Pagina 1 di 1

Filtro siti

Inviato: lun 12 giu , 2017 7:46 pm
da S0nic
Ciao a tutti,

su un Cisco 2821 avrei la necessità di filtrare alcuni siti tramite host name / url
stavo guardando il comando "ip urlfilter" ma non saprei da dove iniziare ne se effettivamente fa al caso mio

Qualcuno riesce a darmi qualche esempio o un suggerimento ?

Grazie in anticipo

Re: Filtro siti

Inviato: lun 12 giu , 2017 8:17 pm
da S0nic
ho provato la seguente config, ma blocca solo siti in http
se il sito è in https non viene bloccato

qualcuno con delle idee ?

Grazie!

Codice: Seleziona tutto

!
class-map match-any Url-Block-class
 match protocol http host "*youtube*"
 match protocol http host "*tiscali*"
!
!
policy-map Url-Block-policy
 class Url-Block-class
  drop
!
interface GigabitEthernet0/1
 service-policy input Url-Block-policy
!


Re: Filtro siti

Inviato: ven 16 giu , 2017 11:25 am
da lorbellu
Ciao,

non credo che tu abbia possibilità con il solo router. Il problema é che il router che stai utilizzando non implementa un motore UTM che effettui la DPI degli URL https. In realtà nemmeno tutti i firewall lo fanno, proprio perchè occorre una buona potenza di calcolo per "aprire" il pacchetto cifrato https e "guardare" l'URL a cui é indirizzato.
Presumo che con il solo router a disposizione tu possa agire solo in due modi:
  1. Risolvere gli URL "incriminati" (se sono pochi e NON mutanti) e filtrarli con un'ACL
  2. Operare un filtraggio su base DNS con OpenDNS, quest'ultima soluzione ti permette anche di "montare" quanto già fatto per il filtraggio http e per un singolo IP address é gratuito
Saluti

Re: Filtro siti

Inviato: ven 16 giu , 2017 9:12 pm
da S0nic
lorbellu ha scritto:Ciao,

non credo che tu abbia possibilità con il solo router. Il problema é che il router che stai utilizzando non implementa un motore UTM che effettui la DPI degli URL https. In realtà nemmeno tutti i firewall lo fanno, proprio perchè occorre una buona potenza di calcolo per "aprire" il pacchetto cifrato https e "guardare" l'URL a cui é indirizzato.
Presumo che con il solo router a disposizione tu possa agire solo in due modi:
  1. Risolvere gli URL "incriminati" (se sono pochi e NON mutanti) e filtrarli con un'ACL
  2. Operare un filtraggio su base DNS con OpenDNS, quest'ultima soluzione ti permette anche di "montare" quanto già fatto per il filtraggio http e per un singolo IP address é gratuito
Saluti
Ciao e grazie tante per la risposta!

opterei per l'opzione 1 dato che voglio continuare ad utilizzare i DNS del mio provider
solo che spesso ad un host vengono associati più IP quindi dovrei fare un'ACL con ogni IP associato all'host

non c'è un modo di inserire in una ACL l'host e non l'IP ?

Grazie

Re: Filtro siti

Inviato: mar 20 giu , 2017 11:10 am
da lorbellu
solo che spesso ad un host vengono associati più IP quindi dovrei fare un'ACL con ogni IP associato all'host
Questo é il motivo per il quale ti dicevo che l'opzione 1 è valida solo per URL fissi o limitatamene mutanti e quindi poco applicabile nella realtà
non c'è un modo di inserire in una ACL l'host e non l'IP ?
No, anche inserendo l'URL nella ACL in fase di inserimento del comando, il router (se conosce un DNS server), risolve l'URL in IP ed inserisce quello nella ACL.
Se hai a che fare con URL poco mutanti puoi operare in modo molto fantasioso, creando una applet EEM che ogni x minuti aggiorni una ACL.
Tuttavia, anche questa strada è limitata in quanto sopratutto colossi come Facebook, Youtube o affini (per dimensioni) hanno dozzine di IP ed i DNS li ciclano alla velocità della luce. Se da un'analisi più approfondita si capisce che sono summarizzabili in una o più subnet va bene ma in generale non hai garanzie.
Ergo, se il filtro è per un impiego professionale, io non arrischierei la figuraccia...

Re: Filtro siti

Inviato: mer 21 giu , 2017 4:39 pm
da S0nic
capito, grazie!

il paradosso è che anche i router forniti in comodato d'uso dai providers riescono a fare ciò

Grazie per il tuo supporto :)

Re: Filtro siti

Inviato: ven 23 giu , 2017 7:44 am
da lorbellu
anche i router forniti in comodato d'uso dai providers riescono a fare ciò
Davvero? Hai qualche esempio?

Re: Filtro siti

Inviato: ven 23 giu , 2017 5:16 pm
da S0nic
anche i tp-link lo fanno

Re: Filtro siti

Inviato: sab 24 giu , 2017 6:08 pm
da lorbellu
anche i tp-link lo fanno
Sei sicuro?
Ammetto che incuriosito dalla tua affermazione ho un po' cercato in rete e non ne ho trovati di TP-Link che facciano URL filter https (e infatti sui forum la gente si inca..za). Il problema é proprio l'https, l'URL filter http si lo fanno ma non lavorano sull'https, altrimenti non ci sarebbero in giro prodotti specializzati che lo fanno. Anche il firewall Huawei Secospace USG6310 che é stato venduto a centinaia di scuole con la recente convenzione CONSIP LAN 5 ha lo stesso problema, non puoi immaginare la delusione di queste scuole che hanno dovuto ripiegare su sistemi alternativi per poter fare una cosa per la quale hanno comprato il firewall...
A mio avviso la cosa non é banale ne dal punto di vista tecnico, ne dal punto di vista politico/commerciale.
Se da un lato infatti la tecnologia dei moderni processori, permetterebbe a basso costo le potenze di calcolo, necessarie ad "aprire" un pacchetto cifrato e poterne guardare la destinazione, la faccenda coinvolge la natura stessa della metodologia di filtraggio.
Le compagnie che creano prodotti di networking non hanno mai avuto interesse a creare un prodotto simile in quanto in giro ci sono servizi a pagamento (il più famoso é Websense) che vivono di questo, categorizzando i siti e rivendendone il servizio appunto.
Se io professionista, quindi voglio creare un filtro, lavorerò meglio e in maniera più completa, utilizzando le ricerche di questi provider, piuttosto che dover lavorare con delle blacklist statiche. Da qui l'esigenza di integrare nei prodotti i motori UTM che da un lato ispezionano i pacchetti https e dall'altro impiegano per questo servizio degli abbonamenti a pagamento annuale.
Se consideriamo poi, il campo di applicazione, un router Cisco é sostanzialmente un router professionale, e la professione dei router, per definizione é quella di inoltrare i pacchetti, non creare barriere impenetrabili o ispezionare i pacchetti, per quello esistono i firewall che lavorano sicuramente bene e meglio.
In un'ottica professionale infatti abbiamo ancora i router, i firewall e gli switch, fisici o virtualizzati che siano, ma ciascuno di essi esiste perchè la tendenza é pur sempre quella di sfruttarne le capacità specialistiche di ognuno.

Re: Filtro siti

Inviato: lun 26 giu , 2017 9:09 pm
da S0nic
posso condividere ciò che scrivi, non ho avuto un'esperienza diretta
ma a detta di un amico, impostando nome host e porta dice che riesce a bloccare tutto
poi...bho

cmq in realtà ciò che interessava a me non era proprio url filtering ma bloccare qualsiasi traffico dati verso un determinato host
fattibile anche con iptables, cisco ovviamente non ha iptales

Re: Filtro siti

Inviato: lun 26 giu , 2017 9:37 pm
da punker
se devi bloccare il traffico verso un host (deduco che sia un tuo host in lan)puoi usare una acl, e non hai bisogno del filter url....