root

Leader IT/Architect
Dec 31, 2012
1,153
72
48

Configure Cisco asa http inspection url filtering


I. Mô hình và yêu cầu lab Configure Cisco asa http inspection url filtering
1. Mô hình

Configure Cisco asa http inspection url filtering (1)

2. Yêu cầu và chuẩn bị
2.1 yêu cầu
- Đấu nối thiết bị theo sơ đồ
- Triển khai máy chủ Web server trên vùng DMZ
- Router Route và NAT cho phép trong LAN ra internet
- Cấu hình ASA cho phép PC bên trong LAN ra internet
- Thực hiện các policy sau trên ASA

  • Cho phép PC ping ra internet
  • Cấm PC đi trang vnexpress.net
  • Webserver thực hiện đổi port 8080 và client truy cập thành công. Sau đó dùng ASA viết Policy cấm PC truy cập webserver. ( Chứng tỏ ASA inspection trên Application chứ không còn kiểm soát packet ở layer 3-4 như ACL)
2.2 Chuẩn bị
- Đặt IP cho bài lab Configure Cisco asa http inspection url filtering theo sơ đồ dưới đây.

Configure Cisco asa http inspection url filtering (2)

II. Triển khai Configure Cisco asa http inspection url filtering


1. Router
- Thực hiện đặt IP, định tuyến cho các mạng LAN bên trong và NAT cho mạng LAN bên trong đi internet.

Code:
R1(config)#interface f0/0
R1(config-if)#no shutdown
R1(config-if)#ip address dhcp

R1(config-if)#int f0/1
R1(config-if)#ip address 172.16.16.254 255.255.255.0
R1(config-if)#no shutdown

// Route mạng 192.168.10.0 ra internet
R1(config)#ip route 192.168.10.0 255.255.255.0 172.16.16.1

//NAT overload
R1(config)#access-list 1 permit any
R1(config)#ip nat inside source list 1 interface f0/0 overload
R1(config)#int f0/0
R1(config-if)#ip nat outside
R1(config-if)#int f0/1
R1(config-if)#ip nat inside
- Đảm bảo Router ra internet thành công.

R1(config)#do ping 8.8.8.8

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 72/78/84 ms
2. Config Cisco ASA
- Đặt IP, nameif cho các internface và trỏ Default-route về Router.

Code:
ciscoasa(config-if)# interface g0
ciscoasa(config-if)# nameif outside
ciscoasa(config-if)# ip address 172.16.16.1 255.255.255.0
ciscoasa(config-if)# no shutdown

ciscoasa(config-if)# int g1
ciscoasa(config-if)# nameif inside
ciscoasa(config-if)# ip address 192.168.10.1 255.255.255.0
ciscoasa(config-if)# no shutdown

ciscoasa(config-if)# int g2
ciscoasa(config-if)# nameif dmz
ciscoasa(config-if)# security-level 50
ciscoasa(config-if)# ip address 10.2.2.1 255.255.255.0
ciscoasa(config-if)# no shutdown

ciscoasa(config)# route outside 0 0 172.16.16.254
- Đảm bảo ASA ra internet thành công

ciscoasa(config)# ping 8.8.8.8

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 70/94/130 ms

3. Configure Cisco ASA POLICY ICMP


- Đến đây như thường lệ các bạn sẽ dùng lệnh "fixup protocol icmp" để cho PC vùng inside ra internet. Tuy nhiên ở bài này mình sẽ dùng lệnh khác để bạn có thể hiểu rõ về lệnh "fixup protocol icmp" như thế nào, ở đâu mà nó chui ra :)
- Bước 1: Viết 1 ACL cho phép ping.

Code:
ciscoasa(config)# access-list ICMP extended permit icmp any any echo
- Bước 2: Tạo 1 class-map chứa ACL đã viết ở trên

Code:
ciscoasa(config)# class-map ICMP
ciscoasa(config-cmap)# match access-list ICMP
- Bước 3: Tạo 1 POLICY và đưa class cần áp chính sách vào. Sau đó áp policy này lên interface inside của ASA

Code:
ciscoasa(config)# policy-map POLICY
ciscoasa(config-pmap)# class ICMP
ciscoasa(config-pmap-c)# inspect icmp

ciscoasa(config)# service-policy POLICY interface inside
- Ý nghĩ câu lệnh "fixup protocol icmp" là xuất phát từ đây, thay vì viết dài dòng thì bạn chỉ cần 1 dòng và ASA sẽ tự động inspect giao thức ICMP vào trong POLICY globle (mặc định của nó).
- Bây giờ bạn qua PC và ping ra internet thành công.

Configure Cisco asa http inspection url filtering (3)
 
Last edited:

4. Configure Cisco ASA Policy filter url


- Như ở bài Lab
[Lab 8.1] Cisco ASA url filtering and smartfilter
mình cũng đã nêu ra một vài cách để filter url. Nhưng thực sự những cách đó chỉ mới là chặn dựa trên việc nslookup ra từ domain name sang IP. Nó chỉ là chặn ở layer 3-4. Với 1 số website có nhiều IP thì việc này sẽ khó khăn hơn
- Bây giờ mình sẽ giới thiệu các bạn thêm 1 cách nữa để chặn trang vnexpress.net nhưng mà là chặn trên Layer 7 dựa vào header của gói tin.

Bước 1: Các bạn tạo ra các Regular Expressions liên quan đến vnexpress.net để filter
Code:
ciscoasa(config)# regex DOMAIN_1 "vnexpress\.net"
- các bạn có thể test thử xem regex của bạn đặt có đúng không bằng cách
ciscoasa(config)# test regex vnexpress.net "vnexpress\.net"

INFO: Regular expression match succeeded.
Bước 2: Tạo 1 class-map chứa các regex đã tạo ở trên.

Code:
ciscoasa(config)# class-map type regex match-any URL
//add DOMAIN_1 (vnexpress.net") vào class-map này
ciscoasa(config-cmap)# match regex DOMAIN_1
- Tạo 1 Class-map inspect giao thức http.

Code:
ciscoasa(config)# class-map type inspect http HTTP-TRAFFIC
ciscoasa(config-cmap)# match request header host regex class URL
Bước 3: Tạo 1 Policy và ra lệnh drop các gói tin có header chứa chuỗi "vnexpress.net"

Code:
ciscoasa(config-cmap)# policy-map type inspect http HTTP-TRAFFIC
ciscoasa(config-pmap)# class HTTP-TRAFFIC
ciscoasa(config-pmap-c)# drop-connection log
Bước 4: Tạo 1 class-map xử lý layer 3 và 4
Code:
ciscoasa(config)# class-map LAYER3-4
ciscoasa(config-cmap)# match any
Bước 5: Thêm class-map LAYER3-4 và inspect policy-map HTTP-TRAFFIC vào trong policy-map đang chạy ở trên là POLICY
Code:
ciscoasa(config)# policy-map POLICY
ciscoasa(config-pmap)# class LAYER3-4
ciscoasa(config-pmap-c)# inspect http HTTP-TRAFFIC
- Qua pc kiểm tra bạn có thể thấy PC không ra được trang vnexpress.net, nhưng vẫn đi được trang svuit.com bình thường.

Configure Cisco asa http inspection url filtering (5)
 
Last edited:

5. Config Cisco ASA Filter URL


- Bây giờ để minh chứng cho sức mạnh inspection của ASA mình sẽ thực hiện đổi port web server thành 8080 và ASA không hề biết điều này nhưng vẫn chặn được.
- Nếu bạn sử dụng Apache bạn hãy vào file http.conf và chỉnh port mặc định của nó là 80 thành 8080
#Listen 0.0.0.0:80
#Listen [::]:80
Listen 8080
- Sau khi đổi port web server thành 8080 bạn truy cập vào web server với port 8080 thành công.

Configure Cisco asa http inspection url filtering (6)

-Bây giờ mình sẽ thêm 1 regex để chặn trang web "10.2.2.200" mà không cần quan tâm đến port của webserver đang lắng nghe là bao nhiêu
- Bước 1: Tạo 1 regex
Code:
ciscoasa(config)# regex DOMAIN_1 "10\.2\.2\.200"
- Bước 2: đưa regex vào trong class-map URL ở trên
Code:
ciscoasa(config)# class-map type regex match-any URL
ciscoasa(config-cmap)# match regex DOMAIN_1
- Và kết quả bạn thấy client truy cập vào webserver với port 8080 đã không được, nhưng vẫn truy cập được trang svuit.com.

Configure Cisco asa http inspection url filtering (7)
 
Last edited:
ad ơi cho t hỏi 1 chút
t tạo 1 vlan trên công G3
int g3.10
vlan 10
nameif VLAN10
ip add 10.10.10.1 255.255.255.0
no shut


h t muốn con vlan 10 này ra internet và ping dc đến sever giống như inside , thì t dựa theo cách mà ad làm thì
ciscoasa(config)# policy-map POLICY
ciscoasa(config-pmap)# class ICMP
ciscoasa(config-pmap-c)# inspect icmp
ciscoasa(config)# service-policy POLICY interface inside
ciscoasa(config)# service-policy POLICY interface VLAN10




nhưng ko hiểu sao mà ko được
 
hi bạn,

Bạn cho mình xin mô hình và file cấu hình của bạn được ko ? vì bạn chỉ mới làm phần inspect, không biết bạn đã route trên router chưa, route trên ASA chưa, NAT đầy đủ chưa ...?


thanks,
 
hi bạn,

Bạn cho mình xin mô hình và file cấu hình của bạn được ko ? vì bạn chỉ mới làm phần inspect, không biết bạn đã route trên router chưa, route trên ASA chưa, NAT đầy đủ chưa ...? vì thấy


thanks,



t thêm 1 vlan ở cổng G3 t cũng chưa hiểu inspect này lắm vì trên thấy ad cấu hình nên làm theo
t làm giống hệt lab của ad, chỉ thêm cổng Vlan ở G3

t cấu hình cổng vlan
Code:
int g3.10
vlan 10
nameif VLAN10
ip add 10.10.10.1 255.255.255.0
no shut
và thêm dòng.

Code:
ciscoasa(config)# service-policy POLICY interface VLAN10

trên sever có cài Web sever và FTP thì máy inside vô được và ra được internet còn vlan10 thì ko.
t tưởng chỉ cần thêm dòng service-policy POLICY interface VLAN10 là xong cơ :D
 
Last edited by a moderator:
hi ban,

1. Để vLAN 10 ra net bạn cần Router 1 đường trên Router cho VLAN ra internet
2. Bạn bạn cần cấu hình security vLAN 10, bạn có thể dùng lênh "show nameif" để xem security Level của interface vLAN 10

thanks,
 
b ơi cho t hỏi ké, t vừa thử mô hình ntn


t cấu hình vlan trên ASA như thế này ko biết còn thiếu j ko
vì cấu hình ntn lên máy ảo thì ko ping dc cổng G0.10 10.10.10.254
nhưng cấu hình giống hệt như thế nhưng đặt lên cổng G0 thì lại được
 
Last edited:
hi bạn,

Bạn có thể upload lại mô hình của bạn lên forum không? mình không thấy mô hình của bạn.
 
hi bạn,

Bạn có thể upload lại mô hình của bạn lên forum không? mình không thấy mô hình của bạn.

t up lại rồi. cắm thẳng PC vào cổng G0 chỉa vlan liệu được ko nhỉ??? hay lại phải thêm 1 con Sw layer 3 nữa
 
hi bạn,

1. G0.10 cần cấu hình security level
2. SW1 cần cấu hình VLAN
 
Hi ban,

Tai Router minh chưa thấy bạn thực hiện route cho mạng VLAN 20.
 
ad ơi cho t hỏi nếu vùng
Inside có IP 192.168.10.0 255.255.255.0 với Security là 100
DMZ có Ip 10.2.2.0 255.255.255.0 với Security là 50
Thì mặc định ASA cho ping từ vùng có Securtiy Cao hơn đến Thấp hơn, còn chiều ngược lại là từ Thấp > Cao thì bị chặn
thì làm như thế nào để cho phép ping từ vùng Thấp > Cao vậy ad??????????????
 
ad ơi cho t hỏi nếu vùng
Inside có IP 192.168.10.0 255.255.255.0 với Security là 100
DMZ có Ip 10.2.2.0 255.255.255.0 với Security là 50
Thì mặc định ASA cho ping từ vùng có Securtiy Cao hơn đến Thấp hơn, còn chiều ngược lại là từ Thấp > Cao thì bị chặn
thì làm như thế nào để cho phép ping từ vùng Thấp > Cao vậy ad??????????????

Bạn sử dụng Access-List theo chiều in của interface DMZ cho phép ping nhé.
 

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

User Menu