{"id":3564,"date":"2011-03-23T13:50:36","date_gmt":"2011-03-23T12:50:36","guid":{"rendered":"http:\/\/security-planet.de\/?p=3564"},"modified":"2011-03-23T13:50:36","modified_gmt":"2011-03-23T12:50:36","slug":"cisco-ios-content-filtering","status":"publish","type":"post","link":"https:\/\/cyber-fi.net\/index.php\/2011\/03\/23\/cisco-ios-content-filtering\/","title":{"rendered":"Cisco IOS: Content-Filtering"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/blog.iwen.de\/wp-content\/uploads\/2008\/12\/router.png\" alt=\"\" title=\"router\" width=\"70\" height=\"49\" class=\"alignright size-full wp-image-643\" \/>Das Filtern von URLs ist eine Funktion, die ich normalerweise auf einem dedizierten Proxy implementieren w\u00fcrde. Aber wenn kein Proxy zur Verf\u00fcgung steht, kann diese Funktion auch lokal auf dem IOS-Router ab Version 12.4(20)T konfiguriert werden. Dabei stehen drei Mechanismen zur Verf\u00fcgung:<\/p>\n<ol>\n<li>Ein lokal installierter Websense oder Secure Computing Server<\/li>\n<li>Abfrage des &#8220;cloud-based&#8221; Trend Micro URL-Filtering Dienstes<\/li>\n<li>lokale Black- oder Whitelists<\/li>\n<\/ol>\n<p>Um zu testen, ob die Trend Micro-L\u00f6sung als Alternative in Branch-Offices einsetzbar ist, habe ich auf meinem Cisco 1841 mit IOS 15.1(3)T die <a href=\"http:\/\/www.cisco.com\/go\/license\">Test-Lizenz<\/a> installiert. Diese kann pro Router einmal aktiviert werden und l\u00e4uft dann f\u00fcr drei\u00dfig Tage. Der Stra\u00dfenpreis der Lizenz f\u00fcr die 1800er oder 1900-Serie liegt f\u00fcr 1 Jahr bei ca. 200 Euro, was die Sache recht interessant macht.<br \/>\nDie Konfiguration des Content-Filters ist in die Zone-Based-Firewall integriert, was die Implementierung sehr flexibel macht (wobei b\u00f6se Zungen behaupten &#8220;flexibel&#8221; w\u00e4re nur eine Umschreibung f\u00fcr &#8220;unn\u00f6tig kompliziert&#8221;; eine Behauptung, der ich nur schwer widersprechen kann).<br \/>\nIn der Cisco-Dokumentation ist die Konfiguration auch recht gut beschrieben, weshalb ich hier nicht n\u00e4her darauf eingehe. Nach der &#8220;Flei\u00df-Arbeit&#8221;, mit der Cisco Common Classification Policy Language (C3PL) die Zonen-basierte Konfiguration anzufertigen, gilt es aus den 70 URL-Kategorien (wie z.B. Auctions, Games, Nudity, Pornography, Shopping, Travel, Weapons) und den 10 Security-Kategorien (wie z.B. ADWARE, HACKING, PHISHING) die richtigen auszuw\u00e4hlen, die geblockt werden sollen.<\/p>\n<p>Was kam weiter beim Test heraus:<\/p>\n<ul>\n<li>Wie ich vorher auch schon bei N2H2 &#8212; jetzt Secure Computing &#8212; festgestellt habe, ist  der Filter bei deutschen Seiten bei weitem nicht so gut wie bei englischem Content (z.B. beim Zugriff auf .com-Seiten).<\/li>\n<li>Viele Seiten, die eigentlich bei meinen Tests h\u00e4tten geblockt werden sollen, wurden vom Filter erlaubt. Schade eigentlich. Oftmals zeigte sich auch, das nur Teile zu blockender Seiten nicht angezeigt wurden. Wenn ich die Kategorie &#8220;Violence-hate-racism&#8221; blocke und die Seite des Ku Klux Klan aufrufe, dann werden zwar alle Bilder und Elemente der Webseite geblockt, der Text der Hauptseite erscheint aber trotzdem. Genauso z.B. beim Blocken von &#8220;Real-estate&#8221;. Die Seite immonet.de erscheint schon, es werden aber keine sonstigen Elemente dargestellt.<\/li>\n<li>&#8220;Photo-Searches&#8221; blockt nicht photoblog.msnbc.msn.com.<\/li>\n<li>&#8220;Nudity&#8221; blockt kein www.coupe.de, keine BILD und auch keine getesteten FKK\/Nudisten-Seiten.<\/li>\n<li>Von den im Bundestag vertretenen Parteien werden in der Kategorie &#8220;Political&#8221; nur die Linken geblockt, NPD geht, die DVU hingegen nicht.<\/li>\n<li>Die Kategorie &#8220;Auctions&#8221; filtert recht gut, wenn auch der Zugriff auf www.zoll-auktion.de nicht geblockt wird. Das h\u00e4tte ich allerdings auch nicht erwartet.<\/li>\n<li>Die CPU-Belastung steigt durch die Nutzung des Content-Filters nat\u00fcrlich auch. Mit dem getesteten Cisco 1841 an <a href=\"http:\/\/security-planet.de\/2009\/12\/28\/versatel\/\">meinem 16000er DSL-Anschluss<\/a> erreiche ich bei HTTP-Downloads zwar wie auch ohne Content-Filter eine Geschwindigkeit von ca. 1,6 bis 1,7 MByte\/s. Die CPU-Last liegt dabei aber durchg\u00e4ngig bei \u00fcber 95%. Der &#8220;normale&#8221; Wert bei Downloads betr\u00e4gt ca. 85%, was nat\u00fcrlich auch grenzwertig ist, aber halt auch nur bei l\u00e4ngeren Downloads vorkommt. Dieser Anstieg reicht  aber schon, das ich diese L\u00f6sung f\u00fcr meine Kunden, die in den Branches meist 1800er Router haben, f\u00fcr nicht geeignet halte. Wenn neuere Standorte mit 1900er Routern best\u00fcckt werden sollte man die Sache aber erneut analysieren. Bei den deutlich schnelleren ISR-G2 kann ich mir aber vorstellen, das es schon ganz anders aussieht.<\/li>\n<\/ul>\n<p>Weitere Informationen zum Thema IOS Content-Filter und Zone-Based-Firewalls:<\/p>\n<ul>\n<li> <a href=\"http:\/\/www.cisco.com\/en\/US\/prod\/collateral\/iosswrel\/ps6537\/ps6586\/ps6643\/data_sheet_c78-458833.html\">Cisco IOS Content Filtering<\/a><\/li>\n<li> <a href=\"http:\/\/www.cisco.com\/en\/US\/prod\/collateral\/iosswrel\/ps6537\/ps6586\/ps6643\/prod_qas0900aecd804abb06.html\">Cisco IOS Content Filtering FAQ<\/a><\/li>\n<li> <a href=\"http:\/\/www.cisco.com\/en\/US\/prod\/collateral\/iosswrel\/ps6537\/ps6586\/ps6643\/white_paper_c89-492776.html\">Cisco IOS Content Filtering Configuration Guide<\/a><\/li>\n<li> <a href=\"http:\/\/www.cisco.com\/en\/US\/docs\/ios\/sec_data_plane\/configuration\/guide\/sec_url_filtering.html\">Subscription-based Cisco IOS Content Filtering Configuration Guide<\/a><\/li>\n<li> <a href=\"http:\/\/www.cisco.com\/en\/US\/docs\/ios\/sec_data_plane\/configuration\/guide\/sec_zone_polcy_firew.html\">Zone-Based Policy Firewall<\/a><\/li>\n<li> <a href=\"http:\/\/www.cisco.com\/en\/US\/products\/sw\/secursw\/ps1018\/products_tech_note09186a00808bc994.shtml\">Zone-Based Policy Firewall Design and Application Guide<\/a><\/li>\n<li>CiscoPress: <a href=\"http:\/\/www.amazon.de\/gp\/product\/1587058154?ie=UTF8&amp;tag=lan2wan-21&amp;linkCode=as2&amp;camp=1638&amp;creative=6742&amp;creativeASIN=1587058154\">Implementing Cisco IOS Network Security (IINS)<\/a><\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Das Filtern von URLs ist eine Funktion, die ich normalerweise auf einem dedizierten Proxy implementieren w\u00fcrde. Aber wenn kein Proxy zur Verf\u00fcgung steht, kann diese Funktion auch lokal auf dem IOS-Router ab Version 12.4(20)T konfiguriert werden. Dabei stehen drei Mechanismen zur Verf\u00fcgung: Ein lokal installierter Websense oder Secure Computing Server Abfrage des &#8220;cloud-based&#8221; Trend Micro <\/p>\n<div class=\"read-more-text\"><a href=\"https:\/\/cyber-fi.net\/index.php\/2011\/03\/23\/cisco-ios-content-filtering\/\" class=\"read-more\">continue reading<\/a><\/div>\n","protected":false},"author":3,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"twitterCardType":"","cardImageID":0,"cardImage":"","cardTitle":"","cardDesc":"","cardImageAlt":"","cardPlayer":"","cardPlayerWidth":0,"cardPlayerHeight":0,"cardPlayerStream":"","cardPlayerCodec":"","footnotes":""},"categories":[5,7],"tags":[307,358,613,682],"class_list":["post-3564","post","type-post","status-publish","format-standard","hentry","category-cisco","category-cisco-security","tag-ios","tag-konfiguration","tag-trend-micro","tag-zone-based-firewall"],"_links":{"self":[{"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/posts\/3564","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/comments?post=3564"}],"version-history":[{"count":0,"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/posts\/3564\/revisions"}],"wp:attachment":[{"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/media?parent=3564"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/categories?post=3564"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/tags?post=3564"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}