¿Cómo se bloquea el tráfico de torrente de bits con un ASA de Cisco?

13

He hecho referencia a un antiguo artículo externo de Cisco sobre cómo bloquear el tráfico de torrent Bit referenciado en línea aquí

Este procedimiento que he encontrado solo funciona el 50% del tiempo.

Encuentro el bloqueo de puertos específicos de bit torrent, y hacer la expresión regular funciona, simplemente no captura todo el tráfico. 

object-group service bit-torrent-services tcp-udp
port-object eq 6969
port-object range 6881 6999

y 

regex bit-torrent-tracker ".*[Ii][Nn][Ff][Oo]_[Hh][Aa][Ss][Hh]=.*"

¿Alguien tiene expresiones regulares más actualizadas para encontrar tráfico de torrente de bits? ¿O son estos los límites de la ASA en este momento?

cisco cisco-asa Blake
fuente
Creo que este sería el límite de ASA en este momento. Otros dispositivos UTM usan "un módulo de aplicación (basado en IPS)" y pueden bloquearlo con éxito. Sin embargo, estoy seguro de que también puede hacerlo, pero utilizando un módulo IPS conectado al ASA.
laf

Respuestas:

14

<joke> Desconéctalo </joke>

Los clientes de Bittorrent pueden (y lo hacen) usar puertos aleatorios. El bloqueo de los puertos comunes solo alentará a los usuarios a moverse a diferentes puertos. Además, el tráfico entre clientes ha sido compatible con el cifrado durante algunos años, originalmente como un medio para limitar la interferencia del ISP, lo que hace que el tráfico real de ptp sea irreconocible.

Buscar "info_hash" en la comunicación cliente-rastreador, aunque algo efectivo, también es fácil de vencer. (tor, ssl, vpn, etc.) Tampoco hace nada para detener enjambres sin rastreador (DHT), intercambio de pares (PEX), protocolo de rastreador UDP ...

Si has logrado matar al 50%, considérate afortunado. Este es un juego de whack-a-mole que no puedes ganar.

Ricky Beam
fuente
9

Configúrelo en modo proxy transparente para todos los protocolos de aplicación compatibles y solo permita conexiones proxificadas. Cualquier protocolo desconocido fallaría, incluso BitTorrent. El túnel SSL para BitTorrent no es factible, por lo que HTTPS no es un agujero demasiado grande. Básicamente, dejar pasar cualquier conexión enrutada que no haya sido aprobada por L7 permitirá que BitTorrent se escape.

Monstieur
fuente
Apuesto a que muchas cosas se romperán con este método. ¿Qué pasa con la limitación del número de conexión, una vez que el número de conexión de un host x golpea x, mata todas sus conexiones durante y segundos? Esta es una forma efectiva de disuadir a los usuarios de usar la transferencia de archivos p2p. Hay software / dispositivos de seguridad / auditoría que pueden hacer esto. No estoy seguro acerca de ASA aunque.
sdaffa23fdsf
Hay otras soluciones que llegan al extremo, como consultar el rastreador y poner en la lista negra a todos los pares. Si se trata de un entorno de oficina, solo los usuarios de confianza deberían tener acceso a algo que no sea HTTP. Para el resto de ellos, el proxy HTTP transparente no tendrá ningún efecto negativo y el acceso enrutado / NAT puede otorgarse caso por caso.
Monstieur
¿Cómo es exactamente el túnel SSL "inviable"? Te das cuenta de que muchas VPN son solo una conexión SSL. Los usuarios empeñado en el uso de BT será encontrar un camino a través de sus intentos de bloquear ellos.
Ricky Beam
El túnel TCP de alto ancho de banda sobre SSL se fundirá rápidamente hasta el punto en que ya no sea un cerdo de ancho de banda. El punto final del túnel externo sería la dirección IP visible como el cliente Torrent y no la dirección de su empresa.
Monstieur
-1

Una de las soluciones para esto es calificar el tráfico de Torrent de límite haciendo un conjunto específico de la lista de Control. Puerto de Soure e IP de destino (sus agrupaciones de IP).

Excluya puertos para servicios comunes como RDP (Escritorio remoto 3389), VNC, HTTP 8080 (sustituya a 80)

ingenierobaz
fuente