আপনি কীভাবে ড্রপবক্স ট্র্যাফিক থ্রটল করবেন?

10

মনে হয় ড্রপবক্স স্টোরেজটির জন্য অ্যামাজন এডাব্লুএস ব্যবহার করে, তাই আমি কেবল ড্রপবক্স.কম এ ট্র্যাফিক ব্লক বা ট্রটল করতে সক্ষম নই

যেহেতু প্রচুর ওয়েব পরিষেবা রয়েছে যা অ্যামাজনএডাব্লুএস এর উপর নির্ভর করে, তাই আমি কেবল সেই ডোমেনটি ব্লক করতে পারি না।

ড্রপবক্স ট্র্যাফিক কীভাবে পরিচালনা করবেন সে সম্পর্কে আপনার কোনও পরামর্শ আছে?

আমি একটি সিসকো এএসএ থেকে কাজ করছি, তবে আমার সন্দেহ হয় এটি সমস্ত ফায়ারওয়াল পরিচালকদের ক্ষেত্রে প্রযোজ্য

cisco  qos  security  cisco-asa  firewall 
ব্লেক
সূত্র
3
কোন এএসএ মডেল? সিক্স সামর্থ্য সহ প্রথম জেনার বা ২ য় জেন এক্স মডেল?
জেনারেলটওয়ার্কের

উত্তর:

4

আপনার ফায়ারওয়ালটিকে এমন একজনের সাথে আপডেট করুন যিনি অ্যাপ্লিকেশনগুলি জানেন (সাধারণভাবে এই দিনগুলিতে "নেক্সট জেনারেশন ফায়ারওয়ালস" নামে পরিচিত)। পালো অল্টো নেটওয়ার্কগুলি একটি ভাল উদাহরণ। আইপি-ভিত্তিক গন্তব্যগুলিতে আপনার ফায়ারওয়ালটি খোলার পরিবর্তে আপনি "ড্রপবক্স" অ্যাপ্লিকেশনটিকে অনুমতি দিন এবং গন্তব্যটির কোনও চিন্তা করবেন না। আপনি ড্রপবক্সের শীর্ষে কিছু কিউও রাখতে পারবেন। উদাহরণস্বরূপ, আপনি একটি QoS নীতি তৈরি করতে পারেন যা ড্রপবক্সকে সর্বোচ্চ 5 এমবিপিএস ব্যান্ডউইথ দেয়।

অন্যান্য অনেক ফায়ারওয়াল বিক্রেতারা পলো অল্টো নেটওয়ার্কগুলির মধ্যে একটির অনুরূপ সমাধান নিয়ে এসেছেন। আমি জানি যে জুনিপার এসআরএক্স এবং চেকপয়েন্ট এখন এটি করে, যদিও সিসকো সম্পর্কে নিশ্চিত নয়। গুরুত্বপূর্ণ বিষয়টি হল আপনার ফায়ারওয়াল অ্যাপ্লিকেশনগুলি (স্তর 7 এ) কেবল স্তর 3/4 এর বিপরীতে বোঝে।

cryptochrome
সূত্র
ধন্যবাদ। যদিও আমি আশা করছি যে উত্তর ছিল না। দেখে মনে হচ্ছে এএসএ তাদের এক্স সিরিজটি নিয়ে আসছে যা উপরের স্তরের দিকে আরও গিয়ার, তবে এটি সম্ভবত আরও জড়িত $$$ আমি আশা করি আমরা নতুন হার্ডওয়্যার পরীক্ষা করার পরিবর্তে আমাদের ডিভাইসগুলির বহরটি আপগ্রেড করতে এবং নতুন সফ্টওয়্যারটি ক্রমবর্ধমান শিখতে পারি ইন্টারনেটে নতুন প্রযুক্তি সমন্বিত করতে।
ব্লেক
13

যদিও ড্রপবক্স AWS ব্যবহার করে তবে সেগুলি ব্লক করা যেতে পারে ...

ড্রপবক্স অবরুদ্ধ করা হচ্ছে

আমি এই জাতীয় সামগ্রীর জন্য একটি ঠিকানা-ভিত্তিক পদ্ধতির ব্যবহার করি, কেবল ঠিকানা ব্লকগুলি অনুসন্ধান করে যা বলেছে যে সংস্থাটির মালিকানা রয়েছে এবং এটি ফিল্টার করে ...

ব্যবহার AS19679 (ড্রপবক্স) জন্য Robtex তথ্য ড্রপবক্স ব্লক করতে ...

object-group network DROPBOX_AS19679
 network-object 108.160.160.0 255.255.240.0
 network-object 199.47.216.0 255.255.252.0
!
! I assume you don't care whether you also block web / email traffic to dropbox.com...
! The following ACL should be applied inbound on your Inside interface
access-list <your-acl-name> extended deny ip any object-group DROPBOX_AS19679 log

এফওয়াইআই, ড্রপবক্স HTTP প্রক্সিটির মাধ্যমে সংযুক্তিকে সমর্থন করে যাতে আপনার প্রক্সিটি যদি উপরের এসিএলটির পথে না থাকে তবে নিশ্চিত হয়ে নিন যে আপনিও প্রক্সিটিতে ড্রপবক্সকে অবরুদ্ধ করেছেন।

থ্রোটলিং ড্রপবক্স

আমি কাজ থেকে বাড়ি ফিরে আসার পরে কিছু গবেষণা করেছি ... যখন আমি পরীক্ষা করে দেখি, ড্রপবক্স সংযোগের জন্য তাদের নিজস্ব স্থানীয় ঠিকানা স্থান এবং এডাব্লুএস ঠিকানা জায়গার সংমিশ্রণটি ব্যবহার করে।

ড্রপবক্স এসএসএল ব্যবহার করেছিল তাই তারা কী করছে ঠিক তা বলা মুশকিল, তবে আমি যদি সিকোয়েন্সিংয়ের দিকে তাকাই তবে মনে হয় আপনি যখন কোনও স্থানীয় Dropbox/ফোল্ডারে কোনও ফাইল সরান বা বের করেন , প্রথমে তারা তাদের নিজের ঠিকানা ব্লকের সাথে কথা বলে, তারপরে তারা এডাব্লুএস ব্যবহার করে প্রয়োজন হিসাবে একটি বাল্ক স্থানান্তর জন্য।

যেহেতু আমি দেখেছি বেশিরভাগ বাইটের জন্য তারা এডাব্লুএস ব্যবহার করেছে, আমি বিশ্বাস করি না যে আপনি সহজেই একা ঠিকানা ব্লকগুলি ব্যবহার করে এগুলি ছোঁড়াতে পারবেন; তবে কমপক্ষে আজ এগুলিকে এসিএল দিয়ে ব্লক করা যেতে পারে।

নীচে একটি সংক্ষিপ্তসার, সমস্ত সহায়ক সিসলগ তথ্যের জন্য নীচে দেখুন ...

Time       Action               Connection No.   Destination    ASA Bytes
--------   -------------------  --------------   ------------   ---------
22:26:51   Delete-dropbox-file  591637           Dropbox            6965
22:26:51   "                    591638           Dropbox           11590
22:28:46   Paste-into-dropbox   591738           Dropbox            7317
22:28:46   "                    591741           AWS             2422218
22:28:46   "                    591788           Dropbox            7674

যেহেতু ড্রপবক্স গতিশীলভাবে এডাব্লুএস অ্যাড্রেস স্পেস ব্যবহার করে, সেগুলি কার্যকরভাবে থ্রোলেট করা যায় না, তবে ড্রপবক্সের অ্যাড্রেস স্পেসকে উদাহরণ হিসাবে ব্যবহার করে আপনি অন্যান্য অ-ডাব্লুএস সাইট / অ্যাপ্লিকেশনগুলির জন্য কী করবেন তার একটি উদাহরণ দেব ... object-groupআপনার "অভ্যন্তরীণ" ঠিকানা ব্লকগুলির জন্য একটি নির্ধারণ করতে (এফওয়াইআই, আমি এএসএ 8.2 ব্যবহার করছি) ...

access-list ACL_Dropbox extended permit ip object-group Inside object-group DROPBOX_AS19679
access-list ACL_Dropbox extended permit ip object-group DROPBOX_AS19679 object-group Inside
!
class-map Class_Dropbox
 match access-list ACL_Dropbox
!
policy-map Policy_Police
 class Class_Dropbox
  police input 384000
  police output 384000
 class class-default
!
service-policy Policy_Police interface INSIDE

আমি এই কৌশলটি বেশ কয়েকটি সোশ্যাল নেটওয়ার্কিং সাইটগুলিতে ব্যান্ডউইথথ থ্রোটল করার জন্য ব্যবহার করি (যেমন ফেসবুক), এবং এটি বেশ কার্যকর। আমি ঠিকানা ব্লক পরিবর্তনের জন্য পর্যায়ক্রমিক চেকগুলি স্বয়ংক্রিয় করেছি এবং লক্ষ্যগুলি ঘোষণা করা শুরু করে এমন কোনও কিছুই যুক্ত করি ... অটোমেশন অবশ্যই প্রয়োজন হয় না।

সিসলগ তথ্য সমর্থন

Jun 27 22:26:51 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591637 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56957 (11.40.219.148/28663)
Jun 27 22:26:51 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591638 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56958 (11.40.219.148/54828)
Jun 27 22:28:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591637 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56957 duration 0:01:21 bytes 6965 TCP FINs
Jun 27 22:28:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591638 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56958 duration 0:01:20 bytes 11590 TCP FINs
Jun 27 22:28:46 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591738 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56959 (11.40.219.148/17163)
Jun 27 22:28:46 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591741 for OUTSIDE:174.129.221.92/443 (174.129.221.92/443) to INSIDE:mpenning_Vista/56960 (11.40.219.148/15739)
Jun 27 22:29:05 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591788 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56961 (11.40.219.148/36777)
Jun 27 22:29:05 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591738 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56959 duration 0:00:19 bytes 7317 TCP FINs
Jun 27 22:30:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591741 for OUTSIDE:174.129.221.92/443 to INSIDE:mpenning_Vista/56960 duration 0:01:25 bytes 2422218 TCP FINs
Jun 27 22:30:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591788 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56961 duration 0:01:07 bytes 7674 TCP FINs
মাইক পেনিংটন
সূত্র
আপনি কি মনে করেন যে ড্রপ বক্স পরিষেবাগুলি সর্বদা একই এডাব্লুএস সার্ভারগুলিতে ম্যাপ করে? দেখে মনে হচ্ছে এটি সর্বদা পরিবর্তিত হবে কারণ এটি "মেঘ" তাই আইপিসের একটি ব্লক পুলিশে আটকানো কাজ নাও করতে পারে।
ব্লেক
1
কাজ থেকে বাড়ি ফিরে আসার পরে আমি আমার উত্তর আপডেট করেছি ... তারা এগুলিকে ব্লক করতে পারে যেহেতু তারা "নিয়ন্ত্রণ" সংযোগের জন্য তাদের নিজস্ব আইপি ব্লক ব্যবহার করে বলে মনে হচ্ছে ... আমার পরীক্ষাগুলি থেকে প্রমাণিত হয়েছে যে তারা বাল্ক ডেটা স্থানান্তরের জন্য এডাব্লুএস ব্যবহার করেছে, তাই দেখে মনে হচ্ছে তাদের গলা ফাটানো কঠিন হবে।
মাইক পেনিংটন
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.