Hola Julio Muchas gracias por responder:

Te comento que tengo la versión 8.3(1).

He seguido esta guía pero no obtengo el resultado http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a0080940e04.shtml#asa8.x

Muchas gracias.

Buenas David,

Podrias mostrar la configuracion y a cual site estas tratando de bloquear.

Con mucho gusto

Result of the command: "show run"

: Saved

:

ASA Version 8.3(1)

!

hostname CiscoAsa5505

enable password tna0ggcckiszs8HE encrypted

passwd 2KFQnbNIdI.2KYOU encrypted

names

!

interface Vlan1

nameif inside

security-level 100

ip address 192.168.10.1 255.255.255.0

!

interface Vlan2

nameif outside

security-level 0

ip address 1xx.151.161.26 255.255.255.252

!

interface Vlan3

no forward interface Vlan1

nameif DMZ

security-level 50

ip address 10.30.30.1 255.255.255.0

!

interface Ethernet0/0

switchport access vlan 2

!

interface Ethernet0/1

switchport access vlan 3

!

interface Ethernet0/2

!

interface Ethernet0/3

!

interface Ethernet0/4

!

interface Ethernet0/5

!

interface Ethernet0/6

!

interface Ethernet0/7

!

regex Restric1 "yahoo.com"

boot system disk0:/asa831-k8.bin

ftp mode passive

object network obj_any

subnet 0.0.0.0 0.0.0.0

object network WEB-SERVER

host 10.30.30.30

object network WEB-SERVER-TO-INSIDE

host 10.30.30.30

description www.manos.org inside  

object-group network DEFAULT-PAT-SOURCE

network-object 192.168.10.0 255.255.255.0

network-object 10.30.30.0 255.255.255.0

object-group protocol TCPUDP

protocol-object udp

protocol-object tcp

access-list OUTSIDE-IN remark Allow Web access to Web server

access-list OUTSIDE-IN extended permit tcp any object WEB-SERVER eq www

access-list inside_mpc extended permit object-group TCPUDP any any eq www

access-list inside_mpc extended permit tcp any any eq 8080

pager lines 24

logging enable

logging asdm informational

mtu inside 1500

mtu outside 1500

mtu DMZ 1500

icmp unreachable rate-limit 1 burst-size 1

no asdm history enable

arp timeout 14400

!

object network obj_any

nat (inside,outside) dynamic interface

object network WEB-SERVER

nat (DMZ,outside) static interface service tcp www www

object network WEB-SERVER-TO-INSIDE

nat (DMZ,inside) static 186.151.161.26 service tcp www www

!

nat (any,outside) after-auto source dynamic DEFAULT-PAT-SOURCE interface

access-group OUTSIDE-IN in interface outside

route outside 0.0.0.0 0.0.0.0 186.151.161.25 1

timeout xlate 3:00:00

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02

timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00

timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00

timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute

timeout tcp-proxy-reassembly 0:01:00

dynamic-access-policy-record DfltAccessPolicy

http server enable

http 192.168.10.0 255.255.255.0 inside

no snmp-server location

no snmp-server contact

snmp-server enable traps snmp authentication linkup linkdown coldstart

crypto ipsec security-association lifetime seconds 28800

crypto ipsec security-association lifetime kilobytes 4608000

telnet timeout 5

ssh timeout 5

console timeout 0

dhcpd auto_config outside

!

dhcpd address 192.168.10.5-192.168.10.36 inside

dhcpd dns 216.230.147.90 216.230.128.32 interface inside

dhcpd enable inside

!

threat-detection basic-threat

threat-detection statistics access-list

no threat-detection statistics tcp-intercept

webvpn

!

class-map type regex match-any SitiosBloqueados

match regex Restric1

class-map type inspect http match-all BlockDomainsClass

description Bloquea dominios

match request header host regex class SitiosBloqueados

class-map type inspect http match-all asdm_medium_security_methods

match not request method head

match not request method post

match not request method get

class-map inspection_default

match default-inspection-traffic

class-map httptrafico

match access-list inside_mpc

!

!

policy-map type inspect dns preset_dns_map

parameters

  message-length maximum client auto

  message-length maximum 512

policy-map type inspect http HttpInspectSite

description David

parameters

  protocol-violation action drop-connection

class asdm_medium_security_methods

  drop-connection

match request uri regex class SitiosBloqueados

  reset log

policy-map global_policy

class inspection_default

  inspect dns preset_dns_map

  inspect ftp

  inspect h323 h225

  inspect h323 ras

  inspect rsh

  inspect rtsp

  inspect esmtp

  inspect sqlnet

  inspect skinny 

  inspect sunrpc

  inspect xdmcp

  inspect sip 

  inspect netbios

  inspect tftp

  inspect ip-options

policy-map inside-policy

class httptrafico

  inspect http HttpInspectSite

!

service-policy global_policy global

service-policy inside-policy interface inside

prompt hostname context

Cryptochecksum:63a944310b1122f36dcb35453d2cadf7

: end

Hola David,

El problema es con el regex, Esta mal estructurado

trata con

regex Restric1 \yahoo\.com

Saludos

Recuerda calificar todas las preguntas, eso es muy importante en el CSC

Hola Julio;

Lo he cambiado y no me ha funcionado, sigue pudiendose acceder.

Saludos.

class-map TYpe INspect HTtp test

  match request header host regex Restric1

  exit

policy-map type inspect http Yahoo

  class test

  reset log

policy-map global_policy

   class class-default

  inspect http Yahoo

Estimado Colega,

Una consulta, tengo un ASA 5510, funciona lo anterior para este modelo? Deseamos bloquear el acceso a facebook, tweeter, youtobe, Netflix.

Quedo a la espera de ud.

Saludos LanceloT

Estimado,

Para el ASA 5510 es el mismo procedimiento anterior pero, recuerda que estos sitios utilizan el protocolo HTTPS y no HTTP por politicas de seguridad, los cisco asa 5505, 5510, 5520 unicamente pueden inspeccionar el protocolo HTTP y no el protocolo HTTPS, por lo tanto con la configuracion anterior no podras bloquear los dominios que deseas.

Para lograr bloquear los sitios que mencionas, te recomiendo migrar a un Firewall Cisco de Siguiente Generacion (Firepower Threat Defense) con licencias de URL-Filter, o en su defecto implementar la solucion de Cisco UMBRELLA. Cualquiera de estas soluciones cuentan con las caracteristicas necesarias para inspeccionar el trafico cifrado, que por cierto, actualmente la mayoria de los sitios web utilizan tecnicas de cifrado SSL para garabtizar la informacion de los usuarios.

Saludos ;)

JFCA