The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Фильтрация url на asa 5508"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (Безопасность)
Изначальное сообщение [ Отслеживать ]
Курсы Сisco по безопасности (CCNA и CCNP Security, Сisco ISE 2.1, ASA, IronPort)
"Фильтрация url на asa 5508"  +/
Сообщение от motokemail (ok), 09-Июл-20, 13:53 
Добрый день. Подскажите. На Asa 5508-k9 возможно закрыть доступ ко всем ресурсам в интернет, кроме определенных сайтов? Доступ по IP не подходит. Необходим доступ по доменному имени сайта (https://***) Если возможно, то нужно ли докупать какие либо лицензии?
Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Фильтрация url на asa 5508"  +/
Сообщение от Andrey (??), 09-Июл-20, 14:35 
> Добрый день. Подскажите. На Asa 5508-k9 возможно реализовать фильтрацию url? А именно,
> необходимо закрыть из локальной сети весь трафик в инет, кроме некоторых
> сайтов (по IP не вариант). Нужно ли докупать какую либо лицензию
> для этого?

ASA 5508-k9 должна идти с модулем Firepower.
Подробности про лицензирование Firepower можно посмотреть здесь:  https://www.cisco.com/c/en/us/td/docs/security/firepower/60/...

Ответить | Правка | Наверх | Cообщить модератору

2. "Фильтрация url на asa 5508"  +/
Сообщение от gfh (??), 13-Июл-20, 21:58 
> Добрый день. Подскажите. На Asa 5508-k9 возможно закрыть доступ ко всем ресурсам
> в интернет, кроме определенных сайтов? Доступ по IP не подходит. Необходим
> доступ по доменному имени сайта (https://***) Если возможно, то нужно ли
> докупать какие либо лицензии?

Ничего докупать не надо, используйте FQDN ACL

Пример:

dns domain-lookup outside
dns server-group DefaultDNS
name-server 8.8.8.8

object network obj-www.website.com
fqdn www.website.com
object network obj-website.com
fqdn website.com

access-list INSIDE-IN extended permit tcp any object obj-www.website.com 443
access-list INSIDE-IN extended permit tcp any object obj-website.com 443
access-list INSIDE-IN extended deny ip any any

access-group INSIDE-IN in interface inside


Ответить | Правка | Наверх | Cообщить модератору

3. "Фильтрация url на asa 5508"  +/
Сообщение от del (??), 14-Июл-20, 17:33 
>[оверквотинг удален]
>  name-server 8.8.8.8
> object network obj-www.website.com
>  fqdn www.website.com
> object network obj-website.com
>  fqdn website.com
> access-list INSIDE-IN extended permit tcp any object obj-www.website.com 443
> access-list INSIDE-IN extended permit tcp any object obj-website.com 443
> access-list INSIDE-IN extended deny ip any any
> access-group INSIDE-IN in interface inside
>

А он точно можно в HTTPS залезть?

Ответить | Правка | Наверх | Cообщить модератору

4. "Фильтрация url на asa 5508"  +/
Сообщение от gfh (??), 14-Июл-20, 20:06 
>[оверквотинг удален]
>> object network obj-www.website.com
>>  fqdn www.website.com
>> object network obj-website.com
>>  fqdn website.com
>> access-list INSIDE-IN extended permit tcp any object obj-www.website.com 443
>> access-list INSIDE-IN extended permit tcp any object obj-website.com 443
>> access-list INSIDE-IN extended deny ip any any
>> access-group INSIDE-IN in interface inside
>>
> А он точно можно в HTTPS залезть?

В смысле лезть в HTTPS?
Вопрос был про доступ по доменному имени, а не по ip.

Если вы хотите анализировать/инспектировать трафик, это другая тема. Обычная ASA может инспектировать просто http, для https нужно другое решение.

Если вы не знаете по какому порту или протоколу будет доступ на сайты, просто разрешите целиком ip на сайт, а не tcp 443

Ответить | Правка | Наверх | Cообщить модератору

5. "Фильтрация url на asa 5508"  +/
Сообщение от del (??), 15-Июл-20, 09:25 
>[оверквотинг удален]
>>> access-list INSIDE-IN extended deny ip any any
>>> access-group INSIDE-IN in interface inside
>>>
>> А он точно можно в HTTPS залезть?
> В смысле лезть в HTTPS?
> Вопрос был про доступ по доменному имени, а не по ip.
> Если вы хотите анализировать/инспектировать трафик, это другая тема. Обычная ASA может
> инспектировать просто http, для https нужно другое решение.
> Если вы не знаете по какому порту или протоколу будет доступ на
> сайты, просто разрешите целиком ip на сайт, а не tcp 443

Ну, а как он доменное имя узнает, если не лезть в HTTPS? Тут только либо SNI, либо подмена сертификата

Ответить | Правка | Наверх | Cообщить модератору

6. "Фильтрация url на asa 5508"  +/
Сообщение от Аноним (6), 15-Июл-20, 10:06 
> Ну, а как он доменное имя узнает, если не лезть в HTTPS?
> Тут только либо SNI, либо подмена сертификата

ХЗ, как в циске, а прокси на сквиде прекрасно видит домены, куда ходят по https без всяких sni и подмен сертификатов.

Ответить | Правка | Наверх | Cообщить модератору

7. "Фильтрация url на asa 5508"  +/
Сообщение от del (??), 15-Июл-20, 12:54 
>> Ну, а как он доменное имя узнает, если не лезть в HTTPS?
>> Тут только либо SNI, либо подмена сертификата
> ХЗ, как в циске, а прокси на сквиде прекрасно видит домены, куда
> ходят по https без всяких sni и подмен сертификатов.

Не знаю как в сквиде. Но в самом https url зашифрован

Ответить | Правка | Наверх | Cообщить модератору

8. "Фильтрация url на asa 5508"  +/
Сообщение от Аноним (6), 15-Июл-20, 14:20 
> Не знаю как в сквиде. Но в самом https url зашифрован

15/Jul/2020:15:15:32 +0400 172.16.10.205 TCP_TUNNEL/200 6563 CONNECT osce12-ru-census.trendmicro.com:443 - HIER_DIRECT/23.42.152.130 -
15/Jul/2020:15:15:32 +0400 172.16.10.142 TCP_TUNNEL/200 9261 CONNECT messages.megafon.ru:443 - HIER_DIRECT/85.26.205.134 -
15/Jul/2020:15:15:32 +0400 172.16.10.229 TCP_TUNNEL/200 1276 CONNECT ok.ru:443 - HIER_DIRECT/217.20.155.13 -

urn -да, не видно. домен - лехко. ЧЯДНТ?

Ответить | Правка | Наверх | Cообщить модератору

9. "Фильтрация url на asa 5508"  +/
Сообщение от del (??), 15-Июл-20, 14:44 
>> Не знаю как в сквиде. Но в самом https url зашифрован
> 15/Jul/2020:15:15:32 +0400 172.16.10.205 TCP_TUNNEL/200 6563 CONNECT osce12-ru-census.trendmicro.com:443
> - HIER_DIRECT/23.42.152.130 -
> 15/Jul/2020:15:15:32 +0400 172.16.10.142 TCP_TUNNEL/200 9261 CONNECT messages.megafon.ru:443
> - HIER_DIRECT/85.26.205.134 -
> 15/Jul/2020:15:15:32 +0400 172.16.10.229 TCP_TUNNEL/200 1276 CONNECT ok.ru:443 - HIER_DIRECT/217.20.155.13
> -
> urn -да, не видно. домен - лехко. ЧЯДНТ?

Это называется SNI, гуглите

Ответить | Правка | Наверх | Cообщить модератору

10. "Фильтрация url на asa 5508"  +/
Сообщение от Аноним (6), 15-Июл-20, 14:59 
>> 15/Jul/2020:15:15:32 +0400 172.16.10.229 TCP_TUNNEL/200 1276 CONNECT ok.ru:443 - HIER_DIRECT/217.20.155.13
>> -
>> urn -да, не видно. домен - лехко. ЧЯДНТ?
> Это называется SNI, гуглите

https://ru.wikipedia.org/wiki/Server_Name_Indication

Server Name Indication (SNI) — расширение компьютерного протокола TLS[1], которое позволяет клиентам сообщать имя хоста, с которым он желает соединиться во время процесса «рукопожатия». Это позволяет серверу предоставлять несколько сертификатов на одном IP-адресе и TCP-порту, и, следовательно, позволяет работать нескольким безопасным (HTTPS) сайтам (или другим сервисам поверх TLS) на одном IP-адресе без использования одного и того же сертификата на всех сайтах. Это эквивалентно возможности основанного на имени виртуального хостинга из HTTP/1.1. Запрашиваемое имя хоста не шифруется,[2] что позволяет злоумышленнику его перехватить.

Ответить | Правка | Наверх | Cообщить модератору

11. "Фильтрация url на asa 5508"  +/
Сообщение от Licha Morada (ok), 16-Июл-20, 02:21 
>[оверквотинг удален]
>>>>
>>> А он точно можно в HTTPS залезть?
>> В смысле лезть в HTTPS?
>> Вопрос был про доступ по доменному имени, а не по ip.
>> Если вы хотите анализировать/инспектировать трафик, это другая тема. Обычная ASA может
>> инспектировать просто http, для https нужно другое решение.
>> Если вы не знаете по какому порту или протоколу будет доступ на
>> сайты, просто разрешите целиком ip на сайт, а не tcp 443
> Ну, а как он доменное имя узнает, если не лезть в HTTPS?
> Тут только либо SNI, либо подмена сертификата

Доменное имя он узнает из директивы "object network".
Базовые правила фильтрации трафика основываются на IP.
Топикстартер хочет сделать правило на основе имени хоста, что логично, вдруг IP адрес изменится. Выше привели пример как.

Никому в HTTPS лезть не надо. ASA узнает какие IP адреса соответствуют указанному имени сайта и разрешит трафик к этим адресам. Он-же будет следить, если какой-то адрес изменится, и разрешит трафик на новый IP. Всё это "под капотом", в конфигурации никаких IP не будет, а только FQDN сайтов.

Если вы ожидали что надо парсить HTTPS, подменять сертификаты и смотреть SNI, то это другая задача. Которую тоже можно решить, но сначала её надо сформулировать.

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру