Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

NBAR: giai phap de chan Nimda virus? block cac sexy web site?

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • NBAR: giai phap de chan Nimda virus? block cac sexy web site?

    anh Hải,

    trong cấu hình của anh, em thấy anh có dùng nbar. nbar được dùng để giới hạn hoặc ngăn chặn một service nào đó dựa và các module mô tả ứng dụng (pmdl). Ví dụ chặn một kết nối đến một web site nào đó mà không cần cấm hẳn dịch vụ web. Tuy nhiên, nếu chỉ cho phép nbar trong interface không thì đâu có đủ phải không anh? anh có thể cho em biết thêm về nbar được không?

    theo anh hoachuoi thì ip accounting và netflow là hai công nghệ riêng. Tuy nhiên trong cấu hình của anh, em thấy cả hai đều được dùng trong cả hai interface s0 và s1. Như vậy, lệnh ip accouting là có cần thiết để netflow chạy ok?

    cuối cùng, xin anh hướng dẫn cho em cách dùng secondary address trong interface Fastethernet nối về firewall. Kỹ thuật đó có tăng tính bảo mật lên không anh?

    rất cám ơn anh,

  • #2
    Trong cấu hình tôi gửi đã lược bớt một số phần nên có vẻ không hoàn chỉnh. Đúng như bạn nói, cấu hình nbar trong interface là chưa đủ. phải cấu hình thêm các class map để nhận dạng protocol class.

    ip accounting và netflow là công nghệ riêng, tôi dùng ip accounting để có thể xem các ip traffic khi telnet vào router. (netflow phải dùng chương trình collector riêng).

    Tôi sử dụng secondary address ở interface nối vào firewall vì tôi sử dụng cache engine tại đó, không có ý nghĩa gì về security ở đây.

    Comment


    • #3
      Re: NBAR: giai phap de chan Nimda virus? block cac sexy web site?

      nbar cung cấp một khả năng phân loại traffic dựa vào url, port....

      hạn chế của nbar là không áp dụng cho non-ip traffic.

      Xem thêm tài liệu đính kèm.

      Chúc vui vẻ,

      Comment


      • #4
        Phân loại dùng NBAR

        Đối với các gói tin khó phân loại, kỹ thuật nhận dạng ứng dụng lớp mạng NBAR có thể được dùng. Ví dụ, một vài ứng dụng dùng các port động, vì vậy một câu lệnh cấu hình match đơn thuần so sánh một cổng UDP hay TCP sẽ không có khả năng phân loại được lưu lượng. NBAR sẽ xem các UDP và TCP header, xem tên máy, URL hoặc các kiểu yêu cầu HTTP request. Kiểu kiểm tra này còn được gọi là kiểm tra sâu bên trong gói tin (deep packet inspection).

        NBAR cũng có thể xem các header TCP và UDP để nhận ra các thông tin liên quan đến ứng dụng. Ví dụ, NBAR cho phép nhận ra các ứng dụng Citrix và cho phép tìm kiếm một phần của chuỗi URL. NBAR cũng có thể được dùng để đếm các loại lưu lượng và tải của từng loại. Đối với QoS, NBAR có thể được dùng bởi CB Marking để lựa ra những loại gói tin phức tạp. Bất cứ khi nào câu lệnh MQC match protocol được dùng, IOS sẽ dùng NBAR để lựa ra gói tin. Bảng dưới đây liệt kê vài lệnh phổ biến và NBAR.

        Ví dụ: Các lưu lượng RTP Audio và video: RTP dùng các port chẵn từ 16,384 đến 32,768. Các cổng lẻ được dùng bởi RCTP để kiểm soát cuộc gọi. NBAR có thể lựa ra những cổng chẳn để tách dữ liệu voice ra khỏi các dữ liệu điều khiển cuộc gọi.
        Các ứng dụng Citrix: NBAR có thể phân loại các ứng dụng Citrix khác nhau
        Tên máy, URL và MIME: NBAR cũng có thể lựa ra các URL, bao gồm tên máy, MIME type. Thường dùng thêm biểu thức chính qui
        Các ứng dụng chia sẽ file ngang hàng NBAR có thể tìm các ứng dụng như Kazaa, Morpheus, Grokster, Gnutella.

        Dưới đây là một ví dụ cấu hình NBAR, và các IOS version hỗ trợ cơ chế nhận dạng lưu lượng này.

        NBAR Network-Based Application Recognition

        CB marking có thể dùng khả năng phân loại mạnh của NBAR thông qua lệnh match protocol. Dưới đây là một cấu hình cho đánh dấu và NBAR trong đó có các yêu cầu sau được thoả mãn:
        - Bất kỳ một web traffic nào có URL chứa chuỗi “important” sẽ được gán giá trị AF21.
        - Bất kỳ web traffic nào có URL chứa chuỗi “not-so” sẽ được gán giá trị DSCP mặc định.
        - Tất cả những traffic còn lại được gán giá trị AF11.
        Ip cef
        Class-map http-impo
        Match protocol http url “*important*”
        !
        Class-map http-not
        Match protocol http url “*not-so*”
        !
        Policy-map http
        Class http-impo
        Set dscp AF21
        !
        class http-not
        set dscp default
        !
        class class-default
        set dscp AF11
        !
        interface FastEthernet0/0
        ip nbar protocol-discovery
        service-policy input http
        !
        Bắt đầu từ IOS 12.2T/12.3, lệnh ip nbar protocol-discovery là cần thiết trên một cổng trước khi dùng lệnh service-policy. Với phiên bản 12.2T/12.3 T Train, lệnh này không còn cần thiết. Việc sử dụng lệnh match protocol ngầm định rằng NBAR sẽ được dùng để tìm ra gói tin.

        Không giống như các đặc điểm IOS khác, bạn có thể nâng cấp NBAR mà không dùng phiên bản IOS mới. Cisco dùng một đặc tính gọi là các module ngôn ngữ mô tả gói tin Packet Description Language Modules (PDLMs) để định nghĩa những giao thức mới mà NBAR phải so sánh. Khi Cisco quyết định thêm vào một hoặc nhiều giao thức vào danh sách những giao thức mà NBAR phải nhận diện, nó sẽ tạo và biên dịch một PDLM. bạn có thể download các phiên bản PDLM từ Cisco, chép nó vào flash và thêm vào dòng ip nbar pdlm pdlm-name trong cấu hình, trong đó pdlm là tên của file pdlm nằm trong bộ nhớ flash của router. NBAR sau đó có khả năng phân loại dựa trên thông tin từ PDLM mới.
        Đặng Quang Minh, CCIEx2#11897 (Enterprise Infrastructure, Wireless), DEVNET, CCSI#31417

        Email : dangquangminh@vnpro.org
        https://www.facebook.com/groups/vietprofessional/

        Comment


        • #5
          Thông tin rất bổ ích. Sao không thấy ai bàn về vấn đề này nhỉ???

          Comment


          • #6
            NBAR dùng với protocol HTTP với các tham số url, host, mine, ... là một vấn đề khá đau đầu với các chuyên gia. Các bạn có thể tham khảo và trao đổi thêm tại: www.groupstudy.com với các chuyên gia công nghệ hàng đầu thế giới.

            Thân ái,
            KaKaLot_
            ================================================== ===================
            :106:The More You Sweat In Trainning, The Less You Bleed In The Battle.:105:

            Comment

            Working...
            X