ASA5510 - WEBSENSE

Mettete al sicuro la vostra rete!

Moderatore: Federico.Lagni

Rispondi
Avatar utente
spider
Cisco fan
Messaggi: 47
Iscritto il: dom 16 dic , 2007 1:55 pm
Località: Napoli

Ciao a tutti,
ho un problemino con websense vi spiego:
Ho configurato l'asa in maniera tale che il traffico della rete viene filtratto da WEBSENSE, allego configurazione asa:

url-server (inside) vendor websense host 192.168.80.62 timeout 30 protocol UDP version 4
aaa authentication http console TACACS+ LOCAL
aaa authentication telnet console TACACS+ LOCAL
aaa authentication ssh console TACACS+ LOCAL
filter url except 0.0.0.0 0.0.0.0 GANRLN2 255.255.255.0
filter https 443 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 allow
filter ftp 21 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 allow
filter url http 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 allow longurl-truncate cgi-truncate

Ho notato che se metto sul browser un ip di un proxy riesco a navigare anche su siti che normalmente websense mi blocca se non ho il proxy.
come posso risolvere questo problema?
Ho pensato di fare una configurazione in maniera tale che l'asa mi blocchi tutto il traffico ad eccezione quello permesso da websense.
Mi consigliate una soluzione?

Grazie 1000
Avatar utente
sanga
Cisco power user
Messaggi: 75
Iscritto il: ven 23 set , 2011 1:14 pm

ma che ruolo ha l'ASA natta il traffico verso l'esterno ? con che regole ?
riesci a spiegare meglio l'infrastruttura della rete ?

cmq credo che quello che dici, ovvero di bloccare tutto il traffico tranne quello consentito dal websens sia corretto, bisogna capitre come fare :)
ciao S.
___________________________________
Se vuoi una garanzia, compra un tostapane.
___________________________________
Avatar utente
spider
Cisco fan
Messaggi: 47
Iscritto il: dom 16 dic , 2007 1:55 pm
Località: Napoli

Ciao e grazie
allora l'asa mi natta il traffico verso l'esterno ed è il mio default gateway del mio 4500 su cui è attestata la mi LAN.

Ho pensato anzichè configurare l'asa potrei mettere delle access-list sul 4500 del tipo:

access-list 100 permit ip any 172.26.86.0 255.255.255.0
access-list 100 permit ip any any eq 23
access-list 100 permit ip any any eq 80
access-list 100 permit ip any any eq 443
e abilitare sull'interfaccia di interesse come segue
ip access-group 100 out


Grazie 1000
Avatar utente
sanga
Cisco power user
Messaggi: 75
Iscritto il: ven 23 set , 2011 1:14 pm

si questa è una soluzione, altrimenti puoi modificare la regola di nat, consentendo solo al proxy di navigare.
ciao S.
___________________________________
Se vuoi una garanzia, compra un tostapane.
___________________________________
Avatar utente
spider
Cisco fan
Messaggi: 47
Iscritto il: dom 16 dic , 2007 1:55 pm
Località: Napoli

ma i comandi sono corretti per un 4500?

Grazie 1000 caro
Rispondi