[VN networking] webfilter

[ledungutehy 2010]

Phát huy cái tinh thần học tập củ chuối của anh em. :))
Bài lab hôm trc về chặn website. Hôm nay tớ làm đc rồi. Ko biết anh em thế nào có j góp ý chút.
int f1/0 nối với máy LAN ip 10.1.1.1/24
int f0/0 nối với internet ip 192.168.1.235
Cấu hình file đính kèm
Thanks

--
Best Regard !
Nguyen Van Duc (Mr.)/ IT System
TIG Coporation JSC.
Add: 1907, 19th fl, 101 Lang Ha - Dong Da - Ha Noi.
Tel:  04 3562 6134  ext: 106
Mobile: (84) 98 697-5257
Email: du...@tig.vn
Website: http://www.tig.vn

[Đoàn Quang Hòa]

hi all, đương nhiên nếu dùng DSCP và class-map thì sẽ filter được, nhưng thằng này không hiểu ý anh em,
hôm trước là đưa ra ví dụ, đang muốn chặn truy cập website bằng access-list extend, chứ nếu làm thế này thì là chặn theo chuỗi kí tự, không liên quan đến ACLs,

Đây là tạo ra class http và match nếu thấy request là chuỗi trong dấu " "... thì blocked, permit 30%, 50% bandwidth ...

Dù sao cũng phát huy.
BRs

2010/5/11 ledungutehy 2010 <ledungu...@gmail.com>

--
Doan Quang Hoa
Cisco : NP, SP
Mobile : 09.444.3456.3
HPT VietNam Corp - HSI : System Integration Engineer
Tel : (04) 35738088  Ext : 4310
E-mail : ho...@hpt.vn
---------------------------------------------------
VNE - VnExperts Academy : Cisco Instructor (over 18h pm)
Tel : (04) 37623389

[Đoàn Quang Hòa]

À mà ducnv có hiểu cái DCSP là cái gì không ???

[ledungutehy 2010]

:)) đọc cái bài này nên cũng hiểu đôi chút
http://vn.360plus.yahoo.com/bomcuoi/article?mid=77
trong đó có sử dụng access-list đặt tên mà nhỉ

2010/5/11 Đoàn Quang Hòa <hoad...@gmail.com>

[Đoàn Quang Hòa]

Dưới đây là tham khảo chi tiết bài LAB của anh Minh (vnpro)

Thường thì việc dùng policies sẽ được áp dụng trên firewall, vì thực chất router rất "oải" khi chạy các policies này, khuyến cáo là chỉ nên dùng  ACLs với số lượng ít trên router.

[quote]

bạn có thể tham khảo cấu hình bên dưới. Cấu hình lab này đã kiểm tra và chạy tốt.
---------
Lab dùng NBAR để chặn Virus và các chương trình P2P.
• Code Red worm
• Nimda virus/worm
• P2P program usage
• Chặn các địa chỉ web trên Internet

I. Sơ đồ lab.
- Gắn cáp như hình vẽ.

II. Cấu hình
Using NBAR to Detect Code Red Attacks

Router(config)# class-map match-any code-red-attacks

Router(config-cmap)# match protocol http url "*.ida*"

Router(config-cmap)# match protocol http url "*cmd.exe*"

Router(config-cmap)# match protocol http url "*root.exe*"

Router(config-cmap)# exit

Router(config)# policy-map mark-code-red

Router(config-pmap)# class code-red-attacks

Router(config-pmap-c)# set ip dscp 1

Router(config-pmac-c)# exit

Router(config)# interface ethernet1

Router(config-if)# service-policy input mark-code-red

Router(config-if)# exit

Router(config)# ip access-list extended block-code-red

Router(config-ext-nacl)# deny ip any any dscp 1 log

Router(config-ext-nacl)# permit ip any any

Router(config-ext-nacl)# exit

Router(config)# interface ethernet0

Router(config-if)# ip access-group block-code-red out

Ví dụ trên tạo ra một class map có tên gọi là code-red-attack, trong đó, các thông điệp http request có chứa “default.ida”, “Cmd.exe” và “root.exe” sẽ được tìm. Một policy sẽ gán giá trị DSCP bằng 1 cho các traffic này. Sau đó policy sẽ được áp vào cổng bên ngoài của router. Một ACL sẽ được tạo ra và loại bỏ những traffic có DSCP 1 ở cổng bên trong của router, theo chiều đi ra.

- NBAR và Nimda
Nimda lan truyền dùng cơ chế sau:
- Khi có một người dùng click vào một attachment có virus, nó sẽ chạy tự động.
- Dùng backdoor trong MS IIS để giành quyền truy cập web server.
Virus NIMDA có thể tấn công theo nhiều hướng khác nhau: email attachment, Javascripts, bug trong IIS. Vì vậy, trong ví dụ dưới đây, ta dùng NBAR để ngăn ngừa và chặn chỉ qua hướng web đến server IIS bên trong.
Cấu hình router nhận dạng NIMDA
Router(config)# class-map match-any nimda-attacks

Router(config-cmap)# match protocol http url "*.ida*"

Router(config-cmap)# match protocol http url "*cmd.exe*"

Router(config-cmap)# match protocol http url "*root.exe*"

Router(config-cmap)# match protocol http url "*readme.eml*"

Router(config-cmap)# exit

Router(config)# policy-map mark-nimda

Router(config-pmap)# class nimda-attacks

Router(config-pmap-c)# set ip dscp 1

Router(config-pmac-c)# exit

Router(config)# interface ethernet1

Router(config-if)# service-policy input mark-nimda

Router(config-if)# exit

Router(config)# ip access-list extended block-nimda

Router(config-ext-nacl)# deny ip any any dscp 1 log

Router(config-ext-nacl)# permit ip any any

Router(config-ext-nacl)# exit

Router(config)# interface ethernet0

Router(config-if)# ip access-group block-nimda out


Trong ví dụ này, sự khác biệt chỉ là file *readme.eml* so với ví dụ trước. Từ IOS 12.3(4)T trở về sau, bạn có thể dùng NBAR để kiểm tra những kiểu tấn công cho các dịch vụ khác, ví dụ như POP3 hay SMTP.
- Chặn các chương trình P2P

Router(config)# class-map match-any P2P-usage

Router(config-cmap)# match protocol gnutella

Router(config-cmap)# match protocol gnutella file-transfer "*"

Router(config-cmap)# match protocol fasttrack

Router(config-cmap)# match protocol fasttrack file-transfer "*"

Router(config-cmap)# match napster non-std

Router(config-cmap)# match kazaa2

Router(config-cmap)# match protocol socks

Router(config-cmap)# exit

Router(config)# policy-map mark-P2P

Router(config-pmap)# class P2P-usage

Router(config-pmap-c)# set ip dscp 2

Router(config-pmac-c)# exit

Router(config)# ip access-list extended block-P2P

Router(config-ext-nacl)# deny ip any any dscp 2 log

Router(config-ext-nacl)# ! <--other ACL statements-->

Router(config-ext-nacl)# permit ip any any

Router(config-ext-nacl)# exit

!
!E1 là cổng bên ngoài của Router đấu ra Internet

!
Router(config)# interface ethernet1

Router(config-if)# service-policy input mark-P2P

Router(config-if)# ip access-group block-P2P out

Router(config-if)# exit
!
!E0 là cổng bên trong, đấu vào LAN
!

Router(config)# interface ethernet0

Router(config-if)# service-policy input mark-P2P

Router(config-if)# ip access-group block-P2P out

Thông thường, nếu chặn nhiều ứng dụng thì có thể dùng các giá trị DSCP khác nhau cho các lớp lưu lượng khác nhau. Ví dụ như DSCP bằng 1 cho worms và DSCP bằng 2 cho P2P.
- Chặn các địa chỉ web dùng NBAR
Ví dụ dưới đây sẽ dùng NBAR để lọc hai web site là “vnpro.org” và “tuoitre.com.vn”.
!
version 12.4
!
!
hostname GW
!
! Cấu hình router dùng DNS server của VDC
!
ip name-server 203.162.4.190
!
!
class-map match-any BLOCKWEB
match protocol http host "vnpro.org"
match protocol http host "tuoitre.com.vn"
!
policy-map mark-traffic
class BLOCKWEB
set ip dscp 1
!
!
interface FastEthernet0/0
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly
service-policy input mark-traffic
!
!
!Cấu hình cổng bên ngoài xin địa chỉ qua DHCP server.
!
interface FastEthernet0/1
ip address dhcp
ip access-group webfliter out
ip nat outside

!
!Cấu hình default route đi ra ngoài Internet
!
ip route 0.0.0.0 0.0.0.0 10.215.219.254
!
!Cấu hình NAT để các máy bên trong mạng đi ra Internet được
ip nat inside source list 1 interface FastEthernet0/1 overload
!
! Access list này sẽ loại bỏ những traffic đã bị đánh dấu DSCP 1
ip access-list extended webfliter
deny ip any any dscp 1 log
permit ip any any
!
access-list 1 permit 192.168.1.0 0.0.0.255
!
end

Đặng Quang Minh, CCIE#11897 CCSI#31417
Email: dangqu...@vnpro.org


Viet Professionals Co. Ltd. (VnPro)
149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
Tel: (08) 35124257 Fax: (08) 35124314
Home :http://www.vnpro.vn
Blog :http://vnpro.org/blog
Support forum :http://vnpro.org
LiveChat :http://vnpro.vn/support

[/quote]



p/s:
+ DucNV nên đọc phần Class-map và Policy-map trong slides 9,10,11 (bộ slide firewall PIX hôm trước copy).
+ KS và VH chắc chắn phải đọc cái này và nhớ như "bảng cửu chương" nếu muốn advance về PIX/ASA

thanks DucNV về tinh thần học hỏi, nên nắm lấy bản chất, không được theo bước chân ông Thành VNPT

[ledungutehy 2010]

Chuẩn. Thanks các bạn nhiều.

2010/5/11 Đoàn Quang Hòa <hoad...@gmail.com>

[Nguyen Van Hoa]

Đức làm được bài chặn website này đúng là không theo cách anh em bảo là chỉ cần dùng ACL, kiến thức về DSCP là khá mới mẻ với mọi người ! nhưng cũng hoan hô tinh thần tự học hỏi thêm kiến thức mới của bạn Đức !

Thank Đức!

2010/5/11 ledungutehy 2010 <ledungu...@gmail.com>

--
          Hỏi thế gian tình là chi ?
  Mà đôi lứa thề nguyền sống chết

[ledungutehy 2010]

Tại tớ ko hiểu ý ban đầu. Tưởng là anh em chỉ bảo là chặn đc là đc. Hic
Sorry. Sẽ cố gắng tìm hiểu thêm. Mong đc giúp đỡ

2010/5/11 Nguyen Van Hoa <vanho...@gmail.com>

[Đoàn Quang Hòa]

Về mảng DSCP là phần khá khó nếu ai theo Cisco muốn tìm hiểu kĩ, với DSCP và IP predence mọi người nếu cần tìm hiểu thì nên đọc trong cuốn ONT của CCNP bản cũ.
Nói sơ lược, đây là bộ số bit sử dụng nhiều trong QoS, bác nào học CCDP và CCIP thì cần dùng (làm việc bên ISP)

[Nguyen Van Hoa]

Tiện thể nhắc đến Router, Hòadq có thể bổ sung thêm kiến thức cho mọi người trên Router cấu hình trỏ mạng LAN đến con DNS server cũng trong mạng LAN đó để các user bên trong có thể gõ tên miền của các web server cũng trong mạng LAN đó mà vẫn vào ok  được không ?

2010/5/11 Đoàn Quang Hòa <hoad...@gmail.com>

[Nguyen Van Hoa]

Hòadq có hiểu mô hình tớ hỏi không ?

2010/5/11 Đoàn Quang Hòa <hoad...@gmail.com>

[Đoàn Quang Hòa]

Hoan nghênh tinh thần học hỏi, đương nhiên nếu áp cấu hình đó vào, thì chạy đúng theo yêu cầu, nhưng vấn đề cần bây giờ là :

3 thằng còn lại phải hiểu tại sao nó lại cấu hình như thế, class-map, policy-map, dscp... không đơn giản để hiểu.

Đây là việc router sử dụng nhờ các services lớp 7 (OSI) sau đó match vào các ACLs của nó hoạt động ở lớp 3,4 (OSI)

...........
Mọi người hãy thử đọc 3 slide : 9,10,11 trong bộ slide hôm trước, rất hay, nhưng không hề đơn giản.

[ledungutehy 2010]

Cái này tớ nghĩ thế này ko biết có đúng ko?
Bây giờ mình dựng 1 máy server cài và cấu hình iis dns và tạo 1 site j j đó.
Đặt cái cái card mạng là vmnet1 chẳng hạn sau đó đặt ip cho nó theo kiểu 192.168.1.101 và dns trỏ vào chính nó
Dùng 1 đám mây và add cái vmnet1 vào nối với router.
Trên router thì mình cấu hình cái name-server và ip route.... trỏ vào cái 192.168.1.101 (thay vì cấu hình ra internet qua cái modem)
Thêm cái đám mây nữa add card mạng của client vào.
Đặt cái dns của client là ip của server web local kia.
Mình nghĩ là sẽ ok.
Sẽ test thử. Mong ý kiến của các bạn

2010/5/11 Nguyen Van Hoa <vanho...@gmail.com>

Tiện thể nhắc đến Router, Hòadq có thể bổ sung thêm kiến thức cho mọi người trên Router cấu hình trỏ mạng LAN đến con DNS server cũng trong mạng LAN đó để các user bên trong có thể gõ tên miền của các web server cũng trong mạng LAN đó mà vẫn vào ok  được không ?

[Đoàn Quang Hòa]

Uh, hiểu rồi, đang bận chút, lát sẽ trả lời. OK đi

2010/5/11 Nguyen Van Hoa <vanho...@gmail.com>

Hòadq có hiểu mô hình tớ hỏi không ?

[Đoàn Quang Hòa]

Hi all,
HoaNV hỏi câu rất hay, câu mà cả không ít dân Cisco hỏi
DucNV trả lời cũng hay nhưng không chuẩn lắm,

Router Cisco không thể nào là một DNS server được, việc trỏ của router (theo VH nói) có chăng chỉ là việc định tuyến, việc quan trọng vẫn là các PC riêng lẻ phải đặt DNS trỏ đến DNS server giả lập kia.

Tối có gì nói dài dài về vấn đề này.

[ledungutehy 2010]

Trả lời thật là vãi l`````````````` :)). Ok tối họp nhóm trên yahoo nhé.
Cũng thấy cái thằng KS online mà sao ko thấy chém gió tý nào nhỉ?
Các bạn thật là VI EO

2010/5/11 Đoàn Quang Hòa <hoad...@gmail.com>

Hi all,

[Nguyen Van Hoa]

Trên PC client việc đặt DNS trỏ đến DNS server giả lập là hoàn toàn chuẩn xác, nhưng cũng phải có cơ chế gì để Router trỏ nó đến con server đó chứ ?

2010/5/11 Đoàn Quang Hòa <hoad...@gmail.com>

Hi all,

[ngô khải]

đây là cách chặn không cho pc ra ngoài internet (chặn web) bằng ACLs. Ducnv tham khảo nè :))

Vào 16:09 Ngày 11 tháng 5 năm 2010, Đoàn Quang Hòa <hoad...@gmail.com> đã viết:

--
Họ tên       Ngô Văn KHải
lớp            TK4
Trường      ĐHSPKT Hưng Yên
Điện thoại  0982 352 687

[Nguyen Van Hoa]

Mình vừa tìm được 2 link này đọc cũng thấy khá hay nhưng ko hiểu cơ chế và không có cách nào cấu hình xác minh được . Hjx dốt Microsoft khổ thể chẳng biết dựng con DNS server ra sao !

http://vnpro.org/forum/showthread.php/16231-%C4%90%E1%BB%91-vui-13-Router-c%C3%B3-l%C3%A0m-DNS-server-%C4%91%C6%B0%E1%BB%A3c-kh%C3%B4ng

http://forum.saobacdau-acad.vn/archive/index.php?t-2108.html

Anh em xem thử nha !

2010/5/11 Nguyen Van Hoa <vanho...@gmail.com>

Trên PC client việc đặt DNS trỏ đến DNS server giả lập là hoàn toàn chuẩn xác, nhưng cũng phải có cơ chế gì để Router trỏ nó đến con server đó chứ ?

[ledungutehy 2010]

Tớ hiểu thô sơ thế này ko biết có đúng ko nhé?
Router mình sẽ ip route 0.0.0.0 0.0.0.0 192.168.1.101 (ip server giả lập)
ip name-server 192.168.1.101 (dns của server giả lập)
vậy thì khi mà client mà request cái site ví dụ như http://cuchuoi.com.vn (tạo trên server web)
thì request này sẽ đc gửi tới 192.168.1.101 và nó sẽ resolve bình thường.

2010/5/11 Nguyen Van Hoa <vanho...@gmail.com>

Trên PC client việc đặt DNS trỏ đến DNS server giả lập là hoàn toàn chuẩn xác, nhưng cũng phải có cơ chế gì để Router trỏ nó đến con server đó chứ ?

[ledungutehy 2010]

Cái eq www đó tớ cũng thử rồi. Nhưng ko hiểu sao thấy nó deny hết :D
Mặc dù ở dưới cũng có permit any any

2010/5/11 ngô khải <ngok...@gmail.com>

[Đoàn Quang Hòa]

Vì www liên quan đến ip và icmp.

Buổi họp tối nay về vấn đề DNS trên router.
Anh em vào Comfirm. 21h

2010/5/11 ledungutehy 2010 <ledungu...@gmail.com>

[ledungutehy 2010]

Ok.

2010/5/11 Đoàn Quang Hòa <hoad...@gmail.com>

Vì www liên quan đến ip và icmp.

[Đoàn Quang Hòa]

Đề nghị cái DNS anh em cứ tìm hiểu đi, tối chat nhóm, đừng pm "bố láo" nhé. :))

to DucNV : mày ip route default rồi trỏ về con DNS server , thế thì giải quyết vấn đề gì... thế các gói tin khác dns-packet xử lý kiểu gì???

[ledungutehy 2010]

Đang giải quyết cái vào bằng tên miền trên client của chú bống thôi mà.
Nói j tới cái khác dns-packet đâu. Hic

2010/5/11 Đoàn Quang Hòa <hoad...@gmail.com>

[Nguyen Van Hoa]

Bạn Hòadq nói đúng đấy đấy nếu dùng ip route default các gói tin khác cũng được tống hết qua cổng tới con server đây !

2010/5/11 ledungutehy 2010 <ledungu...@gmail.com>