• If this is your first visit, be sure to check out the FAQ by clicking the link above. You may have to register before you can post: click the register link above to proceed. To start viewing messages, select the forum that you want to visit from the selection below.
Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

content filter trên router cisco

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • content filter trên router cisco

    chào mọi người, có bạn nào biết cách cấu hình lọc nội dung trên router cisco thì chỉ mình với, mình đang sử dụng router cisco 2811, mình muốn cấu hình để router content filter bằng keyword khai báo trên router mà không cần thông database của server nào cả.

  • #2
    bạn có thể tham khảo cấu hình bên dưới. Cấu hình lab này đã kiểm tra và chạy tốt.
    ---------
    Lab dùng NBAR để chặn Virus và các chương trình P2P.
    • Code Red worm
    • Nimda virus/worm
    • P2P program usage
    • Chặn các địa chỉ web trên Internet

    I. Sơ đồ lab.
    - Gắn cáp như hình vẽ.

    II. Cấu hình
    Using NBAR to Detect Code Red Attacks

    Router(config)# class-map match-any code-red-attacks

    Router(config-cmap)# match protocol http url "*.ida*"

    Router(config-cmap)# match protocol http url "*cmd.exe*"

    Router(config-cmap)# match protocol http url "*root.exe*"

    Router(config-cmap)# exit

    Router(config)# policy-map mark-code-red

    Router(config-pmap)# class code-red-attacks

    Router(config-pmap-c)# set ip dscp 1

    Router(config-pmac-c)# exit

    Router(config)# interface ethernet1

    Router(config-if)# service-policy input mark-code-red

    Router(config-if)# exit

    Router(config)# ip access-list extended block-code-red

    Router(config-ext-nacl)# deny ip any any dscp 1 log

    Router(config-ext-nacl)# permit ip any any

    Router(config-ext-nacl)# exit

    Router(config)# interface ethernet0

    Router(config-if)# ip access-group block-code-red out

    Ví dụ trên tạo ra một class map có tên gọi là code-red-attack, trong đó, các thông điệp http request có chứa “default.ida”, “Cmd.exe” và “root.exe” sẽ được tìm. Một policy sẽ gán giá trị DSCP bằng 1 cho các traffic này. Sau đó policy sẽ được áp vào cổng bên ngoài của router. Một ACL sẽ được tạo ra và loại bỏ những traffic có DSCP 1 ở cổng bên trong của router, theo chiều đi ra.

    - NBAR và Nimda
    Nimda lan truyền dùng cơ chế sau:
    - Khi có một người dùng click vào một attachment có virus, nó sẽ chạy tự động.
    - Dùng backdoor trong MS IIS để giành quyền truy cập web server.
    Virus NIMDA có thể tấn công theo nhiều hướng khác nhau: email attachment, Javascripts, bug trong IIS. Vì vậy, trong ví dụ dưới đây, ta dùng NBAR để ngăn ngừa và chặn chỉ qua hướng web đến server IIS bên trong.
    Cấu hình router nhận dạng NIMDA
    Router(config)# class-map match-any nimda-attacks

    Router(config-cmap)# match protocol http url "*.ida*"

    Router(config-cmap)# match protocol http url "*cmd.exe*"

    Router(config-cmap)# match protocol http url "*root.exe*"

    Router(config-cmap)# match protocol http url "*readme.eml*"

    Router(config-cmap)# exit

    Router(config)# policy-map mark-nimda

    Router(config-pmap)# class nimda-attacks

    Router(config-pmap-c)# set ip dscp 1

    Router(config-pmac-c)# exit

    Router(config)# interface ethernet1

    Router(config-if)# service-policy input mark-nimda

    Router(config-if)# exit

    Router(config)# ip access-list extended block-nimda

    Router(config-ext-nacl)# deny ip any any dscp 1 log

    Router(config-ext-nacl)# permit ip any any

    Router(config-ext-nacl)# exit

    Router(config)# interface ethernet0

    Router(config-if)# ip access-group block-nimda out


    Trong ví dụ này, sự khác biệt chỉ là file *readme.eml* so với ví dụ trước. Từ IOS 12.3(4)T trở về sau, bạn có thể dùng NBAR để kiểm tra những kiểu tấn công cho các dịch vụ khác, ví dụ như POP3 hay SMTP.
    - Chặn các chương trình P2P

    Router(config)# class-map match-any P2P-usage

    Router(config-cmap)# match protocol gnutella

    Router(config-cmap)# match protocol gnutella file-transfer "*"

    Router(config-cmap)# match protocol fasttrack

    Router(config-cmap)# match protocol fasttrack file-transfer "*"

    Router(config-cmap)# match napster non-std

    Router(config-cmap)# match kazaa2

    Router(config-cmap)# match protocol socks

    Router(config-cmap)# exit

    Router(config)# policy-map mark-P2P

    Router(config-pmap)# class P2P-usage

    Router(config-pmap-c)# set ip dscp 2

    Router(config-pmac-c)# exit

    Router(config)# ip access-list extended block-P2P

    Router(config-ext-nacl)# deny ip any any dscp 2 log

    Router(config-ext-nacl)# ! <--other ACL statements-->

    Router(config-ext-nacl)# permit ip any any

    Router(config-ext-nacl)# exit

    !
    !E1 là cổng bên ngoài của Router đấu ra Internet

    !
    Router(config)# interface ethernet1

    Router(config-if)# service-policy input mark-P2P

    Router(config-if)# ip access-group block-P2P out

    Router(config-if)# exit
    !
    !E0 là cổng bên trong, đấu vào LAN
    !

    Router(config)# interface ethernet0

    Router(config-if)# service-policy input mark-P2P

    Router(config-if)# ip access-group block-P2P out

    Thông thường, nếu chặn nhiều ứng dụng thì có thể dùng các giá trị DSCP khác nhau cho các lớp lưu lượng khác nhau. Ví dụ như DSCP bằng 1 cho worms và DSCP bằng 2 cho P2P.
    - Chặn các địa chỉ web dùng NBAR
    Ví dụ dưới đây sẽ dùng NBAR để lọc hai web site là “vnpro.org” và “tuoitre.com.vn”.
    !
    version 12.4
    !
    !
    hostname GW
    !
    ! Cấu hình router dùng DNS server của VDC
    !
    ip name-server 203.162.4.190
    !
    !
    class-map match-any BLOCKWEB
    match protocol http host "vnpro.org"
    match protocol http host "tuoitre.com.vn"
    !
    policy-map mark-traffic
    class BLOCKWEB
    set ip dscp 1
    !
    !
    interface FastEthernet0/0
    ip address 192.168.1.1 255.255.255.0
    ip nat inside
    ip virtual-reassembly
    service-policy input mark-traffic
    !
    !
    !Cấu hình cổng bên ngoài xin địa chỉ qua DHCP server.
    !
    interface FastEthernet0/1
    ip address dhcp
    ip access-group webfliter out
    ip nat outside

    !
    !Cấu hình default route đi ra ngoài Internet
    !
    ip route 0.0.0.0 0.0.0.0 10.215.219.254
    !
    !Cấu hình NAT để các máy bên trong mạng đi ra Internet được
    ip nat inside source list 1 interface FastEthernet0/1 overload
    !
    ! Access list này sẽ loại bỏ những traffic đã bị đánh dấu DSCP 1
    ip access-list extended webfliter
    deny ip any any dscp 1 log
    permit ip any any
    !
    access-list 1 permit 192.168.1.0 0.0.0.255
    !
    end
    Đặng Quang Minh, CCIEx2#11897 (Enterprise Infrastructure, Wireless), DEVNET, CCSI#31417

    Email : dangquangminh@vnpro.org
    https://www.facebook.com/groups/vietprofessional/

    Comment


    • #3
      Thầy cho em hỏi trong phần cấu hình lọc web ở trên chỉ lọc URL, còn nếu muốn lọc theo keyword thì được không thầy

      Comment


      • #4
        Hi

        Keyword nằm trong URL thì có thể được. Còn keyword nằm trong phần payload/content thì router làm không được. Bạn chuyển chức năng đó sang cho Firewall thực hiện để giảm tải cho router đi.

        Ngoài ra bạn có thể dùng Websense lam URL database cho router.
        Đặng Quang Minh, CCIEx2#11897 (Enterprise Infrastructure, Wireless), DEVNET, CCSI#31417

        Email : dangquangminh@vnpro.org
        https://www.facebook.com/groups/vietprofessional/

        Comment


        • #5
          Originally posted by dangquangminh View Post
          Lab dùng NBAR để chặn Virus và các chương trình P2P.
          • Code Red worm
          • Nimda virus/worm
          • P2P program usage
          • Chặn các địa chỉ web trên Internet
          I. Sơ đồ lab.
          - Gắn cáp như hình vẽ.
          Sơ đồ gắn cable ở chỗ nào vậy anh?
          Em ko thấy cái sơ đồ nào để load cả. Hic
          Mong anh chỉ giúp
          Last edited by ducnvtk4; 11-05-2010, 10:19 AM.
          ---Kiss__Pro---
          Y!M:ducnv_tk4@yahoo.com
          G!M:ledungutehy2010@gmail.com
          :53::|:100:

          Comment


          • #6
            Sơ đồ bài này đơn giản chỉ dùng 1 router:

            Your LAN---Router gatewat---Internet
            Đặng Quang Minh, CCIEx2#11897 (Enterprise Infrastructure, Wireless), DEVNET, CCSI#31417

            Email : dangquangminh@vnpro.org
            https://www.facebook.com/groups/vietprofessional/

            Comment

            Working...
            X