Cấu hình URL Filtering trên Cisco Firewall Threat Defense

Trong bài viết hướng dẫn các bạn cách cấu hình tính năng URL Filtering trên thiết bị Cisco Firewall Threat Defense, thông qua Device Manager.

- Đầu tiên chọn Device -> View Configuration tại Smart License, chọn Enable URL License.

​

- Đi đến Policies trên menu chính, tại Access Control, chọn + tại mới rule.

Order : ví trí của rule, trong ví dụ này sẽ là 1 để nằm trên rule allow, nếu ko sẽ ko có tác dụng.
Title : đặt tên cho rule
Action : chọn Block.
Tại Source : chọn inside_zone
Tại Destination : chọn outside_zone​

​

- Chuyển qua tab URLs, chọn + tại Categories, và chọn các Categories bạn muốn chặn.

​

- Bạn có thể thiết lập Reputation cho category mà bạn muốn, mặc định là Any cho category, bỏ chọn Any và điều chỉnh reputation (Vd : Untrusted -> Questionable cho Social Networking), như vậy chỉ những url thuộc Social Networking category và nằm trong dãy Untrusted -> Questionable mới bị chặn.

​

- Tại tab Logging, chọn At Beginning and End of Connection để enable logging trên rule này. Chọn OK để lưu rule.

​

- Cuối cùng chọn Deploy -> Deploy Now để áp dụng cấu hình.

!!! Cám ơn các bạn đã theo dõi bài viết !!!​

 

Cấu hình URL Filtering trên Cisco FTD được quản lý bằng FMC
-------------------------------------------
​

Cùng với gói license cho tính năng URL Filtering, các thiết bị Cisco Firepower có thể lọc dựa theo danh mục và/hoặc uy tín của URL, cơ sở dữ liệu đánh giá URL thường xuyên được cập nhật từ Cisco Cloud qua đó thông tin luôn được cập nhật chính xác. Nếu không có URL Filtering license (chỉ có Base license), bạn chỉ có thể lọc URL thủ công; việc này làm phát sinh chi phí vận hành và thời gian.


Bài viết này thực hiện URL Filtering trên Cisco Firewall FTD được quản lý bằng FMC.

I/. TỔNG QUAN:

Những Danh mục và Đánh giá:
- Cisco cloud chứa phân tích hàng triệu URL, sau đó được phân loại thành khoảng 100 lớp khác nhau. FMC tải xuống cơ sở dữ liệu URL trực tiếp từ Cisco cloud, cơ sở dữ liệu này nắm giữ chỉ số uy tín web (Web Reputation Index - WRI).

- WRI này được tính toán động dựa vào điểm số từ các nguồn như:

• Tuổi và Lịch sử của trang web.
• Điểm uy tín và Địa lý đặt hosting của IP
• Chủ đề và Bối cảnh của nội dung.

- Bảng phân cấp Uy tín trang Web và ý nghĩa:

• Level 1 – [Untrusted] : Trang web có nguy cơ cao; đã tìm thấy là từng phát tán phần mềm độc hại cho khách hàng.
• Level 2 – [Questionable] : Các trang đáng ngờ, mức độ đe dọa cao hơn mức trung bình.
• Level 3 – [Neutral] : Nhìn chung, các web này vô hại nhưng có thể khiến khách hàng gặp rủi ro.
• Level 4 – [Favourable] : Các trang có thể khiến khách hàng gặp rủi ro, nhưng trường hợp này rất hiếm xảy ra.
• Level 5 – [Trusted] : Các trang web đáng tin cậy nổi tiếng có các tính năng bảo mật rất mạnh mẽ.

URL Database:

- FMC tải cơ sở dữ liệu URL từ cloud và nhận các bản cập nhật gia tăng/nhỏ hơn từ đám mây theo định kỳ (nếu đã cấu hình cập nhật). Cisco FTD tải xuống cơ sở dữ liệu URL này từ FMC và tải tập URL dataset vào bộ nhớ của nó để tra cứu nhanh hơn.

- Hai loại tệp dữ liệu URL được công bố để cài đặt cục bộ trên FTD. Các thiết bị FTD có bộ nhớ ≤ 3.4GB RAM, 1 triệu URL được tải xuống, trên các thiết bị có RAM ≥ 3.4GB, toàn bộ 20 triệu URL database được tải xuống.

URL Lookup:
- LƯU Ý – Khi sử dụng URL Filtering (cũng như bao gồm phát hiện ứng dụng, giới hạn tỷ lệ và Intelligent Application Bypass) một số gói tin phải bỏ qua để việc xác định được toàn bộ.

- Các bước sau đây được thực hiện để xác định URL.

• FTD kiểm tra lưu lượng truy cập của client và thiết lập session giữa client và server.
• FTD sử dụng Snort Engine để xác định URL được yêu cầu và phân giải URL thành danh mục và uy tín của nó bằng cách xem dữ liệu URL dataset ở cục bộ.
  • Với lưu lượng HTTPS, không cần thêm SSL decryption.
  • URL được lấy từ mục subject common name, được học trong quá trình TLS/SSL handhshake.
  • Khi Web Server đang sử dụng TLS 1.3 để bảo mật thông tin liên lạc, giao thức TLS 1.3 mã hóa certificate máy chủ để tăng cường bảo mật, certificate được yêu cầu để giống với ứng dụng và URL filtering. FTD có thể trích xuất certificate máy chủ mà không cần decrypt gói tin, bằng cách sử dụng tùy chọn Early application detection and URL categorisation dùng cho TLS Server Identity Discovery.
  • Nhận dạng traffic thường diễn ra trong vòng 3 đến 5 gói tin hoặc sau khi trao đổi certificate máy chủ trong quá trình TLS handshake.
• Nếu FTD không thể phân giải URL từ local cache của nó, truy vấn này sẽ được gửi đến FMC để thực hiện tra cứu trên database của riêng nó, thông thường URL dataset trên FMC sẽ lớn hơn.
• Nếu FMC không phân giải được URL, nó có thể gửi truy vấn đến Cisco Cloud.
• Khi Cloud Lookup bị vô hiệu hóa, FMC sẽ đặt URL không xác định này vào nhóm có tên Uncategorised.

Uncategorised URLs:
- FTD không cho phép lưu lượng không được phân loại đi qua cho đến khi quá trình URL lookup hoàn tất hoặc quá trình tra cứu hết thời gian. URL này vẫn không được phân loại cho đến khi danh mục được xác định thông qua Cloud Lookup. Các luồng khởi tạo ban đầu được cho phép, các kết nối tiếp theo tiếp tục tra cứu URL thông qua Cloud, điều này có thể dẫn đến hiệu suất kém.

- Để tránh điều này, bạn có thể cho phép FTD ngay lập tức chuyển lưu lượng bất cứ khi nào URL xuất hiện không được lưu trong cache và không thể xác định danh mục URL cục bộ bằng cách tắt Retry URL Cache Miss Lookup, bỏ qua Cloud Lookups.

Các Bước Cấu Hình Trên FMC:
- Sau đây là một số biện pháp cấu hình tốt nhất được Cisco khuyến nghị khi sử dụng URL Filtering:

• Bật giám sát URL Filtering trong Health Policy.
• Bật Cisco Cloud Services dành cho URL Filtering, điều này đảm bảo các phân loại URL mới nhất.
• Bật lưu cache cho URL để tăng khả năng duyệt web cho user.
• Đảm bảo FMC cập nhật URL database liên tục, FMC giao tiếp với Cisco Cloud Services mỗi 30 phút để nhận cập nhập cho URL Filtering database.

CẤU HÌNH URL FILTERING:
- Chắc chắn thiết bị Cisco FTD đã có bản quyền dành cho URL Filtering.

• Trên giao diện FMC, đi đến Devices > Device Management > "Tên_thiết_bị_FTD"
• Click Device
• Bên dưới phần License chọn URL Filtering

​

• Click Save để thoát ra.

Cấu hình Cập Nhật:
- Xác định URL Filtering tự động cập nhật đã được bật lên, việc này đảm bảo URL Filtering database sẽ được cập nhật.

• Vào phần System > Integration > Cloud Services
• Kiểm tra Enable Automatic Updates được bật để cập nhật URL database.
• Và cả dòng Query Cisco Cloud for unknown URLs (tùy chọn)

​

Cấu hình Access Control Policy:
- Trong bài viết này chúng ta sẽ tạo hai rule URL Filtering, một rule để chặn danh mục Social Networking bao gồm các trang web như Twitter, Instagram, v.v. và sau đó cho phép bất kỳ URL nào có uy tín Favourable hoặc Trusted.

• Đi vào Policies > Access Control > Access Control Policy.
• Thay đổi Policy được áp dụng cho FTD.
• Click Add Rule
  • Name : đặt tên cho policy này
  • Action : chọn Block
  • Click URLs và trong phần Category chọn vào danh mục cần chặn, vd: Social Networking, và click Add to Rule
  • Chọn Logging và chọn Log at Start of Connection.
  • Click Save.

​

- Tạo rule khác để cho phép URL nào đó mà có đánh giá là 'Favourable', rule này được tạo bên dưới 'Block' rule ở trên.

• Click Add Rule
  • Đặt tên cho rule 'Name', vd, Allow favourable URL.
  • Action chọn Allow
  • Click URLs và từ phần Category chọn danh sách cần chặn, vd: Any (Except Uncategorized), click Add to Rule

​

• Click Logging, và chọn Log at End of Connection.
• Click Save

​

Những Lựa Chọn Khác:
- Từ Access Control Policy, click vào phần Advanced.

- Thay đổi TLS Server Identity Discovery và bật thêm Early application detection and URL categorisation – tính năng này yêu cầu FTD đang chạy phiên bản 6.7 hoặc mới hơn.

​

KIỂM TRA:

Kiểm tra những Website Mạng Xã Hội:
- Để kiểm tra chúng ta phải truy cập vào 'twitter.com', nó phải được bị chặn vì nó là trang thuộc 'Social Networking'.

• Từ CLI của Cisco FTD chạy lệnh command lọc "system support firewall-engine-debug" trên địa chỉ IP source của client và tạo traffic tới twitter.com.

- Từ kết quả xuất ra bên dưới chúng ta có thể xác định:

• Rule khớp với bộ lọc đang chờ xử lý cho đến khi uy tín và danh mục của url được xác định.
• URL được xác định là twitter.com.
• URL Lookup xác định uy tín là 90 (Trusted) và danh mục là 2069 (Social Networking) dành cho twitter.com.
• Rule cuối cùng được xác định là khớp với policy #Block social media, và kết nối đã bị 'Drop'.

- Trong trang FMC events chúng ta có thể xác định rằng truy cập tới twitter đã bị chặn.

​

Kiểm Tra Uy Tín Cho Website:
- Khi kiểm tra uy tín của trang web nào bất kỳ, từ kết quả bên dưới, chúng ta có thể xác nhận:

• Quy tắc khớp đang chờ cho đến khi danh tiếng và danh mục của url được xác định.
• URL được xác định là bbc.co.uk.
• URL Lookup xác định uy tín là 70 (Trusted) và danh mục là 2020 (News and Media) cho bbc.co.uk.
• Rule cuối cùng được xác định là khớp với Any Favourable URL và kết nối được cho phép.

- Với các rule đã tạo cho các trang Social Networking bất kỳ và những website với điểm đánh giá thấp hơn '60' điểm sẽ không được cho phép, toàn bộ URL khác với điểm trên '61' sẽ được cho phép.

--- Cảm ơn các bạn đã xem bài viết này ---​