¿Cómo estrangula el tráfico de Dropbox?

10

Parece que Dropbox usa Amazon AWS para su almacenamiento, por lo que no puedo bloquear o limitar el tráfico a dropbox.com

Dado que hay muchos servicios web que dependen de AmazonAWS, no puedo simplemente bloquear ese dominio.

¿Tienes alguna sugerencia sobre cómo manejar el tráfico de Dropbox?

Estoy trabajando desde un ASA de Cisco, pero sospecho que esto se aplica a todos los administradores de firewall

cisco qos security cisco-asa firewall Blake
fuente
3
¿Qué modelo ASA? ¿La primera generación o el modelo X de segunda generación con capacidades CX?
generalnetworkerror

Respuestas:

4

Actualice su firewall a uno que conozca aplicaciones (comúnmente llamado "firewalls de próxima generación" en estos días). Palo Alto Networks es un buen ejemplo. En lugar de abrir su firewall a destinos basados ​​en IP, permite la aplicación "Dropbox" y no le importa el destino. También puedes poner QoS encima de Dropbox. Por ejemplo, podría crear una política de QoS que le dé a Dropbox un ancho de banda máximo de 5 mbps.

Muchos otros proveedores de Firewall han presentado soluciones similares a las de Palo Alto Networks. Sé que Juniper SRX y Checkpoint lo hacen ahora, aunque no estoy seguro de Cisco. Lo importante es que su firewall comprenda las aplicaciones (en la capa 7) en lugar de solo la capa3 / 4.

criptocromo
fuente
Gracias. aunque esperaba que esa no fuera la respuesta. Parece que el ASA está saliendo con su serie X, que se orienta más hacia la capa superior, pero eso probablemente implique más $$$. Desearía que pudiéramos actualizar nuestra flota de dispositivos en lugar de probar nuevo hardware y aprender un nuevo software en orden. para acomodar nuevas tecnologías en internet.
Blake
13

Aunque Dropbox usa AWS, se pueden bloquear ...

Bloqueo de Dropbox

Utilizo un enfoque basado en direcciones para cosas como esta, solo busco los bloques de direcciones que dicha compañía posee y los filtra ...

Uso de información Robtex para AS19679 (Dropbox) para bloquear Dropbox ...

object-group network DROPBOX_AS19679
 network-object 108.160.160.0 255.255.240.0
 network-object 199.47.216.0 255.255.252.0
!
! I assume you don't care whether you also block web / email traffic to dropbox.com...
! The following ACL should be applied inbound on your Inside interface
access-list <your-acl-name> extended deny ip any object-group DROPBOX_AS19679 log

Para su información, Dropbox admite la conexión a través de proxy HTTP, por lo que si su proxy no está en la ruta de la ACL anterior, asegúrese de bloquear también Dropbox en su proxy.

Acelerar Dropbox

Investigué un poco después de llegar a casa del trabajo ... cuando lo probé, Dropbox usa una combinación de su propio espacio de direcciones nativo y espacio de direcciones de AWS para las conexiones.

Dropbox usó SSL, por lo que fue difícil decir exactamente lo que estaban haciendo, pero si miro la secuencia, parece que cuando mueves un archivo dentro o fuera de tu Dropbox/carpeta local , primero hablan con sus propios bloques de direcciones, luego usan AWS para una transferencia masiva según sea necesario.

Como utilizaron AWS para la mayoría de los bytes que vi, no estoy seguro de que pueda estrangularlos fácilmente usando solo bloques de direcciones; sin embargo, al menos hoy pueden bloquearse con ACL.

El siguiente es un resumen, vea a continuación toda la información de soporte de Syslog ...

Time       Action               Connection No.   Destination    ASA Bytes
--------   -------------------  --------------   ------------   ---------
22:26:51   Delete-dropbox-file  591637           Dropbox            6965
22:26:51   "                    591638           Dropbox           11590
22:28:46   Paste-into-dropbox   591738           Dropbox            7317
22:28:46   "                    591741           AWS             2422218
22:28:46   "                    591788           Dropbox            7674

Dado que Dropbox usa dinámicamente el espacio de direcciones de AWS, no se pueden limitar de manera efectiva, pero daré un ejemplo de lo que haría para otros sitios / aplicaciones que no son de AWS , usando el espacio de direcciones de Dropbox como ejemplo ... también necesitaría para definir un object-grouppara sus bloques de direcciones "Inside" (FYI, estoy usando ASA 8.2) ...

access-list ACL_Dropbox extended permit ip object-group Inside object-group DROPBOX_AS19679
access-list ACL_Dropbox extended permit ip object-group DROPBOX_AS19679 object-group Inside
!
class-map Class_Dropbox
 match access-list ACL_Dropbox
!
policy-map Policy_Police
 class Class_Dropbox
  police input 384000
  police output 384000
 class class-default
!
service-policy Policy_Police interface INSIDE

Utilizo esta técnica para limitar el ancho de banda a varios sitios de redes sociales (como Facebook), y es bastante eficaz. Automaticé las verificaciones periódicas para los cambios en el bloque de direcciones y agregué cualquier otra cosa que los objetivos comienzan a anunciar ... la automatización, por supuesto, no es necesaria.

Información de apoyo de Syslog

Jun 27 22:26:51 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591637 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56957 (11.40.219.148/28663)
Jun 27 22:26:51 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591638 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56958 (11.40.219.148/54828)
Jun 27 22:28:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591637 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56957 duration 0:01:21 bytes 6965 TCP FINs
Jun 27 22:28:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591638 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56958 duration 0:01:20 bytes 11590 TCP FINs
Jun 27 22:28:46 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591738 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56959 (11.40.219.148/17163)
Jun 27 22:28:46 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591741 for OUTSIDE:174.129.221.92/443 (174.129.221.92/443) to INSIDE:mpenning_Vista/56960 (11.40.219.148/15739)
Jun 27 22:29:05 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591788 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56961 (11.40.219.148/36777)
Jun 27 22:29:05 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591738 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56959 duration 0:00:19 bytes 7317 TCP FINs
Jun 27 22:30:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591741 for OUTSIDE:174.129.221.92/443 to INSIDE:mpenning_Vista/56960 duration 0:01:25 bytes 2422218 TCP FINs
Jun 27 22:30:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591788 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56961 duration 0:01:07 bytes 7674 TCP FINs
Mike Pennington
fuente
¿Crees que los servicios de buzón siempre se asignan a los mismos servidores de AWS? Parece ser que siempre cambiaría, ya que es la "nube", por lo que bloquear un bloque de IP a la policía puede no funcionar.
Blake
1
Actualicé mi respuesta después de llegar a casa del trabajo ... Puede bloquearlos ya que parecen usar su propio bloqueo de IP para conexiones de "control" ... mis pruebas mostraron que usaron AWS para transferencias de datos masivas, por lo que parece sería difícil estrangularlos.
Mike Pennington