05-15-2013 08:30 AM - edited 03-11-2019 06:43 PM
Hola Amigos!
Quisiera saber si es posible realizar bloqueos de página con el Cisco ASA 5505. He intentado algunas opciones pero aun no tengo suerte.
Muchas gracias por todo.
Saludos cordiales.
05-15-2013 11:21 AM
Buenas David,
Si lo es,
Puedes hacerlo mediante el MPF junto con regex o utilizando el FQDN ( a partir de 8.4.2)
FQDN
http://blog.networkbits.es/?p=507
MPF con regex
http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a0080940c5a.shtml
Saludos
Julio Carvajal
05-16-2013 08:53 AM
Hola Julio Muchas gracias por responder:
Te comento que tengo la versión 8.3(1).
He seguido esta guía pero no obtengo el resultado http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a0080940e04.shtml#asa8.x
Muchas gracias.
05-16-2013 09:22 AM
Buenas David,
Podrias mostrar la configuracion y a cual site estas tratando de bloquear.
05-16-2013 10:06 AM
Con mucho gusto
Result of the command: "show run"
: Saved
:
ASA Version 8.3(1)
!
hostname CiscoAsa5505
enable password tna0ggcckiszs8HE encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.10.1 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address 1xx.151.161.26 255.255.255.252
!
interface Vlan3
no forward interface Vlan1
nameif DMZ
security-level 50
ip address 10.30.30.1 255.255.255.0
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
switchport access vlan 3
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
regex Restric1 "yahoo.com"
boot system disk0:/asa831-k8.bin
ftp mode passive
object network obj_any
subnet 0.0.0.0 0.0.0.0
object network WEB-SERVER
host 10.30.30.30
object network WEB-SERVER-TO-INSIDE
host 10.30.30.30
description www.manos.org inside
object-group network DEFAULT-PAT-SOURCE
network-object 192.168.10.0 255.255.255.0
network-object 10.30.30.0 255.255.255.0
object-group protocol TCPUDP
protocol-object udp
protocol-object tcp
access-list OUTSIDE-IN remark Allow Web access to Web server
access-list OUTSIDE-IN extended permit tcp any object WEB-SERVER eq www
access-list inside_mpc extended permit object-group TCPUDP any any eq www
access-list inside_mpc extended permit tcp any any eq 8080
pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
mtu DMZ 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
!
object network obj_any
nat (inside,outside) dynamic interface
object network WEB-SERVER
nat (DMZ,outside) static interface service tcp www www
object network WEB-SERVER-TO-INSIDE
nat (DMZ,inside) static 186.151.161.26 service tcp www www
!
nat (any,outside) after-auto source dynamic DEFAULT-PAT-SOURCE interface
access-group OUTSIDE-IN in interface outside
route outside 0.0.0.0 0.0.0.0 186.151.161.25 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 192.168.10.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd auto_config outside
!
dhcpd address 192.168.10.5-192.168.10.36 inside
dhcpd dns 216.230.147.90 216.230.128.32 interface inside
dhcpd enable inside
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
webvpn
!
class-map type regex match-any SitiosBloqueados
match regex Restric1
class-map type inspect http match-all BlockDomainsClass
description Bloquea dominios
match request header host regex class SitiosBloqueados
class-map type inspect http match-all asdm_medium_security_methods
match not request method head
match not request method post
match not request method get
class-map inspection_default
match default-inspection-traffic
class-map httptrafico
match access-list inside_mpc
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512
policy-map type inspect http HttpInspectSite
description David
parameters
protocol-violation action drop-connection
class asdm_medium_security_methods
drop-connection
match request uri regex class SitiosBloqueados
reset log
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect ip-options
policy-map inside-policy
class httptrafico
inspect http HttpInspectSite
!
service-policy global_policy global
service-policy inside-policy interface inside
prompt hostname context
Cryptochecksum:63a944310b1122f36dcb35453d2cadf7
: end
05-16-2013 12:05 PM
Hola David,
El problema es con el regex, Esta mal estructurado
trata con
regex Restric1 \yahoo\.com
Saludos
Recuerda calificar todas las preguntas, eso es muy importante en el CSC
05-16-2013 12:18 PM
Hola Julio;
Lo he cambiado y no me ha funcionado, sigue pudiendose acceder.
Saludos.
05-16-2013 12:23 PM
class-map TYpe INspect HTtp test
match request header host regex Restric1
exit
policy-map type inspect http Yahoo
class test
reset log
policy-map global_policy
class class-default
inspect http Yahoo
05-21-2018 11:47 AM
Estimado Colega,
Una consulta, tengo un ASA 5510, funciona lo anterior para este modelo? Deseamos bloquear el acceso a facebook, tweeter, youtobe, Netflix.
Quedo a la espera de ud.
Saludos LanceloT
12-14-2018 08:54 AM
Estimado,
Para el ASA 5510 es el mismo procedimiento anterior pero, recuerda que estos sitios utilizan el protocolo HTTPS y no HTTP por politicas de seguridad, los cisco asa 5505, 5510, 5520 unicamente pueden inspeccionar el protocolo HTTP y no el protocolo HTTPS, por lo tanto con la configuracion anterior no podras bloquear los dominios que deseas.
Para lograr bloquear los sitios que mencionas, te recomiendo migrar a un Firewall Cisco de Siguiente Generacion (Firepower Threat Defense) con licencias de URL-Filter, o en su defecto implementar la solucion de Cisco UMBRELLA. Cualquiera de estas soluciones cuentan con las caracteristicas necesarias para inspeccionar el trafico cifrado, que por cierto, actualmente la mayoria de los sitios web utilizan tecnicas de cifrado SSL para garabtizar la informacion de los usuarios.
Saludos ;)
JFCA
Discover and save your favorite ideas. Come back to expert answers, step-by-step guides, recent topics, and more.
New here? Get started with these tips. How to use Community New member guide