Bagaimana Anda memblokir lalu lintas bit torrent dengan Cisco ASA?

13

Saya telah mereferensikan artikel Cisco eksternal lama tentang cara memblokir lalu lintas torrent yang direferensikan secara online di sini

Prosedur ini saya temukan hanya berfungsi 50% dari waktu.

Saya menemukan memblokir port bit torrent tertentu, dan melakukan regex melakukan pekerjaan, hanya saja tidak menangkap semua lalu lintas. 

object-group service bit-torrent-services tcp-udp
port-object eq 6969
port-object range 6881 6999

dan 

regex bit-torrent-tracker ".*[Ii][Nn][Ff][Oo]_[Hh][Aa][Ss][Hh]=.*"

Adakah yang punya regex terkini untuk menemukan lalu lintas bit torrent? Atau apakah ini batas ASA saat ini?

cisco cisco-asa Blake
sumber
Saya percaya ini akan menjadi batas ASA saat ini. Peralatan UTM lainnya menggunakan "modul aplikasi (berdasarkan IPS)" dan dapat berhasil memblokirnya. Meskipun demikian saya yakin Anda bisa melakukannya juga tetapi menggunakan modul IPS yang terpasang pada ASA.
laf

Jawaban:

14

<joke> Cabut itu </joke>

Klien Bittorrent dapat (dan melakukan) menggunakan port acak. Memblokir port umum hanya akan mendorong pengguna untuk pindah ke port yang berbeda. Juga, lalu lintas antar-klien telah mendukung enkripsi untuk beberapa tahun sekarang - awalnya sebagai sarana untuk membatasi gangguan ISP - membuat lalu lintas ptp yang sebenarnya tidak dapat dikenali.

Mencari "info_hash" dalam komunikasi pelacak klien, meskipun agak efektif, juga mudah dikalahkan. (untuk, ssl, vpn, dll.) Ini juga tidak melakukan apa pun untuk menghentikan kawanan pelacak-kurang (DHT), pertukaran-rekan (PEX), protokol pelacak UDP ...

Jika Anda berhasil membunuh 50%, anggap diri Anda beruntung. Ini adalah permainan mendera yang tidak bisa Anda menangkan.

Ricky Beam
sumber
9

Konfigurasikan dalam mode proksi transparan untuk semua protokol aplikasi yang didukung dan hanya memungkinkan koneksi proksi. Protokol yang tidak dikenal akan gagal termasuk BitTorrent. Penerowongan SSL untuk BitTorrent tidak memungkinkan sehingga HTTPS tidak terlalu besar. Pada dasarnya membiarkan melalui koneksi yang dirutekan yang belum disetujui L7 akan membiarkan BitTorrent lolos.

Monstieur
sumber
Saya bertaruh banyak hal akan pecah dengan metode ini. Bagaimana dengan membatasi nomor koneksi, begitu nomor koneksi dari satu host x mencapai x, matikan semua koneksinya selama y detik. Ini adalah cara yang efektif untuk mencegah pengguna menggunakan transfer file P2P. Ada perangkat lunak keamanan / audit / peralatan yang dapat melakukan ini. Tidak yakin tentang ASA tho.
sdaffa23fdsf
Ada solusi lain yang ekstrem seperti kueri pelacak dan daftar hitam semua rekan. Jika ini adalah lingkungan kantor, hanya pengguna tepercaya yang memiliki akses ke apa pun selain HTTP. Untuk sisanya, proksi HTTP transparan tidak akan memiliki efek buruk dan akses routed / NATed dapat diberikan berdasarkan kasus per kasus.
Monstieur
Bagaimana sebenarnya tunneling SSL "tidak layak"? Anda menyadari banyak VPN hanya koneksi SSL. Pengguna hellbent menggunakan BT akan menemukan cara melalui upaya Anda untuk memblokir mereka.
Ricky Beam
Tunneling bandwidth tinggi melalui SSL akan dengan cepat meleleh ke titik di mana itu bukan lagi bandwith bandwidth. Titik akhir terowongan eksternal adalah alamat IP yang terlihat sebagai klien Torrent dan bukan alamat perusahaan Anda.
Monstieur
-1

Salah satu solusi untuk ini adalah untuk menilai batas lalu lintas Torrent dengan membuat set tertentu daftar Kontrol. Soure Port dan IP Tujuan (IP Pools Anda).

Kecualikan port untuk layanan umum seperti RDP (Remote Desktop 3389), VNC, HTTP 8080 (ganti 80)

engineerbaz
sumber