Офис: Москва
Опыт работы с Eltex: 3 года
Выполненные проекты:
- Поставка партии MES5332 для системы хранения данных в ВУЗ г. Воронеж
- Поставка маршрутизаторов для компании по производству спецодежды, настройка сети в центральном офисе в Москве и филиалах (Санкт-Петербург, Казань, Иркутск, Ярославль, Владивосток)
- Проект импортозамещения для крупного ювелирного завода, в связи с переходом на российское оборудование: замена оборудования доступа в Москве и филиалах в Ярославле, Костроме
- Модернизация ЛВС в Средней общеобразовательной школе имени А.С.Попова городского округа Власиха
- Поставка оборудования для построения СКУД и системы видеонаблюдения для российского химического предприятия
Ограничение DNS-запросов для пользователей с помощью IPS
Время прочтения 3 минуты
Задача: Запретить доступ на ресурс в интернете по доменному имени используя функционал IPS/IDS на примере сайта etlex-co.ru.
Предположим, что на маршрутизаторе уже настроен базовый функционал для организации пользователям доступа в сеть Интернет. Через интерфейс gi1/0/1 маршрутизатор подключен к провайдеру:
interface gigabitethernet 1/0/1
security-zone untrusted
ip address 10.0.0.1/30
exit
Через интерфейс gi1/0/2 организовано подключение пользователей локальной сети:
interface gigabitethernet 1/0/2
security-zone trusted
ip address 192.168.1.1/24
exit
Для решения данного вопроса будем использовать функционал IPS/IDS, а следовательно потребуется лицензия для активации данного функционала. Получить лицензию возможно обратившись в коммерческий отдел Элтекс. Проверить наличие лицензии на маршрутизаторе возможно командой:
esr# show licence
Licence information
-------------------
Name: Eltex
Version: 1.0
Type: ESR-200
S/N: NP00000000
MAC: 00:00:00:00:00:00
Features:
IPS - Intrusion Prevention System
Настройка функционала начинается с создания политики и активации функционала. Для создания политики потребуется создать object-group с указанием сети в рамках которой будет работать данный функционал:
object-group network NET_IPS
ip prefix 192.168.1.0/24
exit
security ips policy POL_IPS
protect network-group NET_IPS
exit
security ips
policy POL_IPS
enable
exit
После создания политики можно приступать к созданию расширенного правила, в рамках которого мы будем запрещать dns-запросы на конкретные ресурсы. В качестве примера используется домен etlex-co.ru.
security ips-category user-defined DNS_DENY
rule-advanced 10
enable
rule-text 'drop dns any any -> any any (msg:"DNS Signature detected"; dns_query; content:"eltex-co.ru"; nocase; sid:10002;)'
exit
exit
Теперь, чтобы правило начало работать необходимо включить проверку пакетов на интерфейсе. В данном случае будем включать на интерфейсе в сторону провайдера:
esr# config
esr(config)# interface gigabitethernet 1/0/1
esr(config-if-gi)# service-ips inline
esr(config-if-gi)# end
esr# commit
esr# confirm
Далее для проверки необходимо будет очистить dns-кэш на устройствах пользователей, так как информация от DNS какое-то время хранится в кэше. После этого имя eltex-co.ru, а также все входящие в него поддомены резолвиться не будут.
Также важно отметить, что данное правило лишь один из возможных вариантов написания. На маршрутизаторах ESR данные правила пишутся используя формат Surikata 4.0. Ссылка на документацию: https://docs.suricata.io/en/suricata-4.0.5/index.html
