Автор |
Сообщение |
1068
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 27
|
Здравствуйте, коллеги! Есть задача заблокировать группе пользователей (лентяи ) доступ на все сайты кроме определенных трех. Другим (блатные ) открыть все. Оборудование cisco asa5505. Спасибо!
|
03 июл 2012, 14:11 |
|
|
aliotru
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 925
|
Как вариант, Вы можете написать acl как для одних пользователей, так и для других. ASA с версии 8.3(если не ошибаюсь) поддерживает FQDN, хотя можно и ip неугодных сайтов указать. Как нибудь так. Код: object-group network USERS network-object host 192.168.0.10 network-object host 192.168.0.11
object-group network ALLOWED network-object object site1.ru network-object object site2.ru
access-list inside_access_in extended deny object-group USERS object-group ALLOWED
|
03 июл 2012, 14:24 |
|
|
1068
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 27
|
Код: ciscoasa(config)# access-list 200 deny ip ?
configure mode commands/options: Hostname or A.B.C.D Source IP address any Abbreviation for source address and mask of 0.0.0.0 0.0.0.0 host Use this keyword to configure source host interface Use interface address as source address object-group Network object-group for source address ciscoasa(config)# access-list 200 deny ip Hostname or A.B.C.D - по идее если введу домен, то должно работать? Код: Cisco Adaptive Security Appliance Software Version 8.2(2) Device Manager Version 6.3(1)
Compiled on Mon 11-Jan-10 14:19 by builders System image file is "disk0:/asa822-k8.bin"
|
03 июл 2012, 14:34 |
|
|
aliotru
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 925
|
Если мне не изменяет память, то 8.2 не поддерживает fqdn. Коллеги поправьте, если я не прав.
|
03 июл 2012, 14:40 |
|
|
real1st
Зарегистрирован: 04 окт 2011, 19:33 Сообщения: 1314
|
FQDN для ACL поддерживаются, начиная с 8.4(2). Но вообще Вы должны понимать, что FQDN ACL имеют ограничения: скорее всего Вы не сможете заблокировать facebook (т.к. TTL от такого рода сайтов очень маленькое, порядка 20-30 сек), плюс можно наткнуться на неприятности, если несколько URL резолвятся в один IP. Либо наоборот: сайт vk.com имеет фигову тучу адресов, однако АСА сможет заблочить только 1: тот, который она получит от DNS-сервера при запросе. Если клиенту будет выдан другой IP, то ACL не сработает. А вообще, Вы можете использовать функции Deep Protocol Inspection
|
03 июл 2012, 20:48 |
|
|
P@ve1
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 2111
|
fantas1st0 писал(а): Либо наоборот: сайт vk.com имеет фигову тучу адресов, однако АСА сможет заблочить только 1: тот, который она получит от DNS-сервера при запросе. Если клиенту будет выдан другой IP, то ACL не сработает.
Стоп. Сам я не работал пока с 8.4 и с FQDN ACL никогда не баловался. Но когда я в винде ввожу команду nslookup mail.ru - я получаю не один случайный адрес, а полный перечень IP адресов, привязанных у указанному имени. Очевидно, что технологическая возможность заблокировать все адреса - несомненно есть. Неужели вы думаете, что ASA, и соответственно ее программеры, настолько тупые, что блочат только 1 случайный адрес? Или это утверждение подтверждено практикой? Реальная проблема, как это было вами сказано, действительно в том, что на одном адресе может хоститься хренова куча совершенно не зависимых сайтов. Но это определенно не относится к facebook, vk и т.д. Т.к. у всех серьезных товарищей свои сервера, адреса и т.д. Поэтому проблема эта условна.
|
04 июл 2012, 09:44 |
|
|
aliotru
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 925
|
fantas1st0 писал(а): сайт vk.com имеет фигову тучу адресов, однако АСА сможет заблочить только 1: тот, который она получит от DNS-сервера при запросе. Если клиенту будет выдан другой IP, то ACL не сработает. Провел эксперимент. ASA замечательно заблочила любые попытки прорваться на вышеназванный сайт.
|
04 июл 2012, 10:49 |
|
|
P@ve1
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 2111
|
Вообще интересно, как эта фича работает - то ли он в ACL все адреса добавляет, то ли он прослушивает DNS запросы и сверяет с указанным перечнем - а затем вносит адрес в ACL.
что показывает show access-list в процессе работы?
|
04 июл 2012, 11:27 |
|
|
real1st
Зарегистрирован: 04 окт 2011, 19:33 Сообщения: 1314
|
ASA сама резолвит адрес через DNS-сервер, на некоторое время обновляет свой ACL (в зависимости от того, сколько TTL в DNS-ответе) ! А по поводу нескольких адресов - ну ошибся
|
04 июл 2012, 11:32 |
|
|
aliotru
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 925
|
aliot писал(а): что показывает show access-list в процессе работы? Как видно ASA сама наделала acl для каждого полученного ip Код: sh access-list | inc inside_access_in line 1 access-list inside_access_in line 1 extended deny ip object obj-10.10.10.0 object-group ASOCIAL 0x5f46dec6 access-list inside_access_in line 1 extended deny ip 10.10.10.0 255.255.255.0 fqdn VK.COM (resolved) 0x34dfc785 access-list inside_access_in line 1 extended deny ip 10.10.10.0 255.255.255.0 host 93.186.224.246 (VK.COM) (hitcnt=17) 0x7fddbaeb access-list inside_access_in line 1 extended deny ip 10.10.10.0 255.255.255.0 host 87.240.131.97 (VK.COM) (hitcnt=15) 0x20dea3a6 access-list inside_access_in line 1 extended deny ip 10.10.10.0 255.255.255.0 host 87.240.131.98 (VK.COM) (hitcnt=18) 0x3a19a524 access-list inside_access_in line 1 extended deny ip 10.10.10.0 255.255.255.0 host 87.240.131.99 (VK.COM) (hitcnt=18) 0x728d6ed1 access-list inside_access_in line 1 extended deny ip 10.10.10.0 255.255.255.0 host 87.240.131.100 (VK.COM) (hitcnt=21) 0xddbf2b57 access-list inside_access_in line 1 extended deny ip 10.10.10.0 255.255.255.0 host 87.240.131.101 (VK.COM) (hitcnt=17) 0xc0c14f96 access-list inside_access_in line 1 extended deny ip 10.10.10.0 255.255.255.0 host 87.240.131.102 (VK.COM) (hitcnt=18) 0x0c326f9f access-list inside_access_in line 1 extended deny ip 10.10.10.0 255.255.255.0 host 87.240.131.103 (VK.COM) (hitcnt=18) 0x3120782a access-list inside_access_in line 1 extended deny ip 10.10.10.0 255.255.255.0 host 87.240.131.104 (VK.COM) (hitcnt=15) 0x7f510150 access-list inside_access_in line 1 extended deny ip 10.10.10.0 255.255.255.0 host 87.240.143.241 (VK.COM) (hitcnt=18) 0x4161ec0b access-list inside_access_in line 1 extended deny ip 10.10.10.0 255.255.255.0 host 87.240.143.242 (VK.COM) (hitcnt=18) 0x03e1f606 access-list inside_access_in line 1 extended deny ip 10.10.10.0 255.255.255.0 host 87.240.143.243 (VK.COM) (hitcnt=18) 0x3519856d access-list inside_access_in line 1 extended deny ip 10.10.10.0 255.255.255.0 host 87.240.143.244 (VK.COM) (hitcnt=21) 0x40eab162 access-list inside_access_in line 1 extended deny ip 10.10.10.0 255.255.255.0 host 87.240.143.245 (VK.COM) (hitcnt=21) 0xf2595c92 access-list inside_access_in line 1 extended deny ip 10.10.10.0 255.255.255.0 host 87.240.143.246 (VK.COM) (hitcnt=18) 0x4576d96f access-list inside_access_in line 1 extended deny ip 10.10.10.0 255.255.255.0 host 87.240.143.247 (VK.COM) (hitcnt=18) 0xa9650403 access-list inside_access_in line 1 extended deny ip 10.10.10.0 255.255.255.0 host 87.240.143.248 (VK.COM) (hitcnt=18) 0x4196d3f6 access-list inside_access_in line 1 extended deny ip 10.10.10.0 255.255.255.0 host 93.186.224.244 (VK.COM) (hitcnt=18) 0x15936035 access-list inside_access_in line 1 extended deny ip 10.10.10.0 255.255.255.0 host 93.186.224.245 (VK.COM) (hitcnt=18) 0x65372f77
|
04 июл 2012, 13:04 |
|
|
P@ve1
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 2111
|
Спасибо, очень наглядно демонстрирует принцип.
Так, глядишь, и доведут ASA до ума в плане функциональности к 9 версии. Вроде в середине лета обещали)
|
04 июл 2012, 13:19 |
|
|
1068
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 27
|
Перепрошил на 8.4(3)
Мне не нужно блокировать определенные сайты. У меня легче задача) Мне нужно разрешить определенные сайты, а остальные все блокировать.
Одной группе разрешить все, а другой запретить)
Буду курить маны...
Спасибо!
|
09 июл 2012, 12:40 |
|
|
Aleks305
Зарегистрирован: 27 фев 2012, 16:23 Сообщения: 82
|
лучше 8.4.4, в 84.3 был баг, вызывающий перезагрузку устройства
|
09 июл 2012, 13:05 |
|
|
1068
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 27
|
Так брать негде( Какую нашел, такую и поставил..
|
09 июл 2012, 14:14 |
|
|
aliotru
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 925
|
Munsera писал(а): Перепрошил на 8.4(3)
Мне не нужно блокировать определенные сайты. У меня легче задача) Мне нужно разрешить определенные сайты, а остальные все блокировать.
Одной группе разрешить все, а другой запретить)
Буду курить маны...
Спасибо! Так в чем проблема то. Делаете по аналогии, только allow вместо deny
|
09 июл 2012, 14:23 |
|
|
Kvas
Зарегистрирован: 21 апр 2014, 11:16 Сообщения: 4
|
Доброго времени суток. Есть задача закрыть ютюб и соц сети. Проблема в том, что ip адреса youtube.com идентичны адресам google.com (так же как и у mail.ru с однокласниками). Получается что fqdn тут не применим...? Как средствами циски это сделать? Кто сталкивался подскажите...
|
21 апр 2014, 12:15 |
|
|
P@ve1
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 2111
|
Kvas писал(а): Доброго времени суток. Есть задача закрыть ютюб и соц сети. Проблема в том, что ip адреса youtube.com идентичны адресам google.com (так же как и у mail.ru с однокласниками). Получается что fqdn тут не применим...? Как средствами циски это сделать? Кто сталкивался подскажите... regex
|
21 апр 2014, 14:30 |
|
|
Kvas
Зарегистрирован: 21 апр 2014, 11:16 Сообщения: 4
|
regex - это конечно замечательно, но проблема в том что https не инспектится (если не прав - расскажите как настроить). Гугловая почта работает на https (ip адреса попадают в acl permitted_hosts) и youtube может работать на https - следовательно нужны ещё варианты... HELP....!)
|
23 апр 2014, 14:55 |
|
|
P@ve1
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 2111
|
Kvas писал(а): regex - это конечно замечательно, но проблема в том что https не инспектится (если не прав - расскажите как настроить). Гугловая почта работает на https (ip адреса попадают в acl permitted_hosts) и youtube может работать на https - следовательно нужны ещё варианты... HELP....!) Для https - только прокси. Есть еще железки, которые как man in the middle могут работать - но это не АСА)
|
24 апр 2014, 09:08 |
|
|