Website-Filterung über IOS

7

Unser Büronetzwerk verwendet den 1921 / K9-Router zusammen mit dem SG300 L3-Switch (und einigen anderen L2-Switches), alle mit Basismodulen. Wenn wir Mitarbeiter daran hindern wollten, bestimmte Websites zu besuchen, was wäre der beste Weg, dies mit der aktuellen Ausrüstung zu tun?

cisco security cisco-isr lamp_scaler
quelle
@WaxTrax ja. habe das getan. Aber es zu aktualisieren ist eine Art Schmerz. Wie kann man einfach und zentral alle Hosts-Dateien jedes Computers im Büro verwalten?
lamp_scaler
2
Erstellen Sie ein Linux-VM-Image und führen Sie einen Squid-Proxy aus . Dies ist der "richtige" Weg, um den Webdatenverkehr mit Ihrem vorhandenen Kit kostenlos zu filtern. Sie müssen jedoch mit einigen * nix-Versionen vertraut sein. In dansguardian und man kann sogar kühle Punkte von Ihrem Chef zum Filtern obszöne Inhalte bekommen.
Mike Pennington
@ MikePennington Wo passt der Squid-Proxy in das Netzwerk-Setup?
lamp_scaler
Auf der LAN-Seite dasselbe Subnetz wie Ihr WAN-Router ... Überprüfen Sie Serverfehler auf Informationen zur Konfiguration von Squid
Mike Pennington
Im Setup wurde keine Firewall erwähnt. Der neue Cisco ASA-X mit CX AVC und WSE könnte in Betrieb genommen werden.
Generalnetworkerror

Antworten:

7

Der Filter eines armen Mannes kann implementiert werden, indem NBAR verwendet wird, um mit der URL übereinzustimmen, die Sie blockieren möchten, und dann den übereinstimmenden Datenverkehr gelöscht wird.

Wenn Sie beispielsweise Google blockieren möchten, können Sie Folgendes verwenden

class-map match-any BlockGoogle
    match protocol http url *.google.*

policy-map BlockGoogle
   class BlockGoogle
       drop

interface gig 0/1
    description WAN Interface
    ip address 4.2.2.1 255.255.255.252
    service-policy output BlockGoogle

Da es sich um eine beliebige Klassenzuordnung handelt, können Sie einfach weitere URLs hinzufügen, die der Klasse entsprechen.

Hinweis: Der Abgleich basierend auf der URL muss im Jahr 1921 erfolgen, nicht im L2 / 3-Switch.

Bigmstone
quelle
Funktioniert dies immer noch, wenn der Benutzer in seinen Webbrowser-Einstellungen einen Proxy einrichtet?
lamp_scaler
Wenn ich mich nicht irre, sollte es den Proxy-Verkehr blockieren, da es normalerweise nur eine Standard-HTTP-Anfrage an die IP des Proxys sendet. Dies würde jedoch nicht gegen einen Tunnel blockieren. Es ist auch wichtig zu beachten, dass Proxy viele verschiedene Dinge bedeutet. Es sind Websites eingerichtet, auf denen Sie fast einen Browser innerhalb eines Browsers verwenden können. Dies würde nicht dagegen blockieren, es sei denn, Sie haben diese Site blockiert. Ich habe meine Antwort auf der Grundlage Ihrer Frage formuliert. Wenn Sie jedoch einen Filter mit umfassenderen Funktionen wünschen, ist die Verwendung von NBAR der richtige Weg. Verwenden Sie am besten Websense, IronPort Web Filter, Barracuda usw.
Bigmstone
Aha. Ist es möglich, diese NBAR-Konfiguration so zu optimieren, dass sie nur für bestimmte MAC-Adressen, IPs oder VLANs erzwungen wird?
lamp_scaler
Ja, aber Sie müssten für jede Website, die Sie blockieren möchten, eine Klassenzuordnung erstellen. Sie können eine Match-All-Anweisung erstellen, die match protocol http urldann zu einer ACL passt, die Ihren Hosts entspricht. Wenn es auf einem VLAN basiert, können Sie einfach die ursprüngliche Servicerichtlinie auf die Subschnittstelle des Routers anwenden, von dem der Datenverkehr eingeht.
Bigmstone
2

Nach meiner Erfahrung habe ich Folgendes getan:

1) Richten Sie eine SPAN-Sitzung auf dem L3-Switch ein und senden Sie den Datenverkehr an einen Zielport, der die Überwachung übernimmt. 2) Konfigurieren Sie Websense so, dass der Website-Verkehr überwacht wird, indem Sie Richtlinien für das einrichten, was zulässig ist und was nicht.

Ich weiß, dass das wahrscheinlich nicht genau das ist, wonach Sie suchen, aber das sind die Grundlagen auf den Punkt gebracht. Nur mit einem Router und einem L3-Switch können Sie den Website-Verkehr nicht überwachen / blockieren. Neben Websense gibt es noch andere Produkte wie Dansguardian, die den Trick machen, aber Websense ist wahrscheinlich bei weitem am einfachsten einzurichten, aber auch eines der teuersten in Bezug auf Lizenz- und Hardwareanforderungen.

Was Sie bei der Überwachung des Website-Verkehrs ebenfalls berücksichtigen müssen, ist die Größe Ihres Netzwerks. Wenn Sie mehr als 200 Clients überwachen, würde ich nicht weniger als eine Quad Core Xeon-Box mit Dual Gigabit Link und mindestens 8 GB RAM empfehlen. Die Größenbestimmung ist sehr wichtig, wenn Sie sich für die Überwachung des Datenverkehrs entscheiden, da die zu überwachende Box den ausgehenden Datenverkehr möglicherweise so stark drosseln kann, dass höhere Unternehmen die Box für Sie aus dem Netzwerk ziehen.

Das war meine Erfahrung mit der Überwachung des Website-Verkehrs. Was denken Sie?

Infinisource
quelle
1

Eine andere Alternative besteht darin, die URLs auf dem DNS-Server zu blockieren, die im Konzept der HOSTS-Datei ähneln (vorausgesetzt, Sie betreiben Ihren eigenen DNS-Server).

Wenn IOS beispielsweise den DNS-Server ausführt, können Sie Folgendes hinzufügen:

Router (Konfiguration) # IP-Host facebook.com 127.0.0.1

Oder Sie können 127.0.0.1 durch die IP eines einfachen Webservers mit einer statischen Seite ersetzen, auf der aufgeführt ist, welche Websites verboten sind und warum.

WaxTrax
quelle
Kann ich diese Syntax verwenden: * .facebook.com, um alle Subdomains einzuschränken?
lamp_scaler