jump to navigation

Melakukan Blok/Filter string URL dengan CBWFQ di Router Cisco August 25, 2009

Posted by ZoeL in Cisco, Filtering and QoS.
Tags:
trackback

Router Cisco, khususnya yang  support untuk IP CEF (Cisco Express Forwarding), memiliki kemampuan memeriksa packet sampai ke layer Aplikasi. Ketika digabung dengan kemampuan hirarki yang dimiliki CBWFQ (CBWFQ biasa digunakan untuk QoS), bisa juga digunakan untuk melakukan blok dan filter ke packet yang berjalan di interface.

Contoh kasus, misal kita punya router yang terkoneksi ke internet. Interface Serial0/0/0 terhubung ke Internet Dan Interface Fastethernet0/0 ke arah Network Internal. Belakangan, ternyata ada sebuah alamat dari internet yang mengirimkan paket mencurigakan ke network Internal. User teridentifikasi berasal dari http://spam.com. Selain itu, situs itu juga berusaha mengirim sebuah file yang berisi worm dengan nama file worm.exe.

Router Cisco yang punya feature IP CEF, bisa digunakan untuk melakukan filter. Tetapi sebenarnya, fungsi ini lebih efisien untuk dilakukan oleh firewall. Router sebenarnya tidak difungsikan untuk melakukan filter seperti ini. Karena bisa menghabiskan resource CPU Processing untuk packet switching.

Tetapi walau tidak begitu disarankan, hal ini bisa digunakan menjadi solusi sementara menunggu datangnya firewall.

Berikut langkah2nya :

  1. Tentukan CLASS. Class ini digunakan untuk menjadi idetifikasi paket yang ingin di filter.–>  class-map match-all TEST
    match protocol http url “*worm.exe*
    match protocol http host “*spam.com*

  2. Masukkan CLASS kedalam Policy-map, lalu lakukan action terhadap class.
    Action disini bisa dilakukan bervariasi sesuai kebutuhan. Bisa dilakukan drop (langsung di buang),
    atau bisa juga di kecilkan bandwidth atau prioritas-nya. Tergantung keperluan.Contoh DROP
    –>  policy-map policy
    class TEST
    drop

    Contoh bandwidth dijadikan 32 kbps
    –>  policy-map POLICY
    class TEST
    bandwidth 32

  3. Masukkan policy-map ke dalam interface Router. Karena CBFWQ hanya support untuk apply dengan flow OUT, berarti policy di letakkan di interface fastethernet (yang ke arah network internal).
    .
    –>  Fastethernet0/0
    service-policy output POLICY
    .
  4. Konfirmasi–>
    R1(config-if)#do sh policy-map int fa0/0
    FastEthernet0/0

    Service-policy output: policy

    Class-map: TEST (match-all)
    0 packets, 0 bytes
    5 minute offered rate 0 bps, drop rate 0 bps
    Match: protocol http url “*worm.exe*”
    Match: protocol http host “*spam.com*

    Queueing
    Output Queue: Conversation 265
    Bandwidth 32000 (kbps)Max Threshold 64 (packets)
    (pkts matched/bytes matched) 0/0
    (depth/total drops/no-buffer drops) 0/0/0

    Class-map: class-default (match-any)
    0 packets, 0 bytes
    5 minute offered rate 0 bps, drop rate 0 bps
    Match: any

Dengan begini, Router Cisco kita bisa gunakan sebagai firewall alternatif.

.end.

Comments»

1. Anonymous - September 7, 2009

langkah ke 3 kok di interface serial bos…

ZoeL - September 14, 2009

thx to mister anonymous. Salah tulis di langkah 3, maksudnya ke interface Fastethernet0/0. Thx yah ralatnya.


Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: