Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Lab dùng NBAR để chặn Virus và các chương trình P2P.

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Lab dùng NBAR để chặn Virus và các chương trình P2P.

    • Code Red worm
    • Nimda virus/worm
    • P2P program usage
    • Chặn các địa chỉ web trên Internet


    I. Sơ đồ lab.
    II. Cấu hình
    Using NBAR to Detect Code Red Attacks

    Code:
    Router(config)# class-map match-any code-red-attacks
    
    Router(config-cmap)# match protocol http url "*.ida*"
    
    Router(config-cmap)# match protocol http url "*cmd.exe*"
    
    Router(config-cmap)# match protocol http url "*root.exe*"
    
    Router(config-cmap)# exit
    
    Router(config)# policy-map mark-code-red
    
    Router(config-pmap)# class code-red-attacks
    
    Router(config-pmap-c)# set ip dscp 1
    
    Router(config-pmac-c)# exit
    
    Router(config)# interface ethernet1
    
    Router(config-if)# service-policy input mark-code-red
    
    Router(config-if)# exit
    
    Router(config)# ip access-list extended block-code-red
    
    Router(config-ext-nacl)# deny ip any any dscp 1 log
    
    Router(config-ext-nacl)# permit ip any any
    
    Router(config-ext-nacl)# exit
    
    Router(config)# interface ethernet0
    
    Router(config-if)# ip access-group block-code-red out
    Ví dụ trên tạo ra một class map có tên gọi là code-red-attack, trong đó, các thông điệp http request có chứa “default.ida”, “Cmd.exe” và “root.exe” sẽ được tìm. Một policy sẽ gán giá trị DSCP bằng 1 cho các traffic này. Sau đó policy sẽ được áp vào cổng bên ngoài của router. Một ACL sẽ được tạo ra và loại bỏ những traffic có DSCP 1 ở cổng bên trong của router, theo chiều đi ra.

    - NBAR và Nimda
    Nimda lan truyền dùng cơ chế sau:
    - Khi có một người dùng click vào một attachment có virus, nó sẽ chạy tự động.
    - Dùng backdoor trong MS IIS để giành quyền truy cập web server.
    Virus NIMDA có thể tấn công theo nhiều hướng khác nhau: email attachment, Javascripts, bug trong IIS. Vì vậy, trong ví dụ dưới đây, ta dùng NBAR để ngăn ngừa và chặn chỉ qua hướng web đến server IIS bên trong.
    Cấu hình router nhận dạng NIMDA
    Code:
    Router(config)# class-map match-any nimda-attacks
    
    Router(config-cmap)# match protocol http url "*.ida*"
    
    Router(config-cmap)# match protocol http url "*cmd.exe*"
    
    Router(config-cmap)# match protocol http url "*root.exe*"
    
    Router(config-cmap)# match protocol http url "*readme.eml*"
    
    Router(config-cmap)# exit
    
    Router(config)# policy-map mark-nimda
    
    Router(config-pmap)# class nimda-attacks
    
    Router(config-pmap-c)# set ip dscp 1
    
    Router(config-pmac-c)# exit
    
    Router(config)# interface ethernet1
    
    Router(config-if)# service-policy input mark-nimda
    
    Router(config-if)# exit
    
    Router(config)# ip access-list extended block-nimda
    
    Router(config-ext-nacl)# deny ip any any dscp 1 log
    
    Router(config-ext-nacl)# permit ip any any
    
    Router(config-ext-nacl)# exit
    
    Router(config)# interface ethernet0
    
    Router(config-if)# ip access-group block-nimda out

    Trong ví dụ này, sự khác biệt chỉ là file *readme.eml* so với ví dụ trước. Từ IOS 12.3(4)T trở về sau, bạn có thể dùng NBAR để kiểm tra những kiểu tấn công cho các dịch vụ khác, ví dụ như POP3 hay SMTP.
    - Chặn các chương trình P2P

    Code:
    Router(config)# class-map match-any P2P-usage
    
    Router(config-cmap)# match protocol gnutella
    
    Router(config-cmap)# match protocol gnutella file-transfer "*"
    
    Router(config-cmap)# match protocol fasttrack
    
    Router(config-cmap)# match protocol fasttrack file-transfer "*"
    
    Router(config-cmap)# match napster non-std
    
    Router(config-cmap)# match kazaa2
    
    Router(config-cmap)# match protocol socks
    
    Router(config-cmap)# exit
    
    Router(config)# policy-map mark-P2P
    
    Router(config-pmap)# class P2P-usage
    
    Router(config-pmap-c)# set ip dscp 2
    
    Router(config-pmac-c)# exit
    
    Router(config)# ip access-list extended block-P2P
    
    Router(config-ext-nacl)# deny ip any any dscp 2 log
    
    Router(config-ext-nacl)# ! <--other ACL statements-->
    
    Router(config-ext-nacl)# permit ip any any
    
    Router(config-ext-nacl)# exit
    
    !
    !E1 là cổng bên ngoài của Router đấu ra Internet 
    
    !
    Router(config)# interface ethernet1
    
    Router(config-if)# service-policy input mark-P2P
    
    Router(config-if)# ip access-group block-P2P out
    
    Router(config-if)# exit
    !
    !E0 là cổng bên trong, đấu vào LAN
    !
    
    Router(config)# interface ethernet0
    
    Router(config-if)# service-policy input mark-P2P
    
    Router(config-if)# ip access-group block-P2P out
    Thông thường, nếu chặn nhiều ứng dụng thì có thể dùng các giá trị DSCP khác nhau cho các lớp lưu lượng khác nhau. Ví dụ như DSCP bằng 1 cho worms và DSCP bằng 2 cho P2P.
    - Chặn các địa chỉ web dùng NBAR
    Ví dụ dưới đây sẽ dùng NBAR để lọc hai web site là “vnpro.org” và “tuoitre.com.vn”.
    Code:
    !
    version 12.4
    !
    !
    hostname GW
    !
    ! Cấu hình router dùng DNS server của VDC
    !
    ip name-server 203.162.4.190  
    !
    !
    class-map match-any BLOCKWEB
     match protocol http host "vnpro.org"
     match protocol http host "tuoitre.com.vn"
    !
    policy-map mark-traffic
     class BLOCKWEB
      set ip dscp 1
    !
    !
    interface FastEthernet0/0
     ip address 192.168.1.1 255.255.255.0
     ip nat inside
     ip virtual-reassembly
      service-policy input mark-traffic
    !
    !
    !Cấu hình cổng bên ngoài xin địa chỉ qua DHCP server.
    !
    interface FastEthernet0/1
     ip address dhcp
     ip access-group webfliter out
     ip nat outside
     
    !
    !Cấu hình default route đi ra ngoài Internet
    !
    ip route 0.0.0.0 0.0.0.0 10.215.219.254
    !
    !Cấu hình NAT để các máy bên trong mạng đi ra Internet được
    ip nat inside source list 1 interface FastEthernet0/1 overload
    !
    ! Access list này sẽ loại bỏ những traffic đã bị đánh dấu DSCP 1
    ip access-list extended webfliter
     deny   ip any any dscp 1 log
     permit ip any any
    !
    access-list 1 permit 192.168.1.0 0.0.0.255
    !
    end
    CHúc mọi người vui !!!
    Trần Mỹ Phúc
    tranmyphuc@hotmail.com
    Hãy add nick để có thông tin đề thi mới nhất :tranmyphuc (Hỗ trợ tối đa cho các bạn tự học)

    Cisco Certs : CCNP (Passed TSHOOT 1000/1000)

    Juniper Certs :
    JNCIP-ENT & JNCIP-SEC
    INSTRUCTORS (No Fee) : CISCO (Professional) , JUNIPER (Professional) , Microsoft ...

    [version 4.0] Ôn tập CCNA



  • #2
    Bac Phuc cho hoi cai la tai sao bac phai mark DSCP 1 truoc, roi moi BLOCK no (dua vao DSCP) sau. Lam nhu the nay, bac da vo tinh drop tat ca cac packets DSCP 1, including genuine packets.

    How about this:

    Router(config)# policy-map drop-nimda
    Router(config-pmap)# class nimda-attacks
    Router(config-pmap)# drop

    Router(config)# interface ethernet1
    Router(config-if)# service-policy input drop-nimda

    Comment


    • #3
      Hi Ech,

      Bài viết trên thì cũng nhằm mục đích deny tất cả các traffic đc marikng với dscp = 1 (vì có đến 2 lại traffic cần set dscp = 1) nên người viết muốn gom các class-map về chung 1 giá trị dscp cho tiện.

      Cách làm của bạn cũng đúng, tuy nhiên bạn thiếu 1 bước phân loại (classification)

      Router(config)# class-map match-any nimda-attacks
      Router(config-cmap)# match protocol http url "*.ida*"
      Router(config-cmap)# match protocol http url "*cmd.exe*"
      Router(config-cmap)# match protocol http url "*root.exe*"
      Router(config-cmap)# match protocol http url "*readme.eml*"
      Router(config-cmap)# exit
      Thân,
      Đặng Hoàng Khánh
      Email: danghoangkhanh@vnpro.org
      ---------------------------
      VnPro - Cisco Authorised Training
      Discuss about Networking, especially Cisco technology: http://vnpro.org
      Discuss about Wireless: http://wifipro.org or http://wimaxpro.org

      Comment

      Working...
      X