Filtrado de sitios web a través de IOS

7

Nuestra red de oficinas utiliza el enrutador 1921 / K9 junto con el conmutador SG300 L3 (y algunos otros conmutadores L2), todos con módulos base. Si quisiéramos impedir que los empleados visiten ciertos sitios web, ¿cuál sería la mejor manera de hacerlo con el equipo actual?

cisco security cisco-isr lamp_scaler
fuente
@WaxTrax sí. He hecho eso. pero actualizarlo es una molestia. ¿Cómo se maneja de manera fácil y centralizada todos los archivos de host de cada computadora en la oficina?
lamp_scaler
2
cree una imagen de VM de Linux y ejecute un proxy de calamar ... esta es la forma "correcta" de filtrar el tráfico web de forma gratuita con su kit existente, pero deberá familiarizarse con un poco de * nix. Agregue dansguardian e incluso podría obtener puntos interesantes de su jefe por filtrar contenido obsceno.
Mike Pennington
@MikePennington, ¿dónde se ajusta el proxy de calamar en la configuración de la red?
lamp_scaler
En el lado de la LAN, la misma subred que su enrutador WAN ... verifique Falla del servidor para obtener información sobre la configuración de calamar
Mike Pennington
No se mencionó un cortafuegos en la configuración. El nuevo Cisco ASA-X con CX AVC y WSE podría ponerse a prueba.
generalnetworkerror

Respuestas:

7

El filtro de un hombre pobre se puede implementar utilizando NBAR para que coincida con la URL que desea bloquear y luego descarte el tráfico que coincida.

Por ejemplo, si desea bloquear Google, puede usar lo siguiente

class-map match-any BlockGoogle
    match protocol http url *.google.*

policy-map BlockGoogle
   class BlockGoogle
       drop

interface gig 0/1
    description WAN Interface
    ip address 4.2.2.1 255.255.255.252
    service-policy output BlockGoogle

Debido a que este es un mapa de clase de coincidencias, puede agregar más URL para que coincidan en la clase.

Nota: La coincidencia basada en URL deberá realizarse en 1921, no en el conmutador L2 / 3.

bigmstone
fuente
¿Esto todavía funciona si el usuario configura un proxy dentro de la configuración de su navegador web?
lamp_scaler
Si no me equivoco, debería bloquear el tráfico del proxy, ya que normalmente solo realiza una solicitud HTTP estándar a la IP del proxy. Esto, sin embargo, no se bloquearía contra un túnel. También es importante tener en cuenta que proxy significa muchas cosas diferentes. Hay sitios web configurados que le permiten usar un navegador dentro de un navegador casi. Esto no bloqueará contra eso a menos que tenga ese sitio bloqueado. Formulé mi respuesta en función de su pregunta, pero si desea un filtro más completo, entonces usar NBAR es / no / el camino a seguir. Usar algo como Websense, IronPort Web Filter, Barracuda, etc. sería lo mejor.
bigmstone 05 de
Veo. ¿Es posible ajustar esta configuración NBAR para que solo se aplique a ciertas direcciones MAC, IP o VLAN?
lamp_scaler
Sí, pero tendrías que crear un mapa de clase para cada sitio web que quieras bloquear. Puede crear una declaración que coincida con todos match protocol http urly luego una declaración para que coincida con una ACL que está diseñada para que coincida con sus hosts. Si se basa en una VLAN, puede aplicar la política de servicio original a la interfaz secundaria en el enrutador desde el que ingresa el tráfico.
bigmstone
2

En mi experiencia, lo que he hecho es esto:

1) Configure una sesión SPAN en el conmutador L3 y envíe el tráfico a un puerto de destino que realizará la supervisión. 2) Configure Websense para monitorear el tráfico del sitio web configurando políticas para lo que está y no está permitido.

Sé que probablemente no sea exactamente lo que estás buscando, pero eso es lo básico en pocas palabras. Solo tener un enrutador y un interruptor L3 no le permite monitorear / bloquear el tráfico del sitio web. Existen otros productos además de Websense, como Dansguardian, que harán el truco, pero Websense es probablemente el más fácil de configurar, pero también uno de los más caros en términos de licencias y requisitos de hardware.

Lo que también debe tener en cuenta al monitorear el tráfico del sitio web es el tamaño de su red. Si está monitoreando más de 200 clientes, no recomendaría nada menos que una caja Quad Core Xeon con Dual Gigabit Link y 8GB de RAM como mínimo. El dimensionamiento es muy importante al decidir monitorear el tráfico, ya que la caja que monitorea podría ahogar el tráfico saliente lo suficiente como para que los superiores decidan sacar la caja de la red por usted.

Esa ha sido mi experiencia con el monitoreo del tráfico del sitio web, ¿qué piensas?

infinisource
fuente
1

Otra alternativa es bloquear las URL, similares en concepto al archivo HOSTS, en el servidor DNS (suponiendo que esté ejecutando su propio servidor DNS).

Por ejemplo, si IOS está ejecutando el servidor DNS, puede agregar:

Router (config) # host ip facebook.com 127.0.0.1

O podría reemplazar 127.0.0.1 con la IP de quizás un simple servidor web con una página estática que enumera qué sitios están prohibidos y por qué.

WaxTrax
fuente
¿puedo usar esta sintaxis: * .facebook.com para restringir todos los subdominios?
lamp_scaler