Comment bloquez-vous le trafic torrent bit avec un Cisco ASA?

13

J'ai référencé un ancien article externe de Cisco sur la façon de bloquer le trafic torrent Bit référencé en ligne ici

Cette procédure que j'ai trouvée ne fonctionne que 50% du temps.

Je trouve le blocage de ports spécifiques au bit torrent, et faire le regex fonctionne, il n'attrape tout simplement pas tout le trafic. 

object-group service bit-torrent-services tcp-udp
port-object eq 6969
port-object range 6881 6999

et 

regex bit-torrent-tracker ".*[Ii][Nn][Ff][Oo]_[Hh][Aa][Ss][Hh]=.*"

Quelqu'un a-t-il plus d'expressions régulières à jour pour trouver du trafic bit torrent? Ou est-ce que ce sont les limites de l'ASA en ce moment?

cisco cisco-asa Blake
la source
Je crois que ce serait la limite de l'ASA en ce moment. D'autres appliances UTM utilisent "un module d'application (basé sur IPS)" et peuvent le bloquer avec succès. Néanmoins, je suis sûr que vous pouvez le faire aussi, mais en utilisant un module IPS attaché à l'ASA.
laf

Réponses:

14

<joke> Débranchez-le </joke>

Les clients Bittorrent peuvent (et utilisent) des ports aléatoires. Le blocage des ports communs ne fera qu'encourager les utilisateurs à passer à différents ports. De plus, le trafic inter-clients prend en charge le chiffrement depuis quelques années maintenant - à l'origine comme moyen de limiter les interférences des FAI - rendant le trafic ptp réel méconnaissable.

La recherche de "info_hash" dans la communication client-tracker, bien que quelque peu efficace, est également facilement vaincue. (tor, ssl, vpn, etc.) Il ne fait rien non plus pour arrêter les essaims sans tracker (DHT), l'échange de pairs (PEX), le protocole de tracker UDP ...

Si vous avez réussi à tuer 50%, comptez-vous chanceux. C'est un jeu de whack-a-mole que vous ne pouvez pas gagner.

Ricky Beam
la source
9

Configurez-le en mode proxy transparent pour tous les protocoles d'application pris en charge et n'autorisez que les connexions proxy. Tout protocole inconnu échouerait, y compris BitTorrent. Le tunnelage SSL pour BitTorrent est impossible, donc HTTPS n'est pas un trop gros trou. En gros, laisser passer toute connexion routée qui n'a pas été approuvée par L7 laissera BitTorrent passer à travers.

Monstieur
la source
Je parie que beaucoup de choses vont rompre avec cette méthode. Qu'en est-il de la limitation du nombre de connexions, une fois le numéro de connexion d'un hôte x atteint x, tuez toutes ses connexions pendant y secondes. C'est un moyen efficace de décourager les utilisateurs d'utiliser le transfert de fichiers p2p. Il existe des logiciels / appliances de sécurité / d'audit qui peuvent le faire. Je ne suis pas sûr de l'ASA.
sdaffa23fdsf
Il existe d'autres solutions qui vont à l'extrême, comme l'interrogation du tracker et la mise sur liste noire de tous les pairs. S'il s'agit d'un environnement de bureau, seuls les utilisateurs de confiance devraient avoir accès à autre chose que HTTP (s). Pour les autres, le proxy HTTP transparent n'aura aucun effet néfaste et l'accès routé / NAT peut être accordé au cas par cas.
Monstieur
Dans quelle mesure le tunnel SSL est-il "irréalisable"? Vous réalisez que de nombreux VPN ne sont qu'une connexion SSL. Les utilisateurs Hellbent sur l' utilisation de BT va trouver un chemin à travers vos tentatives de les bloquer.
Ricky Beam
Le tunneling TCP à large bande passante sur SSL va rapidement fondre au point où il ne s'agit plus d'un porc de bande passante. Le point de terminaison du tunnel externe serait l'adresse IP visible en tant que client Torrent et non l'adresse de votre entreprise.
Monstieur
-1

L'une des solutions consiste à évaluer le trafic Torrent limite en créant un ensemble spécifique de liste de contrôle. Port Soure et IP de destination (vos pools IP).

Exclure les ports pour les services communs comme RDP (Remote Desktop 3389), VNC, HTTP 8080 (remplacer 80)

Engineerbaz
la source