Как вы блокируете битовый торрент-трафик с помощью Cisco ASA?

13

Я ссылаюсь старая внешняя статья Cisco о том , как блокировать Bit поток трафик , на который ссылается на линии Здесь

Эта процедура, которую я нашел, работает только в 50% случаев.

Я нахожу блокировку определенных торрент-портов, и выполнение регулярного выражения работает, оно просто не перехватывает весь трафик.

object-group service bit-torrent-services tcp-udp
port-object eq 6969
port-object range 6881 6999

и

regex bit-torrent-tracker ".*[Ii][Nn][Ff][Oo]_[Hh][Aa][Ss][Hh]=.*"

У кого-нибудь есть более актуальное регулярное выражение для поиска бит-торрент-трафика? Или это пределы ASA в настоящее время?

Блейк
источник
Я считаю, что это будет пределом ASA в настоящее время. Другие устройства UTM используют «модуль приложения (на основе IPS)» и могут успешно его блокировать. Тем не менее я уверен, что вы можете сделать это тоже, но с помощью модуля IPS, подключенного к ASA.
Лаф

Ответы:

14

<шутка> отключите его </ joke>

Клиенты Bittorrent могут (и делают) использовать случайные порты. Блокировка общих портов только побудит пользователей перейти на другие порты. Кроме того, межклиентский трафик уже несколько лет поддерживает шифрование - первоначально как средство ограничения помех со стороны интернет-провайдера - делая фактический ptp-трафик нераспознаваемым.

Поиск «info_hash» в коммуникации клиент-трекер, хотя и несколько эффективен, также легко побежден. (tor, ssl, vpn и т. д.). Он также ничего не делает для остановки роев без трекера (DHT), обмена пирами (PEX), протокола трекера UDP ...

Если вам удалось убить 50%, считайте себя счастливчиком. Это игра, в которую ты не можешь выиграть.

Рики Бим
источник
9

Настройте его в режиме прозрачного прокси для всех поддерживаемых протоколов приложений и разрешайте только прокси-соединения. Сбой любого неизвестного протокола, включая BitTorrent. Туннелирование SSL для BitTorrent невозможно, поэтому HTTPS не слишком большая дыра. По сути, пропуская любое маршрутизированное соединение, которое не было одобрено L7, пропустит BitTorrent.

Monstieur
источник
Могу поспорить, что многое сломается с этим методом. Что касается ограничения числа соединений, как только число соединений с одного хоста x достигнет значения x, уничтожьте все его соединения на y секунд. Это эффективный способ отговорить пользователей от использования передачи файлов p2p. Есть программное обеспечение / устройства безопасности / аудита, которые могут это сделать. Не уверен насчет ASA tho.
sdaffa23fdsf
Есть и другие решения, такие как запросы трекера и внесение в черный список всех пиров. Если это офисная среда, только доверенные пользователи должны иметь доступ к чему-либо, кроме HTTP. Для остальных из них прозрачный HTTP-прокси не будет иметь негативных последствий, и маршрутизируемый / NAT-доступ может быть предоставлен на индивидуальной основе.
Месье
Как именно SSL туннелирование "невозможно"? Вы понимаете, что многие VPN - это просто SSL-соединение. Пользователи, склонные к использованию BT , найдут способ через ваши попытки заблокировать их.
Рикки Бим
Туннелирование TCP через SSL с высокой пропускной способностью быстро растает до такой степени, что это больше не является проблемой пропускной способности. Внешней конечной точкой туннеля будет IP-адрес, видимый как клиент Torrent, а не адрес вашей компании.
Монстер
-1

Одним из обходных путей для этого является ограничение трафика Torrent путем создания определенного набора контрольных списков. Порт Soure и IP-адрес получателя (ваш IP-пул).

Исключить порты для общих служб, таких как RDP (удаленный рабочий стол 3389), VNC, HTTP 8080 (до 80)

engineerbaz
источник