Как вы регулируете Dropbox Traffic?


10

Похоже, что Dropbox использует Amazon AWS для хранения данных, поэтому я не могу просто заблокировать или перенаправить трафик на dropbox.com.

Поскольку существует множество веб-сервисов, использующих AmazonAWS, я не могу просто заблокировать этот домен.

Есть ли у вас какие-либо предложения о том, как обрабатывать трафик Dropbox?

Я работаю с Cisco ASA, но я подозреваю, что это относится ко всем менеджерам брандмауэра


3
Какая модель ASA? Модель 1-го или 2-го поколения X с возможностями CX?
generalnetworkerror

Ответы:


4

Обновите ваш брандмауэр до того, который знает приложения (обычно называемые «брандмауэрами следующего поколения» в наши дни). Пало-Альто Сети является хорошим примером. Вместо того, чтобы открывать брандмауэр для IP-адресов, вы разрешаете приложению «Dropbox» и не заботитесь о месте назначения. Вы также можете поставить QoS поверх Dropbox. Например, вы можете создать политику QoS, которая дает Dropbox максимальную пропускную способность 5 Мбит / с.

Многие другие поставщики брандмауэров придумали решения, аналогичные решениям Palo Alto Networks. Я знаю, что Juniper SRX и Checkpoint делают это сейчас, хотя не уверен насчет Cisco. Важно то, что ваш брандмауэр понимает приложения (на уровне 7), а не только уровень 3/4.


Спасибо. хотя я надеялся, что это не был ответ. Похоже, ASA выпускает свою серию X, которая больше ориентирована на верхний уровень, но это, вероятно, потребует больше $$$. Хотелось бы обновить наш парк устройств, вместо того, чтобы тестировать новое оборудование и изучать новое программное обеспечение по порядку. для размещения новых технологий в Интернете.
Блейк

13

Хотя Dropbox использует AWS, они могут быть заблокированы ...

Блокировка Dropbox

Я использую подход, основанный на адресе, для подобных вещей, просто ищите блоки адресов, которыми владеет компания, и фильтруйте их ...

Использование информации Robtex для AS19679 (Dropbox) для блокировки Dropbox ...

object-group network DROPBOX_AS19679
 network-object 108.160.160.0 255.255.240.0
 network-object 199.47.216.0 255.255.252.0
!
! I assume you don't care whether you also block web / email traffic to dropbox.com...
! The following ACL should be applied inbound on your Inside interface
access-list <your-acl-name> extended deny ip any object-group DROPBOX_AS19679 log

К вашему сведению, Dropbox поддерживает подключение через http-прокси, поэтому, если ваш прокси-сервер не соответствует указанному выше списку ACL, убедитесь, что вы также заблокировали Dropbox на своем прокси-сервере.

Дросселирование Dropbox

Я провел некоторое исследование после того, как вернулся домой с работы ... когда я тестировал, Dropbox использует комбинацию собственного собственного адресного пространства и адресного пространства AWS для соединений.

Dropbox использовал SSL, поэтому было трудно точно сказать, что они делали, но если я посмотрю на последовательность, это выглядит, когда вы перемещаете файл в локальную Dropbox/папку или из нее , сначала они общаются с собственными адресными блоками, а затем используют AWS. для массовой пересылки по мере необходимости.

Так как они использовали AWS для большинства байтов, которые я видел, я не уверен, что вы можете легко их ограничить, используя только блоки адреса; однако, по крайней мере, сегодня они могут быть заблокированы с помощью ACL.

Ниже приведена сводная информация, см. Ниже всю информацию о вспомогательном системном журнале ...

Time       Action               Connection No.   Destination    ASA Bytes
--------   -------------------  --------------   ------------   ---------
22:26:51   Delete-dropbox-file  591637           Dropbox            6965
22:26:51   "                    591638           Dropbox           11590
22:28:46   Paste-into-dropbox   591738           Dropbox            7317
22:28:46   "                    591741           AWS             2422218
22:28:46   "                    591788           Dropbox            7674

Поскольку Dropbox динамически использует адресное пространство AWS, их нельзя эффективно регулировать, но я приведу пример того, что вы бы сделали для других сайтов / приложений , не относящихся к AWS , используя в качестве примера адресное пространство Dropbox ... вам также потребуется определить object-groupдля ваших «внутренних» адресных блоков (к вашему сведению, я использую ASA 8.2) ...

access-list ACL_Dropbox extended permit ip object-group Inside object-group DROPBOX_AS19679
access-list ACL_Dropbox extended permit ip object-group DROPBOX_AS19679 object-group Inside
!
class-map Class_Dropbox
 match access-list ACL_Dropbox
!
policy-map Policy_Police
 class Class_Dropbox
  police input 384000
  police output 384000
 class class-default
!
service-policy Policy_Police interface INSIDE

Я использую эту технику, чтобы регулировать пропускную способность для ряда сайтов социальных сетей (таких как Facebook), и это довольно эффективно. Я автоматизировал периодические проверки на наличие изменений в блоке адресов и добавил что-нибудь еще, о чем объявили цели ... автоматизация, конечно, не требуется.


Поддержка информации системного журнала

Jun 27 22:26:51 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591637 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56957 (11.40.219.148/28663)
Jun 27 22:26:51 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591638 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56958 (11.40.219.148/54828)
Jun 27 22:28:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591637 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56957 duration 0:01:21 bytes 6965 TCP FINs
Jun 27 22:28:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591638 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56958 duration 0:01:20 bytes 11590 TCP FINs
Jun 27 22:28:46 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591738 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56959 (11.40.219.148/17163)
Jun 27 22:28:46 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591741 for OUTSIDE:174.129.221.92/443 (174.129.221.92/443) to INSIDE:mpenning_Vista/56960 (11.40.219.148/15739)
Jun 27 22:29:05 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591788 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56961 (11.40.219.148/36777)
Jun 27 22:29:05 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591738 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56959 duration 0:00:19 bytes 7317 TCP FINs
Jun 27 22:30:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591741 for OUTSIDE:174.129.221.92/443 to INSIDE:mpenning_Vista/56960 duration 0:01:25 bytes 2422218 TCP FINs
Jun 27 22:30:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591788 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56961 duration 0:01:07 bytes 7674 TCP FINs

Как вы думаете, сервисы Drop Box всегда отображаются на одни и те же серверы AWS? Похоже, что он всегда будет меняться, поскольку это «облако», поэтому блокирование блока ip для полиции может не сработать.
Блейк

1
Я обновил свой ответ после того, как я вернулся домой с работы ... Вы можете заблокировать их, так как они, кажется, используют свой собственный IP-блок для "контрольных" соединений ... Мои тесты показали, что они использовали AWS для массовой передачи данных, поэтому выглядит было бы трудно их задушить.
Майк Пеннингтон
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.