Как вы регулируете Dropbox Traffic?

10

Похоже, что Dropbox использует Amazon AWS для хранения данных, поэтому я не могу просто заблокировать или перенаправить трафик на dropbox.com.

Поскольку существует множество веб-сервисов, использующих AmazonAWS, я не могу просто заблокировать этот домен.

Есть ли у вас какие-либо предложения о том, как обрабатывать трафик Dropbox?

Я работаю с Cisco ASA, но я подозреваю, что это относится ко всем менеджерам брандмауэра

cisco qos security cisco-asa firewall Блейк
источник
3
Какая модель ASA? Модель 1-го или 2-го поколения X с возможностями CX?
generalnetworkerror

Ответы:

4

Обновите ваш брандмауэр до того, который знает приложения (обычно называемые «брандмауэрами следующего поколения» в наши дни). Пало-Альто Сети является хорошим примером. Вместо того, чтобы открывать брандмауэр для IP-адресов, вы разрешаете приложению «Dropbox» и не заботитесь о месте назначения. Вы также можете поставить QoS поверх Dropbox. Например, вы можете создать политику QoS, которая дает Dropbox максимальную пропускную способность 5 Мбит / с.

Многие другие поставщики брандмауэров придумали решения, аналогичные решениям Palo Alto Networks. Я знаю, что Juniper SRX и Checkpoint делают это сейчас, хотя не уверен насчет Cisco. Важно то, что ваш брандмауэр понимает приложения (на уровне 7), а не только уровень 3/4.

криптохромными
источник
Спасибо. хотя я надеялся, что это не был ответ. Похоже, ASA выпускает свою серию X, которая больше ориентирована на верхний уровень, но это, вероятно, потребует больше $$$. Хотелось бы обновить наш парк устройств, вместо того, чтобы тестировать новое оборудование и изучать новое программное обеспечение по порядку. для размещения новых технологий в Интернете.
Блейк
13

Хотя Dropbox использует AWS, они могут быть заблокированы ...

Блокировка Dropbox

Я использую подход, основанный на адресе, для подобных вещей, просто ищите блоки адресов, которыми владеет компания, и фильтруйте их ...

Использование информации Robtex для AS19679 (Dropbox) для блокировки Dropbox ...

object-group network DROPBOX_AS19679
 network-object 108.160.160.0 255.255.240.0
 network-object 199.47.216.0 255.255.252.0
!
! I assume you don't care whether you also block web / email traffic to dropbox.com...
! The following ACL should be applied inbound on your Inside interface
access-list <your-acl-name> extended deny ip any object-group DROPBOX_AS19679 log

К вашему сведению, Dropbox поддерживает подключение через http-прокси, поэтому, если ваш прокси-сервер не соответствует указанному выше списку ACL, убедитесь, что вы также заблокировали Dropbox на своем прокси-сервере.

Дросселирование Dropbox

Я провел некоторое исследование после того, как вернулся домой с работы ... когда я тестировал, Dropbox использует комбинацию собственного собственного адресного пространства и адресного пространства AWS для соединений.

Dropbox использовал SSL, поэтому было трудно точно сказать, что они делали, но если я посмотрю на последовательность, это выглядит, когда вы перемещаете файл в локальную Dropbox/папку или из нее , сначала они общаются с собственными адресными блоками, а затем используют AWS. для массовой пересылки по мере необходимости.

Так как они использовали AWS для большинства байтов, которые я видел, я не уверен, что вы можете легко их ограничить, используя только блоки адреса; однако, по крайней мере, сегодня они могут быть заблокированы с помощью ACL.

Ниже приведена сводная информация, см. Ниже всю информацию о вспомогательном системном журнале ...

Time       Action               Connection No.   Destination    ASA Bytes
--------   -------------------  --------------   ------------   ---------
22:26:51   Delete-dropbox-file  591637           Dropbox            6965
22:26:51   "                    591638           Dropbox           11590
22:28:46   Paste-into-dropbox   591738           Dropbox            7317
22:28:46   "                    591741           AWS             2422218
22:28:46   "                    591788           Dropbox            7674

Поскольку Dropbox динамически использует адресное пространство AWS, их нельзя эффективно регулировать, но я приведу пример того, что вы бы сделали для других сайтов / приложений , не относящихся к AWS , используя в качестве примера адресное пространство Dropbox ... вам также потребуется определить object-groupдля ваших «внутренних» адресных блоков (к вашему сведению, я использую ASA 8.2) ...

access-list ACL_Dropbox extended permit ip object-group Inside object-group DROPBOX_AS19679
access-list ACL_Dropbox extended permit ip object-group DROPBOX_AS19679 object-group Inside
!
class-map Class_Dropbox
 match access-list ACL_Dropbox
!
policy-map Policy_Police
 class Class_Dropbox
  police input 384000
  police output 384000
 class class-default
!
service-policy Policy_Police interface INSIDE

Я использую эту технику, чтобы регулировать пропускную способность для ряда сайтов социальных сетей (таких как Facebook), и это довольно эффективно. Я автоматизировал периодические проверки на наличие изменений в блоке адресов и добавил что-нибудь еще, о чем объявили цели ... автоматизация, конечно, не требуется.

Поддержка информации системного журнала

Jun 27 22:26:51 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591637 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56957 (11.40.219.148/28663)
Jun 27 22:26:51 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591638 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56958 (11.40.219.148/54828)
Jun 27 22:28:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591637 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56957 duration 0:01:21 bytes 6965 TCP FINs
Jun 27 22:28:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591638 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56958 duration 0:01:20 bytes 11590 TCP FINs
Jun 27 22:28:46 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591738 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56959 (11.40.219.148/17163)
Jun 27 22:28:46 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591741 for OUTSIDE:174.129.221.92/443 (174.129.221.92/443) to INSIDE:mpenning_Vista/56960 (11.40.219.148/15739)
Jun 27 22:29:05 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591788 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56961 (11.40.219.148/36777)
Jun 27 22:29:05 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591738 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56959 duration 0:00:19 bytes 7317 TCP FINs
Jun 27 22:30:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591741 for OUTSIDE:174.129.221.92/443 to INSIDE:mpenning_Vista/56960 duration 0:01:25 bytes 2422218 TCP FINs
Jun 27 22:30:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591788 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56961 duration 0:01:07 bytes 7674 TCP FINs
Майк Пеннингтон
источник
Как вы думаете, сервисы Drop Box всегда отображаются на одни и те же серверы AWS? Похоже, что он всегда будет меняться, поскольку это «облако», поэтому блокирование блока ip для полиции может не сработать.
Блейк
1
Я обновил свой ответ после того, как я вернулся домой с работы ... Вы можете заблокировать их, так как они, кажется, используют свой собственный IP-блок для "контрольных" соединений ... Мои тесты показали, что они использовали AWS для массовой передачи данных, поэтому выглядит было бы трудно их задушить.
Майк Пеннингтон