ASA CX Filtrowanie URL

baza wiedzy Network Expert

Cisco ASA CX filtrowanie URL
W każdej firmie z góry są określone pewne reguły określające zasady użytkowania sieci firmowej. Dotyczą one każdego pracownika i maja na celu zwiększenie bezpieczeństwa firmy. Jedną z najważniejszych reguł jest określenie możliwości korzystania z Internetu. Do jakich zasobów użytkownicy sieci firmowej będą mieli dostęp, a do jakich nie. Pierwszym punktem, który omówimy jest możliwość wprowadzenia przez administratora możliwości filtrowania ruchu na podstawie wpisanego przez użytkownika adresu internetowego URL. Na ASIE CX poza filtrowaniem tradycyjnym, wpisywaniem adresów stron ręcznie, do których użytkownicy nie będą mieć dostępu, zostało wprowadzone filtrowanie kategoriami np.: hazard, treści dla dorosłych czy gry. W tym wypadku administrator sieci nie musi definiować każdej strony oddzielnie do zablokowania. Cisco posiada bazę stron z całego świata (ponad 20 milionów w 60 językach) podzielonych na kategorie, która jest automatycznie aktualizowana co 5 minut. Filtrowanie URL nie rozróżnia protokołów, będzie działać zarówno dla HTTP jak i dla HTTPS. Do korzystania z opcji filtrowania URL trzeba mieć wykupioną licencję Web Security Essentials.

Poniżej przedstawiamy jak stworzyć i dodać obiekty URL do odpowiednich polis bezpieczeństwa.

Utworzenie odpowiednich obiektów stron do zablokowania:

Wchodzimy do Polices -> Objects
Z menu rozwijalnego I want to wybieramy Add URL object
W nowym okienku wpisujemy nazwę naszego obiektu, w Tags można nadać Tag, pozwoli to później na łatwiejsze wyszukiwanie obiektów
W Include URL wpisujemy adres strony do zablokowania na koniec zapisujemy

Drugim obiektem będą strony zdefiniowane na podstawie wybranych kategorii:

Wchodzimy do Polices -> Objects
Z menu rozwijalnego I want to wybieramy Add URL object
Nadajemy nazwę i tagujemy
W Web category wybieramy kategorie, które nas interesują jak widać na obrazku blokować można wszelkiego rodzaju kategorie jak wspomniany wcześniej hazard czy pornografia ale również strony należące do kategorii moda lub szukanie pracy
Zapisujemy obiekt.

Kolejnym krokiem do wykonania będzie podłączenie naszych obiektów do polis, które pozwolą na zablokować dostęp do wymienionych obiektów

Wchodzimy do Polices -> Polices
Najeżdżając na Access Policy pojawi nam się link Add New Policy
W nowym oknie wybieramy nazwę naszej polisy, zaznaczymy Deny (chcemy, żeby dostęp był zabroniony)
W dziale Source wybraliśmy z listy rozwijalnej Windows7-Workstation, żeby dostęp do tej strony był zabroniony z komputerów używających Windowsa 7. Do wybrania jest bardzo wiele możliwości od komputerów z konkretnym oprogramowaniem, po wyszczególnione urządzenia mobilne np. iPad po grupy użytkowników AD. Wybierając opcję Any zablokujemy dostęp do danej strony dla wszystkich.
Zapisujemy.

Druga polisa odnosić się będzie do wybranych wcześniej przez nas kategorii

Wchodzimy do Polices -> Polices
Najeżdżając na Access Policy pojawi nam się link Add New Policy
W nowym oknie wybieramy nazwę naszej polisy, zaznaczymy Deny (chcemy, żeby dostęp był zabroniony)
W dziale Source w tym przypadku wybieramy Any
Destination wpisujemy nazwę obiektu strony zakazane (CX będzie nam podpowiadał nazwy obiektów, które ma juz utworzone)
Zapisujemy.

Kolejnym punktem, który dotyczy stron internetowych i bezpieczeństwa sieci firmowej, jest zablokowanie możliwości ściągania lub uploadowania plików. Możemy na CX stworzyć obiekt, który zdefiniuje z jakim rozszerzeniem pliki będą niedostępne a dzięki polisie, wprowadzić to w życie. Można w ten sposób pozwolić tylko na możliwość ściągania plików. Użytkownik, który będzie chciał wysłać pliki np. firmowe, zostanie powstrzymany.

Możliwe jest sprecyzowanie na CX, można top zrobić za pomocą całego typu plików lub za pomocą sprecyzowania konkretnego rozszerzenia. Poniżej kilka przykładów:

  • image/* – pliki graficzne takie jak .jpg, .gif
  • audio/* – pliki muzyczne takie jak .mp4, .mpeg
  • video/* – pliki video takie jak .quicktime, .mpeg
  • application/* – tu można sprecyzować każde rozszerzenie, które nie podlega pod żadną kategorię

Wchodzimy do Polices -> Objects
Z menu rozwijalnego I want to wybieramy Add File filtering profile
Nadajemy nazwę i tagujemy
W miejscu Block file downloads precyzujemy rozszerzenie

Dodawanie polisy:
Wchodzimy dom Polices ->Polices
Najeżdżając na Access Policy pojawi nam się link Add New Policy
Nadajemy nazwę polisie
Rozszerzamy zakładkę Profile dla File filtering wybieramy nasz zdefionowany obiekt
Pozostawiamy Policy Action jako Allow, zmieniając na Deny zniknie nam zakładka Profile
Zapisujemy

Filtrowanie ruchu webowego na podstawie reputacji stron:

Jak wiadomo w Internecie można zleźć informacje na każdy temat. Zdarza się, że czasami chodzimy od strony do strony po linkach i jesteśmy tak skupieni na znalezieniu odpowiedzi, że nie zważamy na nic uwagi. W takim momencie wchodzimy na strony „podejrzane”, przez odwiedzenie których możemy się narazić na szkody w postaci wirusów, nie chcianych aplikacji czy innego rodzaju „syfu internetowego”. Dla administratorów przychodzi z pomocą CX. Jest wyposażony w Web Reputation. Cisco opracowało metodę nadawania reputacji stronom internetowym łącząc wiele czynników. Reputacja strony może wynosić od -10 do 10. Definiując niską reputację narażamy się na możliwość zaserwowania użytkownikom niechcianych dodatkowych atrakcji.

Web reputation:

  • -10 do -6 strony o najniższej reputacji, strony w tej grupie niemalże w 100% są groźne, mogą zawierać złośliwe oprogramowanie, mogą to być strony „porwane”, próbujące wyciągnąć od użytkowników prywatne informacje np. hasła
  • -6 to -3 strony w tej grupie mają tendencję do bycia agresywnymi, mogącymi śledzić użytkowników, są podejrzane o bycie złośliwymi mimo że nie zostało to potwierdzone
  • -3 to 3 strony w tej strefie wydają się być dobrze zarządzane, niezawierające złych treści
  • 0 to 5 strony z tej grupy mają historię bycia dobrymi stronami i mają potwierdzenie ze strony trzeciej
  • 5 to 10 strony najbardziej zaufane, posiadające długą historię dobrej reputacji, o dużej liczbie odwiedzin

Web Reputation definiujemy w polisach w zakładkach Profile.

Od samego początku naszej działalności stawialiśmy na profesjonalne podejście do naszych Klientów

Network w liczbach

0
lat na rynku
0
realizacji
0
Klientów

Od samego początku naszej działalności stawialiśmy na profesjonalne podejście do naszych Klientów

Network w liczbach

0
lat na rynku
0
realizacji
0
Klientów
2019-01-15T12:17:53+00:00