Lab 7 cấu hình thực hiện cuộc gọi giữa 2 vùng được quản lý bởi 2 gatekeeper (inter zone)
1. • Code Red worm
• Nimda virus/worm
• P2P program usage
• Chặn các địa chỉ web trên Internet
I. Sơ đồ lab.
II. Cấu hình
Using NBAR to Detect Code Red Attacks
Code:
Router(config)# class-map match-any code-red-attacks
Router(config-cmap)# match protocol http url "*.ida*"
Router(config-cmap)# match protocol http url "*cmd.exe*"
Router(config-cmap)# match protocol http url "*root.exe*"
Router(config-cmap)# exit
Router(config)# policy-map mark-code-red
Router(config-pmap)# class code-red-attacks
Router(config-pmap-c)# set ip dscp 1
Router(config-pmac-c)# exit
Router(config)# interface ethernet1
Router(config-if)# service-policy input mark-code-red
Router(config-if)# exit
2. Router(config)# ip access-list extended block-code-red
Router(config-ext-nacl)# deny ip any any dscp 1 log
Router(config-ext-nacl)# permit ip any any
Router(config-ext-nacl)# exit
Router(config)# interface ethernet0
Router(config-if)# ip access-group block-code-red out
Ví dụ trên tạo ra một class map có tên gọi là code-red-attack, trong đó, các thông điệp
http request có chứa “default.ida”, “Cmd.exe” và “root.exe” sẽ được tìm. Một policy sẽ
gán giá trị DSCP bằng 1 cho các traffic này. Sau đó policy sẽ được áp vào cổng bên
ngoài của router. Một ACL sẽ được tạo ra và loại bỏ những traffic có DSCP 1 ở cổng bên
trong của router, theo chiều đi ra.
- NBAR và Nimda
Nimda lan truyền dùng cơ chế sau:
- Khi có một người dùng click vào một attachment có virus, nó sẽ chạy tự động.
- Dùng backdoor trong MS IIS để giành quyền truy cập web server.
Virus NIMDA có thể tấn công theo nhiều hướng khác nhau: email attachment,
Javascripts, bug trong IIS. Vì vậy, trong ví dụ dưới đây, ta dùng NBAR để ngăn ngừa và
chặn chỉ qua hướng web đến server IIS bên trong.
Cấu hình router nhận dạng NIMDA
Code:
Router(config)# class-map match-any nimda-attacks
Router(config-cmap)# match protocol http url "*.ida*"
Router(config-cmap)# match protocol http url "*cmd.exe*"
Router(config-cmap)# match protocol http url "*root.exe*"
Router(config-cmap)# match protocol http url "*readme.eml*"
Router(config-cmap)# exit
Router(config)# policy-map mark-nimda
Router(config-pmap)# class nimda-attacks
Router(config-pmap-c)# set ip dscp 1
Router(config-pmac-c)# exit
Router(config)# interface ethernet1
Router(config-if)# service-policy input mark-nimda
3. Router(config-if)# exit
Router(config)# ip access-list extended block-nimda
Router(config-ext-nacl)# deny ip any any dscp 1 log
Router(config-ext-nacl)# permit ip any any
Router(config-ext-nacl)# exit
Router(config)# interface ethernet0
Router(config-if)# ip access-group block-nimda out
Trong ví dụ này, sự khác biệt chỉ là file *readme.eml* so với ví dụ trước. Từ IOS
12.3(4)T trở về sau, bạn có thể dùng NBAR để kiểm tra những kiểu tấn công cho các
dịch vụ khác, ví dụ như POP3 hay SMTP.
- Chặn các chương trình P2P
Code:
Router(config)# class-map match-any P2P-usage
Router(config-cmap)# match protocol gnutella
Router(config-cmap)# match protocol gnutella file-transfer "*"
Router(config-cmap)# match protocol fasttrack
Router(config-cmap)# match protocol fasttrack file-transfer "*"
Router(config-cmap)# match napster non-std
Router(config-cmap)# match kazaa2
Router(config-cmap)# match protocol socks
Router(config-cmap)# exit
Router(config)# policy-map mark-P2P
Router(config-pmap)# class P2P-usage
Router(config-pmap-c)# set ip dscp 2
Router(config-pmac-c)# exit
Router(config)# ip access-list extended block-P2P
Router(config-ext-nacl)# deny ip any any dscp 2 log
Router(config-ext-nacl)# ! <--other ACL statements-->
Router(config-ext-nacl)# permit ip any any
4. Router(config-ext-nacl)# exit
!
!E1 là cổng bên ngoài của Router đấu ra Internet
!
Router(config)# interface ethernet1
Router(config-if)# service-policy input mark-P2P
Router(config-if)# ip access-group block-P2P out
Router(config-if)# exit
!
!E0 là cổng bên trong, đấu vào LAN
!
Router(config)# interface ethernet0
Router(config-if)# service-policy input mark-P2P
Router(config-if)# ip access-group block-P2P out
Thông thường, nếu chặn nhiều ứng dụng thì có thể dùng các giá trị DSCP khác nhau cho
các lớp lưu lượng khác nhau. Ví dụ như DSCP bằng 1 cho worms và DSCP bằng 2 cho
P2P.
- Chặn các địa chỉ web dùng NBAR
Ví dụ dưới đây sẽ dùng NBAR để lọc hai web site là “vnpro.org” và “tuoitre.com.vn”.
Code:
!
version 12.4
!
!
hostname GW
!
! Cấu hình router dùng DNS server của VDC
!
ip name-server 203.162.4.190
!
!
class-map match-any BLOCKWEB
match protocol http host "vnpro.org"
match protocol http host "tuoitre.com.vn"
!
policy-map mark-traffic
class BLOCKWEB
set ip dscp 1
!
!
interface FastEthernet0/0
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly
5. service-policy input mark-traffic
!
!
!Cấu hình cổng bên ngoài xin địa chỉ qua DHCP server.
!
interface FastEthernet0/1
ip address dhcp
ip access-group webfliter out
ip nat outside
!
!Cấu hình default route đi ra ngoài Internet
!
ip route 0.0.0.0 0.0.0.0 10.215.219.254
!
!Cấu hình NAT để các máy bên trong mạng đi ra Internet được
ip nat inside source list 1 interface FastEthernet0/1 overload
!
! Access list này sẽ loại bỏ những traffic đã bị đánh dấu DSCP 1
ip access-list extended webfliter
deny ip any any dscp 1 log
permit ip any any
!
access-list 1 permit 192.168.1.0 0.0.0.255
!
end
6. service-policy input mark-traffic
!
!
!Cấu hình cổng bên ngoài xin địa chỉ qua DHCP server.
!
interface FastEthernet0/1
ip address dhcp
ip access-group webfliter out
ip nat outside
!
!Cấu hình default route đi ra ngoài Internet
!
ip route 0.0.0.0 0.0.0.0 10.215.219.254
!
!Cấu hình NAT để các máy bên trong mạng đi ra Internet được
ip nat inside source list 1 interface FastEthernet0/1 overload
!
! Access list này sẽ loại bỏ những traffic đã bị đánh dấu DSCP 1
ip access-list extended webfliter
deny ip any any dscp 1 log
permit ip any any
!
access-list 1 permit 192.168.1.0 0.0.0.255
!
end