimdi yaptığını biliyorum, Cisco'dan emin değilim. Önemli olan, güvenlik duvarınızın sadece katman3 / 4'e karşı uygulamaları (katman 7'de) anlamasıdır.


Teşekkürler. bunun cevap olmadığını umuyordum. ASA, üst katmana daha fazla dişli olan X serileriyle çıkıyor gibi görünüyor, ancak bu muhtemelen daha fazlasını içerecek. internette yeni teknolojiler barındırmak.
Blake

13

Dropbox AWS kullansa da engellenebilir ...

Dropbox'ı Engelleme

Böyle şeyler için adres tabanlı bir yaklaşım kullanıyorum, sadece şirketin sahip olduğu adres bloklarına bakın ve filtreleyin ...

Dropbox'ı engellemek için AS19679 (Dropbox) için Robtex bilgilerini kullanma ...

object-group network DROPBOX_AS19679
 network-object 108.160.160.0 255.255.240.0
 network-object 199.47.216.0 255.255.252.0
!
! I assume you don't care whether you also block web / email traffic to dropbox.com...
! The following ACL should be applied inbound on your Inside interface
access-list <your-acl-name> extended deny ip any object-group DROPBOX_AS19679 log

FYI, Dropbox http proxy üzerinden bağlanmayı destekler , bu nedenle proxy'niz yukarıdaki ACL yolunda değilse, proxy'nizdeki dropbox'ı da engellediğinizden emin olun.

Kısma Dropbox

İşten eve döndükten sonra biraz araştırma yaptım ... Test ettiğimde, Dropbox bağlantılar için kendi yerel adres alanı ve AWS adres alanının bir kombinasyonunu kullanıyor.

Dropbox SSL kullandı, bu yüzden tam olarak ne yaptıklarını söylemek zor oldu, ancak sıralamaya bakarsam, bir dosyayı yerel Dropbox/klasörünüzün içine veya dışına taşıdığınızda benziyor , önce kendi adres bloklarıyla konuşuyorlar, sonra AWS kullanıyorlar gerektiğinde toplu transfer için.

Gördüğüm baytların çoğu için AWS kullandıklarından, adres adreslerini kullanarak bunları kolayca kısabileceğinizden emin değilim; ancak, en azından bugün ACL'lerle engellenebilirler.

Aşağıda bir özet verilmektedir, tüm Destekleyen Sistem Günlüğü Bilgileri için aşağıya bakın ...

Time       Action               Connection No.   Destination    ASA Bytes
--------   -------------------  --------------   ------------   ---------
22:26:51   Delete-dropbox-file  591637           Dropbox            6965
22:26:51   "                    591638           Dropbox           11590
22:28:46   Paste-into-dropbox   591738           Dropbox            7317
22:28:46   "                    591741           AWS             2422218
22:28:46   "                    591788           Dropbox            7674

Dropbox dinamik olarak AWS adres alanını kullandığından, etkili bir şekilde kısıtlanamazlar, ancak Dropbox'ın adres alanını örnek olarak kullanarak AWS dışındaki diğer siteler / uygulamalar için ne yapacağınıza bir örnek vereceğim ... object-group"İç" adres bloklarınız için bir tanımlamak için (FYI, ASA 8.2 kullanıyorum) ...

access-list ACL_Dropbox extended permit ip object-group Inside object-group DROPBOX_AS19679
access-list ACL_Dropbox extended permit ip object-group DROPBOX_AS19679 object-group Inside
!
class-map Class_Dropbox
 match access-list ACL_Dropbox
!
policy-map Policy_Police
 class Class_Dropbox
  police input 384000
  police output 384000
 class class-default
!
service-policy Policy_Police interface INSIDE

Bu tekniği, bir dizi sosyal ağ sitesine (Facebook gibi) bant genişliğini azaltmak için kullanıyorum ve oldukça etkili. Adres bloğu değişiklikleri için periyodik kontrolleri otomatikleştirdim ve hedeflerin duyurmaya başladığı başka bir şey ekledim ... elbette otomasyon gerekli değildir.


Syslog Bilgilerini Destekleme

Jun 27 22:26:51 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591637 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56957 (11.40.219.148/28663)
Jun 27 22:26:51 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591638 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56958 (11.40.219.148/54828)
Jun 27 22:28:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591637 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56957 duration 0:01:21 bytes 6965 TCP FINs
Jun 27 22:28:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591638 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56958 duration 0:01:20 bytes 11590 TCP FINs
Jun 27 22:28:46 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591738 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56959 (11.40.219.148/17163)
Jun 27 22:28:46 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591741 for OUTSIDE:174.129.221.92/443 (174.129.221.92/443) to INSIDE:mpenning_Vista/56960 (11.40.219.148/15739)
Jun 27 22:29:05 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591788 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56961 (11.40.219.148/36777)
Jun 27 22:29:05 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591738 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56959 duration 0:00:19 bytes 7317 TCP FINs
Jun 27 22:30:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591741 for OUTSIDE:174.129.221.92/443 to INSIDE:mpenning_Vista/56960 duration 0:01:25 bytes 2422218 TCP FINs
Jun 27 22:30:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591788 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56961 duration 0:01:07 bytes 7674 TCP FINs

Drop box hizmetlerinin her zaman aynı AWS sunucularıyla eşlendiğini düşünüyor musunuz? Görünüşe göre her zaman değişecek gibi çünkü "bulut" bu yüzden bir ip bloğunu polise engellemek işe yaramayabilir.
Blake

1
İşten eve döndükten sonra cevabımı güncelledim ... "Kontrol" bağlantıları için kendi IP bloklarını kullandıkları için onları engelleyebilirsiniz ... Testlerim toplu veri aktarımları için AWS kullandıklarını gösterdi, bu yüzden benziyor onları kısmak zor olurdu.
Mike Pennington
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.