Bloccare un sito con cisco asa 5505

[Cisco$]

Salve a tutti

volevo sapere se si poteva bloccare un sito sul firewall asa 5505?

[marco.giuliani]

Ciao,
se il sito web corrisponde ad un ip o anche ad un range di ip basta creare una acl.

se invece vuoi bloccare un nome a dominio la cosa richiede un po' più di lavoro.... è possibile usare espressioni regolari per matchare un nome a dominio attraverso il modular policy framework dell'asa

segui questo link
http://www.cisco.com/en/US/products/ps6 ... 0e04.shtml

ciao!

[Cisco$]

Il sito è badoo e facebook.

penso ke vadano bene anke le access-list.

[Cisco$]

Il sito è badoo e facebook.

penso ke vadano bene anke le access-list.

[marco.giuliani]

Bloccare l'accesso a determinate risorse web sulla base di un IP è più rapido perché bastano le acl...Resta il fatto che se Facebook o Badoo acquistano un nuovo ip range le acl non sarebbero più utili.
Rischi anche di bloccare siti web che devono restare raggiungibili.

sul sito http://www.robtex.com/dns/
trovi le subnet assegnate a determinati domini...

Facebook
69.63.176.0/21
69.63.184.0/21

riassumibili quindi nella supernet 69.63.176.0/20

Badoo
87.245.192.0/21

Codice: Seleziona tutto

access-list inside_in extended deny ip any 69.63.176.0 255.255.240.0 
access-list inside_in extended deny ip any 87.245.192.0 255.255.248.0
access-list inside_in extended permit ip any any
access-group inside_in interface inside in

Un metodo più elegante è quello descritto sul sito cisco sul link indicato nel post precedente, con l'uso di espressioni regolari e service-policy. E' probabile che la CPU venga sovraccaricata un po', per la inspection a livello 7.

Valuta cosa ti conviene.

ciao!

[Cisco$]

ho provato nulla da fare i siti si aprono lo stesso ti mando uno sh run dell'apparato:



User Access Verification

Password:
Type help or '?' for a list of available commands.
Autoshop> en
Password: ******
Autoshop# sh run
: Saved
:
ASA Version 7.2(3)
!
hostname Autoshop
domain-name default.domain.invalid
enable password pFilglMXkulpkExl encrypted
names
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.100.1 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address 88.39.181.226 255.255.255.240
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
passwd RLPMUQ26KL4blgFN encrypted
ftp mode passive
dns server-group DefaultDNS
domain-name default.domain.invalid
access-list outside_access_in extended permit tcp any interface outside eq 3389
access-list inside_in extended permit ip any any
pager lines 24
logging asdm informational
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-523.bin
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
static (inside,outside) tcp 88.39.181.226 3389 192.168.100.2 3389 netmask 255.25
5.255.255
route outside 0.0.0.0 0.0.0.0 192.168.100.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
http server enable
http 192.168.100.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet 192.168.100.0 255.255.255.0 inside
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd auto_config outside
!

!
class-map type inspect im match-all MSN
match protocol msn-im
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map type inspect im MESSENGER
parameters
class MSN
drop-connection log
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:73d078cf677fa3a696c2fd3aa70a11d9
: end
Autoshop#
Autoshop#
Autoshop#
Autoshop#
Autoshop#
Autoshop#
Autoshop#
Autoshop#

[marco.giuliani]

Ma nello show run mancano le regole dell'acl!

hai inserito solo questa....

access-list inside_in extended permit ip any any

mancano le altre righe che ti indicavo nel post precedente.....
e mancano anche i due "access-group" per collegare le acl alle interfacce.!

prova!

[lorbellu]

Ciao,

Per come la vedo io, bloccare l'accesso ad un sito via ACL é impresa alquanto difficle in quanto spesso siti grandi come facebook e badoo appunto sono piutosto "mutanti" con l'indirizzo ip in quanto si é rediretti su server web diversi per ragioni di load balancing.
Personalmente ho chiuso l'accesso a facebook con una service-policy, lavorando quindi a livello superiore, intercettando tutte le richieste web http dirette all'host facebook.

Per farlo hai la necessità di attivare lo NBAR sulle interfacce del router.

di seguito la mia soluzione

Codice: Seleziona tutto

class-map match-all FACEBOOK
 match protocol http host "*facebook*"
!
policy-map NO-FACEBOOK
 class FACEBOOK
   drop
!
interface FastEthernet0/0
 ip address 192.168.192.1 255.255.255.0
 ip nbar protocol-discovery
 ip nat inside
!
interface ATM0/0/0.1 point-to-point
 ip address XX.XX.XX.XX XXXXXXXXXX
 ip nbar protocol-discovery
 ip nat outside
 service-policy output NO-FACEBOOK

Il risultato é stato di bloccare il su facebook, con evidente scorno degli utenti che altresì continuavano a pingarlo (bloccavo solo il traffico http) ma non riuscivano più ad andare sull'host.
Sostituendo l'IP all'url, si riusciva ad andare alla home page del sito ma non si riusciva a loggarsi.

Saluti

[Cisco$]

scusa ma queste reagole posso metterle nell'ASA?