Como você bloqueia o tráfego torrent de bits com um Cisco ASA?

13

Mencionei um antigo artigo externo da Cisco sobre como bloquear o tráfego de torrent Bit referenciado on-line Aqui

Este procedimento que eu encontrei funciona apenas 50% do tempo.

Acho que bloqueia portas específicas de torrents de bits e, fazendo o regex funcionar, ele simplesmente não captura todo o tráfego.

object-group service bit-torrent-services tcp-udp
port-object eq 6969
port-object range 6881 6999

e

regex bit-torrent-tracker ".*[Ii][Nn][Ff][Oo]_[Hh][Aa][Ss][Hh]=.*"

Alguém tem um regex mais atualizado para encontrar tráfego de torrent em bits? Ou é este o limite do ASA neste momento?

Blake
fonte
Eu acredito que este seria o limite da ASA neste momento. Outros dispositivos UTM usam "um módulo de aplicativo (baseado no IPS)" e podem bloqueá-lo com êxito. No entanto, tenho certeza de que você também pode fazê-lo, mas usando um módulo IPS conectado ao ASA.
Laf

Respostas:

14

<joke> Desconecte </joke>

Clientes Bittorrent podem (e fazem) usar portas aleatórias. O bloqueio das portas comuns apenas incentivará os usuários a mudarem para portas diferentes. Além disso, o tráfego entre clientes oferece suporte à criptografia há alguns anos - originalmente como um meio de limitar a interferência do ISP - tornando o tráfego de ptp real irreconhecível.

Procurar "info_hash" na comunicação do rastreador do cliente, embora seja um pouco eficaz, também é facilmente derrotado. (tor, ssl, vpn, etc.) Também não faz nada para impedir enxames sem rastreador (DHT), troca de pares (PEX), protocolo de rastreador UDP ...

Se você conseguiu matar 50%, considere-se com sorte. Este é um jogo de golpe que você não pode vencer.

Ricky Beam
fonte
9

Configure-o no modo proxy transparente para todos os protocolos de aplicativos suportados e permita apenas conexões proxy. Qualquer protocolo desconhecido falharia, incluindo o BitTorrent. O encapsulamento SSL para BitTorrent é inviável, portanto, o HTTPS não é um grande buraco. Basicamente, deixar passar qualquer conexão roteada que não tenha sido aprovada pelo L7 permitirá que o BitTorrent passe.

Monstieur
fonte
Aposto que muitas coisas vão quebrar com esse método. E quanto a limitar o número de conexão, quando o número de conexão de um host x atinge x, elimina todas as conexões por y segundos. Essa é uma maneira eficaz de desencorajar os usuários de usar a transferência de arquivos p2p. Existem softwares / dispositivos de segurança / auditoria que podem fazer isso. Não tenho certeza sobre o ASA tho.
sdaffa23fdsf
Existem outras soluções que vão a extremos, como consultar o rastreador e colocar na lista negra todos os pares. Se for um ambiente de escritório, apenas usuários confiáveis ​​devem ter acesso a algo que não seja HTTP (s). Para os demais, o proxy HTTP transparente não terá nenhum efeito negativo e o acesso roteado / NAT pode ser concedido caso a caso.
Monstieur
Como exatamente o encapsulamento SSL é "inviável"? Você percebe que muitas VPNs são apenas uma conexão SSL. Usuários hellbent sobre o uso BT vai encontrar um caminho através de suas tentativas de bloquear-los.
21716 Ricky Beam
O tunelamento TCP de alta largura de banda sobre SSL derreterá rapidamente até o ponto em que não será mais um problema de largura de banda. O ponto final do túnel externo seria o endereço IP visível como o cliente Torrent e não o endereço da sua empresa.
Monstieur
-1

Uma das soluções alternativas para isso é classificar o tráfego de Torrent de limite, criando um conjunto específico de lista de controle. Porta Soure e IP de destino (seus pools de IPs).

Excluir portas para serviços comuns como RDP (Área de trabalho remota 3389), VNC, HTTP 8080 (substituir 80)

engineerbaz
fonte