Фильтрация url на cisco asa

@Dmitriy_Nik · Регистрация: 26.06.2013

Author24 — интернет-сервис помощи студентам

Добрый день, сделал настройки по этому посту - Фильтрация URL на ASA, но ничего не получилось((( запередргивался

как ходил на ВК так и хожу

Добавлено через 1 час 47 минут
что интересно - я указал 2 типа траффика - http и https. выключаешь http в service policy- работает интернет только по http, включаешь http и выключаешь https - только по https. Где собака зарыта?

@Dmitriy_Nik · 03.12.2014, 07:11 **[ТС]**

Jabbson, Добрый день! не могли бы вы помочь в это ситуации ???

Jabbson · 03.12.2014, 08:59

Покажите полный очищенный конфиг.

@Dmitriy_Nik · 03.12.2014, 09:32 **[ТС]**

Код

class-map type inspect http match-any block-url
 match request uri regex regexVK
 match request uri regex regexAD
!
policy-map type inspect http block-url-inspect
 parameters
  protocol-violation action drop-connection log
 class block-url
  drop-connection log
policy-map inside-block-url
 class inside-filter-class
  inspect http block-url-inspect 

service-policy inside-block-url interface inside

ACL типа pemit ip any any

полный конфиг

Код

ASA Version 8.4(7) 
!
hostname xxxxxxxxxxx
domain-name xxxxxxxxxx
enable password xxxxxxxxxxxxxxx encrypted
passwd xxxxxxxxxxxxxxxx encrypted
!
interface GigabitEthernet0/0
 nameif inside
 security-level 100
 ip address 192.168.1.14 255.255.255.0 standby 192.168.1.25 
!
interface GigabitEthernet0/1
 no nameif
 no security-level
 no ip address
!
interface GigabitEthernet0/1.28
 vlan 28
 nameif dmz
 security-level 50
 ip address 172.16.28.1 255.255.255.0 standby 172.16.28.2 
!
interface GigabitEthernet0/2
 nameif ouside
 security-level 0
 ip address 10.10.1.2 255.255.255.0 standby 10.10.1.3 
!
interface GigabitEthernet0/3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Management0/0
 description LAN/STATE Failover Interface
 management-only
!
regex regexAD "adme.ru"
regex regexVK "vk.com"
boot system disk0:/asa847-k8.bin
ftp mode passive
clock timezone LKT 6
dns domain-lookup dmz
dns server-group DefaultDNS
 name-server xxxxxxxxxx
 name-server xxxxxxxxxxx
 domain-name xxxxxxxxxxx
!
snmp-map MARS
 deny version 1
!
pager lines 24
!
logging enable
logging emblem
logging console warnings
logging monitor emergencies
logging trap debugging
logging history alerts
logging asdm informational
logging from-address xxxxxxxxxxxxxxx
logging recipient-address xxxxxxxxxxxxx level errors
logging host inside 172.16.27.222
logging class auth monitor emergencies 
!
flow-export destination inside MARS 2055
flow-export template timeout-rate 2
flow-export delay flow-create 15
!
mtu inside 1500
mtu dmz 1500
mtu ouside 1500
!
failover
failover lan unit primary
failover lan interface failover Management0/0
failover key cisco
failover replication http
failover link failover Management0/0
failover interface ip failover 10.1.1.1 255.255.255.252 standby 10.1.1.2
monitor-interface dmz
!
icmp unreachable rate-limit 1 burst-size 1
!
asdm image disk0:/asdm-647.bin
no asdm history enable
!
arp timeout 14400
no arp permit-nonconnected
!
access-group inside_access_in in interface inside
access-group dmz_access_in in interface dmz
access-group ouside_access_in in interface ouside
!
route dmz 0.0.0.0 0.0.0.0 DMZ-IDECO 1
!
timeout xlate 3:00:00
timeout pat-xlate 0:00:30
timeout conn 2:00:00 half-closed 0:40:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
!
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
!
aaa authentication ssh console LOCAL 
aaa authentication http console LOCAL 
!
http server enable
http 172.16.22.2 255.255.255.255 inside
http 172.16.22.3 255.255.255.255 inside
!
snmp-server host inside MARS community public
no snmp-server location
no snmp-server contact
snmp-server community public
snmp-server enable traps snmp authentication linkup linkdown coldstart
snmp-server enable traps syslog
!
crypto ca trustpoint ASDM_TrustPoint0
 enrollment self
 subject-name CN=192.168.1.14
 crl configure
!
crypto ca certificate chain ASDM_TrustPoint0
 zxzxzxzx
zxzxzxzxzx
  quit
!
telnet timeout 5
!
ssh scopy enable
ssh 172.16.22.2 255.255.255.255 inside
ssh 172.16.22.3 255.255.255.255 inside
ssh MARS 255.255.255.255 inside
ssh timeout 5
ssh key-exchange group dh-group1-sha1
!
console timeout 5
!
threat-detection basic-threat
threat-detection statistics
threat-detection statistics tcp-intercept rate-interval 30 burst-rate 400 average-rate 200
!
ntp server DMZ-IDECO source dmz prefer
!
ssl trust-point ASDM_TrustPoint0 inside
!
webvpn
!
username Iokfj&*Jfh!%GT password wz5m7XcuJJDtO.xh encrypted privilege 15
tunnel-group-map default-group DefaultL2LGroup
!
class-map global-class
 description flow_export_class
 match any
!
class-map type inspect http match-all asdm_medium_security_methods
 match not request method head
 match not request method post
 match not request method get
!
class-map inspection_default
 match default-inspection-traffic
!
class-map type inspect http match-any block-url
 match request uri regex regexVK
 match request uri regex regexAD
!
class-map type inspect http match-all asdm_high_security_methods
 match not request method head
 match not request method get
class-map inside-filter-url
 match access-list inside_mpc
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum client auto
  message-length maximum 512
!
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map 
  inspect icmp 
  inspect ils 
  inspect ip-options 
  inspect netbios 
  inspect pptp 
  inspect snmp 
  inspect sqlnet 
  inspect tftp 
  inspect http 
 class global-class
  flow-export event-type all destination MARS
 class class-default
  user-statistics accounting
!
policy-map type inspect http block-url-inspect
 parameters
  protocol-violation action drop-connection log
 class block-url
  drop-connection log
!
policy-map inside-policy-url
 class inside-filter-url
  inspect http block-url-inspect 
!
service-policy global_policy global
service-policy inside-policy-url interface inside
!
smtp-server 172.16.28.6
!
prompt hostname state priority 
no call-home reporting anonymous
hpm topN enable

убрал объекты и аксес листы

Jabbson · 03.12.2014, 10:08

VK нынче работает по https

@Dmitriy_Nik · 03.12.2014, 10:44 **[ТС]**

оке. но другие сайты типа adme.ru который указан также не фильтруется по http.

Добавлено через 5 минут

ActionScript 3

regex regexAD "adme.ru"
regex regexVK "vk.com"
 и так
regex regexAD "adme\.ru"
regex regexVK "vk\.com"

Jabbson · 03.12.2014, 18:18

Попробуйте вот так:

Код

regex REGEX-ADME "adme\.ru"

class-map type inspect http match-any CM-INS-HTTP-BLOCK-ADME
 match request header host regex REGEX-ADME

policy-map type inspect http PM-INS-HTTP-BLOCK-ADME
 class CM-INS-HTTP-BLOCK-ADME
  drop-connection log

policy-map global_policy
 class inspection_default
  inspect http PM-INS-HTTP-BLOCK-ADME

и заодно вот это можно еще добавить:

Код

class-map type inspect dns match-any CM-INS-DNS-BLOCK-ADME
 match domain-name regex REGEX-ADME

policy-map type inspect dns PM-INS-DNS-BLOCK-ADME
 parameters
  message-length maximum 512
 class CM-INS-DNS-BLOCK-ADME
  drop-connection log

policy-map global_policy
 class inspection_default
  inspect dns PM-INS-DNS-BLOCK-ADME

после всего этого нужно переприменить глобальную политику

Код

no service-policy global_policy global
service-policy global_policy global

Но Вы ведь сами понимаете, что это не защита, от посещения adme, да? Это видимость защиты.

@Dmitriy_Nik · 04.12.2014, 09:03 **[ТС]**

Помогло!!! Я понял где допустил ошибку, Спасибо Вам большое!

Добавлено через 51 минуту
Но vk.com Аса не блочит. Так как https она не распознаёт. Прально?

Jabbson · 04.12.2014, 09:05

всегда пожалуйста
Правильно, не видит заголовков внутри пакета.

@Dmitriy_Nik · 04.12.2014, 12:13 **[ТС]**

ТО есть можно это сделать, но только при подключении доп модуля IPS (насколько помню)

Jabbson · 04.12.2014, 13:22

Сообщение от Dmitriy_Nik

ТО есть можно это сделать, но только при подключении доп модуля IPS

нет, такое можно сделать на ASA CX и можно будет сделать на SourceFire Firepower.

@Dmitriy_Nik · 04.12.2014, 13:41 **[ТС]**

MySQL

1
2
3

policy-map global-policy
 class global-class
  inspect dns PM-INS-DNS-BLOCK-ADME

а сдесь случайно не inspection default ?вместо global-class

Jabbson · 04.12.2014, 13:54

все зависит от того, как у Вас настроено, я во втором примере брал кусочек со своей асы, поэтому первый и второй пример немного разнятся именами

Добавлено через 1 минуту
Поправил, чтобы не возникало недопонимания в тех, кто будет читать потом.

@Dmitriy_Nik · 05.12.2014, 05:04 **[ТС]**

ДА, я понял. Может все таки есть какой нибудь метод обойтись средствами 5520 и залочить VK ?

Jabbson · 05.12.2014, 08:13

Можно фильтровать днс запросы, как мы уже делали, ну и блокировать обращение к вк по всем возможным ип адресам.

@Dmitriy_Nik · 09.12.2014, 05:06 **[ТС]**

вынес политику для VK отдельно

Кликните здесь для просмотра всего текста

Код

class-map type inspect http match-any CM-INS-HTTP-BLOCK-URL
 match request header host regex REGEX-ADME
!
class-map type inspect dns match-any CM-INS-DNS-BLOCK-URL
 match domain-name regex REGEX-VK
!
class-map global-class
 description flow_export_class
 match any
!
class-map inside-class
 match access-list inside_mpc
!
class-map type inspect http match-all asdm_medium_security_methods
 match not request method head
 match not request method post
 match not request method get
!
class-map inspection_default
 match default-inspection-traffic
!
class-map type inspect http match-all asdm_high_security_methods
 match not request method head
 match not request method get
!
policy-map type inspect dns preset_dns_map
 parameters   
  message-length maximum client auto
  message-length maximum 512
!
policy-map type inspect dns PM-INS-DNS-BLOCK-URL
 parameters
  message-length maximum 512
 class CM-INS-DNS-BLOCK-URL
  drop-connection log
!
policy-map type inspect http PM-INS-HTTP-BLOCK-URL
 parameters
 class CM-INS-HTTP-BLOCK-URL
  drop-connection log
!
policy-map global_policy
 class global-class
  flow-export event-type all destination MARS
 class inspection_default
  inspect http 
  inspect icmp 
  inspect ils 
  inspect ip-options 
  inspect netbios 
  inspect pptp 
  inspect snmp 
  inspect sqlnet 
  inspect tftp 
  inspect dns preset_dns_map 
 class class-default
  user-statistics accounting
!
policy-map url-policy-inside
 class inside-class
  inspect http PM-INS-HTTP-BLOCK-URL 
!
service-policy global_policy global
service-policy url-policy-inside interface inside

но DNS не блочит, если вешать полиси мап PM-INS-DNS-BLOCK-URL на инспекшен дефолт то интернет ващпе пропадает

@Dmitriy_Nik · 14.01.2015, 04:54 **[ТС]**

В общем все получилось! спасибо! Вы как всегда помогли

@Dmitriy_Nik 2 / 2 / 0 Регистрация: 26.06.2013 Сообщений: 54
		1
	Фильтрация url на cisco asa 13.11.2014, 11:55. Показов 4698. Ответов 16 Метки нет (Все метки) Добрый день, сделал настройки по этому посту - Фильтрация URL на ASA, но ничего не получилось((( запередргивался как ходил на ВК так и хожу Добавлено через 1 час 47 минут что интересно - я указал 2 типа траффика - http и https. выключаешь http в service policy- работает интернет только по http, включаешь http и выключаешь https - только по https. Где собака зарыта? 0

@Dmitriy_Nik 2 / 2 / 0 Регистрация: 26.06.2013 Сообщений: 54
	03.12.2014, 07:11 [ТС]	2
	Jabbson, Добрый день! не могли бы вы помочь в это ситуации ??? 0

Jabbson 5898 / 3355 / 1035 Регистрация: 03.11.2009 Сообщений: 10,003
	03.12.2014, 08:59	3
	Покажите полный очищенный конфиг. 0

Jabbson 5898 / 3355 / 1035 Регистрация: 03.11.2009 Сообщений: 10,003
	03.12.2014, 10:08	5
	VK нынче работает по https 0

@Dmitriy_Nik 2 / 2 / 0 Регистрация: 26.06.2013 Сообщений: 54
	04.12.2014, 09:03 [ТС]	8
	Помогло!!! Я понял где допустил ошибку, Спасибо Вам большое! Добавлено через 51 минуту Но vk.com Аса не блочит. Так как https она не распознаёт. Прально? 0

Jabbson 5898 / 3355 / 1035 Регистрация: 03.11.2009 Сообщений: 10,003
	04.12.2014, 09:05	9
	всегда пожалуйста Правильно, не видит заголовков внутри пакета. 0

@Dmitriy_Nik 2 / 2 / 0 Регистрация: 26.06.2013 Сообщений: 54
	04.12.2014, 12:13 [ТС]	10
	ТО есть можно это сделать, но только при подключении доп модуля IPS (насколько помню) 0

Jabbson 5898 / 3355 / 1035 Регистрация: 03.11.2009 Сообщений: 10,003
	04.12.2014, 13:22	11
	Сообщение от Dmitriy_Nik ТО есть можно это сделать, но только при подключении доп модуля IPS нет, такое можно сделать на ASA CX и можно будет сделать на SourceFire Firepower. 0

Jabbson 5898 / 3355 / 1035 Регистрация: 03.11.2009 Сообщений: 10,003
	04.12.2014, 13:54	13
	все зависит от того, как у Вас настроено, я во втором примере брал кусочек со своей асы, поэтому первый и второй пример немного разнятся именами Добавлено через 1 минуту Поправил, чтобы не возникало недопонимания в тех, кто будет читать потом. 0

@Dmitriy_Nik 2 / 2 / 0 Регистрация: 26.06.2013 Сообщений: 54
	05.12.2014, 05:04 [ТС]	14
	ДА, я понял. Может все таки есть какой нибудь метод обойтись средствами 5520 и залочить VK ? 0

	14.01.2015, 04:54

Jabbson 5898 / 3355 / 1035 Регистрация: 03.11.2009 Сообщений: 10,003
	05.12.2014, 08:13	15
	Можно фильтровать днс запросы, как мы уже делали, ну и блокировать обращение к вк по всем возможным ип адресам. 1

@Dmitriy_Nik 2 / 2 / 0 Регистрация: 26.06.2013 Сообщений: 54
	14.01.2015, 04:54 [ТС]	17
	В общем все получилось! спасибо! Вы как всегда помогли 0