Filtro siti

Tutto ciò che ha a che fare con la configurazione di apparati Cisco (e non rientra nelle altre categorie)

Moderators: Federico.Lagni, TheIrish, Wizard, tonycimo, andrewp

Filtro siti

Postby S0nic » Mon 12 Jun , 2017 7:46 pm

Ciao a tutti,

su un Cisco 2821 avrei la necessità di filtrare alcuni siti tramite host name / url
stavo guardando il comando "ip urlfilter" ma non saprei da dove iniziare ne se effettivamente fa al caso mio

Qualcuno riesce a darmi qualche esempio o un suggerimento ?

Grazie in anticipo
S0nic
Cisco fan
 
Posts: 69
Joined: Sat 18 Feb , 2012 4:19 pm

Re: Filtro siti

Postby S0nic » Mon 12 Jun , 2017 8:17 pm

ho provato la seguente config, ma blocca solo siti in http
se il sito è in https non viene bloccato

qualcuno con delle idee ?

Grazie!

Code: Select all
!
class-map match-any Url-Block-class
 match protocol http host "*youtube*"
 match protocol http host "*tiscali*"
!
!
policy-map Url-Block-policy
 class Url-Block-class
  drop
!
interface GigabitEthernet0/1
 service-policy input Url-Block-policy
!

S0nic
Cisco fan
 
Posts: 69
Joined: Sat 18 Feb , 2012 4:19 pm

Re: Filtro siti

Postby lorbellu » Fri 16 Jun , 2017 11:25 am

Ciao,

non credo che tu abbia possibilità con il solo router. Il problema é che il router che stai utilizzando non implementa un motore UTM che effettui la DPI degli URL https. In realtà nemmeno tutti i firewall lo fanno, proprio perchè occorre una buona potenza di calcolo per "aprire" il pacchetto cifrato https e "guardare" l'URL a cui é indirizzato.
Presumo che con il solo router a disposizione tu possa agire solo in due modi:
  1. Risolvere gli URL "incriminati" (se sono pochi e NON mutanti) e filtrarli con un'ACL
  2. Operare un filtraggio su base DNS con OpenDNS, quest'ultima soluzione ti permette anche di "montare" quanto già fatto per il filtraggio http e per un singolo IP address é gratuito
Saluti
Lorbellu
lorbellu
Network Emperor
 
Posts: 300
Joined: Thu 25 Oct , 2007 6:14 pm

Re: Filtro siti

Postby S0nic » Fri 16 Jun , 2017 9:12 pm

lorbellu wrote:Ciao,

non credo che tu abbia possibilità con il solo router. Il problema é che il router che stai utilizzando non implementa un motore UTM che effettui la DPI degli URL https. In realtà nemmeno tutti i firewall lo fanno, proprio perchè occorre una buona potenza di calcolo per "aprire" il pacchetto cifrato https e "guardare" l'URL a cui é indirizzato.
Presumo che con il solo router a disposizione tu possa agire solo in due modi:
  1. Risolvere gli URL "incriminati" (se sono pochi e NON mutanti) e filtrarli con un'ACL
  2. Operare un filtraggio su base DNS con OpenDNS, quest'ultima soluzione ti permette anche di "montare" quanto già fatto per il filtraggio http e per un singolo IP address é gratuito
Saluti


Ciao e grazie tante per la risposta!

opterei per l'opzione 1 dato che voglio continuare ad utilizzare i DNS del mio provider
solo che spesso ad un host vengono associati più IP quindi dovrei fare un'ACL con ogni IP associato all'host

non c'è un modo di inserire in una ACL l'host e non l'IP ?

Grazie
S0nic
Cisco fan
 
Posts: 69
Joined: Sat 18 Feb , 2012 4:19 pm

Re: Filtro siti

Postby lorbellu » Tue 20 Jun , 2017 11:10 am

solo che spesso ad un host vengono associati più IP quindi dovrei fare un'ACL con ogni IP associato all'host
Questo é il motivo per il quale ti dicevo che l'opzione 1 è valida solo per URL fissi o limitatamene mutanti e quindi poco applicabile nella realtà
non c'è un modo di inserire in una ACL l'host e non l'IP ?
No, anche inserendo l'URL nella ACL in fase di inserimento del comando, il router (se conosce un DNS server), risolve l'URL in IP ed inserisce quello nella ACL.
Se hai a che fare con URL poco mutanti puoi operare in modo molto fantasioso, creando una applet EEM che ogni x minuti aggiorni una ACL.
Tuttavia, anche questa strada è limitata in quanto sopratutto colossi come Facebook, Youtube o affini (per dimensioni) hanno dozzine di IP ed i DNS li ciclano alla velocità della luce. Se da un'analisi più approfondita si capisce che sono summarizzabili in una o più subnet va bene ma in generale non hai garanzie.
Ergo, se il filtro è per un impiego professionale, io non arrischierei la figuraccia...
Lorbellu
lorbellu
Network Emperor
 
Posts: 300
Joined: Thu 25 Oct , 2007 6:14 pm

Re: Filtro siti

Postby S0nic » Wed 21 Jun , 2017 4:39 pm

capito, grazie!

il paradosso è che anche i router forniti in comodato d'uso dai providers riescono a fare ciò

Grazie per il tuo supporto :)
S0nic
Cisco fan
 
Posts: 69
Joined: Sat 18 Feb , 2012 4:19 pm


Return to Configurazioni

Who is online

Users browsing this forum: No registered users and 1 guest