forum.opennet.ru - "Фильтрация url на asa 5508" (11)

"Фильтрация url на asa 5508"

Форум Маршрутизаторы CISCO и др. оборудование. (Безопасность)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Фильтрация url на asa 5508"	+/–
Сообщение от motok (ok), 09-Июл-20, 13:53
Добрый день. Подскажите. На Asa 5508-k9 возможно закрыть доступ ко всем ресурсам в интернет, кроме определенных сайтов? Доступ по IP не подходит. Необходим доступ по доменному имени сайта (https://***) Если возможно, то нужно ли докупать какие либо лицензии?
Ответить \| Правка \| Cообщить модератору

Оглавление

ASA 5508-k9 должна идти с модулем Firepower Подробности про лицензирование Fire, Andrey (??), 14:35 , 09-Июл-20, (1)
Ничего докупать не надо, используйте FQDN ACLПример code dns domain-lookup outs, gfh (??), 21:58 , 13-Июл-20, (2)

gt оверквотинг удален А он точно можно в HTTPS залезть , del (??), 17:33 , 14-Июл-20, (3)

gt оверквотинг удален В смысле лезть в HTTPS Вопрос был про доступ по доменном, gfh (??), 20:06 , 14-Июл-20, (4)

gt оверквотинг удален Ну, а как он доменное имя узнает, если не лезть в HTTPS , del (??), 09:25 , 15-Июл-20, (5)

ХЗ, как в циске, а прокси на сквиде прекрасно видит домены, куда ходят по https , Аноним (6), 10:06 , 15-Июл-20, (6)

Не знаю как в сквиде Но в самом https url зашифрован, del (??), 12:54 , 15-Июл-20, (7)

15 Jul 2020 15 15 32 0400 172 16 10 205 TCP_TUNNEL 200 6563 CONNECT osce12-ru-c, Аноним (6), 14:20 , 15-Июл-20, (8)

Это называется SNI, гуглите, del (??), 14:44 , 15-Июл-20, (9)

https ru wikipedia org wiki Server_Name_IndicationServer Name Indication SNI , Аноним (6), 14:59 , 15-Июл-20, (10)

gt оверквотинг удален Доменное имя он узнает из директивы object network Баз, Licha Morada (ok), 02:21 , 16-Июл-20, (11)

Сообщения [Сортировка по времени | RSS]

1. "Фильтрация url на asa 5508" +/–

Сообщение от Andrey (??), 09-Июл-20, 14:35

> Добрый день. Подскажите. На Asa 5508-k9 возможно реализовать фильтрацию url? А именно,
> необходимо закрыть из локальной сети весь трафик в инет, кроме некоторых
> сайтов (по IP не вариант). Нужно ли докупать какую либо лицензию
> для этого?
ASA 5508-k9 должна идти с модулем Firepower.
Подробности про лицензирование Firepower можно посмотреть здесь:  https://www.cisco.com/c/en/us/td/docs/security/firepower/60/...

Ответить | Правка | Наверх | Cообщить модератору

2. "Фильтрация url на asa 5508" +/–

Сообщение от gfh (??), 13-Июл-20, 21:58

> Добрый день. Подскажите. На Asa 5508-k9 возможно закрыть доступ ко всем ресурсам
> в интернет, кроме определенных сайтов? Доступ по IP не подходит. Необходим
> доступ по доменному имени сайта (https://***) Если возможно, то нужно ли
> докупать какие либо лицензии?
Ничего докупать не надо, используйте FQDN ACL
Пример:
dns domain-lookup outside
dns server-group DefaultDNS
name-server 8.8.8.8
object network obj-www.website.com
fqdn www.website.com
object network obj-website.com
fqdn website.com
access-list INSIDE-IN extended permit tcp any object obj-www.website.com 443
access-list INSIDE-IN extended permit tcp any object obj-website.com 443
access-list INSIDE-IN extended deny ip any any
access-group INSIDE-IN in interface inside

Ответить | Правка | Наверх | Cообщить модератору

3. "Фильтрация url на asa 5508" +/–

Сообщение от del (??), 14-Июл-20, 17:33

>[оверквотинг удален]
>  name-server 8.8.8.8
> object network obj-www.website.com
>  fqdn www.website.com
> object network obj-website.com
>  fqdn website.com
> access-list INSIDE-IN extended permit tcp any object obj-www.website.com 443
> access-list INSIDE-IN extended permit tcp any object obj-website.com 443
> access-list INSIDE-IN extended deny ip any any
> access-group INSIDE-IN in interface inside
>
А он точно можно в HTTPS залезть?

Ответить | Правка | Наверх | Cообщить модератору

4. "Фильтрация url на asa 5508" +/–

Сообщение от gfh (??), 14-Июл-20, 20:06

>[оверквотинг удален]
>> object network obj-www.website.com
>>  fqdn www.website.com
>> object network obj-website.com
>>  fqdn website.com
>> access-list INSIDE-IN extended permit tcp any object obj-www.website.com 443
>> access-list INSIDE-IN extended permit tcp any object obj-website.com 443
>> access-list INSIDE-IN extended deny ip any any
>> access-group INSIDE-IN in interface inside
>>
> А он точно можно в HTTPS залезть?
В смысле лезть в HTTPS?
Вопрос был про доступ по доменному имени, а не по ip.
Если вы хотите анализировать/инспектировать трафик, это другая тема. Обычная ASA может инспектировать просто http, для https нужно другое решение.
Если вы не знаете по какому порту или протоколу будет доступ на сайты, просто разрешите целиком ip на сайт, а не tcp 443

Ответить | Правка | Наверх | Cообщить модератору

5. "Фильтрация url на asa 5508" +/–

Сообщение от del (??), 15-Июл-20, 09:25

>[оверквотинг удален]
>>> access-list INSIDE-IN extended deny ip any any
>>> access-group INSIDE-IN in interface inside
>>>
>> А он точно можно в HTTPS залезть?
> В смысле лезть в HTTPS?
> Вопрос был про доступ по доменному имени, а не по ip.
> Если вы хотите анализировать/инспектировать трафик, это другая тема. Обычная ASA может
> инспектировать просто http, для https нужно другое решение.
> Если вы не знаете по какому порту или протоколу будет доступ на
> сайты, просто разрешите целиком ip на сайт, а не tcp 443
Ну, а как он доменное имя узнает, если не лезть в HTTPS? Тут только либо SNI, либо подмена сертификата

Ответить | Правка | Наверх | Cообщить модератору

6. "Фильтрация url на asa 5508" +/–

Сообщение от Аноним (6), 15-Июл-20, 10:06

> Ну, а как он доменное имя узнает, если не лезть в HTTPS?
> Тут только либо SNI, либо подмена сертификата
ХЗ, как в циске, а прокси на сквиде прекрасно видит домены, куда ходят по https без всяких sni и подмен сертификатов.

Ответить | Правка | Наверх | Cообщить модератору

7. "Фильтрация url на asa 5508" +/–

Сообщение от del (??), 15-Июл-20, 12:54

>> Ну, а как он доменное имя узнает, если не лезть в HTTPS?
>> Тут только либо SNI, либо подмена сертификата
> ХЗ, как в циске, а прокси на сквиде прекрасно видит домены, куда
> ходят по https без всяких sni и подмен сертификатов.
Не знаю как в сквиде. Но в самом https url зашифрован

Ответить | Правка | Наверх | Cообщить модератору

8. "Фильтрация url на asa 5508" +/–

Сообщение от Аноним (6), 15-Июл-20, 14:20

> Не знаю как в сквиде. Но в самом https url зашифрован
15/Jul/2020:15:15:32 +0400 172.16.10.205 TCP_TUNNEL/200 6563 CONNECT osce12-ru-census.trendmicro.com:443 - HIER_DIRECT/23.42.152.130 -
15/Jul/2020:15:15:32 +0400 172.16.10.142 TCP_TUNNEL/200 9261 CONNECT messages.megafon.ru:443 - HIER_DIRECT/85.26.205.134 -
15/Jul/2020:15:15:32 +0400 172.16.10.229 TCP_TUNNEL/200 1276 CONNECT ok.ru:443 - HIER_DIRECT/217.20.155.13 -
urn -да, не видно. домен - лехко. ЧЯДНТ?

Ответить | Правка | Наверх | Cообщить модератору

9. "Фильтрация url на asa 5508" +/–

Сообщение от del (??), 15-Июл-20, 14:44

>> Не знаю как в сквиде. Но в самом https url зашифрован
> 15/Jul/2020:15:15:32 +0400 172.16.10.205 TCP_TUNNEL/200 6563 CONNECT osce12-ru-census.trendmicro.com:443
> - HIER_DIRECT/23.42.152.130 -
> 15/Jul/2020:15:15:32 +0400 172.16.10.142 TCP_TUNNEL/200 9261 CONNECT messages.megafon.ru:443
> - HIER_DIRECT/85.26.205.134 -
> 15/Jul/2020:15:15:32 +0400 172.16.10.229 TCP_TUNNEL/200 1276 CONNECT ok.ru:443 - HIER_DIRECT/217.20.155.13
> -
> urn -да, не видно. домен - лехко. ЧЯДНТ?
Это называется SNI, гуглите

Ответить | Правка | Наверх | Cообщить модератору

10. "Фильтрация url на asa 5508" +/–

Сообщение от Аноним (6), 15-Июл-20, 14:59

>> 15/Jul/2020:15:15:32 +0400 172.16.10.229 TCP_TUNNEL/200 1276 CONNECT ok.ru:443 - HIER_DIRECT/217.20.155.13
>> -
>> urn -да, не видно. домен - лехко. ЧЯДНТ?
> Это называется SNI, гуглите
https://ru.wikipedia.org/wiki/Server_Name_Indication
Server Name Indication (SNI) — расширение компьютерного протокола TLS[1], которое позволяет клиентам сообщать имя хоста, с которым он желает соединиться во время процесса «рукопожатия». Это позволяет серверу предоставлять несколько сертификатов на одном IP-адресе и TCP-порту, и, следовательно, позволяет работать нескольким безопасным (HTTPS) сайтам (или другим сервисам поверх TLS) на одном IP-адресе без использования одного и того же сертификата на всех сайтах. Это эквивалентно возможности основанного на имени виртуального хостинга из HTTP/1.1. Запрашиваемое имя хоста не шифруется,[2] что позволяет злоумышленнику его перехватить.

Ответить | Правка | Наверх | Cообщить модератору

11. "Фильтрация url на asa 5508" +/–

Сообщение от Licha Morada (ok), 16-Июл-20, 02:21

>[оверквотинг удален]
>>>>
>>> А он точно можно в HTTPS залезть?
>> В смысле лезть в HTTPS?
>> Вопрос был про доступ по доменному имени, а не по ip.
>> Если вы хотите анализировать/инспектировать трафик, это другая тема. Обычная ASA может
>> инспектировать просто http, для https нужно другое решение.
>> Если вы не знаете по какому порту или протоколу будет доступ на
>> сайты, просто разрешите целиком ip на сайт, а не tcp 443
> Ну, а как он доменное имя узнает, если не лезть в HTTPS?
> Тут только либо SNI, либо подмена сертификата
Доменное имя он узнает из директивы "object network".
Базовые правила фильтрации трафика основываются на IP.
Топикстартер хочет сделать правило на основе имени хоста, что логично, вдруг IP адрес изменится. Выше привели пример как.
Никому в HTTPS лезть не надо. ASA узнает какие IP адреса соответствуют указанному имени сайта и разрешит трафик к этим адресам. Он-же будет следить, если какой-то адрес изменится, и разрешит трафик на новый IP. Всё это "под капотом", в конфигурации никаких IP не будет, а только FQDN сайтов.
Если вы ожидали что надо парсить HTTPS, подменять сертификаты и смотреть SNI, то это другая задача. Которую тоже можно решить, но сначала её надо сформулировать.

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Фильтрация url на asa 5508"	+/–
Сообщение от Andrey (??), 09-Июл-20, 14:35
> Добрый день. Подскажите. На Asa 5508-k9 возможно реализовать фильтрацию url? А именно, > необходимо закрыть из локальной сети весь трафик в инет, кроме некоторых > сайтов (по IP не вариант). Нужно ли докупать какую либо лицензию > для этого? ASA 5508-k9 должна идти с модулем Firepower. Подробности про лицензирование Firepower можно посмотреть здесь: https://www.cisco.com/c/en/us/td/docs/security/firepower/60/...
Ответить \| Правка \| Наверх \| Cообщить модератору

2. "Фильтрация url на asa 5508"	+/–
Сообщение от gfh (??), 13-Июл-20, 21:58
> Добрый день. Подскажите. На Asa 5508-k9 возможно закрыть доступ ко всем ресурсам > в интернет, кроме определенных сайтов? Доступ по IP не подходит. Необходим > доступ по доменному имени сайта (https://***) Если возможно, то нужно ли > докупать какие либо лицензии? Ничего докупать не надо, используйте FQDN ACL Пример: dns domain-lookup outside dns server-group DefaultDNS name-server 8.8.8.8 object network obj-www.website.com fqdn www.website.com object network obj-website.com fqdn website.com access-list INSIDE-IN extended permit tcp any object obj-www.website.com 443 access-list INSIDE-IN extended permit tcp any object obj-website.com 443 access-list INSIDE-IN extended deny ip any any access-group INSIDE-IN in interface inside
Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Фильтрация url на asa 5508"	+/–
	Сообщение от del (??), 14-Июл-20, 17:33
	>[оверквотинг удален] > name-server 8.8.8.8 > object network obj-www.website.com > fqdn www.website.com > object network obj-website.com > fqdn website.com > access-list INSIDE-IN extended permit tcp any object obj-www.website.com 443 > access-list INSIDE-IN extended permit tcp any object obj-website.com 443 > access-list INSIDE-IN extended deny ip any any > access-group INSIDE-IN in interface inside > А он точно можно в HTTPS залезть?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Фильтрация url на asa 5508"	+/–
	Сообщение от gfh (??), 14-Июл-20, 20:06
	>[оверквотинг удален] >> object network obj-www.website.com >> fqdn www.website.com >> object network obj-website.com >> fqdn website.com >> access-list INSIDE-IN extended permit tcp any object obj-www.website.com 443 >> access-list INSIDE-IN extended permit tcp any object obj-website.com 443 >> access-list INSIDE-IN extended deny ip any any >> access-group INSIDE-IN in interface inside >> > А он точно можно в HTTPS залезть? В смысле лезть в HTTPS? Вопрос был про доступ по доменному имени, а не по ip. Если вы хотите анализировать/инспектировать трафик, это другая тема. Обычная ASA может инспектировать просто http, для https нужно другое решение. Если вы не знаете по какому порту или протоколу будет доступ на сайты, просто разрешите целиком ip на сайт, а не tcp 443
	Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Фильтрация url на asa 5508"	+/–
	Сообщение от del (??), 15-Июл-20, 09:25
	>[оверквотинг удален] >>> access-list INSIDE-IN extended deny ip any any >>> access-group INSIDE-IN in interface inside >>> >> А он точно можно в HTTPS залезть? > В смысле лезть в HTTPS? > Вопрос был про доступ по доменному имени, а не по ip. > Если вы хотите анализировать/инспектировать трафик, это другая тема. Обычная ASA может > инспектировать просто http, для https нужно другое решение. > Если вы не знаете по какому порту или протоколу будет доступ на > сайты, просто разрешите целиком ip на сайт, а не tcp 443 Ну, а как он доменное имя узнает, если не лезть в HTTPS? Тут только либо SNI, либо подмена сертификата
	Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Фильтрация url на asa 5508"	+/–
	Сообщение от Аноним (6), 15-Июл-20, 10:06
	> Ну, а как он доменное имя узнает, если не лезть в HTTPS? > Тут только либо SNI, либо подмена сертификата ХЗ, как в циске, а прокси на сквиде прекрасно видит домены, куда ходят по https без всяких sni и подмен сертификатов.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Фильтрация url на asa 5508"	+/–
	Сообщение от del (??), 15-Июл-20, 12:54
	>> Ну, а как он доменное имя узнает, если не лезть в HTTPS? >> Тут только либо SNI, либо подмена сертификата > ХЗ, как в циске, а прокси на сквиде прекрасно видит домены, куда > ходят по https без всяких sni и подмен сертификатов. Не знаю как в сквиде. Но в самом https url зашифрован
	Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Фильтрация url на asa 5508"	+/–
	Сообщение от Аноним (6), 15-Июл-20, 14:20
	> Не знаю как в сквиде. Но в самом https url зашифрован 15/Jul/2020:15:15:32 +0400 172.16.10.205 TCP_TUNNEL/200 6563 CONNECT osce12-ru-census.trendmicro.com:443 - HIER_DIRECT/23.42.152.130 - 15/Jul/2020:15:15:32 +0400 172.16.10.142 TCP_TUNNEL/200 9261 CONNECT messages.megafon.ru:443 - HIER_DIRECT/85.26.205.134 - 15/Jul/2020:15:15:32 +0400 172.16.10.229 TCP_TUNNEL/200 1276 CONNECT ok.ru:443 - HIER_DIRECT/217.20.155.13 - urn -да, не видно. домен - лехко. ЧЯДНТ?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Фильтрация url на asa 5508"	+/–
	Сообщение от del (??), 15-Июл-20, 14:44
	>> Не знаю как в сквиде. Но в самом https url зашифрован > 15/Jul/2020:15:15:32 +0400 172.16.10.205 TCP_TUNNEL/200 6563 CONNECT osce12-ru-census.trendmicro.com:443 > - HIER_DIRECT/23.42.152.130 - > 15/Jul/2020:15:15:32 +0400 172.16.10.142 TCP_TUNNEL/200 9261 CONNECT messages.megafon.ru:443 > - HIER_DIRECT/85.26.205.134 - > 15/Jul/2020:15:15:32 +0400 172.16.10.229 TCP_TUNNEL/200 1276 CONNECT ok.ru:443 - HIER_DIRECT/217.20.155.13 > - > urn -да, не видно. домен - лехко. ЧЯДНТ? Это называется SNI, гуглите
	Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Фильтрация url на asa 5508"	+/–
	Сообщение от Аноним (6), 15-Июл-20, 14:59
	>> 15/Jul/2020:15:15:32 +0400 172.16.10.229 TCP_TUNNEL/200 1276 CONNECT ok.ru:443 - HIER_DIRECT/217.20.155.13 >> - >> urn -да, не видно. домен - лехко. ЧЯДНТ? > Это называется SNI, гуглите https://ru.wikipedia.org/wiki/Server_Name_Indication Server Name Indication (SNI) — расширение компьютерного протокола TLS[1], которое позволяет клиентам сообщать имя хоста, с которым он желает соединиться во время процесса «рукопожатия». Это позволяет серверу предоставлять несколько сертификатов на одном IP-адресе и TCP-порту, и, следовательно, позволяет работать нескольким безопасным (HTTPS) сайтам (или другим сервисам поверх TLS) на одном IP-адресе без использования одного и того же сертификата на всех сайтах. Это эквивалентно возможности основанного на имени виртуального хостинга из HTTP/1.1. Запрашиваемое имя хоста не шифруется,[2] что позволяет злоумышленнику его перехватить.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "Фильтрация url на asa 5508"	+/–
	Сообщение от Licha Morada (ok), 16-Июл-20, 02:21
	>[оверквотинг удален] >>>> >>> А он точно можно в HTTPS залезть? >> В смысле лезть в HTTPS? >> Вопрос был про доступ по доменному имени, а не по ip. >> Если вы хотите анализировать/инспектировать трафик, это другая тема. Обычная ASA может >> инспектировать просто http, для https нужно другое решение. >> Если вы не знаете по какому порту или протоколу будет доступ на >> сайты, просто разрешите целиком ip на сайт, а не tcp 443 > Ну, а как он доменное имя узнает, если не лезть в HTTPS? > Тут только либо SNI, либо подмена сертификата Доменное имя он узнает из директивы "object network". Базовые правила фильтрации трафика основываются на IP. Топикстартер хочет сделать правило на основе имени хоста, что логично, вдруг IP адрес изменится. Выше привели пример как. Никому в HTTPS лезть не надо. ASA узнает какие IP адреса соответствуют указанному имени сайта и разрешит трафик к этим адресам. Он-же будет следить, если какой-то адрес изменится, и разрешит трафик на новый IP. Всё это "под капотом", в конфигурации никаких IP не будет, а только FQDN сайтов. Если вы ожидали что надо парсить HTTPS, подменять сертификаты и смотреть SNI, то это другая задача. Которую тоже можно решить, но сначала её надо сформулировать.
	Ответить \| Правка \| К родителю #5 \| Наверх \| Cообщить модератору