Cómo prohibir el uso de la red de la oficina para jugar juegos QQ
Muchas empresas estipulan que el uso de QQ y juegos en línea está prohibido durante las horas de trabajo. Sin embargo, siempre se ha hecho cumplir gracias al esfuerzo consciente de todos. Todavía es muy común usar QQ para chatear y jugar juegos en línea. durante el horario laboral en la empresa, entonces necesitamos encontrar formas de resolver este problema desde una perspectiva técnica.
Lista de control de acceso
Para prohibir QQ y juegos en línea, en realidad se puede lograr a través de la lista de control de acceso (ACL) del enrutador. Entonces, ¿qué es una lista de control de acceso? La lista de control de acceso es una herramienta proporcionada por Cisco IOS para controlar el acceso a la red. ACL se puede utilizar para controlar y filtrar de manera flexible paquetes de datos en la interfaz del enrutador, de modo que podamos decidir permitir o prohibir los paquetes de datos que necesitamos controlar. cualquier interfaz del enrutador. Una lista de acceso de IP es una secuencia de comandos que controla una o un grupo de IP o puertos en ellas.
Las listas de control de acceso IP se dividen en tres categorías: Listas de acceso estándar, Listas de acceso extendidas y Listas de acceso con nombre.
La lista de control de acceso estándar se basa en la dirección de origen y la máscara, y es un filtro para toda la familia de protocolos TCP/IP. La lista está numerada del 1 al 99 y el formato es el siguiente:
Enrutador( config)#lista de acceso número-listas de acceso(1~99) {deny|permit} fuente [comodín]
Enrutador(config-if)#{protocolo } access-group access-list-number {in|out}
La lista de acceso extendida verifica la dirección de origen y la dirección de destino y puede filtrar con precisión los puertos TCP o UDP. La lista está numerada del 100 al 199 y el formato es el siguiente:
Router(config)#access-list access-list-number(100-199) {permit|deny} protocolo fuente fuente- wildward [puerto del operador] destino destino destino-comodín [puerto del operador] [establecido] [registro]
Router(config-if)#ip access-group número-lista-de-acceso {entrada|salida} p>
La lista de control de acceso nombrada puede usar una combinación de letras y números para reemplazar los números en la lista de control de acceso extendida. Se puede usar para eliminar una cadena de control específica, de modo que pueda modificarse más fácilmente.
Para obtener información específica sobre el uso de ACL, consulte "Network Administrator World" de octubre de 2003 o los materiales de capacitación de Cisco, como los materiales de capacitación de CCNA o materiales relacionados.
Prohibir QQ y juegos en línea
Todas las aplicaciones de red, aquí se refiere a QQ y juegos en línea basados en TCP/IP, establecen TCP con el servidor remoto o conexiones UDP para la comunicación, es decir , se comunican mediante puertos TCP o UDP. Podemos prohibir los puertos TCP o UDP específicos de QQ y los juegos en línea, pero ¿cómo podemos saber qué puerto QQ y los juegos en línea se comunican con el puerto del servidor? Todo el mundo debería saber que existe un comando "netstat" en los sistemas operativos generales que puede enumerar una lista detallada de puertos. Pero ante numerosas direcciones IP y números de puerto, nos resulta difícil ver qué dirección IP y puerto debemos controlar.
De hecho, existen muchos software de firewall de red independientes que nos permiten ver en detalle y al instante qué software de aplicación está utilizando qué puerto para comunicarse con el extremo remoto. Aquí recomiendo a todos que utilicen Skynet Firewall Personal Edition.
A continuación se tomará como ejemplo la configuración de prohibición de QQ en nuestra empresa.
Mi empresa accede a Internet a través de la función NAT del enrutador Cisco 2611. Tanto Web como Mail se implementan mediante la asignación de puertos NAT.
En primer lugar, después de abrir QQ, puedes ver en el firewall de Skynet que QQ se está comunicando con el puerto UDP 8080 del servidor, así que lo que tenemos que hacer es prohibir la dirección de origen, puerto UDP 8080.
Enrutador(config)# lista de acceso 102 udp deniega cualquier eq 8080
Enrutador(config)# lista de acceso 102 tcp permite cualquier
Enrutador (config)# lista de acceso 102 udp permite cualquier
Router(config)# lista de acceso 102 ip permite cualquiera
Router(config-if)# ip access-group 102 en
El primer comando define la ACL numerada 102, que prohíbe los paquetes de datos del puerto UDP 8080 de todas las direcciones de origen y de destino. El último comando está en modo de interfaz, que debe estar cerca del puerto LAN. la ACL numerada 102 definida anteriormente. Debido a que ACL requiere al menos una regla de forma predeterminada para permitir que los datos pasen a través de la interfaz de red, los comandos en las líneas segunda, tercera y cuarta especifican que todos los protocolos TCP, UDP e IP pueden pasar.
Una vez completada la configuración, puede usar el firewall Skynet para ver que QQ intenta comunicarse constantemente con el puerto UDP 8080 del servidor remoto, pero después de un tiempo, descubre que QQ puede conectarse nuevamente. Esto se debe a que la nueva versión de QQ puede utilizar el puerto TCP 80 para la comunicación. Debido a que el puerto TCP 80 está dedicado a HTTP, si desactivamos el puerto TCP 80, toda la LAN no podrá acceder a todos los sitios web, lo cual es absolutamente inaceptable. Por lo tanto, solo podemos encontrar todos los servidores QQ y luego prohibir el acceso. Debido a que la ACL estándar filtra toda la familia de protocolos de todas las direcciones de origen, podemos usar la ACL estándar para lograrlo.
Enrutador(config)# lista de acceso 2 denegar host 61.144.238.145
Enrutador(config)# lista de acceso 2 denegar host 61.144.238.146
. .....
Router(config)# lista de acceso 2 permite cualquier
Router(config-if)# ip access-group 2 salida
Los primeros dos comandos definen la ACL estándar numerada 2, que prohíbe todos los paquetes cuya dirección de origen sea la IP detrás del Host.
El método para prohibir juegos en línea es el mismo que el método para prohibir QQ. Utilice Skynet Firewall Personal Edition para averiguar el puerto del servidor y luego prohibirlo. Debido a que los servidores de juegos generalmente no usan puertos HTTP para la comunicación, solo usan ACL extendidas. Si no hay muchas reglas de ACL extendidas, puede fusionar todas las ACL extendidas.
Método de administración
Para la administración de ACL, puede usar comandos de ACL; para ACL estándar y extendida, solo se puede administrar la ACL completa. Si desea eliminar una ACL, use:
sin número de lista de acceso
Si desea agregar una regla en una secuencia completa, esto será bastante problemático. Por lo tanto, si utiliza ACL estándar y extendida, se recomienda utilizar Cisco TFTP Server para la administración.
Copie el archivo de configuración en ejecución a TFTP:
Router(config)# copy run tftp
Luego abra el archivo de configuración copiado con WordPad y podrá editarlo. Después de editar la ACL, debemos eliminar la lista de acceso que debe cambiarse en la configuración en ejecución original y luego copiar el archivo modificado a la configuración en ejecución. Esta regla entrará en vigencia de inmediato.
Restaura el archivo modificado a la configuración en ejecución del enrutador:
Router(config)# copy tftp run
Si desea hacer una copia de seguridad de este archivo de configuración en In Flash del enrutador, puede usar el comando "copiar inicio de ejecución", para que este archivo de configuración se cargue automáticamente cada vez que se inicie el enrutador.
Los enrutadores generales proporcionan funciones ACL. Las ACL se pueden utilizar para implementar algunas funciones de los firewalls de filtrado de paquetes, como restringir el acceso a la red y restringir el tráfico de la red. En algunas ocasiones en las que el tráfico de la red no es muy grande, puede utilizar ACL para permitir que el enrutador implemente algunas funciones del firewall, mejorando así la seguridad de la red y mejorando el nivel de administración de la red.