• Keine Ergebnisse gefunden

ASA-Datenverkehrsausschluss von der CWS- Überprüfung mit FQDN-Konfigurationsbeispiel

N/A
N/A
Info
Herunterladen
Protected

Academic year: 2022

Aktie "ASA-Datenverkehrsausschluss von der CWS- Überprüfung mit FQDN-Konfigurationsbeispiel"

Copied!
5
0
0

Wird geladen.... (Jetzt Volltext ansehen)

Jetzt herunterladen ( 5 Seite )

Volltext

(1)

ASA-Datenverkehrsausschluss von der CWS- Überprüfung mit FQDN-Konfigurationsbeispiel

Inhalt

Einführung

Voraussetzungen Anforderungen

Verwendete Komponenten Konfigurieren

Konfigurationen Erstkonfiguration

Endgültige Konfiguration Überprüfen

Fehlerbehebung

Einführung

In diesem Dokument wird beschrieben, wie ein Cisco Adaptive Security Appliance (ASA)

Connector konfiguriert wird, um Datenverkehr von der CWS-Inspektion (Cloud Web Security) auf Basis des FQDN (Fully Qualified Domain Name) auszuschließen. Es ist häufig vorteilhaft,

bestimmte Standorte vollständig von der CWS-Prüfung auszuschließen (um den Dienst zu umgehen und die Anfragen an das Ziel weiterzuleiten), wenn die betreffenden Standorte geschäftskritisch und/oder absolut vertrauenswürdig sind. Dadurch werden die Last und der Overhead am Connector-Gerät verringert, ein Point of Failure entfällt und die Geschwindigkeit beim Zugriff auf die Standorte erhöht. Jede Connector-Technologie verfügt über eine einzigartige Möglichkeit, Ausschlüsse zu konfigurieren.

Voraussetzungen

Anforderungen

In diesem Dokument wird davon ausgegangen, dass die ASA bereits für grundlegende Netzwerkverbindungen und den CWS-Service konfiguriert ist.

Verwendete Komponenten

Die Informationen in diesem Dokument basieren auf den folgenden Software- und

Hardwareversionen:

(2)

ASA Version 9.0 und höher

Alle ASA-Modelle

Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten Laborumgebung erstellt. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.

Konfigurieren

Bevor Sie FQDN-basierte Ausschlüsse konfigurieren, muss die ASA mit einem gültigen Domain Name Server (DNS) konfiguriert werden. Geben Sie die folgenden Befehle ein, um die Namenssuche zu konfigurieren:

asa(config)# domain-name

asa(config)# dns server-group DefaultDNS asa(config-dns-server-group)# name-server asa(config-dns-server-group)# dns domain-lookup

Ersetzen Sie das Feld <Firmendomäne> durch die Domäne, in der die ASA ansässig ist. Die

<DNS-Server-IP> ist die Adresse eines funktionierenden DNS-Servers, auf den die ASA zugreifen kann, und der <interface-name> ist der Name der Schnittstelle, von der aus der DNS-Server gefunden werden kann.

1.

Um die DNS-Suchfunktion zu überprüfen, geben Sie den Befehl ping ein. Der Befehl ping sollte in der Lage sein, den angegebenen Namen in eine IP-Adresse aufzulösen.

asa# ping www.cisco.com

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 173.37.145.84, timeout is 2 seconds:

!!!!!

2.

Um ein Netzwerkobjekt für jeden FQDN zu definieren, der von der CWS-Prüfung ausgeschlossen werden soll, geben Sie die folgenden Befehle ein:

Hinweis: In diesem Beispiel werden Ausnahmen für Google.com, Purple.com und M.YouTube.com erstellt.

asa(config)# object network google.com-obj asa(config-network-object)# fqdn google.com

asa(config-network-object)# object network purple.com-obj asa(config-network-object)# fqdn purple.com

asa(config-network-object)# object network m.youtube.com-obj asa(config-network-object)# fqdn m.youtube.com

3.

Geben Sie die folgenden Befehle ein, um die Objekte in einer Objektgruppe zusammenzufassen:

Hinweis: In diesem Beispiel wird auf die Gruppe als CWS_Exclusions verwiesen.

asa(config)# object-group network CWS_Exclusions

asa(config-network-object-group)# network-object object google.com-obj asa(config-network-object-group)# network-object object purple.com-obj asa(config-network-object-group)# network-object object m.youtube.com-obj

4.

Fügen Sie der Zugriffssteuerungsliste (ACL), auf die die CWS-Klassenzuordnung verweist, eine Zugriffssteuerungslistenerweiterung (ACLE) hinzu. Die aktuelle Zugriffsliste könnte beispielsweise wie folgt aussehen:

5.

(3)

access-list http-c extended permit tcp any any eq www access-list http-c extended permit tcp any any eq 8080

Um die Ausnahmen hinzuzufügen, fügen Sie einen Eintrag "Ablehnen" an die Spitze der Liste ein, die auf die in Schritt 4 erstellte Objektgruppe verweist:

asa(config)# access-list http-c line 1 extended deny ip any object-group CWS_Exclusions

Um zu überprüfen, ob die Zugriffsliste korrekt erstellt wurde, geben Sie den Befehl show access-list ein:

asa# show access-list http-c

access-list http-c; 4 elements; name hash: 0xba5a06bc

access-list http-c line 1 extended deny ip any object-group CWS_Exclusions (hitcnt=0) 0x6161e951

access-list http-c line 1 extended deny ip any fqdn google.com (unresolved) (inactive) 0x48f9ca9e

access-list http-c line 1 extended deny ip any fqdn purple.com (unresolved) (inactive) 0x1f8c5c7c

access-list http-c line 1 extended deny ip any fqdn m.youtube.com (unresolved) (inactive) 0xee068711

access-list http-c line 2 extended permit tcp any any eq www (hitcnt=0) 0xe21092a9

access-list http-c line 3 extended permit tcp any any eq 8080 (hitcnt=0) 0xe218c5a3

Hinweis: Die Ausgabe des Befehls show access-list erweitert die Objektgruppe, mit der Sie überprüfen können, ob alle beabsichtigten FQDNs in der vollständigen Liste vorhanden sind.

Konfigurationen

Erstkonfiguration

Diese Konfiguration enthält nur die relevanten Posten.

...

access-list http-c extended permit tcp any any eq www access-list http-c extended permit tcp any any eq 8080

!

scansafe general-options

server primary ip 192.168.100.1 port 8080 retry-count 5

license eNdoHF0rNadO4kSf encrypted

!

class-map CWS_HTTP_Traffic match access-list http-c

!

policy-map type inspect scansafe CWS_HTTP parameters

default group Default_ASA_Group http

policy-map CWS_HTTP_Inspection class CWS_HTTP_Traffic

inspect scansafe CWS_HTTP fail-open

(4)

!

service-policy CWS_HTTP_Inspection interface Inside ...

Endgültige Konfiguration

Diese Konfiguration enthält nur die relevanten Posten.

...

domain-name company.com dns server-group DefaultDNS name-server 10.0.0.1 dns domain-lookup Outside

!

object network google.com-obj fqdn google.com

object network purple.com-obj fqdn purple.com

object network m.youtube.com-obj fqdn m.youtube.com

!

object-group network CWS_Exclusions network-object object google.com-obj network-object object purple.com-obj network-object object m.youtube.com-obj

!

access-list http-c extended deny ip any object-group CWS_Exclusions access-list http-c extended permit tcp any any eq www

access-list http-c extended permit tcp any any eq 8080

!

scansafe general-options

server primary ip 192.168.100.1 port 8080 retry-count 5

license eNdoHF0rNadO4kSf encrypted

!

class-map CWS_HTTP_Traffic match access-list http-c

!

policy-map type inspect scansafe CWS_HTTP parameters

default group Default_ASA_Group http

policy-map CWS_HTTP_Inspection class CWS_HTTP_Traffic

inspect scansafe CWS_HTTP fail-open

!

service-policy CWS_HTTP_Inspection interface Inside ...

Überprüfen

Um die Zugriffsliste zu überprüfen, die zur Definition des von CWS inspizierten Datenverkehrs verwendet wird, geben Sie den Befehl show access-list <acl-name> ein:

asa# show access-list http-c

access-list http-c; 17 elements; name hash: 0xba5a06bc

access-list http-c line 1 extended deny ip any object-group CWS_Exclusions

(5)

(hitcnt=0) 0x6161e951

access-list http-c line 1 extended deny ip any fqdn google.com (resolved) 0x48f9ca9e

access-list http-c line 1 extended deny ip any fqdn purple.com (resolved) 0x1f8c5c7c

access-list http-c line 1 extended deny ip any fqdn m.youtube.com (resolved) 0xee068711

access-list http-c line 1 extended deny ip any host 153.104.63.227 (purple.com) (hitcnt=0) 0x5b6c3170

access-list http-c line 1 extended deny ip any host 74.125.228.97 (m.youtube.com) (hitcnt=0) 0x8f20f731

access-list http-c line 1 extended deny ip any host 74.125.228.98 (m.youtube.com) (hitcnt=0) 0x110e4163

access-list http-c line 1 extended deny ip any host 74.125.228.99 (m.youtube.com) (hitcnt=0) 0x5a188b6f

access-list http-c line 1 extended deny ip any host 74.125.228.100 (m.youtube.com) (hitcnt=0) 0xa27504c4

access-list http-c line 1 extended deny ip any host 74.125.228.101 (m.youtube.com) (hitcnt=0) 0x714d36b9

access-list http-c line 1 extended deny ip any host 74.125.228.102 (m.youtube.com) (hitcnt=0) 0x158951c0

access-list http-c line 1 extended deny ip any host 74.125.228.103 (m.youtube.com) (hitcnt=0) 0x734a5b42

access-list http-c line 1 extended deny ip any host 74.125.228.104 (m.youtube.com) (hitcnt=0) 0xeeed1641

access-list http-c line 1 extended deny ip any host 74.125.228.105 (m.youtube.com) (hitcnt=0) 0x0b4b1eb3

access-list http-c line 1 extended deny ip any host 74.125.228.110 (m.youtube.com) (hitcnt=0) 0x2b0e5275

access-list http-c line 1 extended deny ip any host 74.125.228.96 (m.youtube.com) (hitcnt=0) 0x315ed3b2

access-list http-c line 2 extended permit tcp any any eq www (hitcnt=0) 0xe21092a9

access-list http-c line 3 extended permit tcp any any eq 8080 (hitcnt=0) 0xe218c5a3

Hinweis: Die Objektgruppe und die aufgelösten Adressen werden in der Ausgabe erweitert.

Fehlerbehebung

Für diese Konfiguration sind derzeit keine spezifischen Informationen zur Fehlerbehebung

verfügbar.

Referenzen

Jetzt herunterladen ( PDF - 5 Seite - 123.69 KB )

ÄHNLICHE DOKUMENTE

PIX/ASA: Führen Sie DNS Doctoring mit dem statischen Befehl und dem Konfigurationsbeispiel für zwei NAT- Schnittstellen durch.

policy-map global_policy class inspection_default inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect rtsp inspect esmtp inspect sqlnet inspect skinny inspect

Verwendung der NAT- und PAT-Anweisung im Konfigurationsbeispiel für die Cisco Secure ASA Firewall

In diesem Beispiel muss der Netzwerkmanager den Zugriff für die Ziel-IP-Adresse 172.30.1.11 für Port 80 (Web) und Port 23 (Telnet) bereitstellen, jedoch zwei verschiedene

ASA-Dateiübertragung mit FXP- Konfigurationsbeispiel

Wenn der FXP-Client eine IP-Adresse und einen TCP-Port angibt, die sich vom Client im FTP PORT-Befehl unterscheiden, wird eine unsichere Situation erstellt, in der ein Angreifer in

PIX/ASA: Konfigurationsbeispiel für die IPsec VPN-Client-Funktion zur automatischen Aktualisierung

Alternativ können Sie die Clientaktualisierung nur für einzelne Clienttypen und nicht für alle Windows- Clients konfigurieren, die Sie sehen können, wenn Sie Schritt 1-c

ASA 8.3 und höher: NTP mit und ohne IPsec- Tunnel-Konfigurationsbeispiel

policy-map global_policy class inspection_default inspect dns maximum-length 512 inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect

Dynamischer standortübergreifender IKEv2- VPN-Tunnel zwischen ASA und einem IOS- Router - Konfigurationsbeispiel

In diesem Dokument wird beschrieben, wie ein Site-to-Site Internet Key Exchange Version 2 (IKEv2) VPN-Tunnel zwischen einer Adaptive Security Appliance (ASA) und einem Cisco

ASA 7.x Manuelles Installieren von Zertifikaten von Drittanbietern zur Verwendung mit WebVPN - Konfigurationsbeispiel

erhalten.Klicken Sie bei der Eingabeaufforderung Importvorgang war erfolgreich auf OK und dann auf Ja.Hinweis: Da in diesem Beispiel das Verisign Trial Certificate verwendet wird,

ASA mit WebVPN und Single Sign-On mit ASDM und NTLMv1 Konfigurationsbeispiel

Aktivieren von WebVPN auf der externen Schnittstelle Konfigurieren einer URL-Liste für Ihre internen Server Konfigurieren einer Richtlinie für interne Gruppen Konfiguration