Filtro siti

Tutto ciò che ha a che fare con la configurazione di apparati Cisco (e non rientra nelle altre categorie)

Moderatore: Federico.Lagni

Rispondi
S0nic
Cisco power user
Messaggi: 103
Iscritto il: sab 18 feb , 2012 4:19 pm

Ciao a tutti,

su un Cisco 2821 avrei la necessità di filtrare alcuni siti tramite host name / url
stavo guardando il comando "ip urlfilter" ma non saprei da dove iniziare ne se effettivamente fa al caso mio

Qualcuno riesce a darmi qualche esempio o un suggerimento ?

Grazie in anticipo
S0nic
Cisco power user
Messaggi: 103
Iscritto il: sab 18 feb , 2012 4:19 pm

ho provato la seguente config, ma blocca solo siti in http
se il sito è in https non viene bloccato

qualcuno con delle idee ?

Grazie!

Codice: Seleziona tutto

!
class-map match-any Url-Block-class
 match protocol http host "*youtube*"
 match protocol http host "*tiscali*"
!
!
policy-map Url-Block-policy
 class Url-Block-class
  drop
!
interface GigabitEthernet0/1
 service-policy input Url-Block-policy
!

lorbellu
Network Emperor
Messaggi: 313
Iscritto il: gio 25 ott , 2007 6:14 pm

Ciao,

non credo che tu abbia possibilità con il solo router. Il problema é che il router che stai utilizzando non implementa un motore UTM che effettui la DPI degli URL https. In realtà nemmeno tutti i firewall lo fanno, proprio perchè occorre una buona potenza di calcolo per "aprire" il pacchetto cifrato https e "guardare" l'URL a cui é indirizzato.
Presumo che con il solo router a disposizione tu possa agire solo in due modi:
  1. Risolvere gli URL "incriminati" (se sono pochi e NON mutanti) e filtrarli con un'ACL
  2. Operare un filtraggio su base DNS con OpenDNS, quest'ultima soluzione ti permette anche di "montare" quanto già fatto per il filtraggio http e per un singolo IP address é gratuito
Saluti
Lorbellu
S0nic
Cisco power user
Messaggi: 103
Iscritto il: sab 18 feb , 2012 4:19 pm

lorbellu ha scritto:Ciao,

non credo che tu abbia possibilità con il solo router. Il problema é che il router che stai utilizzando non implementa un motore UTM che effettui la DPI degli URL https. In realtà nemmeno tutti i firewall lo fanno, proprio perchè occorre una buona potenza di calcolo per "aprire" il pacchetto cifrato https e "guardare" l'URL a cui é indirizzato.
Presumo che con il solo router a disposizione tu possa agire solo in due modi:
  1. Risolvere gli URL "incriminati" (se sono pochi e NON mutanti) e filtrarli con un'ACL
  2. Operare un filtraggio su base DNS con OpenDNS, quest'ultima soluzione ti permette anche di "montare" quanto già fatto per il filtraggio http e per un singolo IP address é gratuito
Saluti
Ciao e grazie tante per la risposta!

opterei per l'opzione 1 dato che voglio continuare ad utilizzare i DNS del mio provider
solo che spesso ad un host vengono associati più IP quindi dovrei fare un'ACL con ogni IP associato all'host

non c'è un modo di inserire in una ACL l'host e non l'IP ?

Grazie
lorbellu
Network Emperor
Messaggi: 313
Iscritto il: gio 25 ott , 2007 6:14 pm

solo che spesso ad un host vengono associati più IP quindi dovrei fare un'ACL con ogni IP associato all'host
Questo é il motivo per il quale ti dicevo che l'opzione 1 è valida solo per URL fissi o limitatamene mutanti e quindi poco applicabile nella realtà
non c'è un modo di inserire in una ACL l'host e non l'IP ?
No, anche inserendo l'URL nella ACL in fase di inserimento del comando, il router (se conosce un DNS server), risolve l'URL in IP ed inserisce quello nella ACL.
Se hai a che fare con URL poco mutanti puoi operare in modo molto fantasioso, creando una applet EEM che ogni x minuti aggiorni una ACL.
Tuttavia, anche questa strada è limitata in quanto sopratutto colossi come Facebook, Youtube o affini (per dimensioni) hanno dozzine di IP ed i DNS li ciclano alla velocità della luce. Se da un'analisi più approfondita si capisce che sono summarizzabili in una o più subnet va bene ma in generale non hai garanzie.
Ergo, se il filtro è per un impiego professionale, io non arrischierei la figuraccia...
Lorbellu
S0nic
Cisco power user
Messaggi: 103
Iscritto il: sab 18 feb , 2012 4:19 pm

capito, grazie!

il paradosso è che anche i router forniti in comodato d'uso dai providers riescono a fare ciò

Grazie per il tuo supporto :)
lorbellu
Network Emperor
Messaggi: 313
Iscritto il: gio 25 ott , 2007 6:14 pm

anche i router forniti in comodato d'uso dai providers riescono a fare ciò
Davvero? Hai qualche esempio?
Lorbellu
S0nic
Cisco power user
Messaggi: 103
Iscritto il: sab 18 feb , 2012 4:19 pm

anche i tp-link lo fanno
lorbellu
Network Emperor
Messaggi: 313
Iscritto il: gio 25 ott , 2007 6:14 pm

anche i tp-link lo fanno
Sei sicuro?
Ammetto che incuriosito dalla tua affermazione ho un po' cercato in rete e non ne ho trovati di TP-Link che facciano URL filter https (e infatti sui forum la gente si inca..za). Il problema é proprio l'https, l'URL filter http si lo fanno ma non lavorano sull'https, altrimenti non ci sarebbero in giro prodotti specializzati che lo fanno. Anche il firewall Huawei Secospace USG6310 che é stato venduto a centinaia di scuole con la recente convenzione CONSIP LAN 5 ha lo stesso problema, non puoi immaginare la delusione di queste scuole che hanno dovuto ripiegare su sistemi alternativi per poter fare una cosa per la quale hanno comprato il firewall...
A mio avviso la cosa non é banale ne dal punto di vista tecnico, ne dal punto di vista politico/commerciale.
Se da un lato infatti la tecnologia dei moderni processori, permetterebbe a basso costo le potenze di calcolo, necessarie ad "aprire" un pacchetto cifrato e poterne guardare la destinazione, la faccenda coinvolge la natura stessa della metodologia di filtraggio.
Le compagnie che creano prodotti di networking non hanno mai avuto interesse a creare un prodotto simile in quanto in giro ci sono servizi a pagamento (il più famoso é Websense) che vivono di questo, categorizzando i siti e rivendendone il servizio appunto.
Se io professionista, quindi voglio creare un filtro, lavorerò meglio e in maniera più completa, utilizzando le ricerche di questi provider, piuttosto che dover lavorare con delle blacklist statiche. Da qui l'esigenza di integrare nei prodotti i motori UTM che da un lato ispezionano i pacchetti https e dall'altro impiegano per questo servizio degli abbonamenti a pagamento annuale.
Se consideriamo poi, il campo di applicazione, un router Cisco é sostanzialmente un router professionale, e la professione dei router, per definizione é quella di inoltrare i pacchetti, non creare barriere impenetrabili o ispezionare i pacchetti, per quello esistono i firewall che lavorano sicuramente bene e meglio.
In un'ottica professionale infatti abbiamo ancora i router, i firewall e gli switch, fisici o virtualizzati che siano, ma ciascuno di essi esiste perchè la tendenza é pur sempre quella di sfruttarne le capacità specialistiche di ognuno.
Lorbellu
S0nic
Cisco power user
Messaggi: 103
Iscritto il: sab 18 feb , 2012 4:19 pm

posso condividere ciò che scrivi, non ho avuto un'esperienza diretta
ma a detta di un amico, impostando nome host e porta dice che riesce a bloccare tutto
poi...bho

cmq in realtà ciò che interessava a me non era proprio url filtering ma bloccare qualsiasi traffico dati verso un determinato host
fattibile anche con iptables, cisco ovviamente non ha iptales
punker
Cisco fan
Messaggi: 39
Iscritto il: mer 17 lug , 2013 10:58 pm

se devi bloccare il traffico verso un host (deduco che sia un tuo host in lan)puoi usare una acl, e non hai bisogno del filter url....
Rispondi