Security apparaat Manager: Blok P2P-verkeer op Cisco IOS-router met NBAR-configuratievoorbeeld

Inleiding

Dit document beschrijft hoe u de Cisco IOS^® router moet configureren om het peer-to-peer (P2P) verkeer van het binnennetwerk naar internet te blokkeren met Network-Based Application Recognition (NBAR).

NBAR herkent specifieke netwerkprotocollen en netwerktoepassingen die in uw netwerk worden gebruikt. Zodra een protocol of toepassing door NBAR wordt herkend, kunt u de modulaire Quality of Service Opdracht-Line Interface (MQC) gebruiken om de pakketten die met deze protocollen of toepassingen zijn geassocieerd, in klassen te groeperen. Deze klassen worden gegroepeerd op basis van de vraag of de pakketten aan bepaalde criteria voldoen.

Voor NBAR is het criterium of het pakket overeenkomt met een specifiek protocol of een toepassing die bekend is bij NBAR. Met behulp van MQC kan netwerkverkeer met één netwerkprotocol (Citrix, bijvoorbeeld) in één verkeersklasse worden geplaatst, terwijl verkeer dat overeenkomt met een ander netwerkprotocol (gnutella, bijvoorbeeld) in een andere verkeersklasse kan worden geplaatst. Later kan het netwerkverkeer binnen elke klasse de juiste QoS-behandeling krijgen door gebruik te maken van een verkeersbeleid (beleidskaart). Raadpleeg het gedeelte Classifier Network Traffic Engineering met NBAR van de Cisco IOS Quality of Service Solutions Configuration voor meer informatie over NBAR.

Voorwaarden

Vereisten

Voordat u NBAR configureren om P2P-verkeer te blokkeren, moet u Cisco Express Forwarding (CEF) inschakelen.

Gebruik het ip-cef in de configuratie van de aarde om CEF mogelijk te maken:

Hostname(config)#ip cef

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

• Cisco 2801 router met Cisco IOS-softwarerelease 12.4(15)T

• Cisco Security apparaat Manager (DSM) versie 2.5

Opmerking: Raadpleeg de basisrouterconfiguratie met behulp van een dm om de router door een dm te laten configureren.

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Conventies

Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

Network-Based Application Recognition (NBAR) - Overzicht

Network-Based Application Recognition (NBAR) is een classificatiemodule die een brede reeks protocollen en toepassingen erkent en classificeert. Wanneer NBAR een protocol of toepassing herkent en classificeert, kan het netwerk worden geconfigureerd om de juiste kwaliteit van de service (QoS) voor die toepassing of verkeer toe te passen met dat protocol.

NBAR vervult deze functies:

• Identificatie van toepassingen en protocollen (Layer 4 tot Layer 7)

  NBAR kan toepassingen classificeren die worden gebruikt:

  • Automatisch toegewezen TCP- en UDP-poortnummers (Transfer Control Protocol) en User Datagram Protocol (UDP).

  • Non-UDP- en non-TCP IP-protocollen.

  • Dynamisch toegewezen TCP- en UDP-poortnummers die tijdens verbindingsinrichting zijn onderhandeld. Voor de classificatie van toepassingen en protocollen is stateful inspection vereist. Stateful inspection is de mogelijkheid om gegevensverbindingen te ontdekken die geclassificeerd zullen worden door de controleverbindingen over de gegevensverbindingspoort waar opdrachten worden gegeven door te geven.

  • Subpoortclassificatie: Classificatie van HTTP (URL’s, ime of host-namen) en Citrix applicaties Independent Computing Architecture (ICA)-verkeer op basis van gepubliceerde toepassingsnamen.

  • Classificatie gebaseerd op diepe pakketinspectie en meerdere toepassingsspecifieke eigenschappen. Real-Time Transport Protocol (RTP) payload-classificatie is gebaseerd op dit algoritme waarin het pakket is geclassificeerd als RTP op basis van meerdere eigenschappen in de RTP-header.

• Protocolontdekking

  De ontdekking van het protocol is een algemeen gebruikte eigenschap NBAR die toepassing en protocol statistieken (pakkettellingen, byte tellingen, en bit rates) per interface verzamelt. Op GUI gebaseerde beheertools kunnen deze informatie grafisch weergeven door SNMP-statistieken te polderen vanaf de NBAR PD Management Information Base (MIB). Zoals met elke netwerkfunctie is het belangrijk om de prestaties en schaalbaarheidskenmerken te begrijpen voordat u de functie in een productienetwerk implementeert. Op op software gebaseerde platforms zijn de meetwaarden die in aanmerking worden genomen het effect van CPU-gebruik en het duurzame gegevenstempo terwijl deze functie is ingeschakeld. Om NBAR te vormen om verkeer voor alle protocollen te ontdekken die aan NBAR op een bepaalde interface bekend zijn, gebruik het IP protocol-discovery bevel in de configuratie van de interface of de configuratie van VLAN-modus. Om verkeersontdekking uit te schakelen, gebruikt u de opdracht no ip nbar protocol-discovery.

Het configureren van de peer-to-peer (P2P) traffic blokkering

Deze sectie bevat informatie over het configureren van de functies die in dit document worden beschreven.

Opmerking: Sommige P2P-verkeer kan niet volledig geblokkeerd zijn vanwege de aard van het P2P-protocol. Deze P2P-protocollen veranderen dynamisch hun handtekeningen om alle DPI-motoren te omzeilen die hun verkeer volledig proberen te blokkeren. Daarom raadt Cisco u aan de bandbreedte te beperken in plaats van deze volledig te blokkeren. (Schroef de bandbreedte voor dit verkeer. zeer minder bandbreedte geven; laat de verbinding echter doorgaan . )

Opmerking: Gebruik het Opname Gereedschap (alleen geregistreerde klanten) om meer informatie te verkrijgen over de opdrachten die in deze sectie worden gebruikt.

Netwerkdiagram

Het netwerk in dit document is als volgt opgebouwd:

Routerconfiguratie

R1#show run
Building configuration...

Current configuration : 4543 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname R1
!
logging buffered 4096
enable secret 5 $1$bKq9$AHOxTgk6d3hcMGn6jTGxs/
!
aaa new-model
!
!
!
!
aaa session-id common

!--- IP CEF should be enabled at first to block P2P traffic. !--- P2P traffic cannot be blocked when IPC CEF is disabled.

ip cef
!

!--- Configure the user name and password with Privilege level 15 !--- to get full access when using SDM for configuring the router.

username cisco123 privilege 15 password 7 121A0C0411045D5679
secure boot-image
secure boot-config
archive
 log config
  hidekeys
!
!
!

!--- Configure the class map named p2p to match the P2P protocols !--- to be blocked with this class map p2p.

class-map match-any p2p


!--- Mention the P2P protocols to be blocked in order to block the !--- P2P traffic flow between the required networks. edonkey, !--- fasttrack, gnutella, kazaa2, skype are some of the P2P !--- protocols used for P2P traffic flow. This example !--- blocks these protocols.

 match protocol edonkey
 match protocol fasttrack
 match protocol gnutella
 match protocol kazaa2
 match protocol winmx
 match protocol skype


!--- The access list created is now mapped with the class map P2P !--- to specify the interesting traffic.

 match access-group 102
!
!

!--- Here the policy map named SDM-QoS-Policy-2 is created, and the !--- configured class map p2p is attached to this policy map. !--- Drop is the command to block the P2P traffic.

policy-map SDM-QoS-Policy-2
 class p2p
   drop
!
!
!

!--- Below is the basic interface configuration on the router.

interface FastEthernet0/0
 ip address 10.77.241.109 255.255.255.192
 duplex auto
 speed auto
!
interface FastEthernet0/1
 ip address 10.10.10.2 255.255.255.0

!--- The command ip nbar protocol-discovery enables NBAR !--- protocol discovery on this interface where the QoS !--- policy configured is being used.

 ip nbar protocol-discovery
 duplex auto
 speed auto

!--- Use the service-policy command to attach a policy map to !--- an input interface so that the interface uses this policy map.

 service-policy input SDM-QoS-Policy-2
!
ip route 10.77.241.0 255.255.255.0 10.10.10.2
ip route 10.77.0.0 255.255.0.0 10.77.241.65
!

!--- Configure the below commands to enable SDM !--- access to the Cisco routers.

ip http server
ip http authentication local
no ip http secure-server
!

!--- Configure the access lists and map them to the configured class map. !--- Here the access list 102 is mapped to the class map p2p. The access !--- lists are created for both Incoming and outgoing traffic through !--- the inside network interface.

access-list 102 remark SDM_ACL Category=256
access-list 102 remark Outgoing Traffic
access-list 102 permit ip 10.10.10.0 0.0.0.255 10.77.241.0 0.0.0.255
access-list 102 remark Incoming Traffic
access-list 102 permit ip 10.77.241.0 0.0.0.255 10.10.10.0 0.0.0.255
!
!
line con 0
 exec-timeout 0 0
line aux 0
 password 7 02250C520807082E01165E41
line vty 0 4
 exec-timeout 0 0
 password 7 05080F1C22431F5B4A
 transport input all
!
!
webvpn cef
end

Configureer de router met DSM

Configuratie van routerdm

Voltooi deze stappen om blokkering van P2P-verkeer op een Cisco IOS-router te configureren:

Opmerking: Om NBAR te configureren om verkeer te ontdekken voor alle protocollen die bekend zijn aan NBAR op een bepaalde interface, moet ip nbar protocol-discovery opdracht worden gebruikt in de interface configuratie modus of de VLAN configuratie modus om verkeersontdekking mogelijk te maken. Ga met de configuratie verder na het configureren van protocolontdekking op de vereiste interface waar het QoS-beleid is geconfigureerd wordt gebruikt.

Hostname#config t
               Hostname(config)#interface fastEthernet 0/1
               Hostname(config-if)#ip nbar protocol-discovery
               Hostname(config-if)#end

1. Open een browser, en voer het IP adres van de router in die voor toegang te zijner tijd is ingesteld. Bijvoorbeeld, https://<getekend_router_IP_Address>

   Controleer of alle waarschuwingen die uw browser u geeft, geldig zijn voor de SSL-certificatie. De standaard naam en het wachtwoord zijn beide leeg.

   De router toont dit venster om de download van de toepassing toe te staan. Dit voorbeeld laadt de toepassing op de lokale computer en werkt niet in een Java-applet.

   

   De download van het dm begint nu.

2. Zodra de lantaarn van het Sdm wordt gedownload, voltooien de stappen die door de herinnering worden geregisseerd om de software te installeren en de Launcher van Cisco Sdm in werking te stellen.

3. Voer een gebruikersnaam en een wachtwoord in, indien u deze hebt opgegeven, en klik op OK.

   Dit voorbeeld gebruikt cisco123 voor de gebruikersnaam en cisco123 als het wachtwoord.

   

4. Klik op Configureren > Quality of Service en klik op het tabblad QoS-beleid bewerken op de startpagina van DSM.

   

5. In de vervolgkeuzelijst Beeld Beleid op interface kiest u de interfacenaam en kiest u vervolgens de richting van de verkeersstroom (naar binnen of naar buiten) in de vervolgkeuzelijst In Richting.

   In dit voorbeeld, is de interface FastEthernet 0/1, en de richting is binnenkomend.

6. Klik op Add om een nieuwe QoS-klasse voor de interface toe te voegen.

   Het dialoogvenster QoS-klasse toevoegen verschijnt.

   

7. Als u een nieuwe klasse wilt creëren, klik de radioknop van de Naam van de Klasse, en voer een naam voor uw klasse in. Klik anders op de knop Class Default als u de standaardklasse wilt gebruiken.

   Dit voorbeeld creëert een nieuwe klasse genaamd p2p.

8. Klik in het gedeelte Classificatie op de knop Any of op de selectieknop All voor de optie Overeenkomsten.

   Deze voorbeelden gebruiken de optie Any Match, die de class-map match-of p2p-opdracht op de router uitvoert.

9. Selecteer Protocol in de lijst Classificatie en klik op Bewerken om de protocolparameter te bewerken.

   Het dialoogvenster Overeenkomende waarden bewerken verschijnt.

   

10. Selecteer in de lijst Beschikbare protocolwaarden elk P2P-protocol dat u wilt blokkeren en klik op de knop pijl (>) om elk protocol naar de lijst Geselecteerde protocolwaarden te verplaatsen.

    Opmerking: Om P2P-verkeer met NBAR te kunnen classificeren, gaat u naar de Software Download pagina en download u de nieuwste P2P Protocol Description Language Module-software (PDLM) en Readme-bestanden. P2P-PDLM’s die kunnen worden gedownload, zijn onder meer WinMx, Bittorrent, Kazaa2, Gnutella, Donkey, Fasttrack en Napster. Afhankelijk van uw IOS, zou u de nieuwste PDLM versies niet nodig kunnen hebben aangezien sommige in uw IOS (bijvoorbeeld, Fasttrack en Napster) zouden kunnen worden geïntegreerd. Nadat u de PDLM's hebt gedownload naar de flitser van de router, en deze in IOS hebt geladen door ip nbar PDM <flash_device>:< bestandsnaam>.pdf te configureren. Geef de opdracht ip nbar PDM uit om er zeker van te zijn dat het geladen is. Zodra geladen, kunt u ze in de overeenkomende protocolverklaringen onder uw configuratie van de klassenkaart gebruiken.

11. Klik op OK.

    

12. In het dialoogvenster QoS-klasse toevoegen selecteert u Toegangsregels uit de lijst Classificatie en vervolgens klikt u op Bewerken om een nieuwe toegangsregel te maken. U kunt ook een bestaande toegangsregel in kaart brengen naar de p2p class map.

    

    Het dialoogvenster Overeenkomende ACL bewerken verschijnt.

    

13. Klik op de knop Toegangsregel (...) en kies de gewenste optie. Dit voorbeeld creëert een nieuwe ACL.

    Het dialoogvenster Regel toevoegen verschijnt.

    

14. Typ in het dialoogvenster Regel toevoegen de naam of het nummer van de ACL die in het veld Naam/nummer van de ACL moet worden gemaakt.

15. Kies in de vervolgkeuzelijst Type het type ACL dat u wilt maken (uitgebreide regel of standaardregel).

16. Klik op Add om details aan ACL 102 toe te voegen.

    Het dialoogvenster Toevoegen van een uitgebreide regel verschijnt.

    

17. In het dialoogvenster Toegang toevoegen en uitgebreide regel toevoegen selecteert u een actie (Toestaan of Afwijzen) in de vervolgkeuzelijst Selecteren een actie die aangeeft of de ACL-regel het verkeer tussen de bron en de doelnetwerken moet toestaan of ontkennen. Deze regel is voor het uitgaande verkeer van het binnennetwerk naar het buitennetwerk.

18. Voer informatie in voor de bron- en doelnetwerken in de gebieden Source Host/Network en Destination Host/Network.

19. Klik in het gebied Protocol en Service op de juiste knop. Dit voorbeeld gebruikt IP.

20. Als u de overeenkomende pakketten wilt registreren met deze ACL-regel, controleert u de logmatches met deze optie.

21. Klik op OK.

22. Klik in het dialoogvenster Regel toevoegen op OK.

    

23. Klik in het dialoogvenster Overeenkomende ACL bewerken op OK.

    

24. In het dialoogvenster QoS-klasse toevoegen controleert u het vakje Drop om de router te dwingen het P2P-verkeer te blokkeren.

    

25. Klik op OK.

    Het volgende waarschuwingsbericht wordt standaard weergegeven omdat het QoS-beleid niet in de interface is gekoppeld.

    

    zal het QoS-beleid automatisch genereren en de geconfigureerde class-kaart aan het beleid hechten. Het commando-lijn interface (CLI) equivalent van deze SDM configuratiestap is:

    R1(config)#policy-map SDM-QoS-Policy-2
    R1(config-pmap)#class p2p
    R1(config-pmap-c)#drop
    R1(config-pmap-c)#end
    R1#

26. Op het tabblad QoS-beleid bewerken klikt u op Wijzigingen toepassen om de configuratie aan de router te leveren.

    

Application Firewall-Instant Message Traffic Encapsulation in Cisco IOS-versies 12.4(4)T en hoger

Handhaving van ononderbroken berichtverkeer

De optie Firewall-Instant Message Traffic Encapsulation stelt gebruikers in staat een beleid te definiëren en af te dwingen dat specificeert welke instant messenger traffic types in het netwerk zijn toegestaan. U kunt meerdere boodschappen (namelijk AOL, YAHOO en MSN) tegelijkertijd besturen als dit in appfw-beleid is geconfigureerd onder Application im. Daarom kan de volgende aanvullende functionaliteit ook worden gehandhaafd:

• Configuratie van regels voor firewalls

• Dieppakketinspectie van de lading (op zoek naar services zoals tekstchatten)

Opmerking: Application Firewall-Instant Message Traffic Encapsulation wordt ondersteund in Cisco IOS-versies 12.4(4)T en hoger.

Instant Messenger-toepassingsbeleid

De toepassingsfirewall gebruikt een toepassingsbeleid, dat uit een verzameling statische handtekeningen bestaat, om veiligheidsschendingen te detecteren. Een statische handtekening is een verzameling parameters die protocolvoorwaarden specificeren waaraan moet worden voldaan voordat een actie wordt ondernomen. Deze protocolvoorwaarden en reacties worden door de eindgebruiker via het CLI gedefinieerd om een toepassingsbeleid te vormen.

Cisco IOS-toepassingsfirewall is uitgebreid om direct native boodschapertoepassingsbeleid te ondersteunen. De Cisco IOS-firewall kan nu dus gebruikersverbindingen detecteren en verbieden voor client-messenger servers voor AIM Instant Messenger (AIM), Yahoo! Messenger- en MSN Messenger-berichtenservices. Deze functionaliteit controleert alle verbindingen voor de ondersteunde services, waaronder tekst-, spraak-, video- en bestandsoverdrachtmogelijkheden. De drie aanvragen kunnen individueel worden afgewezen of toegestaan. Elke service kan individueel worden gecontroleerd zodat de service voor tekstchatten is toegestaan en spraak-, bestandsoverdracht, video- en andere services zijn beperkt. Deze functionaliteit vergroot de bestaande mogelijkheden van de toepassingsinspectie om instant messenger (IM) toepassingsverkeer te controleren dat vermomd is als HTTP (web) verkeer. Raadpleeg Application Firewall - Instant Message Traffic Encapsulation voor meer informatie.

Opmerking: Als een IM-toepassing is geblokkeerd, wordt de verbinding hersteld en wordt er een syslig-bericht gegenereerd, naar gelang het geval.

Verifiëren

Gebruik dit gedeelte om te bevestigen dat de configuratie correct werkt.

Het Uitvoer Tolk (geregistreerde klanten slechts) (OIT) steunt bepaalde show opdrachten. Gebruik de OIT om een analyse van tonen opdrachtoutput te bekijken.

• toon ip nbar PDM—Om de PDLM in gebruik door NBAR weer te geven, gebruik de opdracht shoep nbar PDM in bevoorrechte EXEC-modus:

  Router#show ip nbar pdlm 
          The following PDLMs have been loaded:
          flash://edonkey.pdlm
          flash://fasttrack.pdlm
          flash://gnutella.pdlm
          flash://kazaa2.pdlm 

• Toon ip nbar versie-Om informatie over de versie van de software NBAR in uw IOS van Cisco versie of de versie van een NBAR PDLM op uw IOS van Cisco te tonen gebruik de opdracht van de show ip nbar versie in bevoorrechte EXEC-modus:

  R1#show ip nbar version
  
  NBAR software version:  6
  
  1   base                 Mv: 2
  2   ftp                  Mv: 2
  3   http                 Mv: 9
  4   static               Mv: 6
  5   tftp                 Mv: 1
  6   exchange             Mv: 1
  7   vdolive              Mv: 1
  8   sqlnet               Mv: 1
  9   rcmd                 Mv: 1
  10  netshow              Mv: 1
  11  sunrpc               Mv: 2
  12  streamwork           Mv: 1
  13  citrix               Mv: 10
  14  fasttrack            Mv: 2
  15  gnutella             Mv: 4
  16  kazaa2               Mv: 7
  17  custom-protocols     Mv: 1
  18  rtsp                 Mv: 4
  19  rtp                  Mv: 5
  20  mgcp                 Mv: 2
  21  skinny               Mv: 1
  22  h323                 Mv: 1
  23  sip                  Mv: 1
  24  rtcp                 Mv: 2
  25  edonkey              Mv: 5
  26  winmx                Mv: 3
  27  bittorrent           Mv: 4
  28  directconnect        Mv: 2
  29  skype                Mv: 1
  
  
  {<No.>}<PDLM name> Mv: <PDLM Version>, {Nv: <NBAR Software Version>; <File name>
  }{Iv: <PDLM Interdependency Name>   - <PDLM Interdependency Version>}

• toon beleid-kaart interface - om de pakketstatistieken van alle klassen te tonen die voor al het dienstbeleid of op de gespecificeerde interface of subinterface of op een specifiek permanent virtueel circuit (PVC) op de interface worden gevormd, gebruik het tonen beleid-kaart opdracht in bevoorrechte EXEC modus:

  R1#show policy-map interface fastEthernet 0/1
   FastEthernet0/1
  
    Service-policy input: SDM-QoS-Policy-2
  
      Class-map: p2p (match-any)
        0 packets, 0 bytes
        5 minute offered rate 0 bps, drop rate 0 bps
        Match: protocol edonkey
          0 packets, 0 bytes
          5 minute rate 0 bps
        Match: protocol fasttrack
          0 packets, 0 bytes
          5 minute rate 0 bps
        Match: protocol gnutella
          0 packets, 0 bytes
          5 minute rate 0 bps
        Match: protocol kazaa2
          0 packets, 0 bytes
          5 minute rate 0 bps
        Match: protocol winmx
          0 packets, 0 bytes
          5 minute rate 0 bps
        Match: access-group 102
          0 packets, 0 bytes
          5 minute rate 0 bps
        Match: protocol skype
          0 packets, 0 bytes
          5 minute rate 0 bps
        drop
  
      Class-map: class-default (match-any)
        0 packets, 0 bytes
        5 minute offered rate 0 bps, drop rate 0 bps
        Match: any

• tonen in werking stellen-in werking stellen-enig beleid-kaart-Om alle beleidskaartconfiguraties evenals de standaardconfiguratie van het beleid te tonen, gebruik de show in werking stellen-in werking stellen-enig beleid-kaart bevel:

  R1#show running-config policy-map
  Building configuration...
  
  Current configuration : 57 bytes
  !
  policy-map SDM-QoS-Policy-2
   class p2p
     drop
  !
  end

• tonen in werking stellen-in werking stellen-enig klembord-kaart-Om de informatie over de configuratie van de klas te tonen, gebruik het tonen in werking stellen-in werking stellen klembord bevel:

  R1#show running-config class-map
  Building configuration...
  
  Current configuration : 178 bytes
  !
  class-map match-any p2p
   match protocol edonkey
   match protocol fasttrack
   match protocol gnutella
   match protocol kazaa2
   match protocol winmx
   match access-group 102
  !
  end

Problemen oplossen

Deze sectie bevat informatie waarmee u problemen met de configuratie kunt oplossen.

Het Uitvoer Tolk (uitsluitend geregistreerde klanten) (OIT) ondersteunt bepaalde show opdrachten. Gebruik de OIT om een analyse van tonen opdrachtoutput te bekijken.

Opmerking: Raadpleeg Belangrijke informatie over debug Commands voordat u debug-opdrachten gebruikt.

• toon toegang-lijst-om de toegangslijst te tonen die op de Cisco IOS router loopt, gebruik het show access-list bevel:

  R1#show access-lists
  Extended IP access list 102
      10 permit ip 10.10.10.0 0.0.0.255 10.77.241.0 0.0.0.255
      20 permit ip 10.77.241.0 0.0.0.255 10.10.10.0 0.0.0.255

Gerelateerde informatie

• Cisco IOS-beveiligingsgids, release 12.4-ondersteuning
• Network-Based Application Recognition (NBAR)
• Cisco Express Forwarding (CEF)
• Technische ondersteuning en documentatie – Cisco Systems