Como você bloqueia o tráfego torrent de bits com um Cisco ASA?

13

Mencionei um antigo artigo externo da Cisco sobre como bloquear o tráfego de torrent Bit referenciado on-line Aqui

Este procedimento que eu encontrei funciona apenas 50% do tempo.

Acho que bloqueia portas específicas de torrents de bits e, fazendo o regex funcionar, ele simplesmente não captura todo o tráfego. 

object-group service bit-torrent-services tcp-udp
port-object eq 6969
port-object range 6881 6999

e 

regex bit-torrent-tracker ".*[Ii][Nn][Ff][Oo]_[Hh][Aa][Ss][Hh]=.*"

Alguém tem um regex mais atualizado para encontrar tráfego de torrent em bits? Ou é este o limite do ASA neste momento?

cisco  cisco-asa 
Blake
fonte
Eu acredito que este seria o limite da ASA neste momento. Outros dispositivos UTM usam "um módulo de aplicativo (baseado no IPS)" e podem bloqueá-lo com êxito. No entanto, tenho certeza de que você também pode fazê-lo, mas usando um módulo IPS conectado ao ASA.
Laf

Respostas:

14

<joke> Desconecte </joke>

Clientes Bittorrent podem (e fazem) usar portas aleatórias. O bloqueio das portas comuns apenas incentivará os usuários a mudarem para portas diferentes. Além disso, o tráfego entre clientes oferece suporte à criptografia há alguns anos - originalmente como um meio de limitar a interferência do ISP - tornando o tráfego de ptp real irreconhecível.

Procurar "info_hash" na comunicação do rastreador do cliente, embora seja um pouco eficaz, também é facilmente derrotado. (tor, ssl, vpn, etc.) Também não faz nada para impedir enxames sem rastreador (DHT), troca de pares (PEX), protocolo de rastreador UDP ...

Se você conseguiu matar 50%, considere-se com sorte. Este é um jogo de golpe que você não pode vencer.

Ricky Beam
fonte
9

Configure-o no modo proxy transparente para todos os protocolos de aplicativos suportados e permita apenas conexões proxy. Qualquer protocolo desconhecido falharia, incluindo o BitTorrent. O encapsulamento SSL para BitTorrent é inviável, portanto, o HTTPS não é um grande buraco. Basicamente, deixar passar qualquer conexão roteada que não tenha sido aprovada pelo L7 permitirá que o BitTorrent passe.

Monstieur
fonte
Aposto que muitas coisas vão quebrar com esse método. E quanto a limitar o número de conexão, quando o número de conexão de um host x atinge x, elimina todas as conexões por y segundos. Essa é uma maneira eficaz de desencorajar os usuários de usar a transferência de arquivos p2p. Existem softwares / dispositivos de segurança / auditoria que podem fazer isso. Não tenho certeza sobre o ASA tho.
sdaffa23fdsf
Existem outras soluções que vão a extremos, como consultar o rastreador e colocar na lista negra todos os pares. Se for um ambiente de escritório, apenas usuários confiáveis ​​devem ter acesso a algo que não seja HTTP (s). Para os demais, o proxy HTTP transparente não terá nenhum efeito negativo e o acesso roteado / NAT pode ser concedido caso a caso.
Monstieur
Como exatamente o encapsulamento SSL é "inviável"? Você percebe que muitas VPNs são apenas uma conexão SSL. Usuários hellbent sobre o uso BT vai encontrar um caminho através de suas tentativas de bloquear-los.
21716 Ricky Beam
O tunelamento TCP de alta largura de banda sobre SSL derreterá rapidamente até o ponto em que não será mais um problema de largura de banda. O ponto final do túnel externo seria o endereço IP visível como o cliente Torrent e não o endereço da sua empresa.
Monstieur
-1

Uma das soluções alternativas para isso é classificar o tráfego de Torrent de limite, criando um conjunto específico de lista de controle. Porta Soure e IP de destino (seus pools de IPs).

Excluir portas para serviços comuns como RDP (Área de trabalho remota 3389), VNC, HTTP 8080 (substituir 80)

engineerbaz
fonte
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.