Das Filtern von URLs ist eine Funktion, die ich normalerweise auf einem dedizierten Proxy implementieren würde. Aber wenn kein Proxy zur Verfügung steht, kann diese Funktion auch lokal auf dem IOS-Router ab Version 12.4(20)T konfiguriert werden. Dabei stehen drei Mechanismen zur Verfügung:
- Ein lokal installierter Websense oder Secure Computing Server
- Abfrage des “cloud-based” Trend Micro URL-Filtering Dienstes
- lokale Black- oder Whitelists
Um zu testen, ob die Trend Micro-Lösung als Alternative in Branch-Offices einsetzbar ist, habe ich auf meinem Cisco 1841 mit IOS 15.1(3)T die Test-Lizenz installiert. Diese kann pro Router einmal aktiviert werden und läuft dann für dreißig Tage. Der Straßenpreis der Lizenz für die 1800er oder 1900-Serie liegt für 1 Jahr bei ca. 200 Euro, was die Sache recht interessant macht.
Die Konfiguration des Content-Filters ist in die Zone-Based-Firewall integriert, was die Implementierung sehr flexibel macht (wobei böse Zungen behaupten “flexibel” wäre nur eine Umschreibung für “unnötig kompliziert”; eine Behauptung, der ich nur schwer widersprechen kann).
In der Cisco-Dokumentation ist die Konfiguration auch recht gut beschrieben, weshalb ich hier nicht näher darauf eingehe. Nach der “Fleiß-Arbeit”, mit der Cisco Common Classification Policy Language (C3PL) die Zonen-basierte Konfiguration anzufertigen, gilt es aus den 70 URL-Kategorien (wie z.B. Auctions, Games, Nudity, Pornography, Shopping, Travel, Weapons) und den 10 Security-Kategorien (wie z.B. ADWARE, HACKING, PHISHING) die richtigen auszuwählen, die geblockt werden sollen.
Was kam weiter beim Test heraus:
- Wie ich vorher auch schon bei N2H2 — jetzt Secure Computing — festgestellt habe, ist der Filter bei deutschen Seiten bei weitem nicht so gut wie bei englischem Content (z.B. beim Zugriff auf .com-Seiten).
- Viele Seiten, die eigentlich bei meinen Tests hätten geblockt werden sollen, wurden vom Filter erlaubt. Schade eigentlich. Oftmals zeigte sich auch, das nur Teile zu blockender Seiten nicht angezeigt wurden. Wenn ich die Kategorie “Violence-hate-racism” blocke und die Seite des Ku Klux Klan aufrufe, dann werden zwar alle Bilder und Elemente der Webseite geblockt, der Text der Hauptseite erscheint aber trotzdem. Genauso z.B. beim Blocken von “Real-estate”. Die Seite immonet.de erscheint schon, es werden aber keine sonstigen Elemente dargestellt.
- “Photo-Searches” blockt nicht photoblog.msnbc.msn.com.
- “Nudity” blockt kein www.coupe.de, keine BILD und auch keine getesteten FKK/Nudisten-Seiten.
- Von den im Bundestag vertretenen Parteien werden in der Kategorie “Political” nur die Linken geblockt, NPD geht, die DVU hingegen nicht.
- Die Kategorie “Auctions” filtert recht gut, wenn auch der Zugriff auf www.zoll-auktion.de nicht geblockt wird. Das hätte ich allerdings auch nicht erwartet.
- Die CPU-Belastung steigt durch die Nutzung des Content-Filters natürlich auch. Mit dem getesteten Cisco 1841 an meinem 16000er DSL-Anschluss erreiche ich bei HTTP-Downloads zwar wie auch ohne Content-Filter eine Geschwindigkeit von ca. 1,6 bis 1,7 MByte/s. Die CPU-Last liegt dabei aber durchgängig bei über 95%. Der “normale” Wert bei Downloads beträgt ca. 85%, was natürlich auch grenzwertig ist, aber halt auch nur bei längeren Downloads vorkommt. Dieser Anstieg reicht aber schon, das ich diese Lösung für meine Kunden, die in den Branches meist 1800er Router haben, für nicht geeignet halte. Wenn neuere Standorte mit 1900er Routern bestückt werden sollte man die Sache aber erneut analysieren. Bei den deutlich schnelleren ISR-G2 kann ich mir aber vorstellen, das es schon ganz anders aussieht.
Weitere Informationen zum Thema IOS Content-Filter und Zone-Based-Firewalls:
- Cisco IOS Content Filtering
- Cisco IOS Content Filtering FAQ
- Cisco IOS Content Filtering Configuration Guide
- Subscription-based Cisco IOS Content Filtering Configuration Guide
- Zone-Based Policy Firewall
- Zone-Based Policy Firewall Design and Application Guide
- CiscoPress: Implementing Cisco IOS Network Security (IINS)