Làm thế nào để bạn điều tiết lưu lượng Dropbox?

10

Dường như Dropbox sử dụng Amazon AWS cho việc lưu trữ của nó, vì vậy tôi không thể chỉ chặn hoặc điều tiết lưu lượng truy cập đến dropbox.com

Vì có rất nhiều dịch vụ web dựa trên AmazonAWS, tôi không thể chặn tên miền đó.

Bạn có bất cứ đề xuất về cách xử lý lưu lượng dropbox?

Tôi đang làm việc từ một ASA cisco, nhưng tôi nghi ngờ điều này áp dụng cho tất cả các nhà quản lý tường lửa

cisco  qos  security  cisco-asa  firewall 
Blake
nguồn
3
Mô hình ASA nào? Thế hệ thứ 1 hay mẫu thứ 2 thế hệ X có khả năng CX?
generalnetworkerror

Câu trả lời:

4

Cập nhật tường lửa của bạn thành một ứng dụng biết ứng dụng (thường được gọi là "Tường lửa thế hệ tiếp theo" ngày nay). Palo Alto Networks là một ví dụ tốt. Thay vì mở tường lửa của bạn đến các điểm đến dựa trên IP, bạn cho phép ứng dụng "Dropbox" và không quan tâm đến đích. Bạn cũng có thể đặt một số QoS lên trên Dropbox. Ví dụ: bạn có thể tạo chính sách QoS cung cấp cho Dropbox băng thông tối đa 5 mbps.

Rất nhiều nhà cung cấp Tường lửa khác đã đưa ra các giải pháp tương tự với một trong những Palo Alto Networks. Tôi biết rằng Juniper SRX và Checkpoint làm điều đó ngay bây giờ, không chắc chắn về Cisco. Điều quan trọng là tường lửa của bạn hiểu các ứng dụng (trên lớp 7) so với chỉ lớp 3/4.

tiền điện tử
nguồn
Cảm ơn. mặc dù tôi đã hy vọng đó không phải là câu trả lời Có vẻ như ASA sắp ra mắt với dòng X của họ, hướng tới tầng trên nhiều hơn, nhưng điều đó có thể sẽ liên quan đến $$$ hơn. Tôi ước chúng ta có thể nâng cấp đội tàu của mình thay vì thử nghiệm phần cứng mới và học phần mềm mới theo thứ tự để phù hợp với các công nghệ mới trên internet.
Blake
13

Mặc dù dropbox sử dụng AWS, chúng có thể bị chặn ...

Chặn Dropbox

Tôi sử dụng cách tiếp cận dựa trên địa chỉ cho những thứ như thế này, chỉ cần tra cứu các khối địa chỉ mà công ty sở hữu và lọc nó ...

Sử dụng thông tin Robtex cho AS19679 (Dropbox) để chặn dropbox ...

object-group network DROPBOX_AS19679
 network-object 108.160.160.0 255.255.240.0
 network-object 199.47.216.0 255.255.252.0
!
! I assume you don't care whether you also block web / email traffic to dropbox.com...
! The following ACL should be applied inbound on your Inside interface
access-list <your-acl-name> extended deny ip any object-group DROPBOX_AS19679 log

FYI, Dropbox hỗ trợ kết nối qua proxy http, vì vậy nếu proxy của bạn không nằm trong đường dẫn của ACL ở trên, hãy chắc chắn rằng bạn cũng chặn dropbox trên proxy của mình.

Dropbox điều tiết

Tôi đã thực hiện một số nghiên cứu sau khi tôi đi làm về ... khi tôi kiểm tra, Dropbox sử dụng kết hợp không gian địa chỉ riêng của họ và không gian địa chỉ AWS cho các kết nối.

Dropbox đã sử dụng SSL nên rất khó để nói chính xác những gì họ đang làm, nhưng nếu tôi nhìn vào trình tự thì trông giống như khi bạn di chuyển một tệp vào hoặc ra khỏi Dropbox/thư mục cục bộ của bạn , đầu tiên họ nói chuyện với các khối địa chỉ của riêng họ, sau đó họ sử dụng AWS để chuyển số lượng lớn theo yêu cầu.

Vì họ đã sử dụng AWS cho hầu hết các byte tôi thấy, tôi không tin rằng bạn có thể dễ dàng điều tiết chúng bằng cách sử dụng các khối địa chỉ một mình; tuy nhiên, ít nhất hôm nay chúng có thể bị chặn bằng ACL.

Sau đây là tóm tắt, xem bên dưới để biết tất cả Thông tin về Syslog hỗ trợ ...

Time       Action               Connection No.   Destination    ASA Bytes
--------   -------------------  --------------   ------------   ---------
22:26:51   Delete-dropbox-file  591637           Dropbox            6965
22:26:51   "                    591638           Dropbox           11590
22:28:46   Paste-into-dropbox   591738           Dropbox            7317
22:28:46   "                    591741           AWS             2422218
22:28:46   "                    591788           Dropbox            7674

Vì Dropbox tự động sử dụng không gian địa chỉ AWS, chúng không thể được điều chỉnh một cách hiệu quả, nhưng tôi sẽ đưa ra một ví dụ về những gì bạn sẽ làm cho các trang web / ứng dụng không phải AWS khác , sử dụng không gian địa chỉ của Dropbox làm ví dụ ... bạn cũng cần để xác định object-groupkhối địa chỉ "Bên trong" của bạn (FYI, tôi đang sử dụng ASA 8.2) ...

access-list ACL_Dropbox extended permit ip object-group Inside object-group DROPBOX_AS19679
access-list ACL_Dropbox extended permit ip object-group DROPBOX_AS19679 object-group Inside
!
class-map Class_Dropbox
 match access-list ACL_Dropbox
!
policy-map Policy_Police
 class Class_Dropbox
  police input 384000
  police output 384000
 class class-default
!
service-policy Policy_Police interface INSIDE

Tôi sử dụng kỹ thuật này để tăng tốc băng thông cho một số trang mạng xã hội (như Facebook) và nó khá hiệu quả. Tôi tự động kiểm tra định kỳ để thay đổi khối địa chỉ và thêm bất cứ điều gì khác mà các mục tiêu bắt đầu thông báo ... tự động hóa, tất nhiên, không bắt buộc.

Hỗ trợ thông tin nhật ký hệ thống

Jun 27 22:26:51 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591637 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56957 (11.40.219.148/28663)
Jun 27 22:26:51 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591638 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56958 (11.40.219.148/54828)
Jun 27 22:28:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591637 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56957 duration 0:01:21 bytes 6965 TCP FINs
Jun 27 22:28:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591638 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56958 duration 0:01:20 bytes 11590 TCP FINs
Jun 27 22:28:46 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591738 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56959 (11.40.219.148/17163)
Jun 27 22:28:46 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591741 for OUTSIDE:174.129.221.92/443 (174.129.221.92/443) to INSIDE:mpenning_Vista/56960 (11.40.219.148/15739)
Jun 27 22:29:05 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591788 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56961 (11.40.219.148/36777)
Jun 27 22:29:05 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591738 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56959 duration 0:00:19 bytes 7317 TCP FINs
Jun 27 22:30:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591741 for OUTSIDE:174.129.221.92/443 to INSIDE:mpenning_Vista/56960 duration 0:01:25 bytes 2422218 TCP FINs
Jun 27 22:30:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591788 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56961 duration 0:01:07 bytes 7674 TCP FINs
Mike Pennington
nguồn
Bạn có nghĩ rằng các dịch vụ hộp thả luôn ánh xạ tới cùng các máy chủ AWS không? Có vẻ như nó sẽ luôn thay đổi vì nó là "đám mây" nên việc chặn một khối ip cho cảnh sát có thể không hoạt động.
Blake
1
Tôi đã cập nhật câu trả lời của mình sau khi tôi đi làm về ... Bạn có thể chặn chúng vì dường như chúng sử dụng khối IP của riêng chúng để kết nối "kiểm soát" ... các thử nghiệm của tôi cho thấy rằng chúng đã sử dụng AWS để truyền dữ liệu hàng loạt, vì vậy có vẻ như sẽ rất khó để điều tiết chúng.
Mike Pennington
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.