Filtragem de sites via IOS

7

Nossa rede de escritórios usa o roteador 1921 / K9 junto com o comutador SG300 L3 (e alguns outros comutadores L2), todos com módulos básicos. Se quiséssemos impedir os funcionários de visitar determinados sites, qual seria a melhor maneira de fazer isso com o equipamento atual?

cisco security cisco-isr lamp_scaler
fonte
@WaxTrax yes. já fiz isso. mas atualizá-lo é meio difícil. como é possível gerenciar de maneira fácil e centralizada todos os arquivos de hosts de todos os computadores do escritório?
lamp_scaler
2
construa uma imagem de VM linux e execute um proxy squid ... esta é a maneira "correta" de filtrar o tráfego da Web gratuitamente com o kit existente, mas você precisará estar familiarizado com algum sabor do * nix. Adicione dansguardian e você pode até obter pontos interessantes do seu chefe por filtrar conteúdo obsceno.
Mike Pennington
@ MikePennington, onde se encaixa o proxy squid na configuração de rede?
lamp_scaler
Do lado da LAN, mesma sub-rede como o seu router WAN ... verifique o servidor falha para obter informações sobre a configuração do squid
Mike Pennington
Não houve menção de um firewall na configuração. O novo Cisco ASA-X com CX AVC e WSE pode ser posto em prática.
generalnetworkerror

Respostas:

7

O filtro de um homem pobre pode ser implementado usando o NBAR para corresponder ao URL que você deseja bloquear e depois eliminar o tráfego correspondente.

Por exemplo, se você quiser bloquear o Google, poderá usar o seguinte

class-map match-any BlockGoogle
    match protocol http url *.google.*

policy-map BlockGoogle
   class BlockGoogle
       drop

interface gig 0/1
    description WAN Interface
    ip address 4.2.2.1 255.255.255.252
    service-policy output BlockGoogle

Como este é um mapa de classe correspondente a qualquer outra, você pode adicionar mais URLs para corresponder à classe.

Nota: A correspondência com base na URL precisará ser feita em 1921, não na opção L2 / 3.

bigmstone
fonte
Isso ainda funciona se o usuário configurar um proxy nas configurações do navegador da web?
lamp_scaler
Se não me engano, ele deve bloquear o tráfego do proxy, pois normalmente apenas faz uma solicitação HTTP padrão para o IP do proxy. Isso, no entanto, não bloquearia contra um túnel. Também é importante observar que proxy significa muitas coisas diferentes. Existem sites criados que permitem que você use quase um navegador em um navegador. Isso não impediria isso, a menos que você tenha o site bloqueado. Eu formei minha resposta com base na sua pergunta, mas se você quiser um filtro com mais recursos, usar o NBAR é / não é o caminho a percorrer. Usar algo como Websense, IronPort Web Filter, Barracuda etc. seria o melhor.
bigmstone
Eu vejo. É possível ajustar essa configuração NBAR para que ela seja aplicada apenas a determinados endereços MAC, IPs ou VLANS?
lamp_scaler
Sim, mas você teria que criar um mapa de classe para cada site que você deseja bloquear. Você pode criar uma declaração correspondente a todos que match protocol http urlcorresponderia a uma ACL criada para corresponder aos seus hosts. Se for baseado em uma VLAN, você poderá aplicar a política de serviço original à sub-interface do roteador da qual o tráfego entra.
bigmstone
2

Na minha experiência, o que fiz foi o seguinte:

1) Configure uma sessão SPAN no switch L3 e envie o tráfego para uma porta de destino que fará o monitoramento. 2) Configure o Websense para monitorar o tráfego do site, configurando políticas para o que é e o que não é permitido.

Eu sei que provavelmente não é exatamente o que você está procurando, mas esse é o básico em poucas palavras. Apenas ter um roteador e um switch L3 não permite monitorar / bloquear o tráfego do site. Existem outros produtos lá fora, além do Websense, como o Dansguardian, que farão o truque, mas o Websense é provavelmente o mais fácil de configurar, mas também um dos mais caros em termos de requisitos de licenciamento e hardware.

O que você também deve levar em consideração ao monitorar o tráfego do site é o tamanho da sua rede. Se você estiver monitorando mais de 200 clientes, eu não recomendaria nada menos que uma caixa Quad Core Xeon com Dual Gigabit Link e 8 GB de RAM no mínimo. O dimensionamento é muito importante ao decidir monitorar o tráfego, pois a caixa que monitora pode potencialmente bloquear o tráfego de saída o suficiente para que os superiores decidam retirar a caixa da rede para você.

Essa tem sido minha experiência com o monitoramento do tráfego do site. Quais são seus pensamentos?

infinisource
fonte
1

Outra alternativa é bloquear os URLs, de conceito semelhante ao arquivo HOSTS, no servidor DNS (supondo que você esteja executando seu próprio servidor DNS).

Por exemplo, se o IOS estiver executando o servidor DNS, você poderá adicionar:

Roteador (config) # host IP facebook.com 127.0.0.1

Ou você pode substituir 127.0.0.1 pelo IP de talvez um servidor Web simples com uma página estática listando quais sites são proibidos e por quê.

WaxTrax
fonte
posso usar esta sintaxe: * .facebook.com para restringir todos os subdomínios?
lamp_scaler