chào mọi người, có bạn nào biết cách cấu hình lọc nội dung trên router cisco thì chỉ mình với, mình đang sử dụng router cisco 2811, mình muốn cấu hình để router content filter bằng keyword khai báo trên router mà không cần thông database của server nào cả.
Announcement
Collapse
No announcement yet.
content filter trên router cisco
Collapse
X
-
bạn có thể tham khảo cấu hình bên dưới. Cấu hình lab này đã kiểm tra và chạy tốt.
---------
Lab dùng NBAR để chặn Virus và các chương trình P2P.
• Code Red worm
• Nimda virus/worm
• P2P program usage
• Chặn các địa chỉ web trên Internet
I. Sơ đồ lab.
- Gắn cáp như hình vẽ.
II. Cấu hình
Using NBAR to Detect Code Red Attacks
Router(config)# class-map match-any code-red-attacks
Router(config-cmap)# match protocol http url "*.ida*"
Router(config-cmap)# match protocol http url "*cmd.exe*"
Router(config-cmap)# match protocol http url "*root.exe*"
Router(config-cmap)# exit
Router(config)# policy-map mark-code-red
Router(config-pmap)# class code-red-attacks
Router(config-pmap-c)# set ip dscp 1
Router(config-pmac-c)# exit
Router(config)# interface ethernet1
Router(config-if)# service-policy input mark-code-red
Router(config-if)# exit
Router(config)# ip access-list extended block-code-red
Router(config-ext-nacl)# deny ip any any dscp 1 log
Router(config-ext-nacl)# permit ip any any
Router(config-ext-nacl)# exit
Router(config)# interface ethernet0
Router(config-if)# ip access-group block-code-red out
Ví dụ trên tạo ra một class map có tên gọi là code-red-attack, trong đó, các thông điệp http request có chứa “default.ida”, “Cmd.exe” và “root.exe” sẽ được tìm. Một policy sẽ gán giá trị DSCP bằng 1 cho các traffic này. Sau đó policy sẽ được áp vào cổng bên ngoài của router. Một ACL sẽ được tạo ra và loại bỏ những traffic có DSCP 1 ở cổng bên trong của router, theo chiều đi ra.
- NBAR và Nimda
Nimda lan truyền dùng cơ chế sau:
- Khi có một người dùng click vào một attachment có virus, nó sẽ chạy tự động.
- Dùng backdoor trong MS IIS để giành quyền truy cập web server.
Virus NIMDA có thể tấn công theo nhiều hướng khác nhau: email attachment, Javascripts, bug trong IIS. Vì vậy, trong ví dụ dưới đây, ta dùng NBAR để ngăn ngừa và chặn chỉ qua hướng web đến server IIS bên trong.
Cấu hình router nhận dạng NIMDA
Router(config)# class-map match-any nimda-attacks
Router(config-cmap)# match protocol http url "*.ida*"
Router(config-cmap)# match protocol http url "*cmd.exe*"
Router(config-cmap)# match protocol http url "*root.exe*"
Router(config-cmap)# match protocol http url "*readme.eml*"
Router(config-cmap)# exit
Router(config)# policy-map mark-nimda
Router(config-pmap)# class nimda-attacks
Router(config-pmap-c)# set ip dscp 1
Router(config-pmac-c)# exit
Router(config)# interface ethernet1
Router(config-if)# service-policy input mark-nimda
Router(config-if)# exit
Router(config)# ip access-list extended block-nimda
Router(config-ext-nacl)# deny ip any any dscp 1 log
Router(config-ext-nacl)# permit ip any any
Router(config-ext-nacl)# exit
Router(config)# interface ethernet0
Router(config-if)# ip access-group block-nimda out
Trong ví dụ này, sự khác biệt chỉ là file *readme.eml* so với ví dụ trước. Từ IOS 12.3(4)T trở về sau, bạn có thể dùng NBAR để kiểm tra những kiểu tấn công cho các dịch vụ khác, ví dụ như POP3 hay SMTP.
- Chặn các chương trình P2P
Router(config)# class-map match-any P2P-usage
Router(config-cmap)# match protocol gnutella
Router(config-cmap)# match protocol gnutella file-transfer "*"
Router(config-cmap)# match protocol fasttrack
Router(config-cmap)# match protocol fasttrack file-transfer "*"
Router(config-cmap)# match napster non-std
Router(config-cmap)# match kazaa2
Router(config-cmap)# match protocol socks
Router(config-cmap)# exit
Router(config)# policy-map mark-P2P
Router(config-pmap)# class P2P-usage
Router(config-pmap-c)# set ip dscp 2
Router(config-pmac-c)# exit
Router(config)# ip access-list extended block-P2P
Router(config-ext-nacl)# deny ip any any dscp 2 log
Router(config-ext-nacl)# ! <--other ACL statements-->
Router(config-ext-nacl)# permit ip any any
Router(config-ext-nacl)# exit
!
!E1 là cổng bên ngoài của Router đấu ra Internet
!
Router(config)# interface ethernet1
Router(config-if)# service-policy input mark-P2P
Router(config-if)# ip access-group block-P2P out
Router(config-if)# exit
!
!E0 là cổng bên trong, đấu vào LAN
!
Router(config)# interface ethernet0
Router(config-if)# service-policy input mark-P2P
Router(config-if)# ip access-group block-P2P out
Thông thường, nếu chặn nhiều ứng dụng thì có thể dùng các giá trị DSCP khác nhau cho các lớp lưu lượng khác nhau. Ví dụ như DSCP bằng 1 cho worms và DSCP bằng 2 cho P2P.
- Chặn các địa chỉ web dùng NBAR
Ví dụ dưới đây sẽ dùng NBAR để lọc hai web site là “vnpro.org” và “tuoitre.com.vn”.
!
version 12.4
!
!
hostname GW
!
! Cấu hình router dùng DNS server của VDC
!
ip name-server 203.162.4.190
!
!
class-map match-any BLOCKWEB
match protocol http host "vnpro.org"
match protocol http host "tuoitre.com.vn"
!
policy-map mark-traffic
class BLOCKWEB
set ip dscp 1
!
!
interface FastEthernet0/0
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly
service-policy input mark-traffic
!
!
!Cấu hình cổng bên ngoài xin địa chỉ qua DHCP server.
!
interface FastEthernet0/1
ip address dhcp
ip access-group webfliter out
ip nat outside
!
!Cấu hình default route đi ra ngoài Internet
!
ip route 0.0.0.0 0.0.0.0 10.215.219.254
!
!Cấu hình NAT để các máy bên trong mạng đi ra Internet được
ip nat inside source list 1 interface FastEthernet0/1 overload
!
! Access list này sẽ loại bỏ những traffic đã bị đánh dấu DSCP 1
ip access-list extended webfliter
deny ip any any dscp 1 log
permit ip any any
!
access-list 1 permit 192.168.1.0 0.0.0.255
!
endĐặng Quang Minh, CCIEx2#11897 (Enterprise Infrastructure, Wireless), DEVNET, CCSI#31417
Email : dangquangminh@vnpro.org
https://www.facebook.com/groups/vietprofessional/
-
Hi
Keyword nằm trong URL thì có thể được. Còn keyword nằm trong phần payload/content thì router làm không được. Bạn chuyển chức năng đó sang cho Firewall thực hiện để giảm tải cho router đi.
Ngoài ra bạn có thể dùng Websense lam URL database cho router.Đặng Quang Minh, CCIEx2#11897 (Enterprise Infrastructure, Wireless), DEVNET, CCSI#31417
Email : dangquangminh@vnpro.org
https://www.facebook.com/groups/vietprofessional/
Comment
-
Originally posted by dangquangminh View PostLab dùng NBAR để chặn Virus và các chương trình P2P.
• Code Red worm
• Nimda virus/worm
• P2P program usage
• Chặn các địa chỉ web trên Internet
I. Sơ đồ lab.
- Gắn cáp như hình vẽ.
Em ko thấy cái sơ đồ nào để load cả. Hic
Mong anh chỉ giúpLast edited by ducnvtk4; 11-05-2010, 10:19 AM.---Kiss__Pro---
Y!M:ducnv_tk4@yahoo.com
G!M:ledungutehy2010@gmail.com
:53::|:100:
Comment
-
Sơ đồ bài này đơn giản chỉ dùng 1 router:
Your LAN---Router gatewat---InternetĐặng Quang Minh, CCIEx2#11897 (Enterprise Infrastructure, Wireless), DEVNET, CCSI#31417
Email : dangquangminh@vnpro.org
https://www.facebook.com/groups/vietprofessional/
Comment
Comment