Wie drosselt man den Dropbox-Verkehr?

10

Es scheint, dass Dropbox Amazon AWS als Speicher verwendet, sodass ich den Datenverkehr zu dropbox.com nicht einfach blockieren oder unterbinden kann

Da es viele Webdienste gibt, die auf AmazonAWS basieren, kann ich diese Domain nicht einfach blockieren.

Haben Sie Vorschläge zum Umgang mit Dropbox-Verkehr?

Ich arbeite von einem Cisco ASA aus, aber ich vermute, dass dies für alle Firewall-Manager gilt

cisco qos security cisco-asa firewall Blake
quelle
3
Welches ASA-Modell? Das X-Modell der 1. oder 2. Generation mit CX-Funktionen?
Generalnetworkerror

Antworten:

4

Aktualisieren Sie Ihre Firewall auf eine, die Anwendungen kennt (heutzutage allgemein als "Firewalls der nächsten Generation" bezeichnet). Palo Alto Networks ist ein gutes Beispiel. Anstatt Ihre Firewall für IP-basierte Ziele zu öffnen, lassen Sie die Anwendung "Dropbox" zu und kümmern sich nicht um das Ziel. Sie können auch einige QoS auf Dropbox setzen. Sie können beispielsweise eine QoS-Richtlinie erstellen, die Dropbox eine maximale Bandbreite von 5 MBit / s bietet.

Viele andere Firewall-Anbieter haben ähnliche Lösungen wie Palo Alto Networks entwickelt. Ich weiß, dass Juniper SRX und Checkpoint dies jetzt tun, obwohl ich mir bei Cisco nicht sicher bin. Wichtig ist, dass Ihre Firewall Anwendungen (auf Schicht 7) und nicht nur Schicht 3/4 versteht.

Kryptochrom
quelle
Vielen Dank. obwohl ich gehofft hatte, dass das nicht die Antwort war. Es scheint, als ob die ASA ihre X-Serie herausbringt, die eher auf die obere Schicht ausgerichtet ist, aber das wird wahrscheinlich mehr Geld kosten. Ich wünschte, wir könnten unsere Geräteflotte aufrüsten, anstatt neue Hardware zu testen und neue Software in der richtigen Reihenfolge zu lernen neue Technologien im Internet unterzubringen.
Blake
13

Obwohl Dropbox AWS verwendet, können sie blockiert werden ...

Dropbox blockieren

Ich verwende einen adressbasierten Ansatz für solche Dinge. Schlage einfach die Adressblöcke nach, die dem Unternehmen gehören, und filtere sie ...

Verwenden von Robtex-Informationen für AS19679 (Dropbox) zum Blockieren von Dropbox ...

object-group network DROPBOX_AS19679
 network-object 108.160.160.0 255.255.240.0
 network-object 199.47.216.0 255.255.252.0
!
! I assume you don't care whether you also block web / email traffic to dropbox.com...
! The following ACL should be applied inbound on your Inside interface
access-list <your-acl-name> extended deny ip any object-group DROPBOX_AS19679 log

Zu Ihrer Information, Dropbox unterstützt die Verbindung über einen http-Proxy. Wenn sich Ihr Proxy nicht im Pfad der obigen ACL befindet, stellen Sie sicher, dass Sie Dropbox auch auf Ihrem Proxy blockieren.

Dropbox drosseln

Nachdem ich von der Arbeit nach Hause gekommen war, habe ich einige Nachforschungen angestellt. Beim Testen verwendet Dropbox eine Kombination aus dem eigenen nativen Adressraum und dem AWS-Adressraum für Verbindungen.

Dropbox verwendete SSL, so dass es schwierig war, genau zu sagen, was sie taten, aber wenn ich mir die Sequenzierung anschaue, sieht es so aus, als würden Sie eine Datei in Ihren lokalen Dropbox/Ordner oder aus diesem heraus verschieben. Zuerst sprechen sie mit ihren eigenen Adressblöcken, dann verwenden sie AWS für eine Massenübertragung nach Bedarf.

Da sie AWS für die meisten Bytes verwendet haben, die ich gesehen habe, bin ich nicht sicher, ob Sie sie einfach mit Adressblöcken drosseln können. Zumindest heute können sie jedoch mit ACLs blockiert werden.

Das Folgende ist eine Zusammenfassung, siehe unten für alle unterstützenden Syslog-Informationen ...

Time       Action               Connection No.   Destination    ASA Bytes
--------   -------------------  --------------   ------------   ---------
22:26:51   Delete-dropbox-file  591637           Dropbox            6965
22:26:51   "                    591638           Dropbox           11590
22:28:46   Paste-into-dropbox   591738           Dropbox            7317
22:28:46   "                    591741           AWS             2422218
22:28:46   "                    591788           Dropbox            7674

Da Dropbox den AWS-Adressraum dynamisch verwendet, können sie nicht effektiv gedrosselt werden. Ich werde jedoch ein Beispiel dafür geben, was Sie für andere Nicht-AWS-Sites / -Anwendungen tun würden , wobei der Adressraum von Dropbox als Beispiel verwendet wird um einen object-groupfür Ihre "Inside" -Adressblöcke zu definieren (FYI, ich verwende ASA 8.2) ...

access-list ACL_Dropbox extended permit ip object-group Inside object-group DROPBOX_AS19679
access-list ACL_Dropbox extended permit ip object-group DROPBOX_AS19679 object-group Inside
!
class-map Class_Dropbox
 match access-list ACL_Dropbox
!
policy-map Policy_Police
 class Class_Dropbox
  police input 384000
  police output 384000
 class class-default
!
service-policy Policy_Police interface INSIDE

Ich verwende diese Technik, um die Bandbreite für eine Reihe von Social-Networking-Sites (wie Facebook) zu drosseln, und sie ist sehr effektiv. Ich habe regelmäßige Überprüfungen auf Adressblockänderungen automatisiert und alles hinzugefügt, was die Ziele ankündigen ... Automatisierung ist natürlich nicht erforderlich.

Unterstützende Syslog-Informationen

Jun 27 22:26:51 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591637 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56957 (11.40.219.148/28663)
Jun 27 22:26:51 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591638 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56958 (11.40.219.148/54828)
Jun 27 22:28:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591637 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56957 duration 0:01:21 bytes 6965 TCP FINs
Jun 27 22:28:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591638 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56958 duration 0:01:20 bytes 11590 TCP FINs
Jun 27 22:28:46 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591738 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56959 (11.40.219.148/17163)
Jun 27 22:28:46 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591741 for OUTSIDE:174.129.221.92/443 (174.129.221.92/443) to INSIDE:mpenning_Vista/56960 (11.40.219.148/15739)
Jun 27 22:29:05 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591788 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56961 (11.40.219.148/36777)
Jun 27 22:29:05 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591738 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56959 duration 0:00:19 bytes 7317 TCP FINs
Jun 27 22:30:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591741 for OUTSIDE:174.129.221.92/443 to INSIDE:mpenning_Vista/56960 duration 0:01:25 bytes 2422218 TCP FINs
Jun 27 22:30:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591788 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56961 duration 0:01:07 bytes 7674 TCP FINs
Mike Pennington
quelle
Denken Sie, dass die Dropbox-Dienste immer denselben AWS-Servern zugeordnet sind? Es scheint, dass es sich immer ändern würde, da es sich um die "Cloud" handelt, sodass das Blockieren eines IP-Blocks für die Polizei möglicherweise nicht funktioniert.
Blake
1
Ich habe meine Antwort aktualisiert, nachdem ich von der Arbeit nach Hause gekommen bin ... Sie können sie blockieren, da sie anscheinend ihren eigenen IP-Block für "Kontroll" -Verbindungen verwenden ... Meine Tests haben gezeigt, dass sie AWS für Massendatenübertragungen verwendet haben es wäre schwer, sie zu drosseln.
Mike Pennington