Como você acelera o tráfego do Dropbox?

10

Parece que o Dropbox usa o Amazon AWS para seu armazenamento, por isso não sou capaz de bloquear ou impedir o tráfego no dropbox.com

Como existem muitos serviços da Web que dependem do AmazonAWS, não posso simplesmente bloquear esse domínio.

Você tem alguma sugestão sobre como lidar com o tráfego da caixa de depósito?

Estou trabalhando em um Cisco ASA, mas suspeito que isso se aplique a todos os gerenciadores de firewall

cisco qos security cisco-asa firewall Blake
fonte
3
Qual modelo ASA? O modelo de 1ª ou 2ª geração X com recursos de CX?
generalnetworkerror

Respostas:

4

Atualize seu firewall para um que conheça aplicativos (atualmente chamados de "firewalls de próxima geração" atualmente). A Palo Alto Networks é um bom exemplo. Em vez de abrir seu firewall para destinos baseados em IP, você permite o aplicativo "Dropbox" e não se importa com o destino. Você também pode colocar um pouco de QoS no topo do Dropbox. Por exemplo, você pode criar uma política de QoS que ofereça ao Dropbox uma largura de banda máxima de 5 Mbps.

Muitos outros fornecedores de Firewall criaram soluções semelhantes às da Palo Alto Networks. Eu sei que o Juniper SRX e o Checkpoint fazem isso agora, mas não tenho certeza da Cisco. O importante é que seu firewall entenda os aplicativos (na camada 7) versus apenas a camada 3/4.

criptocromo
fonte
Obrigado. embora eu estivesse esperando que essa não fosse a resposta. Parece que o ASA está lançando sua série X, que é mais voltada para a camada superior, mas isso provavelmente envolverá mais $ $ $. Gostaria de poder atualizar nossa frota de dispositivos em vez de testar novo hardware e aprender novo software em ordem para acomodar novas tecnologias na internet.
Blake,
13

Embora o dropbox use a AWS, eles podem ser bloqueados ...

Bloqueando o Dropbox

Eu uso uma abordagem baseada em endereço para coisas assim, basta procurar os blocos de endereços que a empresa possui e filtrá-los ...

Usando informações de Robtex para AS19679 (Dropbox) para bloquear o dropbox ...

object-group network DROPBOX_AS19679
 network-object 108.160.160.0 255.255.240.0
 network-object 199.47.216.0 255.255.252.0
!
! I assume you don't care whether you also block web / email traffic to dropbox.com...
! The following ACL should be applied inbound on your Inside interface
access-list <your-acl-name> extended deny ip any object-group DROPBOX_AS19679 log

Para sua informação, o Dropbox oferece suporte à conexão via proxy http; portanto, se o seu proxy não estiver no caminho da ACL acima, certifique-se de bloquear o dropbox no seu proxy também.

Dropbox de limitação

Fiz uma pesquisa depois que cheguei em casa do trabalho ... quando testei, o Dropbox usa uma combinação de seu próprio espaço de endereço nativo e espaço de endereço da AWS para conexões.

O Dropbox usava SSL, por isso era difícil dizer exatamente o que eles estavam fazendo, mas se eu observar o sequenciamento, parece que quando você move um arquivo para dentro ou para fora da Dropbox/pasta local , primeiro eles conversam com seus próprios blocos de endereços e depois usam a AWS para uma transferência em massa, conforme necessário.

Como eles usaram a AWS para a maioria dos bytes que vi, não tenho certeza de que você possa facilmente controlá-los usando apenas blocos de endereços; no entanto, pelo menos hoje, eles podem ser bloqueados com ACLs.

A seguir, um resumo, veja abaixo todas as informações de suporte do syslog ...

Time       Action               Connection No.   Destination    ASA Bytes
--------   -------------------  --------------   ------------   ---------
22:26:51   Delete-dropbox-file  591637           Dropbox            6965
22:26:51   "                    591638           Dropbox           11590
22:28:46   Paste-into-dropbox   591738           Dropbox            7317
22:28:46   "                    591741           AWS             2422218
22:28:46   "                    591788           Dropbox            7674

Como o Dropbox usa dinamicamente o espaço de endereço da AWS, eles não podem ser efetivamente controlados, mas darei um exemplo do que você faria para outros sites / aplicativos que não sejam da AWS , usando o espaço de endereço do Dropbox como exemplo ... você também precisaria para definir um object-grouppara seus blocos de endereços "Internos" (FYI, estou usando o ASA 8.2) ...

access-list ACL_Dropbox extended permit ip object-group Inside object-group DROPBOX_AS19679
access-list ACL_Dropbox extended permit ip object-group DROPBOX_AS19679 object-group Inside
!
class-map Class_Dropbox
 match access-list ACL_Dropbox
!
policy-map Policy_Police
 class Class_Dropbox
  police input 384000
  police output 384000
 class class-default
!
service-policy Policy_Police interface INSIDE

Eu uso essa técnica para acelerar a largura de banda para vários sites de redes sociais (como o Facebook), e é bastante eficaz. Automatizei verificações periódicas para alterações no bloco de endereços e adicionei qualquer outra coisa que os destinos comecem a anunciar ... a automação, é claro, não é necessária.

Informações de suporte do syslog

Jun 27 22:26:51 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591637 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56957 (11.40.219.148/28663)
Jun 27 22:26:51 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591638 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56958 (11.40.219.148/54828)
Jun 27 22:28:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591637 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56957 duration 0:01:21 bytes 6965 TCP FINs
Jun 27 22:28:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591638 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56958 duration 0:01:20 bytes 11590 TCP FINs
Jun 27 22:28:46 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591738 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56959 (11.40.219.148/17163)
Jun 27 22:28:46 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591741 for OUTSIDE:174.129.221.92/443 (174.129.221.92/443) to INSIDE:mpenning_Vista/56960 (11.40.219.148/15739)
Jun 27 22:29:05 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591788 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56961 (11.40.219.148/36777)
Jun 27 22:29:05 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591738 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56959 duration 0:00:19 bytes 7317 TCP FINs
Jun 27 22:30:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591741 for OUTSIDE:174.129.221.92/443 to INSIDE:mpenning_Vista/56960 duration 0:01:25 bytes 2422218 TCP FINs
Jun 27 22:30:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591788 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56961 duration 0:01:07 bytes 7674 TCP FINs
Mike Pennington
fonte
Você acha que os serviços da caixa de depósito são sempre mapeados para os mesmos servidores da AWS? Parece que isso sempre mudaria, pois é a "nuvem", portanto, bloquear um bloco de ips para a polícia pode não funcionar.
Blake
11
Atualizei minha resposta depois que cheguei em casa do trabalho ... Você pode bloqueá-los, pois eles parecem usar seu próprio bloco IP para conexões de "controle" ... meus testes mostraram que eles usavam a AWS para transferências de dados em massa, por isso parece seria difícil estrangulá-los.
Mike Pennington