Posts

مکانیزم (Dynamic ARP Inspection (DAI و نحوی جلوگیری از حملات ARP spoofing و ARP poisoning

پروتکل ARP برای تبدیل آدرس IP به آدرس MAC مورد استفاده قرار می گیرد به طور مثال ، Host B می خواهد اطلاعاتی را برای Host A ارسال کند اما MAC آدرس Host A را ندارد به منظور پیدا کردن MAC آدرس Host A یک بسته Broadcast برای تمام دستگاه های آن broadcast domain ارسال می کند تا MAC آدرس مربوط به IP آدرس Host A را بدست آورد. تمام دستگاه های این broadcast domain این بسته را دریافت می کنند و Host A به آن پاسخ می دهد و MAC آدرس خود را اعلام می کند.
احتمال حمله ARP spoofing و ARP cache poisoning وجود دارد چون این امکان وجود دارد که به جای دستگاه مورد نظر مهاجم پاسخ ARP را با اطلاعات مورد نظر خود ارسال کند یا حتی ARP اجازه ارسال gratuitous ARP را می دهد که در آن MAC آدرس دستگاه اعلام می شود بدون اینکه درخواستی برای آن صادر شده باشد. بعد از این حمله ، تمام ترافیک دستگاهی که به آن حمله شده است از طریق دستگاه مهاجم جریان پیدا می کند یعنی ابتدا ترافیک به دست دستگاه مهاجم می رسد سپس از طریق دستگاه مهاجم به روتر ، دستگاه و … ارسال می شود.
حمله ARP cache poisoning می تواند ARP caches دستگاه های متصل به subnet مثل hosts ، switches و routers را آلوده کند و به این شکل ترافیک به یک دستگاه دیگر در subnet هدایت می شود. در تصویر زیر یک نمونه از این حمله نمایش داده شده است.

Image

Host A و Host B و Host C به اینترفیس های سوئیچ متصل هستند و همه آنها در یک subnet قرار دارند. IP و MAC آدرس آنها در پرانتز مشخص شده است به طور مثال Host A از IP آدرس IA و MAC آدرس MA استفاده می کند. زمانی که Host A بخواهد با Host B در ارتباط برقرار کند یک درخواست ARP برای MAC آدرس مربوط به IP آدرس IB به صورت Broadcast ارسال می کند. زمانی که سوئیچ و Host B این درخواست ARP را دریافت می کنند IP آدرس IA و MAC آدرس MA را به ARP cache خود اضافه می کنند و در اینجا IP آدرس IA به MAC آدرس MA منتسب می شود. زمانی که Host B پاسخ می دهد سوئیچ و Host A به ARP cache خود IP آدرس IB و MAC آدرس MB را اضافه می کنند.
Host C می تواند با ارسال پاسخ ARP جعلی ARP caches سوئیچ را برای Host A و Host B آلوده کند و در این پاسخ IP آدرس IA یا IB به MAC ادرس MC منتسب می شود. دستگاهی که ARP cache آن آلوده شده است از MAC آدرس MC برای ارتباط با IP های IA و IB استفاده می کند. به معناست که Host C جریان ترافیک را تغییر داده است Host C می داند که MAC آدرس مرتبط با IP آدرس های IA و IB چیست و می تواند این ترافیک را به سمت این Host ها با استفاده از MAC آدرس درست هدایت کند. به این شکل Host C خود را در بین جریان ترافیک انتقالی بین Host A و Host B قرار داده است و به عنوان یک حمله man in the middle شناخته می شود.
DAI یک ویژگی امنیتی است که اعتبار بسته های ARP را در شبکه کنترل می کند. DAI بسته های ARP که انتصاب IP به MAC آنها مشکل دارد را drop می کند. این قابلیت باعث می شود که شبکه در برابر برخی از حملات man-in-the-middle محافظت شود.
DAI اعتبار بسته های ARP را براساس دیتابیس خود مورد بررسی قرار می دهد. که این دیتابیس DHCP Snooping می باشد. اگر قابلیت DHCP snooping فعال باشد این دیتابیس تشکیل می شود. اگر بسته ARP روی اینترفیس trusted دریافت شود بدون بررسی آنرا ارسال خواهد کرد اما روی اینترفیس ها untrusted تنها در صورتی که این بسته معتبر باشد ارسال خواهد شد.
در مثال زیر تنظمیات لازم برای اجرای DAI برای کاهش اثرات این حملات نمایش داده شده است.
فعال کردن DAI برای VLAN 10 :

SW(config)#ip arp inspection vlan 10

قرار دادن اینترفیس در حالت trust :

SW(config)#interface fastethernet 0/1
SW(config-if)#ip arp inspection trust

بررسی و کنترل تنظیمات :

SW#show ip arp inspection vlan 10
SW#show ip arp inspection interfaces

استفاده از (Network Foundation Protection (NFP برای امن کردن شبکه

اهمیت زیرساخت شبکه


شبکه از قطعات و بخش های مختلفی تشکیل شده است و اگر یک بخش کوچک آن درست عمل نکند می تواند در عملکرد کل شبکه اخلال ایجاد کند. اگر شبکه به درستی کار نکند روی درآمد و بهره وری تاثیر منفی می گذارد. به طور کلی ، اگر یک آسیب پذیری مانند پسورد ضعیف ، آسیب پذیری نرم افزاری یا تنظیم نادرست در دستگاه وجود داشته باشد باعث باز گذاشتن یک در ورود برای مهاجم می گردد. تاثیرات قطع شدن شبکه خیلی زیاد است و به طور معمول روی نیروی انسانی و دیگر سیستم ها و مشتریان که با شبکه در ارتباط هستند تاثیر می گذارد. NFP به این منظور طراحی شده است که به شما در گروه بندی منطقی توابع مختلف موجود در شبکه کمک کند و همچنین بر روی اقدامات امنیتی که شما می توانید برای هر یک از این توابع درنظر بگیرد متمرکز می شود.

(Network Foundation Protection (NFP


برای IOS روترها و سوئیچ های سیسکو (Network Foundation Protection (NFP به سه قسمت اصلی تقسیم می شود. این سه قسمت به شرح زیر می باشند :

  • Management plane : این بخش شامل پروتکل ها و ترافیک هایی می باشد که از آنها برای یک ارتباط مدیریتی با روتر یا سوئیچ استفاده می شود. یک نمونه آن استفاده از پروتکل های مدیریت از راه دور مانند (Secure Shell (SSH برای تنظیم روتر یا سوئیچ می باشد. اگر خطایی در Management plane رخ دهد نتیجه آن می تواند از دسترس خارج شدن و عدم توانایی در مدیریت دستگاه گردد.
  • Control plane : شامل پروتکل ها و ترافیک هایی می باشد که توسط دستگاه های شبکه و بدون دسترسی مستقیم مدیر مورد استفاده قرار می گیرد. نمونه آن ، پروتکل های مسیریابی می باشند. یک پروتکل مسیریابی می تواند به صورت خودکار اطلاعات مسیریابی را فرا گیرد و آنها را به اشتراک بگذارد و روتر از این اطلاعات برای بروزرسانی جدول مسیریابی خود استفاده کند. اگر خطایی در Control plane رخ دهد روتر توانایی خود را در فراگرفتن و به اشتراک گذاشتن صحیح اطلاعات مسیریابی از دست می دهد و در نتیجه نمی تواند به صورت هوشمندانه برای شبکه مسیریابی را انجام دهد.
  • Data plane : شامل ترافیکی می باشد که از طریق شبکه ارسال می شود. یک نمونه آن ترافیک ارسالی توسط یک کاربر از یک قسمت شبکه به سمت یک سرور در قسمت دیگری از شبکه است. Data plane نشان دهنده ترافیکی است که توسط دستگاه های شبکه در حال ارسال یا سوئیچ شدن بین کلاینت ها و سرورها می باشد. نتیجه خطا در بخش Data plane عدم ارسال ترافیک کاربر خواهد بود اما در زمانی هایی براساس سیاست های موجود شاید شما بخواهد جلوی عبور برخی از ترافیک های Data plane که در حال عبور را بگیرید.
Image

 

وابستگی


برخی وابستگی ها بین این سه بخش وجود دارد. به طور مثال ، اگر control plane دچار خطا شود و روتر ندادند که چگونه ترافیک را ارسال کند در این حالت روی data plane نیز تاثیر می گذارد چون ترافیک کاربران ارسال نخواهد شد. یک مثال دیگر خطا در management plane است که به یک مهاجم اجازه می دهد دستگاه را تنظیم کند که نتیجه آن می تواند خطا در هر دو بخش control plane و data plane رخ دهد.
همانطور که شما ممکن است متوجه شده باشید NFP یک ویژگی تنها نیست بلکه یک رویکرد جامع می باشد که سه بخش زیرساخت ارتباطی را پوشش می دهد و با استفاده از مجموعه از ویژگی ها که توصیه می شود در سرتاسر شبکه اجرا شود هر یک از این بخش ها را حفاظت می کند.

حمله Man in the Middle چیست ؟

حمله man-in-the-middle (که با نام های MITM ، MitM ، MIM یا MITMA نیز شناخته می شود) یکی از خطرناکترین حملات در شبکه های کامپیوتری می باشد. دلیل این میزان اهمیت این حمله این است که در اکثر مواقع کاربر متوجه نمی شود که مورد حمله قرار گرفته است و اطلاعات او مورد سواستفاده قرار گرفته است. Man-in-the-Middle حمله ای است که مهاجم در بین راه ارتباط دو دستگاه با مقاصدی مانند جمع آوری اطلاعات ، دستکاری اطلاعاتی که بین این دو دستگاه در حال مبادله است و … قرار می گیرد. این حمله می تواند در لایه دو یا سه اتفاق بیافتد. هدف اصلی این حملات استراق سمع است بنابراین مهاجم می تواند کل ترافیک در حال انتقال را ببیند.اگر در لایه دو اتفاق بیافتد مهاجم آدرس MAC در لایه دو را جعل می کند و سعی می کند دستگاه های موجود در شبکه LAN باور کنند که آدرس لایه دو مهاجم ، آدرس لایه دو default gateway است. به این عمل ARP poisoning گفته می شود. فریم هایی که قرار است به default gateway ارسال شوند توسط سوئیچ براساس آدرس لایه دو به مهاجم به جای default gateway ارسال می شوند. بعد از اینکه فریم ها دست مهاجم رسید و استفاده خود را از آنها کرد مهاجم می تواند فریم ها را به مقصد درست آنها ارسال کند درنتیجه کلاینت ارتباط مورد نظر خودش را با مقصد دارد و در این میان مهاجم کل اطلاعات مبادله شده بین کلاینت و مقصدش را می بینید بدون اینکه کلاینت از این اتفاق باخبر شود. برای کاهش این Risk باید از تکنیک هایی مانند (dynamic Address Resolution Protocol (ARP) inspection (DAI در سوئیچ استفاده کنید تا جلوی جعل آدرس لایه دو گرفته شود.

Image

همچنین مهاجم می تواند با قرار دادن یک سوئیچ در شبکه و تنظیم (Spanning Tree Protocol (STP در آن باعث شود که این سوئیچ تبدیل root switch شود و به این صورت تمام ترافیک هایی که نیاز به عبور از root switch را دارند را ببیند و به این شکل یک حمله را پایه ریزی کند. شما می توانید این Risk را با تکنیک هایی مانند root guard و سایر روش های کنترلی spanning-tree که در فصل های بعدی مورد بحث قرار خواهد گرفت.حمله man-in-the-middle می تواند در لایه سه با قرار دادن یک روتر غیرمجاز در شبکه و فریب دادن سایر روترها که این یک روتر جدید است و دارای بهترین مسیر است انجام شود. این باعث می شود ترافیک شبکه از طریق این روتر غیر مجاز جریان پیدا کند و این اجازه به مهاجم داده می شود که دیتا شبکه را سرقت کند. شما می توانید با استفاده از تکنیک های مختلفی مانند استفاده از authentication برای پروتکل های مسیریابی یا استفاده از فیلترینگ برای جلوگیری از ارسال یا دریافت update های مرتبط با مسیریابی روی اینترفیس های خاص ، این حملات را کاهش دهید.

یکی از بهترین کارهایی که برای حفاظت از اطلاعات در حال انتقال می توان انجام داد استفاده از رمزنگاری برای حفظ محرمانگی اطلاعات در زمان انتقال است. اگر از پروتکل های plaintext مانند Telnet یا HTTP استفاده شود و یک مهاجم تدارک یک حمله man-in-the-middle را ببیند چون ترافیک در حال انتقال به صورت cleartext است درنتیجه مهاجم می تواند به اطلاعات موجود در بسته ها دسترسی پیدا کند درنتیجه هر اطلاعاتی از ما ، که از که طریق دستگاه مهاجم عبور کند توسط او دیده خواهد شد که این اطلاعات می تواند شامل یوزر و پسوردهای ما باشد. راه حل استفاده از پروتکل هایی است که دارای مکانیزم های رمزنگاری هستند مانند (Secure Shell (SSH و (Hypertext Transfer Protocol Secure (HTTPS و همچنین می توان از VPN برای محافظت از دیتا حساس که به صورت cleartext هستند استفاده کرد.

802.1x و IBNS چیست و چگونه امنیت دسترسی به شبکه را فراهم می کند؟ – بخش پنجم

در ادامه مباحث 802.1x در خدمت شما دوستان هستیم.

EAP–Transport Layer Security :


EAP-TLS یک استاندارد است که توسط مایکروسافت توسعه یافت و توسط (Internet Engineering Task Force (IETF پذیرفته شد. این پروتکل بر پایه پروتکل (Transport Layer Security (TLS می باشد. همانند متد Cisco LEAP در EAP-TLS نیز هر دو کلاینت و سرور یکدیگر را تایید هویت می کنند. هرچند که در این روش پسورد مورد استفاده قرار نمی گیرد و بجای آن از RSA استفاده می شود. EAP-TLS از Certificate برای تایید هویت کلاینت و سرور استفاده می کند.
در فاز اول Radius Server برای کلاینت Certificate خود را ارسال میکند و کلاینت برای بررسی صحت Certificate ارسالی توسط Radius server محتوای Certificate را با صادر کننده آن یعنی (certificate authority (CA چک می کند. بعد از اینکه این مرحله با موفقیت انجام شد. در فاز دو کلاینت Certificate خود را برای Radius Server ارسال می کند Radius Server نیز محتوای Certificate دریافتی را با صادر کننده آن بررسی می کند. بعد از اینکه این مرحله نیز با موفقیت به اتمام رسید یک پیام EAP-Success به کلاینت ارسال می کند.
مزیت EAP-TLS امنیت بالای آن بخاطر استفاده از یکی از قویترین روش های تایید هویت حال حاضر است. مشکل آن پیچیده گی زیاد آن در راه اندازی است چون نیاز به اجزای بیشتری مانند (certificate authority (CA دارد و همچنین نیاز به پردازش بالاتری نسبت به سایر روش ها در هر دو سمت سرور و کلاینت دارد.
در تصویر زیر یک نمونه آن نمایش داده شده است :

Image

 

EAP–Tunneled Transport Layer Security :


EAP-TTLS یک توسعه برای EAP-TLS می باشد و به لحاظ عملکرد شبیه PEAP می باشد و دارای دو فاز است. EAP-TTLS همانند EAP-TLS از TLS برای ایجاد یک تانل بین authentication server و supplicant مورد استفاده قرار می گیرد که فاز یک را تشکیل می دهد. EAP-TTLS همانند PEAP از تانل TLS برای کپسوله کردن استفاده می کند اما تفاوت آن با PEAP پشتیبانی از روش هایی غیر از متدهای EAP مانند (PPP Authentication Protocol (PAP و (PPP Challenge Handshake Authentication Protocol (CHAP می باشد. EAP-TTLS بر خلاف EAP-TLS نیاز به تایید هویت هر دو سمت یعنی کلاینت و سرور ندارد که باعث می شود تنظیمات ساده تر شود.
در تصویر زیر نمونه آنرا می بینید :

Image

 

EAP–Flexible Authentication via Secure Tunneling :


(EAP–Flexible Authentication via Secure Tunneling (EAP-FAST توسط سیسکو ارائه شده است. سیسکو EAP-FAST را برای پشتیبانی از مشتریان که نیاز به سیاست های قوی در زمینه پسورد دارند و نیاز به راه اندازی Certificate ندارند ارائه کرده است. EAP-FAST حفاظت در برابر حملات مختلف را برای ما به ارمغان می آورد شامل حملاتی مانند man-in-themiddle و replay و dictionary attacks
فاز 1 یک تانل امن ایجاد می کند که کلاینت و سرور با استفاده (Protected Access Credential (PAC یکدیگر را تایید هویت کرده و این تانل امن را برقرار می کنند.
فاز 2 تایید هویت کلاینت را در تانل ایجاد شده انجام می دهد کلاینت یوزر و پسورد خود را برای تایید هویت ارسال می کند. در EAP-FAST برقراری تانل متکی به PAC و توسط authentication server مدیریت می گردد.
در تصویر زیر نمونه آنرا می بینید :

Image

دوستان مفاهیم و مباحث تئوری به اتمام رسیده و از قسمت بعد وارد مباحث پیاده سازی 802.1x خواهیم شد.

Device Functionality Planes چیست؟ و چرا در بحث امنیت از اهمیت ویژه ای برخوردار است؟

در معماری زیرساخت ارتباطی شبکه سه بخش اصلی وجود دارد هر بخش یک نقش حیاتی را بر عهده دارد که یک زیرساخت مطمئن برای شبکه داشته باشیم. هر کدام به نوبه خود باعث ارائه مستمر خدمات می شوند. این ارائه مستمر خدمات نیاز به یک زیر ساخت دارد که بتواند ترافیک را مسیردهی ، ارسال و مدیریت کند.
سه بخش اصلی به شرح زیر می باشند :

  • Control plane : با توابع و عملکرد خود امکان مسیردهی ترافیک را فراهم می کند.
  • Data plane : امکان ارسال ترافیک را فراهم می کند.
  • Management plane : به منظور مدیریت تجهیزات مورد استفاده قرار می گیرد.

نکته : control plane و management plane در واقع به data plane سرویس می دهند.

Image

محافظت از هر یک از این بخش ها برای داشتن یک زیرساخت ارتباطی مطمئن امری حیاتی است. هر سه بخش دارای اهمیت ویژه هستند و از امنیت و حافظت هیچ کدام از این بخش ها نباید غافل شد زیرا هر مشکلی که برای یک بخش به وجود آید سایر بخش ها را نیز تحت تاثیر می گذارد.

Control Plane :


Control Plane با پروتکل های سیگنالی سروکار دارد و در واقع برای جمع آوری و ایجاد اطلاعات مورد نیاز برای ارسال ترافیک مورد استفاده قرار می گیرد. جدول هایی مانند Routing Table ، MAC Table توسط این بخش ایجاد می گردد.
حفاظت از این بخش به دو دسته اصلی تقسیم می شود :

  • دسته اول شامل استفاده از پروتکل های استاندارد در راه نادرست است. این پروتکل های عمومی یا سیگنالی برای جمع آوری و ساخت اطلاعات مورد نیاز برای ارسال ترافیک مورد استفاده قرار می گیرد. که شامل پروتکل های مسیر یابی ، (Spanning Tree Protocol(STP) ، VLAN ، Trunking Protocol (VTP و … می شود. جدول زیر به شما در حفاظت از این بخش کمک شایانی می کند. به طور مثال استفاده از ماکنیزم های احراز هویت و فیلتر کردن route ها برای پروتکل های مسیریابی ، محافظت از STP با پیاده سازی مناسب آن و استفاده از ماکنیزم هایی مانند BPDU Guard
  • دسته دوم اساسا به حملات DoS که به Control Plane انجام می شود می پردازد. ارسال حجم انبوهی از بسته ها مرتبط با Control Plane می تواند باعث درگیر شدن CPU و عدم توانایی آن در اداره ترافیک نرمال شود و باید با روش هایی مانند استفاده از (Access Control List (ACL مانع این حملات شد.

جدول زیر به صورت اجمالی حملات عمومی این بخش و نحوی مقابله با آنها را برای دو قسمت روتر و سوئیچ نمایش داده است :

Image

 

Data Plane :


Data plane بخشی از شبکه است که وظیفه حمل ترافیک کاربران را بر عهده دارد. data plane داده ها را قادر می سازد که از کلاینتی به کلاینت دیگر حمل شوند و اداره ارتباطات متعدد را به وسیله پروتکل های مختلف را بر عهده دارد. همیچنین قادر است سرویس مختلف مانند مباحث امنیتی ، QoS و … را روی ترافیک اعمال کند.
در این بخش همانند Control Plane راهکارهای مناسب و خاصی را می طلبد تا بتواند عملکرد مناسب و درستی ارائه دهد.
حملات این بخش نیز به دو دسته تقسیم می شوند:

  • دسته اول شامل حملاتی است که روی لینک ها با ارسال حجم انبوهی از ترافیک ایجاد می گردد و با روش هایی مانند ACL ، Qos و .. قابل پیشگیری است.
  • دسته دوم حملات Spoofing یا جعل می باشد که توسط روش هایی مانند Port Security ،DHCP Snooping و … قابل پیشگیری است.

جدول زیر به صورت اجمالی حملات عمومی این بخش و نحوی مقابله با آنها را برای دو قسمت روتر و سوئیچ نمایش داده است :

Image

 

Management Plane :


Management Plane شامل پردازش هایی است که در سطح CPU انجام می گیرد. این پردازش ها به منظور مدیریت دستگاه و کنترل دسترسی به تجهیزات صورت می گیرد.
جدول زیر به صورت اجمالی حملات عمومی این بخش و نحوی مقابله با آنها را نمایش داده است :

Image

حملات این بخش برای روترها و سویچ ها مشابه هم است. یکی از حملات این بخش به منظور دسترسی غیر مجاز به تجهیزات می باشد بدون استفاده از AAA ، شما یک مکانیزم مناسب ندارید که بفهمید چه کسی به تجهیزات متصل شده است و یا اینکه بتوانید عمکلرد یک کاربر را محدود کنید. از مرایای دیگر استفاده از AAA کنترل و ضبط گزارش عملکرد کاربر می باشد.
محافظت از دسترسی به تجهیزات شبکه به معنی محافظت از مسیر عبور ترافیک می باشد که این کنترل دسترسی به دو صورت local و remote باید انجام گیرد. پروتکل هایی دسترسی در تجهیزات سیسکو به شرح زیر می باشند :

  • (Secure Shell (SSH
  • Telnet
  • (Simple Network Management Protocol (SNMP
  • HTTP
  • HTTPS

هر یک از این دسترسی ها اگر مورد نیاز نیست آنها را غیر فعال کنید و یا اگر مسیر ارتباطی امن نیست از روش های رمز شده استفاده کنید و همچنین دسترسی به تجهیزات توسط این روش ها را محدود کنید.

سناریوی کاملا عملی برای پیاده سازی URL Filtering در روترهای سیسکو

در قسمت قبلی مقاله با URL Filtering و مفاهیم آن آشنا شدیم و همانطور که قول داده بودیم در این قسمت می خواهیم یک سناریو را به صورت عملی پیاده سازی می کنیم تا با مفاهیم آن بیشتر آشنا شویم :
با توجه به شکل زیر ، می خواهیم PC نتواند سایت های tosinso.com و msn.com را باز کند ولی بتواند تمام سایت های دیگر را باز کند.

Image

در ابتدا به اینترفیس ها IP اختصاص می دهیم و NAT را روی روتر فعال می کنیم و از یک Static Route برای ارسال ترافیک به سمت اینترنت استفاده می کنیم :

Router(config)#interface FastEthernet0/0
Router(config-if)#description to LAN
Router(config-if)#ip address 192.168.1.1 255.255.255.0
Router(config-if)#ip nat inside
Router(config)#interface FastEthernet0/1
Router(config-if)#description to internet
Router(config-if)#ip address 5.5.5.1 255.255.255.0
Router(config-if)#ip nat outside
Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255
Router(config)#ip nat pool home 5.5.5.1 5.5.5.1 prefix-length 24
Router(config)#ip nat inside source list 1 pool home overload
Router(config)#ip route 0.0.0.0 0.0.0.0 fastethernet 0/1

در حال حاضر PC به تمام سایت های دسترسی دارد. مرحله بعدی اجرای Zone Based layer 3/4 firewall است که قبلا توضیح داده شده است برای آشنایی با عملکرد آن پیشنهاد می شود که آن مبحث را مطالعه فرمائید. دستورات اجرای Zone Based layer 3/4 firewall به صورت زیر است :

Router(config)#class-map type inspect match-any httpc
Router(config-cmap)#match protocol http
Router(config)#class-map type inspect match-any dnsc
Router(config-cmap)#match protocol icmp
Router(config-cmap)#match protocol dns
Router(config-cmap)#match protocol https
Router(config)#policy-map type inspect in-out
Router(config-pmap)#class type inspect httpc
Router(config-pmap-c)#inspect
Router(config-pmap)#class type inspect dnsc
Router(config-pmap-c)#inspect
Router(config-pmap)#class class-default
Router(config-pmap-c)#drop
Router(config)#zone security inside
Router(config)#zone security outside
Router(config)#zone-pair security inside-outside source inside destination outside
Router(config-sec-zone-pair)#service-policy type inspect in-out
Router(config)#interface FastEthernet0/0
Router(config-if)#zone-member security inside
Router(config)#interface FastEthernet0/1
Router(config-if)#zone-member security outside

حالا باید تنظیمات مربوط به URL Filtering را انجام دهیم :
در ابتدا URL Filter Policy Parameter map را تعریف می کنیم و در آنرا Alert را فعال می کنیم و پیغام Access Denied را جهت نمایش به کاربر تعیین می کنیم :

Router(config)#parameter-map type urlfpolicy local lupm
Router(config-profile)#alert on
Router(config-profile)#block-page message “Access Denied”

سپس URL Filter – GLOB Parameter map را تعریف می کنیم و در آن چند الگو برای سایت های tosinso.com و msn.com تعریف کنیم :

Router(config)#parameter-map type urlf-glob http-w
Router(config-profile)#pattern tosinso.com
Router(config-profile)#pattern msn.com
Router(config-profile)#pattern *msn.com

بعد یک URL Filter – GLOB Parameter map دیگر تعریف می کنیم و در آن یک الگو تعریف می کنیم که با تمام سایت ها مطابقت پیدا کند :

Router(config)#parameter-map type urlf-glob all
Router(config-profile)#pattern *

حالا یک Class map تعریف می کنیم که ترافیک را با parameter map که با نام http-w در بالا تعریف کردیم مقایسه کند :

Router(config)#class-map type urlfilter match-any ucm
Router(config-cmap)#match  server-domain urlf-glob http-w

یک Class map دیگر هم تعریف می کنیم که ترافیک را با parameter map که با نام all در بالا تعریف کردیم مقایسه کند :

Router(config)#class-map type urlfilter match-any ucm2
Router(config-cmap)#match  server-domain urlf-glob all

سپس یک Policy map تعریف می کنیم و در آن واکنشی که نسبت به دو Class map که در بالا تعریف کردیم را مشخص می کنیم و همچنین URL Filter Policy Parameter map را به آن اختصاص می دهیم :

Router(config)#policy-map type inspect urlfilter upm
Router(config-pmap)#parameter type urlfpolicy local lupm
Router(config-pmap)#class type urlfilter ucm
Router(config-pmap-c)#log
Router(config-pmap-c)#reset
Router(config-pmap)#class type urlfilter ucm2
Router(config-pmap-c)#log
Router(config-pmap-c)#allow

آخرین مرحله فعال کردن URL Filtering است در اینجا Policy map که برای URL Filtering با نام upm تعریف کردیم را به Policy map مربوط به Zone Based layer 3/4 firewall که با نام in-out تعریف کرده ایم اختصاص می دهیم :

Router(config)#policy-map type inspect in-out
Router(config-pmap)#class type inspect httpc
Router(config-pmap-c)#inspect
Router(config-pmap-c)#service-policy urlfilter upm

تنظیمات کامل شده است و از این لحظه همانطور که در تصویر می بینید امکان دسترسی به سایت های ذکر شده وجود ندارد.

Image

امیدوارم که این مقاله مفید واقع شده باشد.