Come si limita il traffico Dropbox?

10

Sembra che Dropbox utilizzi Amazon AWS per il suo spazio di archiviazione, quindi non sono in grado di bloccare o limitare il traffico su dropbox.com

Dato che ci sono molti servizi web che si basano su AmazonAWS, non posso semplicemente bloccare quel dominio.

Hai qualche suggerimento su come gestire il traffico di dropbox?

Sto lavorando da un ASA Cisco, ma sospetto che ciò si applichi a tutti i gestori di firewall

cisco  qos  security  cisco-asa  firewall 
Blake
fonte
3
Quale modello ASA? Il modello di prima generazione o di seconda generazione X con funzionalità CX?
generalnetworkerror

Risposte:

4

Aggiorna il tuo firewall a uno che conosca le applicazioni (comunemente chiamato "Next Generation Firewall" in questi giorni). Palo Alto Networks è un buon esempio. Invece di aprire il firewall alle destinazioni basate su IP, consenti all'applicazione "Dropbox" e non ti interessa la destinazione. Puoi anche mettere un po 'di QoS sopra Dropbox. Ad esempio, è possibile creare un criterio QoS che dia a Dropbox una larghezza di banda massima di 5 mbps.

Molti altri fornitori di firewall hanno escogitato soluzioni simili a quella di Palo Alto Networks. So che Juniper SRX e Checkpoint lo fanno ora, non sono sicuro di Cisco. L'importante è che il tuo firewall comprenda le applicazioni (sul layer 7) rispetto al solo layer3 / 4.

criptocromo
fonte
Grazie. anche se speravo che non fosse la risposta. Sembra che l'ASA stia uscendo con la loro serie X che è più orientata verso lo strato superiore, ma che probabilmente coinvolgerà più $$$ Vorrei che potessimo aggiornare la nostra flotta di dispositivi piuttosto che testare nuovo hardware e apprendere nuovi software per per accogliere le nuove tecnologie su Internet.
Blake,
13

Anche se Dropbox utilizza AWS, possono essere bloccati ...

Dropbox bloccante

Uso un approccio basato sugli indirizzi per cose come questa, basta cercare i blocchi di indirizzi che la società possiede e filtrarli ...

Utilizzo delle informazioni Robtex per AS19679 (Dropbox) per bloccare il dropbox ...

object-group network DROPBOX_AS19679
 network-object 108.160.160.0 255.255.240.0
 network-object 199.47.216.0 255.255.252.0
!
! I assume you don't care whether you also block web / email traffic to dropbox.com...
! The following ACL should be applied inbound on your Inside interface
access-list <your-acl-name> extended deny ip any object-group DROPBOX_AS19679 log

Cordiali saluti, Dropbox supporta la connessione tramite proxy http, quindi se il proxy non si trova nel percorso dell'ACL sopra, assicurati di bloccare anche Dropbox sul proxy.

Dropbox di limitazione

Ho fatto qualche ricerca dopo essere tornato a casa dal lavoro ... quando ho testato, Dropbox utilizza una combinazione del proprio spazio di indirizzi nativo e spazio di indirizzi AWS per le connessioni.

Dropbox ha usato SSL, quindi era difficile dire esattamente cosa stavano facendo, ma se guardo al sequenziamento sembra che quando sposti un file dentro o fuori dalla tua Dropbox/cartella locale , prima parlino con i loro blocchi di indirizzi, quindi usano AWS per un trasferimento di massa come richiesto.

Dal momento che hanno usato AWS per la maggior parte dei byte che ho visto, non sono sicuro che si possano facilmente limitare usando solo i blocchi di indirizzi; tuttavia, almeno oggi possono essere bloccati con ACL.

Di seguito è riportato un riepilogo, vedere di seguito per tutte le informazioni di supporto su Syslog ...

Time       Action               Connection No.   Destination    ASA Bytes
--------   -------------------  --------------   ------------   ---------
22:26:51   Delete-dropbox-file  591637           Dropbox            6965
22:26:51   "                    591638           Dropbox           11590
22:28:46   Paste-into-dropbox   591738           Dropbox            7317
22:28:46   "                    591741           AWS             2422218
22:28:46   "                    591788           Dropbox            7674

Poiché Dropbox utilizza in modo dinamico lo spazio degli indirizzi AWS, non possono essere efficacemente limitati, ma fornirò un esempio di cosa faresti per altri siti / applicazioni non AWS , usando lo spazio degli indirizzi di Dropbox come esempio ... avresti anche bisogno per definire un object-groupper i tuoi blocchi "Inside" (FYI, sto usando ASA 8.2) ...

access-list ACL_Dropbox extended permit ip object-group Inside object-group DROPBOX_AS19679
access-list ACL_Dropbox extended permit ip object-group DROPBOX_AS19679 object-group Inside
!
class-map Class_Dropbox
 match access-list ACL_Dropbox
!
policy-map Policy_Police
 class Class_Dropbox
  police input 384000
  police output 384000
 class class-default
!
service-policy Policy_Police interface INSIDE

Uso questa tecnica per limitare la larghezza di banda a numerosi siti di social network (come Facebook), ed è abbastanza efficace. Ho automatizzato i controlli periodici per le modifiche ai blocchi di indirizzi e ho aggiunto qualcos'altro che gli obiettivi iniziano a annunciare ... l'automazione, ovviamente, non è richiesta.

Supporto delle informazioni Syslog

Jun 27 22:26:51 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591637 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56957 (11.40.219.148/28663)
Jun 27 22:26:51 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591638 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56958 (11.40.219.148/54828)
Jun 27 22:28:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591637 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56957 duration 0:01:21 bytes 6965 TCP FINs
Jun 27 22:28:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591638 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56958 duration 0:01:20 bytes 11590 TCP FINs
Jun 27 22:28:46 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591738 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56959 (11.40.219.148/17163)
Jun 27 22:28:46 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591741 for OUTSIDE:174.129.221.92/443 (174.129.221.92/443) to INSIDE:mpenning_Vista/56960 (11.40.219.148/15739)
Jun 27 22:29:05 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591788 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56961 (11.40.219.148/36777)
Jun 27 22:29:05 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591738 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56959 duration 0:00:19 bytes 7317 TCP FINs
Jun 27 22:30:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591741 for OUTSIDE:174.129.221.92/443 to INSIDE:mpenning_Vista/56960 duration 0:01:25 bytes 2422218 TCP FINs
Jun 27 22:30:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591788 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56961 duration 0:01:07 bytes 7674 TCP FINs
Mike Pennington
fonte
Pensi che i servizi di drop box siano sempre associati agli stessi server AWS? Sembra che cambierebbe sempre dato che è il "cloud", quindi bloccare un blocco di IP per la polizia potrebbe non funzionare.
Blake,
1
Ho aggiornato la mia risposta dopo essere tornato a casa dal lavoro ... Puoi bloccarli poiché sembrano utilizzare il proprio blocco IP per le connessioni "di controllo" ... i miei test hanno dimostrato che hanno usato AWS per trasferimenti di dati in blocco, quindi sembra sarebbe difficile strozzarli.
Mike Pennington,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.