Bagaimana cara Anda membatasi Lalu Lintas Dropbox?

10

Tampaknya Dropbox menggunakan Amazon AWS untuk penyimpanannya, jadi saya tidak bisa hanya memblokir atau trottle traffic ke dropbox.com

Karena ada banyak layanan web yang mengandalkan AmazonAWS, saya tidak bisa hanya memblokir domain itu.

Apakah Anda punya saran tentang cara menangani lalu lintas dropbox?

Saya bekerja dari cisco ASA, tetapi saya curiga ini berlaku untuk semua manajer firewall

cisco qos security cisco-asa firewall Blake
sumber
3
Model ASA yang mana? Model 1 gen atau 2 gen X dengan kemampuan CX?
generalnetworkerror

Jawaban:

4

Perbarui firewall Anda ke aplikasi yang mengetahui aplikasi (biasanya disebut "Firewall Generasi Berikutnya" hari ini). Palo Alto Networks adalah contoh yang bagus. Alih-alih membuka firewall Anda ke tujuan berbasis IP, Anda mengizinkan aplikasi "Dropbox" dan tidak peduli dengan tujuannya. Anda juga dapat menempatkan beberapa QoS di atas Dropbox. Misalnya, Anda bisa membuat kebijakan QoS yang memberi Dropbox bandwidth maksimum 5 mbps.

Banyak vendor Firewall lainnya yang menawarkan solusi serupa dengan yang ada di Palo Alto Networks. Saya tahu bahwa Juniper SRX dan Checkpoint melakukannya sekarang, tidak yakin tentang Cisco. Yang penting adalah bahwa firewall Anda memahami aplikasi (pada layer 7) versus hanya layer3 / 4.

cryptochrome
sumber
Terima kasih. meskipun aku berharap itu bukan jawabannya. Sepertinya ASA akan keluar dengan seri X mereka yang lebih mengarah ke lapisan atas, tapi itu mungkin akan melibatkan lebih banyak $$$. Saya berharap kita bisa meningkatkan armada perangkat kita daripada menguji perangkat keras baru, dan mempelajari perangkat lunak baru dalam rangka untuk mengakomodasi teknologi baru di internet.
Blake
13

Meskipun dropbox menggunakan AWS, mereka dapat diblokir ...

Memblokir Dropbox

Saya menggunakan pendekatan berbasis alamat untuk hal-hal seperti ini, cukup cari blok alamat yang menurut perusahaan memiliki dan memfilternya ...

Menggunakan informasi Robtex untuk AS19679 (Dropbox) untuk memblokir dropbox ...

object-group network DROPBOX_AS19679
 network-object 108.160.160.0 255.255.240.0
 network-object 199.47.216.0 255.255.252.0
!
! I assume you don't care whether you also block web / email traffic to dropbox.com...
! The following ACL should be applied inbound on your Inside interface
access-list <your-acl-name> extended deny ip any object-group DROPBOX_AS19679 log

FYI, Dropbox mendukung koneksi melalui proxy http jadi jika proxy Anda tidak berada di jalur ACL di atas, pastikan Anda memblokir dropbox pada proxy Anda juga.

Throttling Dropbox

Saya melakukan riset setelah pulang dari kantor ... ketika saya mengujinya, Dropbox menggunakan kombinasi ruang alamat asli mereka sendiri dan ruang alamat AWS untuk koneksi.

Dropbox menggunakan SSL sehingga sulit untuk mengatakan dengan tepat apa yang mereka lakukan, tetapi jika saya melihat urutannya seperti ketika Anda memindahkan file masuk atau keluar dari Dropbox/folder lokal Anda , pertama-tama mereka berbicara dengan blok alamat mereka sendiri, kemudian mereka menggunakan AWS untuk transfer massal sesuai kebutuhan.

Karena mereka menggunakan AWS untuk sebagian besar byte yang saya lihat, saya tidak yakin Anda dapat dengan mudah mencekiknya menggunakan blok alamat saja; Namun, setidaknya hari ini mereka dapat diblokir dengan ACL.

Berikut ini adalah ringkasan, lihat di bawah ini untuk semua Informasi Syslog yang Mendukung ...

Time       Action               Connection No.   Destination    ASA Bytes
--------   -------------------  --------------   ------------   ---------
22:26:51   Delete-dropbox-file  591637           Dropbox            6965
22:26:51   "                    591638           Dropbox           11590
22:28:46   Paste-into-dropbox   591738           Dropbox            7317
22:28:46   "                    591741           AWS             2422218
22:28:46   "                    591788           Dropbox            7674

Karena Dropbox secara dinamis menggunakan ruang alamat AWS, mereka tidak dapat dibatasi secara efektif, tetapi saya akan memberikan contoh tentang apa yang akan Anda lakukan untuk situs / aplikasi non-AWS lainnya , menggunakan ruang alamat Dropbox sebagai contoh ... Anda juga perlu untuk menentukan object-groupblok alamat "Di dalam" Anda (FYI, saya menggunakan ASA 8.2) ...

access-list ACL_Dropbox extended permit ip object-group Inside object-group DROPBOX_AS19679
access-list ACL_Dropbox extended permit ip object-group DROPBOX_AS19679 object-group Inside
!
class-map Class_Dropbox
 match access-list ACL_Dropbox
!
policy-map Policy_Police
 class Class_Dropbox
  police input 384000
  police output 384000
 class class-default
!
service-policy Policy_Police interface INSIDE

Saya menggunakan teknik ini untuk membatasi bandwidth ke sejumlah situs jejaring sosial (seperti Facebook), dan ini cukup efektif. Saya secara otomatis memeriksa perubahan blok alamat dan menambahkan hal lain yang mulai diumumkan target ... otomatisasi, tentu saja, tidak diperlukan.

Mendukung Informasi Syslog

Jun 27 22:26:51 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591637 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56957 (11.40.219.148/28663)
Jun 27 22:26:51 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591638 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56958 (11.40.219.148/54828)
Jun 27 22:28:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591637 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56957 duration 0:01:21 bytes 6965 TCP FINs
Jun 27 22:28:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591638 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56958 duration 0:01:20 bytes 11590 TCP FINs
Jun 27 22:28:46 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591738 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56959 (11.40.219.148/17163)
Jun 27 22:28:46 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591741 for OUTSIDE:174.129.221.92/443 (174.129.221.92/443) to INSIDE:mpenning_Vista/56960 (11.40.219.148/15739)
Jun 27 22:29:05 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591788 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56961 (11.40.219.148/36777)
Jun 27 22:29:05 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591738 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56959 duration 0:00:19 bytes 7317 TCP FINs
Jun 27 22:30:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591741 for OUTSIDE:174.129.221.92/443 to INSIDE:mpenning_Vista/56960 duration 0:01:25 bytes 2422218 TCP FINs
Jun 27 22:30:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591788 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56961 duration 0:01:07 bytes 7674 TCP FINs
Mike Pennington
sumber
Apakah Anda pikir layanan drop box selalu memetakan ke server AWS yang sama? Sepertinya itu akan selalu berubah karena itu adalah "awan" sehingga memblokir blok ip ke polisi mungkin tidak berfungsi.
Blake
1
Saya memperbarui jawaban setelah pulang dari kantor ... Anda dapat memblokirnya karena tampaknya mereka menggunakan blok IP sendiri untuk koneksi "kontrol" ... pengujian saya menunjukkan bahwa mereka menggunakan AWS untuk transfer data massal, jadi sepertinya akan sulit untuk menekan mereka.
Mike Pennington