Wie blockiert man Bit-Torrent-Verkehr mit einem Cisco ASA?

13

Ich habe auf einen alten externen Cisco-Artikel verwiesen, der beschreibt, wie der hier online referenzierte Bit-Torrent-Verkehr blockiert wird

Diese Prozedur, die ich gefunden habe, funktioniert nur in 50% der Fälle.

Ich finde blockierende Bit-Torrent-spezifische Ports, und wenn der reguläre Ausdruck funktioniert, fängt er einfach nicht den gesamten Datenverkehr ab. 

object-group service bit-torrent-services tcp-udp
port-object eq 6969
port-object range 6881 6999

und 

regex bit-torrent-tracker ".*[Ii][Nn][Ff][Oo]_[Hh][Aa][Ss][Hh]=.*"

Hat jemand aktuellere reguläre Ausdrücke, um Bit-Torrent-Verkehr zu finden? Oder sind dies derzeit die Grenzen der ASA?

cisco cisco-asa Blake
quelle
Ich glaube, dass dies zu diesem Zeitpunkt die Grenze von ASA sein würde. Andere UTM-Appliances verwenden "ein Anwendungsmodul (basierend auf IPS)" und können es erfolgreich blockieren. Trotzdem bin ich mir sicher, dass Sie es auch mit einem an den ASA angeschlossenen IPS-Modul tun können.
Laf

Antworten:

14

<joke> Ziehen Sie den Stecker heraus </ joke>

Bittorrent-Clients können zufällige Ports verwenden. Durch das Blockieren der gemeinsamen Ports können Benutzer nur zu anderen Ports wechseln. Außerdem unterstützt der Datenverkehr zwischen Clients seit einigen Jahren die Verschlüsselung - ursprünglich als Mittel zur Begrenzung von ISP-Interferenzen - wodurch der tatsächliche PTP-Datenverkehr nicht mehr erkannt werden kann.

Das Suchen nach "info_hash" in der Client-Tracker-Kommunikation ist zwar einigermaßen effektiv, lässt sich aber auch leicht verhindern. (tor, ssl, vpn, etc.) Es hilft auch nichts, Tracker-less-Schwärme (DHT), Peer-Exchange (PEX), UDP-Tracker-Protokoll zu stoppen ...

Wenn Sie es geschafft haben, 50% zu töten, können Sie sich glücklich schätzen. Dies ist ein Spiel, bei dem du nicht gewinnen kannst.

Ricky Beam
quelle
9

Konfigurieren Sie es im transparenten Proxy-Modus für alle unterstützten Anwendungsprotokolle und lassen Sie nur Proxy-Verbindungen zu. Jedes unbekannte Protokoll würde fehlschlagen, einschließlich BitTorrent. SSL-Tunneling für BitTorrent ist nicht möglich, damit HTTPS kein allzu großes Loch ist. Wenn Sie eine geroutete Verbindung durchlassen, die nicht von L7 genehmigt wurde, kann BitTorrent durchrutschen.

Monstieur
quelle
Ich wette, mit dieser Methode wird vieles kaputt gehen. Was ist mit der Begrenzung der Verbindungsnummer? Sobald die Verbindungsnummer von einem Host x x erreicht, werden alle Verbindungen für y Sekunden unterbrochen. Dies ist eine effektive Methode, um Benutzer von der Verwendung der p2p-Dateiübertragung abzuhalten. Es gibt Sicherheits- / Überwachungssoftware / -geräte, die dies ausführen können. Ich bin mir nicht sicher über ASA.
sdaffa23fdsf
Es gibt andere Lösungen, die bis zum Äußersten gehen, z. B. das Abfragen des Trackers und das Blacklisting aller Peers. In einer Büroumgebung sollten nur vertrauenswürdige Benutzer Zugriff auf andere Elemente als HTTP (s) haben. Für den Rest von ihnen hat der transparente HTTP-Proxy keine negativen Auswirkungen, und der geroutete / NAT-Zugriff kann von Fall zu Fall gewährt werden.
Monstieur
Wie genau ist SSL-Tunneling "nicht realisierbar"? Sie erkennen, dass viele VPNs nur eine SSL-Verbindung sind. Benutzer, die BT gerne verwenden, werden einen Weg finden, diese zu blockieren.
Ricky Beam
TCP-Tunneling mit hoher Bandbreite über SSL wird schnell zu einem Punkt zusammenbrechen, an dem es kein Bandbreitenproblem mehr gibt. Der externe Tunnelendpunkt ist die IP-Adresse, die als Torrent-Client angezeigt wird, und nicht die Adresse Ihres Unternehmens.
Monstieur
-1

Eine Möglichkeit, dies zu umgehen, besteht darin, den Torrent-Verkehr zu begrenzen, indem Sie einen bestimmten Satz von Kontrolllisten erstellen. Quellport- und Ziel-IP (Ihre IP-Pools).

Ausschließen von Ports für allgemeine Dienste wie RDP (Remotedesktop 3389), VNC, HTTP 8080 (anstelle von 80)

Engineerbaz
quelle