Как вы блокируете битовый торрент-трафик с помощью Cisco ASA?

13

Я ссылаюсь старая внешняя статья Cisco о том , как блокировать Bit поток трафик , на который ссылается на линии Здесь

Эта процедура, которую я нашел, работает только в 50% случаев.

Я нахожу блокировку определенных торрент-портов, и выполнение регулярного выражения работает, оно просто не перехватывает весь трафик.

object-group service bit-torrent-services tcp-udp
port-object eq 6969
port-object range 6881 6999

и

regex bit-torrent-tracker ".*[Ii][Nn][Ff][Oo]_[Hh][Aa][Ss][Hh]=.*"

У кого-нибудь есть более актуальное регулярное выражение для поиска бит-торрент-трафика? Или это пределы ASA в настоящее время?

cisco cisco-asa

— Блейк
источник

Я считаю, что это будет пределом ASA в настоящее время. Другие устройства UTM используют «модуль приложения (на основе IPS)» и могут успешно его блокировать. Тем не менее я уверен, что вы можете сделать это тоже, но с помощью модуля IPS, подключенного к ASA.

— Лаф

14

<шутка> отключите его </ joke>

Клиенты Bittorrent могут (и делают) использовать случайные порты. Блокировка общих портов только побудит пользователей перейти на другие порты. Кроме того, межклиентский трафик уже несколько лет поддерживает шифрование - первоначально как средство ограничения помех со стороны интернет-провайдера - делая фактический ptp-трафик нераспознаваемым.

Поиск «info_hash» в коммуникации клиент-трекер, хотя и несколько эффективен, также легко побежден. (tor, ssl, vpn и т. д.). Он также ничего не делает для остановки роев без трекера (DHT), обмена пирами (PEX), протокола трекера UDP ...

Если вам удалось убить 50%, считайте себя счастливчиком. Это игра, в которую ты не можешь выиграть.

— Рики Бим
источник

9

Настройте его в режиме прозрачного прокси для всех поддерживаемых протоколов приложений и разрешайте только прокси-соединения. Сбой любого неизвестного протокола, включая BitTorrent. Туннелирование SSL для BitTorrent невозможно, поэтому HTTPS не слишком большая дыра. По сути, пропуская любое маршрутизированное соединение, которое не было одобрено L7, пропустит BitTorrent.

— Monstieur
источник

Могу поспорить, что многое сломается с этим методом. Что касается ограничения числа соединений, как только число соединений с одного хоста x достигнет значения x, уничтожьте все его соединения на y секунд. Это эффективный способ отговорить пользователей от использования передачи файлов p2p. Есть программное обеспечение / устройства безопасности / аудита, которые могут это сделать. Не уверен насчет ASA tho.

— sdaffa23fdsf

Есть и другие решения, такие как запросы трекера и внесение в черный список всех пиров. Если это офисная среда, только доверенные пользователи должны иметь доступ к чему-либо, кроме HTTP. Для остальных из них прозрачный HTTP-прокси не будет иметь негативных последствий, и маршрутизируемый / NAT-доступ может быть предоставлен на индивидуальной основе.

— Месье

Как именно SSL туннелирование "невозможно"? Вы понимаете, что многие VPN - это просто SSL-соединение. Пользователи, склонные к использованию BT , найдут способ через ваши попытки заблокировать их.

— Рикки Бим

Туннелирование TCP через SSL с высокой пропускной способностью быстро растает до такой степени, что это больше не является проблемой пропускной способности. Внешней конечной точкой туннеля будет IP-адрес, видимый как клиент Torrent, а не адрес вашей компании.

— Монстер

-1

Одним из обходных путей для этого является ограничение трафика Torrent путем создания определенного набора контрольных списков. Порт Soure и IP-адрес получателя (ваш IP-пул).

Исключить порты для общих служб, таких как RDP (удаленный рабочий стол 3389), VNC, HTTP 8080 (до 80)

— engineerbaz
источник