Cisco ASA: блокировка доступа к сайтам
В данной статье мы расскажем вам как заблокировать к определенным вебсайтам (к их доменам) с самым обычным межсетевым экраном Cisco ASA. Данный метод работает как на старых 5500 моделях, так и на новых 5500-X. Единственное требование – наличие версии ПО старше 8.4(2) Кроме того, вам не требуется никаких фич, присущих МСЭ следующего поколения или дополнительных подписок.
Важный момент – даже если данное решение по блокировке вебсайтов выглядит довольно простым, оно не является заменой полноценному веб-прокси серверу. В случае Cisco, таким решением является Cisco WSA – Web Security Appliance, или же данный функционал можно активировать с помощью покупки подписки на URL фильтрацию для вашего МСЭ следующего поколения.
Используемые методы
Всего существует несколько способов блокировки страниц в интернете:
- Регулярные выражения с MPF (Modular Policy Framework);
- Блокировка по сетевому адресу с помощью листов контроля доступа (ACL);
- Используя FQDN (Fully Qualified Domain Name) в листе контроля доступа (ACL);
Первый метод работает довольно хорошо с HTTP сайтами, но он не будет работать от слова совсем с HTTPS сайтами. Второй метод будет работать только для простых сайтов, у которых статический IP – адрес, то есть будет очень трудоемко настроить его для работы с такими сайтами как Facebook, VK, Twitter и т.д. Поэтому, в данной статье мы опишем третий метод.
Описание настройки
При использовании версии ПО выше или равной 8.4(2), появилась возможность добавлять в ACL такие объекты как FQDN (полные доменные имена). Таким образом, вы можете разрешить или запретить доступ к хостам используя их доменные имена вместо IP – адресов. То есть можно будет запретить доступ к Фейсбуку просто запретив доступ к FQDN объекту «www.facebook.com» внутри ACL.
Важное преимущество данного метода состоит в том, что это не скажется на производительности вашего МСЭ – т.к DNS лукап будет совершен до этого и все ассоциированные с этим FQDN будут храниться в памяти устройства. В зависимости от TTL на DNS лукапе, МСЭ может продолжать совершать DNS запросы для определенного доменного имени (каждые несколько часов, к примеру) и обновлять IP – адреса в памяти.
На примере сети ниже, мы хотим заблокировать доступ к www.website.com, который имеет IP-адрес 3.3.3.3. Наша ASA будет использовать внутренний DNS — сервер (или любой другой DNS – сервер) для получения адреса и запрета доступа к нему во входящем ACL на внутреннем интерфейсе.
Команды
Теперь настало время написать сам конфиг (точнее только его часть, которая касается блокировки страниц). Он указан ниже, с комментариями:
domain-name merionet.ru interface GigabitEthernet0 nameif outside security-level 0 ip address 1.2.3.0 255.255.255.0 interface GigabitEthernet1 nameif inside security-level 100 ip address 192.168.1.1 !другие команды настройки интерфейса скрыты !Указываем, какой DNS сервер использовать для определения IP – адресов dns domain-lookup inside dns server-group DefaultDNS name-server 192.168.1.2 domain-name mycompany.com !Создаем FQDN объекты для тех сайтов, которые хотим заблокировать. Указываем как с www так и без object network obj-www.website.com fqdn www.website.com object network obj-website.com fqdn website.com !Добавляем FQDN объекты во входящий ACL на внутреннем интерфейсе access-list INSIDE-IN extended deny ip any object obj-www.website.com access-list INSIDE-IN extended deny ip any object obj-website.com access-list INSIDE-IN extended permit ip any any !Применяем ACL выше для внутреннего интерфейса access-group INSIDE-IN in interface inside
Блокировка социальных сетей на Cisco
На тесте использую коммутатор Cisco Catalyst 6509-E.
Допустим нам необходимо заблокировать доступ пользователям к определенному сайту, узлу сети, или например социальной сети ВКонтакте.
Сначала узнаем диапазон IP адресов на которых находится сайт, например поищем VKontakte на bgp.he.net, вот к примеру список подсетей для одной из AS принадлежащей ВКонтакте «http://bgp.he.net/AS47541#_prefixes».
И создадим расширенный ACL например с именем BLOCKSOCIAL:
ip access-list extended BLOCKSOCIAL deny ip any 87.240.128.0 0.0.63.255 deny ip any 93.186.224.0 0.0.7.255 deny ip any 93.186.232.0 0.0.7.255 deny ip any 95.142.192.0 0.0.15.255 deny ip any 95.213.0.0 0.0.63.255 deny ip any 185.29.130.0 0.0.0.255 deny ip any 185.32.248.0 0.0.3.255 permit ip any any exit
В правиле выше указано что нужно блокировать трафик к указанным сетям идущий от всех (any) источников.
Можно в качестве источника указать определенную сеть или например одному адресу запретить доступ к другому адресу:
deny ip host 192.168.5.1 host 192.168.11.54
Строчка permit ip any any должна быть обязательно именно в конце.
Вместо маски подсети нужно указывать Wildcard, например для маски /24 указывать 0.0.0.255, для /22 — 0.0.3.255 и т.д., можно посмотреть и посчитать на любом IP калькуляторе.
/17 — 0.0.127.255
/18 — 0.0.63.255
/19 — 0.0.31.255
/20 — 0.0.15.255
/21 — 0.0.7.255
/22 — 0.0.3.255
/23 — 0.0.1.255
/24 — 0.0.0.255
Если нужно блокировать еще какие-то сайты, то допишем адреса в этот же ACL, так как применить к интерфейсу ACL можно только один.
Применим созданный ACL на порт смотрящий в сторону клиентов:
interface GigabitEthernet1/1 ip access-group BLOCKSOCIAL in
Либо, чтоб меньше писать только к порту сервера смотрящего в интернет, если такой есть:
interface TenGigabitEthernet3/2 ip access-group BLOCKSOCIAL in
Отменить ACL интерфейсу можно так:
no ip access-group BLOCKSOCIAL in
Удалить ACL так:
no ip access-list extended BLOCKSOCIAL
Если блокировать сайты на порту от сервера до клиентов, то в ACL правиле поменяем адреса местами:
ip access-list extended BLOCKSOCIAL deny ip 87.240.128.0 0.0.63.255 any deny ip 93.186.224.0 0.0.7.255 any deny ip 93.186.232.0 0.0.7.255 any deny ip 95.142.192.0 0.0.15.255 any deny ip 95.213.0.0 0.0.63.255 any deny ip 185.29.130.0 0.0.0.255 any deny ip 185.32.248.0 0.0.3.255 any deny ip host 192.168.5.1 any permit ip any any exit
- Нажмите, чтобы открыть на Facebook (Открывается в новом окне)
- Нажмите, чтобы поделиться на Twitter (Открывается в новом окне)
- Нажмите, чтобы поделиться записями на Pinterest (Открывается в новом окне)
- Нажмите, чтобы поделиться на LinkedIn (Открывается в новом окне)
- Нажмите, чтобы поделиться записями на Tumblr (Открывается в новом окне)
- Нажмите, чтобы поделиться в Telegram (Открывается в новом окне)
- Ещё
- Нажмите, чтобы поделиться записями на Pocket (Открывается в новом окне)
- Нажмите, чтобы поделиться на Reddit (Открывается в новом окне)
- Нажмите, чтобы поделиться в WhatsApp (Открывается в новом окне)
- Нажмите для печати (Открывается в новом окне)
Как на cisco закрыть доступ к сайту
Всем привет,подскажите,как мне ограничить доступ через cisco конкретных пользователей к сайтам,или же наоборот запретить все,кроме почты например.Заранее спасибо.
AlexSashkaff
Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 671
Поставить прокси сервер.
Зарегистрирован: 13 апр 2018, 12:35
Сообщения: 5
bard099 писал(а):
Всем привет,подскажите,как мне ограничить доступ через cisco конкретных пользователей к сайтам,или же наоборот запретить все,кроме почты например.Заранее спасибо.
Курите описания Cisco ACL.
Простейший пример — запретить одному пользователю с известным IP x.x.x.x все, кроме почты на любых серверах (предполагаю, что иcпользуется smtp/pop3), разрешить остальным всё:
ip access-list extended Mail
permit tcp host x.x.x.x any eq smtp pop3
deny ip host x.x.x.x any
permit ip any any
Дальше учите матчасть, практиковаться лучше на макете, а то убьете доступ кому не надо к чему не надо.
Зарегистрирован: 20 фев 2018, 10:32
Сообщения: 19
Т.е. ситуация такая: есть 10 хостов,которым надо закрыть доступ по http и https в интернет.У всех dhcp.Но соотв. чтобы почта exchange работала и отдельные специальные программы.
2911: блокировка доступа к сайтам
Добрый день.
Хочу попросить совета, как ограничить доступ пользователям к соцсетям?
Попытался сделать по этой статье: http://blog.ine.com/tag/url/ — не получается.
Через ACL так же не смог закрыть доступ т.к. у контакта море адресов.
Подскажите пожалуиста, в какую сторону копать, бьюсь третий день с проблемой.
Заранее спасибо.
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
Ответы с готовыми решениями:
Регулирование доступа к сайтам
Здравствуйте! Есть сеть, состоящая из 100 компьютеров, получающие доступ в интернет через шлюз.
блокировка доступа к оффиц. антивирусным сайтам
У меня стоит NOD32 v3.0.695.0 . Прицепилась зараза, которая блокирует доступ к оффициальным.
Блокировка доступа к сайтам на компьютерах локальной сети
Проблема: Заблокировать доступ к сайтам vk.com, odnoklassniki.ru и т.п. на некоторых компьютерах.
Блокировка доступа к сайтам на компьютерах локальной сети
Проблема: Заблокировать доступ к сайтам vk.com, odnoklassniki.ru и т.п. на некоторых компьютерах.
239 / 234 / 8
Регистрация: 05.05.2011
Сообщений: 1,553
Вот все про NBAR с сайта Cisco, вот [ CENSORED ] на русском.
Если не разберетесь, то приложите нам конфиг и мы поможем его поправить.
Помимо NBAR можно пользоваться сторонними сервисами, но в основном они платные.
Добавлено через 1 минуту
Вот , кстати, тема с инфой по фильтрации ))
Регистрация: 13.11.2013
Сообщений: 16
Большое спасибо за помощь!
Проблему решил, все отлично работает)
239 / 234 / 8
Регистрация: 05.05.2011
Сообщений: 1,553
Сообщение от Yarsen
Большое спасибо за помощь!
Проблему решил, все отлично работает)
Обращайтесь)
решили проблему, выкладывайте решение, это помогает другим ищущим
Меню пользователя Jabbson |
Посетить домашнюю страницу Jabbson |
Регистрация: 13.11.2013
Сообщений: 16
conf t int vlan20 ip nbar protocol-discovery class-map match-any cm-blocked-content match protocol http host "*vk*" match protocol http host "*vkontakte*" match protocol http host "*odnoklassniki*" policy-map pm-blocked-content class cm-blocked-content drop int vlan 20 service-policy input pm-blocked-content
sh policy-map interface vlan 20 Vlan20 Service-policy input: pm-blocked-content Class-map: cm-blocked-content (match-any) 1377 packets, 717499 bytes 5 minute offered rate 0 bps, drop rate 0 bps Match: protocol http host "*vk*" 1334 packets, 703209 bytes 5 minute rate 0 bps Match: protocol http host "*vkontakte*" 0 packets, 0 bytes 5 minute rate 0 bps Match: protocol http host "*odnoklassniki*" 43 packets, 14290 bytes 5 minute rate 0 bps drop Class-map: class-default (match-any) 222539 packets, 36362562 bytes 5 minute offered rate 2000 bps, drop rate 0 bps Match: any