Cisco ASA - блокирование трафика BitTorrent

Я попытался сделать это и столкнулся с несколькими проблемами. Самым большим было то, что большинство клиентов BitTorrent в наши дни выбирают случайный порт за пределами этого диапазона. Блокировка всего 6881-6999 - это начало, но ее легко победить. Даже если вы заблокируете все UDP и высокие порты, клиенты в конечном итоге переключатся на порты 80 и 443 (HTTP и HTTPS), которые, вероятно, вы не хотите блокировать.

Я не нашел хорошего способа полностью заблокировать BitTorrent. Bittorrent развивался и адаптировался ко всем видам блоков и будет продолжать избегать попыток его заблокировать. Я уверен, что есть способ использовать Deep Packet Inspection, чтобы определить и отключить его, но у меня не было возможности взглянуть на это. И я не уверен, насколько успешно это было бы из-за того, что клиенты bittorrent теперь по умолчанию используют шифрование.

Я использую этот код на своем ASA, чтобы хоть немного помочь в ситуации. Я уверен, что это блокирует другие полезные вещи, но у меня не было жалоб от пользователей.

object-group service Blocked-UDP-Ports udp
 description All ports blocked for Bit Torrent UDP DHT (all ephemeral ports except VPN encapsulation)
 port-object range 10001 65535
 port-object range 1024 1193
 port-object range 1195 9999
object-group service BitTorrent-Tracker tcp
 description TCP Ports used by Bit Torrent for tracker communication
 port-object eq 2710
 port-object range 6881 6999

access-list inside_access_in extended deny udp any any object-group Blocked-UDP-Ports log warnings inactive
access-list inside_access_in extended deny tcp any any object-group BitTorrent-Tracker log warnings inactive

Единственный простой способ остановить это - по умолчанию запретить весь исходящий трафик и разрешить определенные порты для служб. Это PITA, но клиенты bittorrent не слушают 1024 порта, поэтому 443 и 80 можно безопасно выпустить. Так же обстоят дела с dns, ssh, ftp, pop3, imap, sip, whois, telnet.