आप ड्रॉपबॉक्स ट्रैफ़िक को कैसे नियंत्रित करते हैं?

10

ऐसा प्रतीत होता है कि ड्रॉपबॉक्स स्टोरेज के लिए अमेज़न एडब्ल्यूएस का उपयोग करता है, इसलिए मैं ड्रॉपबॉक्स डॉट कॉम पर ट्रैफ़िक को रोक या टाल नहीं पा रहा हूँ

चूंकि बहुत सारी वेब सेवाएँ हैं जो AmazonAWS पर निर्भर हैं, मैं सिर्फ उस डोमेन को ब्लॉक नहीं कर सकता।

क्या आपके पास ड्रॉपबॉक्स ट्रैफ़िक को संभालने के बारे में कोई सुझाव है?

मैं एक सिस्को एएसए से काम कर रहा हूं, लेकिन मुझे संदेह है कि यह सभी फ़ायरवॉल प्रबंधकों पर लागू होता है

cisco  qos  security  cisco-asa  firewall 
ब्लेक
स्रोत
3
कौन सा ASA मॉडल? सीएक्स क्षमताओं के साथ 1 जीन या दूसरा जीन एक्स मॉडल?
generalnetworkerror

जवाबों:

4

अपने फ़ायरवॉल को उन अनुप्रयोगों के लिए अपडेट करें, जो इन दिनों एप्लिकेशन को जानते हैं (आमतौर पर "नेक्स्ट जेनरेशन फायरवॉल")। पालो अल्टो नेटवर्क एक अच्छा उदाहरण है। IP- आधारित गंतव्यों के लिए अपना फ़ायरवॉल खोलने के बजाय, आप एप्लिकेशन "ड्रॉपबॉक्स" की अनुमति देते हैं और गंतव्य की परवाह नहीं करते हैं। आप ड्रॉपबॉक्स के ऊपर कुछ क्यूओएस भी डाल सकते हैं। उदाहरण के लिए, आप एक QoS नीति बना सकते हैं जो ड्रॉपबॉक्स को अधिकतम 5 mbps बैंडविड्थ देती है।

कई अन्य फ़ायरवॉल विक्रेता पालो ऑल्टो नेटवर्क के समान समाधान के साथ आए हैं। मुझे पता है कि जुनिपर SRX और चेकपॉइंट अब ऐसा करते हैं, हालांकि सिस्को के बारे में निश्चित नहीं है। महत्वपूर्ण बात यह है कि आपका फ़ायरवॉल अनुप्रयोगों को समझता है (परत 7 पर) बनाम लेयर 3/4।

cryptochrome
स्रोत
धन्यवाद। हालांकि मुझे उम्मीद थी कि इसका जवाब नहीं था। ऐसा लगता है कि एएसए उनकी एक्स सीरीज़ के साथ आ रहा है जो ऊपरी परत की ओर अधिक है, लेकिन यह शायद अधिक $ $ $ शामिल होगा काश हम नए हार्डवेयर का परीक्षण करने और नए सॉफ़्टवेयर सीखने के बजाय अपने उपकरणों के बेड़े को अपग्रेड कर सकें। इंटरनेट पर नई तकनीकों को समायोजित करने के लिए।
ब्लेक
13

भले ही ड्रॉपबॉक्स AWS का उपयोग करता है, उन्हें अवरुद्ध किया जा सकता है ...

ड्रॉपबॉक्स को अवरुद्ध करना

मैं इस तरह से सामान के लिए एक पते-आधारित दृष्टिकोण का उपयोग करता हूं, बस पता ब्लॉकों को ढूंढता हूं जो कंपनी के मालिक हैं और इसे फ़िल्टर करते हैं ...

ड्रॉपबॉक्स को ब्लॉक करने के लिए AS19679 (ड्रॉपबॉक्स) के लिए रॉबटेक्स जानकारी का उपयोग ...

object-group network DROPBOX_AS19679
 network-object 108.160.160.0 255.255.240.0
 network-object 199.47.216.0 255.255.252.0
!
! I assume you don't care whether you also block web / email traffic to dropbox.com...
! The following ACL should be applied inbound on your Inside interface
access-list <your-acl-name> extended deny ip any object-group DROPBOX_AS19679 log

FYI करें, ड्रॉपबॉक्स http प्रॉक्सी के माध्यम से जुड़ने का समर्थन करता है , इसलिए यदि आपका प्रॉक्सी ऊपर ACL के रास्ते में नहीं है, तो सुनिश्चित करें कि आप अपने प्रॉक्सी पर भी ड्रॉपबॉक्स को ब्लॉक कर सकते हैं।

थ्रॉटलिंग ड्रॉपबॉक्स

मैंने काम से घर जाने के बाद कुछ शोध किया ... जब मैंने परीक्षण किया, तो ड्रॉपबॉक्स कनेक्शन के लिए अपने स्वयं के मूल पते के स्थान और AWS पते के स्थान का एक संयोजन का उपयोग करता है।

ड्रॉपबॉक्स ने एसएसएल का उपयोग किया, इसलिए यह बताना कठिन था कि वे क्या कर रहे थे, लेकिन अगर मैं अनुक्रमण को देखता हूं तो ऐसा लगता है कि जब आप किसी फ़ाइल को अपने स्थानीय Dropbox/फ़ोल्डर में या उससे बाहर ले जाते हैं , तो पहले वे अपने स्वयं के पते ब्लॉक से बात करते हैं, फिर वे AWS का उपयोग करते हैं आवश्यकता के रूप में एक थोक स्थानांतरण के लिए।

चूँकि मैंने उनके द्वारा देखे गए अधिकांश बाइट्स के लिए AWS का उपयोग किया था, मुझे विश्वास नहीं है कि आप उन्हें आसानी से अकेले एड्रेस ब्लॉक का उपयोग करके थ्रॉटल कर सकते हैं; हालांकि, कम से कम आज उन्हें एसीएल के साथ अवरुद्ध किया जा सकता है।

निम्नलिखित एक सारांश है, सभी सहायक Syslog जानकारी के लिए नीचे देखें ...

Time       Action               Connection No.   Destination    ASA Bytes
--------   -------------------  --------------   ------------   ---------
22:26:51   Delete-dropbox-file  591637           Dropbox            6965
22:26:51   "                    591638           Dropbox           11590
22:28:46   Paste-into-dropbox   591738           Dropbox            7317
22:28:46   "                    591741           AWS             2422218
22:28:46   "                    591788           Dropbox            7674

चूंकि ड्रॉपबॉक्स डायनामिक रूप से AWS एड्रेस स्पेस का उपयोग करता है, उन्हें प्रभावी रूप से थ्रॉटल नहीं किया जा सकता है, लेकिन मैं एक उदाहरण देता हूं कि आप अन्य गैर-एडब्ल्यूएस साइटों / एप्लिकेशन के लिए क्या करेंगे , ड्रॉपबॉक्स के एड्रेस स्पेस को एक उदाहरण के रूप में उपयोग करके ... आपको भी आवश्यकता होगी object-groupअपने "इनसाइड" एड्रेस ब्लॉक (FYI) के लिए परिभाषित करने के लिए, मैं एएसए 8.2 का उपयोग कर रहा हूं) ...

access-list ACL_Dropbox extended permit ip object-group Inside object-group DROPBOX_AS19679
access-list ACL_Dropbox extended permit ip object-group DROPBOX_AS19679 object-group Inside
!
class-map Class_Dropbox
 match access-list ACL_Dropbox
!
policy-map Policy_Police
 class Class_Dropbox
  police input 384000
  police output 384000
 class class-default
!
service-policy Policy_Police interface INSIDE

मैं इस तकनीक का उपयोग कई सामाजिक नेटवर्किंग साइटों (जैसे फेसबुक) पर बैंडविड्थ को गला घोंटने के लिए करता हूं, और यह काफी प्रभावी है। मैंने पते के ब्लॉक परिवर्तनों के लिए समय-समय पर जाँच की और स्वचालित रूप से उन लक्ष्यों को जोड़ने की घोषणा की जो शुरू होते हैं ... स्वचालन, निश्चित रूप से, आवश्यक नहीं है।

सहायक सूचना Syslog

Jun 27 22:26:51 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591637 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56957 (11.40.219.148/28663)
Jun 27 22:26:51 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591638 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56958 (11.40.219.148/54828)
Jun 27 22:28:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591637 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56957 duration 0:01:21 bytes 6965 TCP FINs
Jun 27 22:28:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591638 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56958 duration 0:01:20 bytes 11590 TCP FINs
Jun 27 22:28:46 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591738 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56959 (11.40.219.148/17163)
Jun 27 22:28:46 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591741 for OUTSIDE:174.129.221.92/443 (174.129.221.92/443) to INSIDE:mpenning_Vista/56960 (11.40.219.148/15739)
Jun 27 22:29:05 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591788 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56961 (11.40.219.148/36777)
Jun 27 22:29:05 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591738 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56959 duration 0:00:19 bytes 7317 TCP FINs
Jun 27 22:30:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591741 for OUTSIDE:174.129.221.92/443 to INSIDE:mpenning_Vista/56960 duration 0:01:25 bytes 2422218 TCP FINs
Jun 27 22:30:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591788 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56961 duration 0:01:07 bytes 7674 TCP FINs
माइक पेनिंगटन
स्रोत
क्या आपको लगता है कि ड्रॉप बॉक्स सेवाएं हमेशा एक ही AWS सर्वर पर मैप होती हैं? ऐसा लगता है कि यह हमेशा बदल जाएगा क्योंकि यह "क्लाउड" है इसलिए पुलिस को आईपी के एक ब्लॉक को अवरुद्ध करने से काम नहीं हो सकता है।
ब्लेक
1
मैंने काम से घर जाने के बाद अपना जवाब अपडेट किया ... आप उन्हें ब्लॉक कर सकते हैं क्योंकि वे "नियंत्रण" कनेक्शन के लिए अपने स्वयं के आईपी ब्लॉक का उपयोग करते हैं ... मेरे परीक्षणों से पता चला कि उन्होंने थोक डेटा ट्रांसफर के लिए एडब्ल्यूएस का उपयोग किया था, इसलिए यह ऐसा दिखता है उन्हें गला घोंटना मुश्किल होगा।
माइक पेनिंगटन
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.