Dropboxトラフィックをどのように抑制しますか?

10

DropboxはストレージにAmazon AWSを使用しているようです。そのため、dropbox.comへのトラフィックをブロックまたは操作することはできません。

AmazonAWSに依存するWebサービスはたくさんあるので、そのドメインをブロックすることはできません。

Dropboxトラフィックの処理方法について何か提案はありますか?

私はCisco ASAから作業していますが、これはすべてのファイアウォールマネージャに当てはまると思います

cisco  qos  security  cisco-asa  firewall 
ブレイク
ソース
3
どのASAモデル?CX機能を備えた第1世代または第2世代のXモデル?
generalnetworkerror 2013年

回答:

4

ファイアウォールを、アプリケーションを認識できるものに更新します(一般に、最近では「次世代ファイアウォール」と呼ばれています)。パロアルトネットワークスが良い例です。ファイアウォールをIPベースの宛先に開く代わりに、アプリケーション「Dropbox」を許可し、宛先を気にしません。Dropboxの上にいくつかのQoSを配置することもできます。たとえば、Dropboxに最大5 mbpsの帯域幅を与えるQoSポリシーを作成できます。

他の多くのファイアウォールベンダーが、パロアルトネットワークの1つと同様のソリューションを考え出しました。Juniper SRXとCheckpointが今それを行っていることは知っていますが、Ciscoについてはわかりません。重要なのは、ファイアウォールがレイヤー3/4だけではなく、レイヤー7上のアプリケーションを理解することです。

クリプトクロム
ソース
ありがとう。それが答えではないことを望んでいましたが。ASAは上位層向けのXシリーズを発表しているようですが、おそらくより多くの$$$が必要になります。新しいハードウェアをテストして新しいソフトウェアを順番に学習するのではなく、デバイス群をアップグレードできるといいのですが。インターネット上の新しいテクノロジーに対応するため。
Blake
13

DropboxはAWSを使用していますが、ブロックすることができます...

Dropboxのブロック

私はこのようなもののためにアドレスベースのアプローチを使用します、会社が所有していると言ったアドレスブロックを検索し、それをフィルタリングします...

AS19679(ドロップボックス)のRobtex情報を使用してドロップボックスをブロックしています...

object-group network DROPBOX_AS19679
 network-object 108.160.160.0 255.255.240.0
 network-object 199.47.216.0 255.255.252.0
!
! I assume you don't care whether you also block web / email traffic to dropbox.com...
! The following ACL should be applied inbound on your Inside interface
access-list <your-acl-name> extended deny ip any object-group DROPBOX_AS19679 log

ちなみに、Dropboxはhttpプロキシ経由の接続をサポートしているため、プロキシが上記のACLのパスにない場合は、プロキシのDropboxもブロックしてください。

Dropboxのスロットリング

私が仕事から帰宅した後、私はいくつかの調査を行いました...テストしたとき、Dropboxは接続に独自のネイティブアドレススペースとAWSアドレススペースの組み合わせを使用しています。

DropboxはSSLを使用していたため、彼らが何をしていたか正確に伝えるのは困難でしたが、シーケンスを見ると、ローカルDropbox/フォルダーにファイルを移動したり、ローカルフォルダーからファイルを移動したりすると、最初に独自のアドレスブロックと通信し、次にAWSを使用します必要に応じて一括転送します。

私が見たほとんどのバイトでAWSを使用していたため、アドレスブロックのみを使用して簡単にスロットルできるとは思いません。ただし、少なくとも今日は、ACLでブロックできます。

以下は要約です。すべてのサポートSyslog情報については以下を参照してください...

Time       Action               Connection No.   Destination    ASA Bytes
--------   -------------------  --------------   ------------   ---------
22:26:51   Delete-dropbox-file  591637           Dropbox            6965
22:26:51   "                    591638           Dropbox           11590
22:28:46   Paste-into-dropbox   591738           Dropbox            7317
22:28:46   "                    591741           AWS             2422218
22:28:46   "                    591788           Dropbox            7674

Dropboxは動的にAWSアドレススペースを使用するため、効果的に調整することはできませんが、Dropboxのアドレススペースを例として使用して、AWS以外の他のサイト/アプリケーションに対して行うことの例を示します... object-group「内部」アドレスブロックの定義(FYI、私はASA 8.2を使用しています)...

access-list ACL_Dropbox extended permit ip object-group Inside object-group DROPBOX_AS19679
access-list ACL_Dropbox extended permit ip object-group DROPBOX_AS19679 object-group Inside
!
class-map Class_Dropbox
 match access-list ACL_Dropbox
!
policy-map Policy_Police
 class Class_Dropbox
  police input 384000
  police output 384000
 class class-default
!
service-policy Policy_Police interface INSIDE

この手法を使用して、帯域幅をいくつかのソーシャルネットワーキングサイト(Facebookなど)に絞っていますが、非常に効果的です。アドレスブロックの変更の定期的なチェックを自動化し、ターゲットがアナウンスを開始する他のものを追加しました...もちろん、自動化は必要ありません。

Syslog情報のサポート

Jun 27 22:26:51 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591637 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56957 (11.40.219.148/28663)
Jun 27 22:26:51 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591638 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56958 (11.40.219.148/54828)
Jun 27 22:28:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591637 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56957 duration 0:01:21 bytes 6965 TCP FINs
Jun 27 22:28:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591638 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56958 duration 0:01:20 bytes 11590 TCP FINs
Jun 27 22:28:46 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591738 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56959 (11.40.219.148/17163)
Jun 27 22:28:46 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591741 for OUTSIDE:174.129.221.92/443 (174.129.221.92/443) to INSIDE:mpenning_Vista/56960 (11.40.219.148/15739)
Jun 27 22:29:05 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591788 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56961 (11.40.219.148/36777)
Jun 27 22:29:05 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591738 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56959 duration 0:00:19 bytes 7317 TCP FINs
Jun 27 22:30:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591741 for OUTSIDE:174.129.221.92/443 to INSIDE:mpenning_Vista/56960 duration 0:01:25 bytes 2422218 TCP FINs
Jun 27 22:30:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591788 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56961 duration 0:01:07 bytes 7674 TCP FINs
マイク・ペニントン
ソース
ドロップボックスサービスは常に同じAWSサーバーにマッピングすると思いますか?それは「クラウド」であるため常に変化するようで、ポリスへのIPブロックをブロックしても機能しない場合があります。
Blake 2013年
1
私は仕事から帰宅した後、私の回答を更新しました...彼らは「制御」接続に独自のIPブロックを使用しているようなので、ブロックできます...私のテストは、彼らがバルクデータ転送にAWSを使用したことを示したので、それらを抑制するのは難しいでしょう。
マイクペニントン2013年
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.