web-dev-qa-db-ja.com

CiscoASA-BitTorrentトラフィックのブロック

DMCAの削除通知が原因で、Cisco ASA5520上のクライアントのbitTorrentトラフィックをブロックしようとしています。

ASAソフトウェア:7.2 ASDM:5.2

このデバイスは実際にはNATおよび現在VPNに使用されています。このデバイスのbitTorrent TCPポート6881-6999をブロックする簡単な方法はありますか?

3
CaseyIT

私はこれを試みましたが、いくつかの問題が発生しました。最大のものは、最近のほとんどのビットトレントクライアントがその範囲外のランダムなポートを選択することでした。 6881-6999だけをブロックすることは始まりですが、簡単に打ち負かされます。すべてのUDPおよび高ポートをブロックした場合でも、クライアントは最終的にポート80および443(HTTPおよびHTTPS)に切り替わります。これは、おそらくブロックしたくないものです。

私はbittorrentを完全にブロックする良い方法を見つけていません。 Bittorrentはあらゆる種類のブロックを中心に進化および適応しており、ブロックの試みを回避し続けます。ディープパケットインスペクションを使用してそれを識別してシャットダウンする方法があると確信していますが、それを確認する機会はありませんでした。そして、ビットトレントクライアントがデフォルトで暗号化を使用しているために、それがどれほど成功するかはわかりません。

私はASAでこのコードを使用して、状況を少なくともわずかに助けています。これは他の便利なことを妨げると確信していますが、ユーザーからの苦情はありません。

object-group service Blocked-UDP-Ports udp
 description All ports blocked for Bit Torrent UDP DHT (all ephemeral ports except VPN encapsulation)
 port-object range 10001 65535
 port-object range 1024 1193
 port-object range 1195 9999
object-group service BitTorrent-Tracker tcp
 description TCP Ports used by Bit Torrent for tracker communication
 port-object eq 2710
 port-object range 6881 6999

access-list inside_access_in extended deny udp any any object-group Blocked-UDP-Ports log warnings inactive
access-list inside_access_in extended deny tcp any any object-group BitTorrent-Tracker log warnings inactive
1
minamhere

これを停止する簡単な方法は、デフォルトですべての出力トラフィックを拒否し、サービスに特定のポートを許可することです。これはPITAですが、ビットトレントクライアントは1024ポートでリッスンしないため、443と80は安全にリリースできます。 dns、ssh、ftp、pop3、imap、sip、whois、telnetもそうです。

0
noone