Aunque Dropbox usa AWS, se pueden bloquear ...
Bloqueo de Dropbox
Utilizo un enfoque basado en direcciones para cosas como esta, solo busco los bloques de direcciones que dicha compañía posee y los filtra ...
Uso de información Robtex para AS19679 (Dropbox) para bloquear Dropbox ...
object-group network DROPBOX_AS19679
network-object 108.160.160.0 255.255.240.0
network-object 199.47.216.0 255.255.252.0
!
! I assume you don't care whether you also block web / email traffic to dropbox.com...
! The following ACL should be applied inbound on your Inside interface
access-list <your-acl-name> extended deny ip any object-group DROPBOX_AS19679 log
Para su información, Dropbox admite la conexión a través de proxy HTTP, por lo que si su proxy no está en la ruta de la ACL anterior, asegúrese de bloquear también Dropbox en su proxy.
Acelerar Dropbox
Investigué un poco después de llegar a casa del trabajo ... cuando lo probé, Dropbox usa una combinación de su propio espacio de direcciones nativo y espacio de direcciones de AWS para las conexiones.
Dropbox usó SSL, por lo que fue difícil decir exactamente lo que estaban haciendo, pero si miro la secuencia, parece que cuando mueves un archivo dentro o fuera de tu Dropbox/
carpeta local , primero hablan con sus propios bloques de direcciones, luego usan AWS para una transferencia masiva según sea necesario.
Como utilizaron AWS para la mayoría de los bytes que vi, no estoy seguro de que pueda estrangularlos fácilmente usando solo bloques de direcciones; sin embargo, al menos hoy pueden bloquearse con ACL.
El siguiente es un resumen, vea a continuación toda la información de soporte de Syslog ...
Time Action Connection No. Destination ASA Bytes
-------- ------------------- -------------- ------------ ---------
22:26:51 Delete-dropbox-file 591637 Dropbox 6965
22:26:51 " 591638 Dropbox 11590
22:28:46 Paste-into-dropbox 591738 Dropbox 7317
22:28:46 " 591741 AWS 2422218
22:28:46 " 591788 Dropbox 7674
Dado que Dropbox usa dinámicamente el espacio de direcciones de AWS, no se pueden limitar de manera efectiva, pero daré un ejemplo de lo que haría para otros sitios / aplicaciones que no son de AWS , usando el espacio de direcciones de Dropbox como ejemplo ... también necesitaría para definir un object-group
para sus bloques de direcciones "Inside" (FYI, estoy usando ASA 8.2) ...
access-list ACL_Dropbox extended permit ip object-group Inside object-group DROPBOX_AS19679
access-list ACL_Dropbox extended permit ip object-group DROPBOX_AS19679 object-group Inside
!
class-map Class_Dropbox
match access-list ACL_Dropbox
!
policy-map Policy_Police
class Class_Dropbox
police input 384000
police output 384000
class class-default
!
service-policy Policy_Police interface INSIDE
Utilizo esta técnica para limitar el ancho de banda a varios sitios de redes sociales (como Facebook), y es bastante eficaz. Automaticé las verificaciones periódicas para los cambios en el bloque de direcciones y agregué cualquier otra cosa que los objetivos comienzan a anunciar ... la automatización, por supuesto, no es necesaria.
Información de apoyo de Syslog
Jun 27 22:26:51 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591637 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56957 (11.40.219.148/28663)
Jun 27 22:26:51 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591638 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56958 (11.40.219.148/54828)
Jun 27 22:28:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591637 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56957 duration 0:01:21 bytes 6965 TCP FINs
Jun 27 22:28:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591638 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56958 duration 0:01:20 bytes 11590 TCP FINs
Jun 27 22:28:46 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591738 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56959 (11.40.219.148/17163)
Jun 27 22:28:46 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591741 for OUTSIDE:174.129.221.92/443 (174.129.221.92/443) to INSIDE:mpenning_Vista/56960 (11.40.219.148/15739)
Jun 27 22:29:05 10.100.1.1 %ASA-6-302013: Built outbound TCP connection 591788 for OUTSIDE:108.160.160.177/443 (108.160.160.177/443) to INSIDE:mpenning_Vista/56961 (11.40.219.148/36777)
Jun 27 22:29:05 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591738 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56959 duration 0:00:19 bytes 7317 TCP FINs
Jun 27 22:30:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591741 for OUTSIDE:174.129.221.92/443 to INSIDE:mpenning_Vista/56960 duration 0:01:25 bytes 2422218 TCP FINs
Jun 27 22:30:12 10.100.1.1 %ASA-6-302014: Teardown TCP connection 591788 for OUTSIDE:108.160.160.177/443 to INSIDE:mpenning_Vista/56961 duration 0:01:07 bytes 7674 TCP FINs