Filtro siti

Tutto ciò che ha a che fare con la configurazione di apparati Cisco (e non rientra nelle altre categorie)

Moderators: Federico.Lagni, TheIrish, Wizard, tonycimo, andrewp

Filtro siti

Postby S0nic » Mon 12 Jun , 2017 7:46 pm

Ciao a tutti,

su un Cisco 2821 avrei la necessità di filtrare alcuni siti tramite host name / url
stavo guardando il comando "ip urlfilter" ma non saprei da dove iniziare ne se effettivamente fa al caso mio

Qualcuno riesce a darmi qualche esempio o un suggerimento ?

Grazie in anticipo
S0nic
Cisco fan
 
Posts: 72
Joined: Sat 18 Feb , 2012 4:19 pm

Re: Filtro siti

Postby S0nic » Mon 12 Jun , 2017 8:17 pm

ho provato la seguente config, ma blocca solo siti in http
se il sito è in https non viene bloccato

qualcuno con delle idee ?

Grazie!

Code: Select all
!
class-map match-any Url-Block-class
 match protocol http host "*youtube*"
 match protocol http host "*tiscali*"
!
!
policy-map Url-Block-policy
 class Url-Block-class
  drop
!
interface GigabitEthernet0/1
 service-policy input Url-Block-policy
!

S0nic
Cisco fan
 
Posts: 72
Joined: Sat 18 Feb , 2012 4:19 pm

Re: Filtro siti

Postby lorbellu » Fri 16 Jun , 2017 11:25 am

Ciao,

non credo che tu abbia possibilità con il solo router. Il problema é che il router che stai utilizzando non implementa un motore UTM che effettui la DPI degli URL https. In realtà nemmeno tutti i firewall lo fanno, proprio perchè occorre una buona potenza di calcolo per "aprire" il pacchetto cifrato https e "guardare" l'URL a cui é indirizzato.
Presumo che con il solo router a disposizione tu possa agire solo in due modi:
  1. Risolvere gli URL "incriminati" (se sono pochi e NON mutanti) e filtrarli con un'ACL
  2. Operare un filtraggio su base DNS con OpenDNS, quest'ultima soluzione ti permette anche di "montare" quanto già fatto per il filtraggio http e per un singolo IP address é gratuito
Saluti
Lorbellu
lorbellu
Network Emperor
 
Posts: 313
Joined: Thu 25 Oct , 2007 6:14 pm

Re: Filtro siti

Postby S0nic » Fri 16 Jun , 2017 9:12 pm

lorbellu wrote:Ciao,

non credo che tu abbia possibilità con il solo router. Il problema é che il router che stai utilizzando non implementa un motore UTM che effettui la DPI degli URL https. In realtà nemmeno tutti i firewall lo fanno, proprio perchè occorre una buona potenza di calcolo per "aprire" il pacchetto cifrato https e "guardare" l'URL a cui é indirizzato.
Presumo che con il solo router a disposizione tu possa agire solo in due modi:
  1. Risolvere gli URL "incriminati" (se sono pochi e NON mutanti) e filtrarli con un'ACL
  2. Operare un filtraggio su base DNS con OpenDNS, quest'ultima soluzione ti permette anche di "montare" quanto già fatto per il filtraggio http e per un singolo IP address é gratuito
Saluti


Ciao e grazie tante per la risposta!

opterei per l'opzione 1 dato che voglio continuare ad utilizzare i DNS del mio provider
solo che spesso ad un host vengono associati più IP quindi dovrei fare un'ACL con ogni IP associato all'host

non c'è un modo di inserire in una ACL l'host e non l'IP ?

Grazie
S0nic
Cisco fan
 
Posts: 72
Joined: Sat 18 Feb , 2012 4:19 pm

Re: Filtro siti

Postby lorbellu » Tue 20 Jun , 2017 11:10 am

solo che spesso ad un host vengono associati più IP quindi dovrei fare un'ACL con ogni IP associato all'host
Questo é il motivo per il quale ti dicevo che l'opzione 1 è valida solo per URL fissi o limitatamene mutanti e quindi poco applicabile nella realtà
non c'è un modo di inserire in una ACL l'host e non l'IP ?
No, anche inserendo l'URL nella ACL in fase di inserimento del comando, il router (se conosce un DNS server), risolve l'URL in IP ed inserisce quello nella ACL.
Se hai a che fare con URL poco mutanti puoi operare in modo molto fantasioso, creando una applet EEM che ogni x minuti aggiorni una ACL.
Tuttavia, anche questa strada è limitata in quanto sopratutto colossi come Facebook, Youtube o affini (per dimensioni) hanno dozzine di IP ed i DNS li ciclano alla velocità della luce. Se da un'analisi più approfondita si capisce che sono summarizzabili in una o più subnet va bene ma in generale non hai garanzie.
Ergo, se il filtro è per un impiego professionale, io non arrischierei la figuraccia...
Lorbellu
lorbellu
Network Emperor
 
Posts: 313
Joined: Thu 25 Oct , 2007 6:14 pm

Re: Filtro siti

Postby S0nic » Wed 21 Jun , 2017 4:39 pm

capito, grazie!

il paradosso è che anche i router forniti in comodato d'uso dai providers riescono a fare ciò

Grazie per il tuo supporto :)
S0nic
Cisco fan
 
Posts: 72
Joined: Sat 18 Feb , 2012 4:19 pm

Re: Filtro siti

Postby lorbellu » Fri 23 Jun , 2017 7:44 am

anche i router forniti in comodato d'uso dai providers riescono a fare ciò
Davvero? Hai qualche esempio?
Lorbellu
lorbellu
Network Emperor
 
Posts: 313
Joined: Thu 25 Oct , 2007 6:14 pm

Re: Filtro siti

Postby S0nic » Fri 23 Jun , 2017 5:16 pm

anche i tp-link lo fanno
S0nic
Cisco fan
 
Posts: 72
Joined: Sat 18 Feb , 2012 4:19 pm

Re: Filtro siti

Postby lorbellu » Sat 24 Jun , 2017 6:08 pm

anche i tp-link lo fanno
Sei sicuro?
Ammetto che incuriosito dalla tua affermazione ho un po' cercato in rete e non ne ho trovati di TP-Link che facciano URL filter https (e infatti sui forum la gente si inca..za). Il problema é proprio l'https, l'URL filter http si lo fanno ma non lavorano sull'https, altrimenti non ci sarebbero in giro prodotti specializzati che lo fanno. Anche il firewall Huawei Secospace USG6310 che é stato venduto a centinaia di scuole con la recente convenzione CONSIP LAN 5 ha lo stesso problema, non puoi immaginare la delusione di queste scuole che hanno dovuto ripiegare su sistemi alternativi per poter fare una cosa per la quale hanno comprato il firewall...
A mio avviso la cosa non é banale ne dal punto di vista tecnico, ne dal punto di vista politico/commerciale.
Se da un lato infatti la tecnologia dei moderni processori, permetterebbe a basso costo le potenze di calcolo, necessarie ad "aprire" un pacchetto cifrato e poterne guardare la destinazione, la faccenda coinvolge la natura stessa della metodologia di filtraggio.
Le compagnie che creano prodotti di networking non hanno mai avuto interesse a creare un prodotto simile in quanto in giro ci sono servizi a pagamento (il più famoso é Websense) che vivono di questo, categorizzando i siti e rivendendone il servizio appunto.
Se io professionista, quindi voglio creare un filtro, lavorerò meglio e in maniera più completa, utilizzando le ricerche di questi provider, piuttosto che dover lavorare con delle blacklist statiche. Da qui l'esigenza di integrare nei prodotti i motori UTM che da un lato ispezionano i pacchetti https e dall'altro impiegano per questo servizio degli abbonamenti a pagamento annuale.
Se consideriamo poi, il campo di applicazione, un router Cisco é sostanzialmente un router professionale, e la professione dei router, per definizione é quella di inoltrare i pacchetti, non creare barriere impenetrabili o ispezionare i pacchetti, per quello esistono i firewall che lavorano sicuramente bene e meglio.
In un'ottica professionale infatti abbiamo ancora i router, i firewall e gli switch, fisici o virtualizzati che siano, ma ciascuno di essi esiste perchè la tendenza é pur sempre quella di sfruttarne le capacità specialistiche di ognuno.
Lorbellu
lorbellu
Network Emperor
 
Posts: 313
Joined: Thu 25 Oct , 2007 6:14 pm

Re: Filtro siti

Postby S0nic » Mon 26 Jun , 2017 9:09 pm

posso condividere ciò che scrivi, non ho avuto un'esperienza diretta
ma a detta di un amico, impostando nome host e porta dice che riesce a bloccare tutto
poi...bho

cmq in realtà ciò che interessava a me non era proprio url filtering ma bloccare qualsiasi traffico dati verso un determinato host
fattibile anche con iptables, cisco ovviamente non ha iptales
S0nic
Cisco fan
 
Posts: 72
Joined: Sat 18 Feb , 2012 4:19 pm

Re: Filtro siti

Postby punker » Mon 26 Jun , 2017 9:37 pm

se devi bloccare il traffico verso un host (deduco che sia un tuo host in lan)puoi usare una acl, e non hai bisogno del filter url....
punker
Cisco fan
 
Posts: 35
Joined: Wed 17 Jul , 2013 10:58 pm


Return to Configurazioni

Who is online

Users browsing this forum: Google [Bot] and 5 guests