Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Lab dùng NBAR để chặn Virus và các chương trình P2P.

Collapse
X
Collapse
 
  • Page of 1
  • Filter
  • Time
  • Show
Clear All
new posts
Previous template Next
  • #1

    Lab dùng NBAR để chặn Virus và các chương trình P2P.

    • Code Red worm
    • Nimda virus/worm
    • P2P program usage
    • Chặn các địa chỉ web trên Internet

    I. Sơ đồ lab.
    II. Cấu hình
    Using NBAR to Detect Code Red Attacks

    Code:
    Router(config)# class-map match-any code-red-attacks

Router(config-cmap)# match protocol http url "*.ida*"

Router(config-cmap)# match protocol http url "*cmd.exe*"

Router(config-cmap)# match protocol http url "*root.exe*"

Router(config-cmap)# exit

Router(config)# policy-map mark-code-red

Router(config-pmap)# class code-red-attacks

Router(config-pmap-c)# set ip dscp 1

Router(config-pmac-c)# exit

Router(config)# interface ethernet1

Router(config-if)# service-policy input mark-code-red

Router(config-if)# exit

Router(config)# ip access-list extended block-code-red

Router(config-ext-nacl)# deny ip any any dscp 1 log

Router(config-ext-nacl)# permit ip any any

Router(config-ext-nacl)# exit

Router(config)# interface ethernet0

Router(config-if)# ip access-group block-code-red out
    Ví dụ trên tạo ra một class map có tên gọi là code-red-attack, trong đó, các thông điệp http request có chứa “default.ida”, “Cmd.exe” và “root.exe” sẽ được tìm. Một policy sẽ gán giá trị DSCP bằng 1 cho các traffic này. Sau đó policy sẽ được áp vào cổng bên ngoài của router. Một ACL sẽ được tạo ra và loại bỏ những traffic có DSCP 1 ở cổng bên trong của router, theo chiều đi ra.

    - NBAR và Nimda
    Nimda lan truyền dùng cơ chế sau:
    - Khi có một người dùng click vào một attachment có virus, nó sẽ chạy tự động.
    - Dùng backdoor trong MS IIS để giành quyền truy cập web server.
    Virus NIMDA có thể tấn công theo nhiều hướng khác nhau: email attachment, Javascripts, bug trong IIS. Vì vậy, trong ví dụ dưới đây, ta dùng NBAR để ngăn ngừa và chặn chỉ qua hướng web đến server IIS bên trong.
    Cấu hình router nhận dạng NIMDA
    Code:
    Router(config)# class-map match-any nimda-attacks

Router(config-cmap)# match protocol http url "*.ida*"

Router(config-cmap)# match protocol http url "*cmd.exe*"

Router(config-cmap)# match protocol http url "*root.exe*"

Router(config-cmap)# match protocol http url "*readme.eml*"

Router(config-cmap)# exit

Router(config)# policy-map mark-nimda

Router(config-pmap)# class nimda-attacks

Router(config-pmap-c)# set ip dscp 1

Router(config-pmac-c)# exit

Router(config)# interface ethernet1

Router(config-if)# service-policy input mark-nimda

Router(config-if)# exit

Router(config)# ip access-list extended block-nimda

Router(config-ext-nacl)# deny ip any any dscp 1 log

Router(config-ext-nacl)# permit ip any any

Router(config-ext-nacl)# exit

Router(config)# interface ethernet0

Router(config-if)# ip access-group block-nimda out

    Trong ví dụ này, sự khác biệt chỉ là file *readme.eml* so với ví dụ trước. Từ IOS 12.3(4)T trở về sau, bạn có thể dùng NBAR để kiểm tra những kiểu tấn công cho các dịch vụ khác, ví dụ như POP3 hay SMTP.
    - Chặn các chương trình P2P

    Code:
    Router(config)# class-map match-any P2P-usage

Router(config-cmap)# match protocol gnutella

Router(config-cmap)# match protocol gnutella file-transfer "*"

Router(config-cmap)# match protocol fasttrack

Router(config-cmap)# match protocol fasttrack file-transfer "*"

Router(config-cmap)# match napster non-std

Router(config-cmap)# match kazaa2

Router(config-cmap)# match protocol socks

Router(config-cmap)# exit

Router(config)# policy-map mark-P2P

Router(config-pmap)# class P2P-usage

Router(config-pmap-c)# set ip dscp 2

Router(config-pmac-c)# exit

Router(config)# ip access-list extended block-P2P

Router(config-ext-nacl)# deny ip any any dscp 2 log

Router(config-ext-nacl)# ! <--other ACL statements-->

Router(config-ext-nacl)# permit ip any any

Router(config-ext-nacl)# exit

!
!E1 là cổng bên ngoài của Router đấu ra Internet 

!
Router(config)# interface ethernet1

Router(config-if)# service-policy input mark-P2P

Router(config-if)# ip access-group block-P2P out

Router(config-if)# exit
!
!E0 là cổng bên trong, đấu vào LAN
!

Router(config)# interface ethernet0

Router(config-if)# service-policy input mark-P2P

Router(config-if)# ip access-group block-P2P out
    Thông thường, nếu chặn nhiều ứng dụng thì có thể dùng các giá trị DSCP khác nhau cho các lớp lưu lượng khác nhau. Ví dụ như DSCP bằng 1 cho worms và DSCP bằng 2 cho P2P.
    - Chặn các địa chỉ web dùng NBAR
    Ví dụ dưới đây sẽ dùng NBAR để lọc hai web site là “vnpro.org” và “tuoitre.com.vn”.
    Code:
    !
version 12.4
!
!
hostname GW
!
! Cấu hình router dùng DNS server của VDC
!
ip name-server 203.162.4.190  
!
!
class-map match-any BLOCKWEB
 match protocol http host "vnpro.org"
 match protocol http host "tuoitre.com.vn"
!
policy-map mark-traffic
 class BLOCKWEB
  set ip dscp 1
!
!
interface FastEthernet0/0
 ip address 192.168.1.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
  service-policy input mark-traffic
!
!
!Cấu hình cổng bên ngoài xin địa chỉ qua DHCP server.
!
interface FastEthernet0/1
 ip address dhcp
 ip access-group webfliter out
 ip nat outside
 
!
!Cấu hình default route đi ra ngoài Internet
!
ip route 0.0.0.0 0.0.0.0 10.215.219.254
!
!Cấu hình NAT để các máy bên trong mạng đi ra Internet được
ip nat inside source list 1 interface FastEthernet0/1 overload
!
! Access list này sẽ loại bỏ những traffic đã bị đánh dấu DSCP 1
ip access-list extended webfliter
 deny   ip any any dscp 1 log
 permit ip any any
!
access-list 1 permit 192.168.1.0 0.0.0.255
!
end
    CHúc mọi người vui !!!
    Trần Mỹ Phúc
    tranmyphuc@hotmail.com
    Hãy add nick để có thông tin đề thi mới nhất :tranmyphuc (Hỗ trợ tối đa cho các bạn tự học)

    Cisco Certs : CCNP (Passed TSHOOT 1000/1000)

     Juniper Certs :     JNCIP-ENT & JNCIP-SEC
    INSTRUCTORS (No Fee) : CISCO (Professional) , JUNIPER (Professional) , Microsoft ...

    [version 4.0] Ôn tập CCNA
    Tags: None
  • #2
    Bac Phuc cho hoi cai la tai sao bac phai mark DSCP 1 truoc, roi moi BLOCK no (dua vao DSCP) sau. Lam nhu the nay, bac da vo tinh drop tat ca cac packets DSCP 1, including genuine packets.

    How about this:

    Router(config)# policy-map drop-nimda
    Router(config-pmap)# class nimda-attacks
    Router(config-pmap)# drop

    Router(config)# interface ethernet1
    Router(config-if)# service-policy input drop-nimda

    Comment

    • #3
      Hi Ech,

      Bài viết trên thì cũng nhằm mục đích deny tất cả các traffic đc marikng với dscp = 1 (vì có đến 2 lại traffic cần set dscp = 1) nên người viết muốn gom các class-map về chung 1 giá trị dscp cho tiện.

      Cách làm của bạn cũng đúng, tuy nhiên bạn thiếu 1 bước phân loại (classification)

      Router(config)# class-map match-any nimda-attacks
      Router(config-cmap)# match protocol http url "*.ida*"
      Router(config-cmap)# match protocol http url "*cmd.exe*"
      Router(config-cmap)# match protocol http url "*root.exe*"
      Router(config-cmap)# match protocol http url "*readme.eml*"
      Router(config-cmap)# exit
      Thân,
      Đặng Hoàng Khánh
      Email: danghoangkhanh@vnpro.org
      ---------------------------
      VnPro - Cisco Authorised Training
      Discuss about Networking, especially Cisco technology: http://vnpro.org
      Discuss about Wireless: http://wifipro.org or http://wimaxpro.org

      Comment

      Previous template Next
      Working...
      X