- Фильтрация url на asa 5508,
 Andrey, 14:35 , 09-Июл-20 (1)> Добрый день. Подскажите. На Asa 5508-k9 возможно реализовать фильтрацию url? А именно,
> необходимо закрыть из локальной сети весь трафик в инет, кроме некоторых
> сайтов (по IP не вариант). Нужно ли докупать какую либо лицензию
> для этого?ASA 5508-k9 должна идти с модулем Firepower.
Подробности про лицензирование Firepower можно посмотреть здесь: https://www.cisco.com/c/en/us/td/docs/security/firepower/60/...
- Фильтрация url на asa 5508, gfh, 21:58 , 13-Июл-20 (2)
> Добрый день. Подскажите. На Asa 5508-k9 возможно закрыть доступ ко всем ресурсам
> в интернет, кроме определенных сайтов? Доступ по IP не подходит. Необходим
> доступ по доменному имени сайта (https://***) Если возможно, то нужно ли
> докупать какие либо лицензии?Ничего докупать не надо, используйте FQDN ACL Пример:dns domain-lookup outside
dns server-group DefaultDNS
name-server 8.8.8.8object network obj-www.website.com
fqdn www.website.com
object network obj-website.com
fqdn website.com access-list INSIDE-IN extended permit tcp any object obj-www.website.com 443
access-list INSIDE-IN extended permit tcp any object obj-website.com 443
access-list INSIDE-IN extended deny ip any any access-group INSIDE-IN in interface inside
- Фильтрация url на asa 5508, del, 17:33 , 14-Июл-20 (3)
>[оверквотинг удален]
> name-server 8.8.8.8
> object network obj-www.website.com
> fqdn www.website.com
> object network obj-website.com
> fqdn website.com
> access-list INSIDE-IN extended permit tcp any object obj-www.website.com 443
> access-list INSIDE-IN extended permit tcp any object obj-website.com 443
> access-list INSIDE-IN extended deny ip any any
> access-group INSIDE-IN in interface inside
> А он точно можно в HTTPS залезть?
- Фильтрация url на asa 5508, gfh, 20:06 , 14-Июл-20 (4)
>[оверквотинг удален]
>> object network obj-www.website.com
>> fqdn www.website.com
>> object network obj-website.com
>> fqdn website.com
>> access-list INSIDE-IN extended permit tcp any object obj-www.website.com 443
>> access-list INSIDE-IN extended permit tcp any object obj-website.com 443
>> access-list INSIDE-IN extended deny ip any any
>> access-group INSIDE-IN in interface inside
>>
> А он точно можно в HTTPS залезть?В смысле лезть в HTTPS?
Вопрос был про доступ по доменному имени, а не по ip. Если вы хотите анализировать/инспектировать трафик, это другая тема. Обычная ASA может инспектировать просто http, для https нужно другое решение. Если вы не знаете по какому порту или протоколу будет доступ на сайты, просто разрешите целиком ip на сайт, а не tcp 443
- Фильтрация url на asa 5508, del, 09:25 , 15-Июл-20 (5)
>[оверквотинг удален]
>>> access-list INSIDE-IN extended deny ip any any
>>> access-group INSIDE-IN in interface inside
>>>
>> А он точно можно в HTTPS залезть?
> В смысле лезть в HTTPS?
> Вопрос был про доступ по доменному имени, а не по ip.
> Если вы хотите анализировать/инспектировать трафик, это другая тема. Обычная ASA может
> инспектировать просто http, для https нужно другое решение.
> Если вы не знаете по какому порту или протоколу будет доступ на
> сайты, просто разрешите целиком ip на сайт, а не tcp 443 Ну, а как он доменное имя узнает, если не лезть в HTTPS? Тут только либо SNI, либо подмена сертификата
- Фильтрация url на asa 5508, Аноним, 10:06 , 15-Июл-20 (6)
> Ну, а как он доменное имя узнает, если не лезть в HTTPS?
> Тут только либо SNI, либо подмена сертификата ХЗ, как в циске, а прокси на сквиде прекрасно видит домены, куда ходят по https без всяких sni и подмен сертификатов.
- Фильтрация url на asa 5508, del, 12:54 , 15-Июл-20 (7)
>> Ну, а как он доменное имя узнает, если не лезть в HTTPS?
>> Тут только либо SNI, либо подмена сертификата
> ХЗ, как в циске, а прокси на сквиде прекрасно видит домены, куда
> ходят по https без всяких sni и подмен сертификатов.Не знаю как в сквиде. Но в самом https url зашифрован
- Фильтрация url на asa 5508, Аноним, 14:20 , 15-Июл-20 (8)
> Не знаю как в сквиде. Но в самом https url зашифрован 15/Jul/2020:15:15:32 +0400 172.16.10.205 TCP_TUNNEL/200 6563 CONNECT osce12-ru-census.trendmicro.com:443 - HIER_DIRECT/23.42.152.130 -
15/Jul/2020:15:15:32 +0400 172.16.10.142 TCP_TUNNEL/200 9261 CONNECT messages.megafon.ru:443 - HIER_DIRECT/85.26.205.134 -
15/Jul/2020:15:15:32 +0400 172.16.10.229 TCP_TUNNEL/200 1276 CONNECT ok.ru:443 - HIER_DIRECT/217.20.155.13 - urn -да, не видно. домен - лехко. ЧЯДНТ?
- Фильтрация url на asa 5508, del, 14:44 , 15-Июл-20 (9)
>> Не знаю как в сквиде. Но в самом https url зашифрован
> 15/Jul/2020:15:15:32 +0400 172.16.10.205 TCP_TUNNEL/200 6563 CONNECT osce12-ru-census.trendmicro.com:443
> - HIER_DIRECT/23.42.152.130 -
> 15/Jul/2020:15:15:32 +0400 172.16.10.142 TCP_TUNNEL/200 9261 CONNECT messages.megafon.ru:443
> - HIER_DIRECT/85.26.205.134 -
> 15/Jul/2020:15:15:32 +0400 172.16.10.229 TCP_TUNNEL/200 1276 CONNECT ok.ru:443 - HIER_DIRECT/217.20.155.13
> -
> urn -да, не видно. домен - лехко. ЧЯДНТ?Это называется SNI, гуглите
- Фильтрация url на asa 5508, Аноним, 14:59 , 15-Июл-20 (10)
>> 15/Jul/2020:15:15:32 +0400 172.16.10.229 TCP_TUNNEL/200 1276 CONNECT ok.ru:443 - HIER_DIRECT/217.20.155.13
>> -
>> urn -да, не видно. домен - лехко. ЧЯДНТ?
> Это называется SNI, гуглите https://ru.wikipedia.org/wiki/Server_Name_Indication Server Name Indication (SNI) — расширение компьютерного протокола TLS[1], которое позволяет клиентам сообщать имя хоста, с которым он желает соединиться во время процесса «рукопожатия». Это позволяет серверу предоставлять несколько сертификатов на одном IP-адресе и TCP-порту, и, следовательно, позволяет работать нескольким безопасным (HTTPS) сайтам (или другим сервисам поверх TLS) на одном IP-адресе без использования одного и того же сертификата на всех сайтах. Это эквивалентно возможности основанного на имени виртуального хостинга из HTTP/1.1. Запрашиваемое имя хоста не шифруется,[2] что позволяет злоумышленнику его перехватить.
- Фильтрация url на asa 5508, Licha Morada, 02:21 , 16-Июл-20 (11)
>[оверквотинг удален]
>>>>
>>> А он точно можно в HTTPS залезть?
>> В смысле лезть в HTTPS?
>> Вопрос был про доступ по доменному имени, а не по ip.
>> Если вы хотите анализировать/инспектировать трафик, это другая тема. Обычная ASA может
>> инспектировать просто http, для https нужно другое решение.
>> Если вы не знаете по какому порту или протоколу будет доступ на
>> сайты, просто разрешите целиком ip на сайт, а не tcp 443
> Ну, а как он доменное имя узнает, если не лезть в HTTPS?
> Тут только либо SNI, либо подмена сертификата Доменное имя он узнает из директивы "object network".
Базовые правила фильтрации трафика основываются на IP.
Топикстартер хочет сделать правило на основе имени хоста, что логично, вдруг IP адрес изменится. Выше привели пример как. Никому в HTTPS лезть не надо. ASA узнает какие IP адреса соответствуют указанному имени сайта и разрешит трафик к этим адресам. Он-же будет следить, если какой-то адрес изменится, и разрешит трафик на новый IP. Всё это "под капотом", в конфигурации никаких IP не будет, а только FQDN сайтов. Если вы ожидали что надо парсить HTTPS, подменять сертификаты и смотреть SNI, то это другая задача. Которую тоже можно решить, но сначала её надо сформулировать.
|
Версия для распечатки
Фильтрация url на asa 5508, 
