Comment limiter le trafic Dropbox?

10

Il semble que Dropbox utilise Amazon AWS pour son stockage, donc je ne suis pas en mesure de bloquer ou de limiter le trafic vers dropbox.com

Puisqu'il y a beaucoup de services Web qui dépendent d'AmazonAWS, je ne peux pas simplement bloquer ce domaine.

Avez-vous des suggestions sur la façon de gérer le trafic Dropbox?

Je travaille à partir d'un Cisco ASA, mais je pense que cela s'applique à tous les gestionnaires de pare-feu

Blake
la source
3
Quel modèle ASA? Le modèle X de 1re génération ou de 2e génération avec des capacités CX?
generalnetworkerror

Réponses:

4

Mettez à jour votre pare-feu avec un pare-feu qui connaît les applications (communément appelé «pare-feu de nouvelle génération» de nos jours). Palo Alto Networks en est un bon exemple. Au lieu d'ouvrir votre pare-feu vers des destinations basées sur IP, vous autorisez l'application "Dropbox" et ne vous souciez pas de la destination. Vous pouvez également mettre de la QoS sur Dropbox. Par exemple, vous pouvez créer une stratégie de QoS qui donne à Dropbox une bande passante maximale de 5 Mbps.

De nombreux autres fournisseurs de pare-feu ont proposé des solutions similaires à celle de Palo Alto Networks. Je sais que Juniper SRX et Checkpoint le font maintenant, mais je ne suis pas sûr de Cisco. L'important est que votre pare-feu comprenne les applications (sur la couche 7) par rapport à la seule couche 3/4.

cryptochrome
la source
Merci. bien que j'espérais que ce n'était pas la réponse. On dirait que l'ASA sort avec sa série X qui est plus orientée vers la couche supérieure, mais cela impliquera probablement plus de $$$ Je souhaite que nous puissions mettre à niveau notre flotte d'appareils plutôt que de tester de nouveaux matériels et d'apprendre de nouveaux logiciels afin pour accueillir les nouvelles technologies sur Internet.
Blake
13

Même si dropbox utilise AWS, ils peuvent être bloqués ...

Blocage de Dropbox

J'utilise une approche basée sur les adresses pour des trucs comme celui-ci, il suffit de rechercher les blocs d'adresses dont l'entreprise est propriétaire et de les filtrer ...

Utilisation des informations Robtex pour AS19679 (Dropbox) pour bloquer la dropbox ...

object-group network DROPBOX_AS19679
 network-object 108.160.160.0 255.255.240.0
 network-object 199.47.216.0 255.255.252.0
!
! I assume you don't care whether you also block web / email traffic to dropbox.com...
! The following ACL should be applied inbound on your Inside interface
access-list <your-acl-name> extended deny ip any object-group DROPBOX_AS19679 log

Pour info, Dropbox prend en charge la connexion via le proxy http donc si votre proxy n'est pas dans le chemin de l'ACL ci-dessus, assurez-vous de bloquer également dropbox sur votre proxy.

Throttling Dropbox

J'ai fait quelques recherches après être rentré du travail ... lorsque j'ai testé, Dropbox utilise une combinaison de leur propre espace d'adressage natif et de l'espace d'adressage AWS pour les connexions.

Dropbox a utilisé SSL, donc il était difficile de dire exactement ce qu'ils faisaient, mais si je regarde le séquençage, cela ressemble à lorsque vous déplacez un fichier dans ou hors de votre Dropbox/dossier local , d'abord ils parlent à leurs propres blocs d'adresse, puis ils utilisent AWS pour un transfert en vrac selon les besoins.

Puisqu'ils ont utilisé AWS pour la plupart des octets que j'ai vus, je ne suis pas sûr que vous puissiez facilement les limiter en utilisant des blocs d'adresses seuls; cependant, au moins aujourd'hui, ils peuvent être bloqués avec des ACL.

Ce qui suit est un résumé, voir ci-dessous pour toutes les informations de prise en charge de Syslog ...

Time       Action               Connection No.   Destination    ASA Bytes
--------   -------------------  --------------   ------------   ---------
22:26:51   Delete-dropbox-file  591637           Dropbox            6965
22:26:51   "                    591638           Dropbox           11590
22:28:46   Paste-into-dropbox   591738           Dropbox            7317
22:28:46   "                    591741           AWS             2422218
22:28:46   "                    591788           Dropbox            7674

Étant donné que Dropbox utilise dynamiquement l'espace d'adressage AWS, ils ne peuvent pas être efficacement limités, mais je vais donner un exemple de ce que vous feriez pour d' autres sites / applications non AWS , en utilisant l'espace d'adressage de Dropbox comme exemple ... vous auriez également besoin définir un object-grouppour vos blocs d'adresse "Inside" (pour info, j'utilise ASA 8.2) ...

access-list ACL_Dropbox extended permit ip object-group Inside object-group DROPBOX_AS19679
access-list ACL_Dropbox extended permit ip object-group DROPBOX_AS19679 object-group Inside
!
class-map Class_Dropbox
 match access-list ACL_Dropbox
!
policy-map Policy_Police
 class Class_Dropbox
  police input 384000
  police output 384000
 class class-default
!
service-policy Policy_Police interface INSIDE

J'utilise cette technique pour limiter la bande passante à un certain nombre de sites de réseaux sociaux (tels que Facebook), et c'est assez efficace. J'ai automatisé les vérifications périodiques des changements de blocs d'adresses et ajouté tout ce que les cibles commencent à annoncer ... l'automatisation, bien sûr, n'est pas requise.


Prise en charge des informations Syslog

Jun 27 22:26:51 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591637 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56957 (11.40.219.148/28663)
Jun 27 22:26:51 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591638 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56958 (11.40.219.148/54828)
Jun 27 22:28:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591637 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56957 duration 0:01:21 bytes 6965 TCP FINs
Jun 27 22:28:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591638 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56958 duration 0:01:20 bytes 11590 TCP FINs
Jun 27 22:28:46 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591738 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56959 (11.40.219.148/17163)
Jun 27 22:28:46 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591741 for OUTSIDE:174.129.221.92/443 (174.129.221.92/443) to INSIDE:mpenning_Vista/56960 (11.40.219.148/15739)
Jun 27 22:29:05 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591788 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56961 (11.40.219.148/36777)
Jun 27 22:29:05 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591738 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56959 duration 0:00:19 bytes 7317 TCP FINs
Jun 27 22:30:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591741 for OUTSIDE:174.129.221.92/443 to INSIDE:mpenning_Vista/56960 duration 0:01:25 bytes 2422218 TCP FINs
Jun 27 22:30:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591788 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56961 duration 0:01:07 bytes 7674 TCP FINs
Mike Pennington
la source
Pensez-vous que les services Drop Box sont toujours mappés sur les mêmes serveurs AWS? Il semble que cela changerait toujours puisqu'il s'agit du "cloud", donc bloquer un bloc d'IP à la police peut ne pas fonctionner.
Blake
1
J'ai mis à jour ma réponse après être rentré du travail ... Vous pouvez les bloquer car ils semblent utiliser leur propre bloc IP pour les connexions "de contrôle" ... mes tests ont montré qu'ils utilisaient AWS pour les transferts de données en masse, il semble donc que il serait difficile de les étrangler.
Mike Pennington