Chặn truy cập Website theo Bộ lọc nội dụng trang web (Content Filtering) với Firewall Meraki

Thảo luận trong 'Firewall Cisco Meraki' bắt đầu bởi duongvo, 14/7/21.

Tags:
  1. duongvo

    duongvo Member

    - Thiết bị tường lửa Cisco Meraki và các Acccess point có thể cấu hình với các firewall rule ở layer 7 để cấm các traffic bằng ứng dụng hoặc máy chủ đích. Thiết bị MX cũng có thể cấu hình "Lọc nội dung (Content Filtering)" tính năng này cấm truy cập vào trang web dựa trên nội dung của website. Tường lửa MX cũng có thể chuyển user đến trang có thông báo bị chặn bởi quản trị viên "This website has been blocked by your network administrator", nhờ đó người dung hiểu rằng họ sẽ không thể truy cập vào trang web đã bị cấm.
    - Bài viết này bao gồm qua trình tạo bộ lọc nội dung (content filtering) và các Firewall rule Layer 7 trên thiết bị bảo mật MX, cũng như sửa lỗi chặn trang.
    !Lưu ý: Trong lúc các Access Points model MR có thể được cấu hình các firewall rule Layer 7, chúng sẽ không trực tiếp chuyển các user đến trang chặn.

    I/. Cấu hình nội dung lọc trong Content Filtering    :
    - Để chặn người dùng truy cập vào các nhóm của những website hoặc các trang đặc biệt, các bước sau sẽ hướng dẫn để tạo quy tắc cho Content Filtering:
    1- Trong trang Dashboard, chuyển hướng đến Security appliance > Configure > Content Filtering.
    2- Để chặn một trang hoặc website riêng biệt, thêm một đường dẫn URL trang web đó bên dưới phần URL Blocking > Blocked URL Patterns. Nếu muốn biết thêm nhiều thông tin hoặc hướng dẫn, click vào đường link "Learn how URL blocking works" tại trang Content Filtering này.
    3- Để chặn một danh sách thể loại của website, chọn thể loại website bên dưới Category Filtering > Blocked Website Categories. Trong bài viết này sẽ cấu hình demo chặn truy cập vào mạng xã hội, như hình dưới:

    [​IMG]


    II/. Kiểm tra việc chặn truy cập web:
    !Lưu ý: Có thể mất vài phút để một rule mới có hiệu lực. Nếu trang web vẫn khả dụng sau thời gian này, hay thực hiện Troubleshooting ở phần sau. Xin lưu ý rằng các yêu cầu cho giao thức HTTPS sẽ không chặn được một trang web, hãy tham khảo thêm trong phần Troubleshooting để xem nhiều chi tiết hơn.
    1- Sử dụng một thiết bị không có trong whitelist (được ưu tiên) để kiểm tra quy tắc chặn. Thiết bị phải kết nối vào mạng phía sau cổng LAN trên thiết bị Cisco Meraki MX.
    2- Mở trình duyệt trên thiết bị và xóa sạch cache trên máy. Nếu website trong danh sách chặn đang có cache trên thiết bị, trang cache sẽ hiện ra trên trang của trình duyệt.
    3- Thử truy cập vào trang web trong trình duyệt. Nếu một trang thông báo chặn được tải lên, giống như hình bên dưới, việc chặn đã thànhg công. Nếu chưa thành công hãy tiến hình kiểm tra lại lỗi cấu hình trong phần Troubleshooting ở bước tiếp theo.
    [​IMG]



    III/. Troubleshooting:
    - Các hướng dẫn dưới đây phác thảo các bước khắc phục sự cố cho một số vấn để phổ biến liên quan đến chặn trang web:

    4.1. Trang web bị chặn nhưng vẫn có truy cập được:
    1- Chắc chắn rằng xóa sách bộ nhớ cách của trình duyệt.
    2- Kiểm tra lại viết bị client không nằm trong whitelist; thiết bị nằm trong whitelist sẽ hoặc bị tác động bởi các bộ lọc trên thiết bị MX.
    3- Nếu website được chặn bằng một danh mục trong Blocked Website Category, có thể website này không có trong danh mục đó. Hãy thử thêm URL của trang web này vào Blocked URL Patterns để chặn trực tiếp website cụ thể này.
    4- Nếu website được liệt kê trong Blocked URL Pattern, kiểm tra website không bị chuyển hướng đến một URL khác.


    4.2. Trang thông báo Chặn không hiện ra:
    1- Nếu trình duyệt của bạn đang sử dụng giao thức HTTPS/SLL, trình duyệt sẽ không được chuyển tiếp đến trang chặn. Do tính chất mã hóa của các yêu cầu SSL, thiết bị Cisco Meraki MX không thể giải mã và chuyển hướng traffic HTTPS. Thay vào đó, MX sẽ buộc yêu cầu hết thời gian chờ (có thể thấy ở hình dưới).
    2- Nếu thiết bị được kết nối với một AP của Cisco Meraki MR có các Firewall rule ở Layer 7, các Firewall rule của MR sẽ được áp dụng trước các Content Filtering hoặc các Firewall rule Layer 7 trên thiết bị MX. Khi AP MR không chuyển hướng đến trang Chặn, yêu cầu sẽ hết thời gian chờ thay vì đến trang Chặn.
    [​IMG]
     
    duongvo, 14/7/21
    #1
  2. thucis

    thucis New Member

    Bộ lọc nội dung (Content Filtering) trên Meraki MX được hỗ trợ bởi Cisco Talos
    ------------------------------

    - Từ phiên bản MX17 trở lên, Cisco Meraki MX giới thiệu tính năng Content Filtering (Lọc nội dung) được cung cấp bởi nhóm Cisco Talos Intelligence. Việc này cho phép tính năng Content Filtering của Meraki MX có thể phân chia các địa chỉ URL theo nội dung web và danh mục được lựa chọn bởi Cisco Talos.

    - Giới thiệu qua về Nhóm Cisco Talos Intelligence, đây là một trong số các đội nghiên cứu về các mối đe dọa về thương mại lớn nhất thế giới, bao gồm các nhà nghiên cứu, nhà phân tích và kỹ sư cấp thế giới. Talos Team cung cấp giải pháp bảo mật dành cho các khách hàng, các sản phẩm và dịch vụ của Cisco để ngăn chặn chống lại các mối đe dọa đã được nhận diện và kể cả mới phát hiện.

    YÊU CẦU:
    - Thiết bị Bảo mật Cisco Meraki MX phải được cập nhật lên bản firmware MX17 trở lên.

    - Thiết bị MX có thể truy cập tới các địa chỉ IP và domain của Cisco Talos bên dưới:

    Domain:
    • *.talos.cisco.com
    Địa chỉ IPv4:
    • 146.112.62.0/24
    • 146.112.63.0/24
    • 146.112.255.0/24
    • 146.112.59.0/24
    Địa chỉ IPv6:
    • 2a04:e4c7:ffff::/48
    • 2a04:e4c7:fffe::/48

    CHUYỂN ĐỔI:
    - Ở phiên bản firmware trước MX 17, Bright Cloud đã được tận dụng làm nguồn thông tin cho các danh mục. Với sự ra đời của Cisco Talos intelligence, các danh mục Bright Cloud được hỗ trợ trước đây có thể có hoặc không có ánh xạ trực tiếp tới các danh mục Cisco Talos. Meraki Dashboard đã thực hiện chuyển đổi một cách đơn giản khi có thể bằng cách đề xuất các danh mục phù hợp nhất.

    - Sau khi nâng cấp MX lên firmware MX 17 trở lên, Dashboard sẽ tự động di chuyển các danh mục cũ sang danh mục Cisco Talos mới được đề xuất. Là một phần của quy trình này, người dùng có thể xác nhận việc chuyển đổi và tùy chọn chấp nhận, xóa hoặc nhập danh mục mới thay thế danh mục cũ.

    - Để xác nhận lại quá trình thay đổi này, hãy vào trang Security & SD-WAN > Content filtering.
    [​IMG]
    TÍNH NĂNG:
    - Trước firmware MX 17, danh mục Content Filtering của MX đã được tải sẵn và cung cấp cho người dùng tùy chọn để chọn giữa các Trang web hàng đầu (Top Sites) hoặc Danh sách đầy đủ (Fill Lists). Với Cisco Talos Intelligence, tính năng Content Filtering của MX không còn tải sẵn danh sách danh mục nữa. Thay vào đó, MX truy vấn các danh mục URL trực tiếp từ dịch vụ của Cisco Talos. Các URL được truy vấn này cùng với danh mục tương ứng của chúng được lưu vào bộ nhớ đệm trên MX.

    - Ngoài các Trang web hàng đầu và Danh sách đầy đủ, các trang chặn và kiểm tra Content Filtering của MX sẽ tiếp tục hoạt động tương tự như trước bả MX 17.

    Kiểm tra
    • MX sẽ kiểm tra cả hai giao thức 'HTTP' và 'HTTPS'.
    • MX sẽ sử dụng cùng URL mẫu để khớp với các URL.

    Các trang bị Chặn
    • Những HTTP request giống trong danh mục bị chặn, MX sẽ chuyển hướng client tới trang thông báo chặn trên trình duyệt.
    • Những HTTPS request giống trong danh mục bị chặn, MX sẽ reset kết nối TCP này và cũng sẽ xuất hiện trang thông báo chặn trên trình duyệt.
    [​IMG]
    CẤU HÌNH:

    Cấu hình Network
    - Để bắt đầu cấu hình, hãy vào Security & SD-WAN > Content filtering.

    Cấu hình Danh mục Chặn
    - Ở firmware MX 17 hoặc mới hơn với các danh mục Cisco Talos, nội dung website, và các danh mục Threat được chia thành hai phần như bên dưới. Click vào một ô để chọn các danh mục có trong đó.
    [​IMG]
    Cấu hình Group Policy
    - Các Group Policy có thể được cấu hình bên trong Network-wide > Group Policy. Group Policy cung cấp các cấu hình tùy ý để cho phép bạn mở rộng thêm, ghi đè hoặc sử dụng cấu hình mạng mặc định.
    • Append: cho phép bạn thêm các danh mục và cấu hình mạng mặc định bổ sung
    • Override: thay đổi cấu hình mạng mặc định
    • Use Network Default: Đây là cấu hình policy mặc định trên trang Content Filtering (Security & SD-WAN > Content Filtering)
    [​IMG]
    Kiểm tra Nội dụng và Các Danh mục Threat
    - Nếu không chắc chắn URL thuộc danh mục nào, chỉ cần nhập URL vào Type in the URL trong phần Check content and threat categories. Điều này sẽ truy vấn Cisco Talos Intelligence để tìm nội dung tương ứng và/hoặc danh mục mối đe dọa. Các kết quả được truy vấn sẽ hiển thị bên phải. Ví dụ: ảnh chụp màn hình bên dưới trình bày chi tiết truy vấn và kết quả cho www.meraki.com.
    [​IMG]
    - Nếu danh mục kết quả hiện không bị chặn, chỉ cần nhấp vào dấu "+" bên cạnh danh mục để thêm nó vào cấu hình của bạn trong phần Danh mục chặn. Nếu kết quả đã bị chặn, Dashboard sẽ cung cấp tùy chọn xóa danh mục khỏi bị chặn bằng cách chỉ cần nhấp vào "x".

    - Cảnh báo: Việc chặn danh mục "Computers and Internet" hoặc "Computer Security" có thể ảnh hưởng đến các dịch vụ của Cisco, ví dụ: Khả năng kết nối thiết bị với đám mây Meraki hoặc các dịch vụ khác như Cisco Umbrella.

    Tùy chọn Cho phép / Chặn các URL cụ thể
    - Nếu một URL cần được chặn hoàn toàn, bạn có thể nhập đường dẫn mẫu URL trong ô "Block list URL patterns" bên dưới phần URL blocking như hình bên dưới .

    - Nếu một danh mục chặn được cấu hình đang cấm truy cập tới một URL mà bạn không muốn, bạn có thể nhập URL mẫu vào "Allow list URL patterns" bên dưới phần URL blocking như bên dưới để cho phép URL này.
    [​IMG]
    Event Log
    - Các sự kiện lọc chặn theo nội dụng sẽ được hiển thị trong Event Log (Network-wide > Event Log) như bên dưới.
    [​IMG]
    Xung đột về danh mục nội dung
    - Nếu một URL đã được phân loại trong một danh mục không mong muốn, xung đột về danh mục có thể được gửi trực tiếp thông qua trang 'Talos’ Reputation Support'. Trên trang này, bạn sẽ có thể đệ trình lên đến 100 URL cùng lúc.

    - Đối với các tranh chấp về danh mục nội dung, hãy nhấp vào “Submit a Content Categorization Ticket” trong phần Content Categorization Requests.
    [​IMG]
    - Để tiếp tục, hãy click vào 'Cisco Login'. Nếu bạn không có ID CCO, bạn có thể tạo một ID ở bước này.

    - Sau khi đăng nhập, bạn có thể nhập URL để gửi yêu cầu. Tiện ích gửi sẽ tự động điền danh mục nội dung hiện tại. Nếu không, hãy nhấp vào “Get Category Data”.
    [​IMG]

    1. Nhập URL. Ví dụ này sử dụng www.example.com.
    2. Chọn danh mục nội dung được đề xuất cho URL.
    3. Chọn Meraki MX làm nền tảng.
    4. Nhập bất kỳ nhận xét/chi tiết bổ sung nào cho xung đột này.
    5. Sau khi hoàn tất, hãy click Submit.

    - Sau khi gửi, bạn có thể xem các vé ticket của mình thông qua trang Talos’ My Tickets.
     
    thucis, 3/7/24
    #2

trang này