Buenas chic@s!, en ultimo post de NSX hablamos sobre como bloquear dominios FQDN haciendo uso del DFW. Hoy nos meteremos de lleno en una de las funciones que llego hace tiempo, la implementación del análisis de URL para la clasificación, y reputación de URL.
El análisis de URL nos permite a los administradores obtener información sobre el tipo de sitios web a los que se accede dentro de la organización, comprender la reputación y el riesgo de los sitios web a los que se accede. Además podemos evitar que códigos maliciosos, spyware, intentos de phishing y otras amenazas al bloquear el acceso a sitios web o URL que pueden causar un riesgo de seguridad. El filtrado de URL nos permite el control de acceso basado en categorías de URL, reputación de URL y URL personalizadas.
El filtrado de URL solo se admite en los Tier-1,para ello haremos uso del Gateway Firewall, además hay tener en cuenta que esta función requiere la licencia NSX Data Center Enterprise Plus.
Configuracion
1º Configuracion URL Database y Edge Cluster
Para iniciarnos en la configuración, nos iremos a la parte de Security–>General Settings–> URL Database y activaremos el flag sobre el “Edge-Cluster-01” debajo del campo “URL Database.
Pulsamos en “Turn On“.
Tras un corto periodo de tiempo podremos observar como la base de datos se ha sincronizado, y además la conexión esta UP.
Es importante que para que los Edge sincronicen la base de datos, estos tiene que tener acceso a internet por la interfaz de management.
2º Configuracion Context Profile
Ahora nos iremos a crear el Context Profile, en cual configuraremos todo lo relacionado con el filtrado URL. En este caso al actuar sobre la capa 7, deberemos crear un “Context Profile” de tipo 7. Para ellos pulsaremos sobre “L7 Access Profiles“.
Una vez estemos sobre “L7 Access Profile“, pulsamos “Add L7 Access Profile“.
Asignamos un nombre, una descripción y pulsaremos sobre “Set”.
En nuestro caso queremos filtrar una categoria, por lo tanto pulsaremos sobre “URL Category”.
Seleccionaremos la categoría “Social Networking“, y como Action debemos seleccionar “Reject“. De esta manera cuando se intente acceder a cualquier tipo de red social, esta será bloqueada.
3º Configuracion Gateway Firewall
Ha lllegado de momento de aplicar el “Context Profile” de nivel 7 a nuestro Firewall, para ello nos iremos a Security–> Gateway Firewall. Aqui pulsaremos sobre el desplegable de Gateway, y en mi caso seleccionare el Tier-1.
Ahora pulsaremos sobre “Add Policy“, en mi caso la asignare el nombre de “URL FILTERING”. Una vez creada, pulsamos sobre los 3 puntitos de la misma, y pulsaremos “Add Rule“.
Configuraremos cualquier origen a cualquier destino, y como servicios elegiremos HTTP/HTTPS. Nos debería quedar algo asi.
Sobre la misma regla pulsaremos en el “Profiles” de la regla, y seleccionaremos el “Context Profile” que hemos creado anteriormente, que lo encontraremos en el tipo de Profile Type “L7 Access Profile”.
Así es como nos debería de quedar finalmente.
4º Test URL
Ha llegado el momento, para hacer estas pruebas voy a probar a entrar en estas 2 redes sociales las cuales entrarían dentro de la categoría “Social Networking“, que es sobre la cual hemos aplicado restricciones.
Test-01
Test-02
Como se puede ver el filtro se ha aplicado de manera correcta ya que no nos carga ninguna de 2 paginas.
5º Analisis
Una vez hemos realizado todos los test, ha llegado la hora de comprobar que lo aplicado esta funcionando. Para ello nos vamos a Security–> URL Filtering/FQDN Analysis.
Desde esta perspectiva, y seleccionando el Gateway Traffic que nos atañe, de aquí podemos ver a las maquinas que se ha intentando acceder.
Si nos vamos a la parte de Security--> Security Overview–> URL Filtering, tendremos otra visión de todo lo relacionado con el filtrado URL. Aquí podemos ver las categorías que se esta bloqueando,….
Bonus Track
Hay que tener cuidado cuando vayamos hacer uso de las features avanzadas, ya que en muchos casos estas features requieren de ciertos recursos o mejor dicho de ciertos tamños de los edges.
En mi caso al ser un entorno de laboratorio, desplegué los edge en tamaño Small, es por ello que cuando configure todo lo relacionado con el “URL Analysis” no me funcionaba. Cuando me puse a investigar los logs me salto al ojo esta linea:
[ERROR] No Service Cores Configured.. Cannot configure L7 Rule
Tras estar un buen rato investigando me encontré esta tablita de los recursos necesarios para cada una de las features. Por ello tras desplegar unos nuevos edge con el tamaño adecuado, todo empezó a funcionar.
Conclusión
Hasta aquí hemos llegado un día mas, como veis es una funciona bastante potente, y sobre todo muy granular. La instalación y las configuraciones son bastante sencillas, pero definitivamente debemos asegurarnos de que la interfaz de administración en el dispositivo NSX Edge pueda acceder a Internet y que la resolución DNS funcione; de lo contrario, no podrá descargar la base de datos y no funcionara nada.
