Dropbox 트래픽을 어떻게 조절합니까?

10

Dropbox는 스토리지로 Amazon AWS를 사용하는 것으로 보이므로 dropbox.com에 대한 트래픽을 차단하거나 방해 할 수 없습니다.

AmazonAWS를 사용하는 많은 웹 서비스가 있기 때문에 해당 도메인 만 차단할 수는 없습니다.

보관 용 트래픽을 처리하는 방법에 대한 제안이 있습니까?

cisco ASA에서 일하고 있지만 이것이 모든 방화벽 관리자에게 적용되는 것 같습니다.

cisco  qos  security  cisco-asa  firewall 
블레이크
소스
3
어떤 ASA 모델? CX 기능을 갖춘 1 세대 또는 2 세대 X 모델?
generalnetworkerror

답변:

4

방화벽을 응용 프로그램을 알고있는 방화벽으로 업데이트하십시오 (일반적으로 요즘 "차세대 방화벽"이라고 함). Palo Alto Networks가 좋은 예입니다. 방화벽을 IP 기반 대상으로 여는 대신 응용 프로그램 "Dropbox"를 허용하고 대상을 신경 쓰지 않습니다. Dropbox 위에 QoS를 추가 할 수도 있습니다. 예를 들어 Dropbox에 최대 5mbps 대역폭을 제공하는 QoS 정책을 만들 수 있습니다.

많은 다른 방화벽 공급 업체가 Palo Alto Networks와 유사한 솔루션을 개발했습니다. 주니퍼 SRX와 Checkpoint가 지금하고 있다는 것을 알고 있지만 Cisco에 대해서는 확실하지 않습니다. 중요한 것은 방화벽이 애플리케이션 (계층 7)과 계층 3/4 만 이해한다는 것입니다.

크립토 크롬
소스
감사. 나는 그것이 대답이 아니기를 바라고 있었지만. ASA가 상위 계층에 더 적합한 X 시리즈를 출시하는 것처럼 보이지만 아마도 $$$가 더 많이 필요할 것입니다. 새로운 하드웨어를 테스트하고 순서대로 새로운 소프트웨어를 배우는 대신 장치를 업그레이드 할 수 있기를 바랍니다. 인터넷에서 새로운 기술을 수용합니다.
Blake
13

보관 용 계정이 AWS를 사용하더라도 차단 될 수 있습니다.

보관 용 계정 차단

나는 주소 기반 접근 방식을 사용하여 회사가 소유 한 주소 블록을 찾아서 필터링합니다.

AS19679 (드롭 박스)대한 Robtex 정보를 사용하여 보관 용 계정을 차단하는 중 ...

object-group network DROPBOX_AS19679
 network-object 108.160.160.0 255.255.240.0
 network-object 199.47.216.0 255.255.252.0
!
! I assume you don't care whether you also block web / email traffic to dropbox.com...
! The following ACL should be applied inbound on your Inside interface
access-list <your-acl-name> extended deny ip any object-group DROPBOX_AS19679 log

참고로 Dropbox는 http 프록시를 통한 연결을 지원 하므로 프록시가 위의 ACL 경로에없는 경우 프록시에서도 dropbox를 차단해야합니다.

조절 보관함

직장에서 퇴근 한 후 조사를했습니다. 테스트 할 때 Dropbox는 고유 한 기본 주소 공간과 AWS 주소 공간을 연결에 사용합니다.

Dropbox는 SSL을 사용하여 정확히 무엇을했는지 알기가 어려웠지만 시퀀싱을 보면 로컬 Dropbox/폴더 안팎으로 파일을 옮길 때 먼저 자신의 주소 블록과 대화 한 다음 AWS를 사용 하는 것처럼 보입니다. 필요에 따라 대량 전송.

그들은 내가 본 대부분의 바이트에 AWS를 사용했기 때문에 주소 블록만으로 쉽게 스로틀을 조정할 수 있다고 확신하지 않습니다. 그러나 적어도 오늘은 ACL로 차단 될 수 있습니다.

다음은 요약입니다. 모든 지원 Syslog 정보는 아래를 참조하십시오 ...

Time       Action               Connection No.   Destination    ASA Bytes
--------   -------------------  --------------   ------------   ---------
22:26:51   Delete-dropbox-file  591637           Dropbox            6965
22:26:51   "                    591638           Dropbox           11590
22:28:46   Paste-into-dropbox   591738           Dropbox            7317
22:28:46   "                    591741           AWS             2422218
22:28:46   "                    591788           Dropbox            7674

Dropbox는 동적으로 AWS 주소 공간을 사용하기 때문에 효과적으로 조절할 수는 없지만 Dropbox의 주소 공간을 예로 사용하여 다른 비 AWS 사이트 / 애플리케이션에 대해 수행 할 작업 의 예를 제공합니다. object-group"내부"주소 블록 을 정의하기 위해 (FYI, ASA 8.2를 사용하고 있습니다) ...

access-list ACL_Dropbox extended permit ip object-group Inside object-group DROPBOX_AS19679
access-list ACL_Dropbox extended permit ip object-group DROPBOX_AS19679 object-group Inside
!
class-map Class_Dropbox
 match access-list ACL_Dropbox
!
policy-map Policy_Police
 class Class_Dropbox
  police input 384000
  police output 384000
 class class-default
!
service-policy Policy_Police interface INSIDE

이 기술을 사용하여 여러 소셜 네트워킹 사이트 (예 : Facebook)로 대역폭을 조절할 수 있으며 매우 효과적입니다. 주소 블록 변경 사항을 주기적으로 확인하고 대상이 발표하기 시작한 다른 것을 추가합니다. 물론 자동화는 필요하지 않습니다.

Syslog 정보 지원

Jun 27 22:26:51 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591637 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56957 (11.40.219.148/28663)
Jun 27 22:26:51 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591638 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56958 (11.40.219.148/54828)
Jun 27 22:28:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591637 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56957 duration 0:01:21 bytes 6965 TCP FINs
Jun 27 22:28:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591638 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56958 duration 0:01:20 bytes 11590 TCP FINs
Jun 27 22:28:46 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591738 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56959 (11.40.219.148/17163)
Jun 27 22:28:46 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591741 for OUTSIDE:174.129.221.92/443 (174.129.221.92/443) to INSIDE:mpenning_Vista/56960 (11.40.219.148/15739)
Jun 27 22:29:05 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591788 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56961 (11.40.219.148/36777)
Jun 27 22:29:05 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591738 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56959 duration 0:00:19 bytes 7317 TCP FINs
Jun 27 22:30:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591741 for OUTSIDE:174.129.221.92/443 to INSIDE:mpenning_Vista/56960 duration 0:01:25 bytes 2422218 TCP FINs
Jun 27 22:30:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591788 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56961 duration 0:01:07 bytes 7674 TCP FINs
마이크 페닝 턴
소스
드롭 박스 서비스가 항상 동일한 AWS 서버에 매핑된다고 생각하십니까? "클라우드"이기 때문에 항상 변경되므로 경찰에 대한 IP 차단을 차단하면 작동하지 않을 수 있습니다.
Blake
1
퇴근 후 답변을 업데이트했습니다 ... "제어"연결에 자체 IP 블록을 사용하는 것처럼 보이기 때문에 차단할 수 있습니다 ... 테스트 결과 대량 데이터 전송에 AWS를 사용한 것으로 나타났습니다. 그것들을 조절하는 것은 어려울 것입니다.
Mike Pennington
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.