https://opennet.ru/openforum/vsluhforumID6/2509.html Добрый день. Подскажите. На Asa 5508-k9 возможно закрыть доступ ко всем ресурсам в интернет, кроме определенных сайтов? Доступ по IP не подходит. Необходим доступ по доменному имени сайта (https://***) Если возможно, то нужно ли докупать какие либо лицензии?<br> https://opennet.ru/openforum/vsluhforumID6/2509.html#11 Wed, 15 Jul 2020 23:21:12 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt; [/code] <br>&gt;&gt;&gt; А он точно можно в HTTPS залезть?<br>&gt;&gt; В смысле лезть в HTTPS?<br>&gt;&gt; Вопрос был про доступ по доменному имени, а не по ip.<br>&gt;&gt; Если вы хотите анализировать/инспектировать трафик, это другая тема. Обычная ASA может <br>&gt;&gt; инспектировать просто http, для https нужно другое решение.<br>&gt;&gt; Если вы не знаете по какому порту или протоколу будет доступ на <br>&gt;&gt; сайты, просто разрешите целиком ip на сайт, а не tcp 443 <br>&gt; Ну, а как он доменное имя узнает, если не лезть в HTTPS? <br>&gt; Тут только либо SNI, либо подмена сертификата <br><br>Доменное имя он узнает из директивы "object network".<br>Базовые правила фильтрации трафика основываются на IP.<br>Топикстартер хочет сделать правило на основе имени хоста, что логично, вдруг IP адрес изменится. Выше привели пример как.<br><br>Никому в HTTPS лезть не надо. ASA узнает какие IP адреса соответствуют указанному имени сайта и разрешит трафик к этим адресам. Он-же будет следить, если какой-то адрес изменится, и разрешит трафик на новый IP. Всё это "под https://opennet.ru/openforum/vsluhforumID6/2509.html#10 Wed, 15 Jul 2020 11:59:38 GMT &gt;&gt; 15/Jul/2020:15:15:32 +0400 172.16.10.229 TCP_TUNNEL/200 1276 CONNECT ok.ru:443 - HIER_DIRECT/217.20.155.13 <br>&gt;&gt; - <br>&gt;&gt; urn -да, не видно. домен - лехко. ЧЯДНТ?<br>&gt; Это называется SNI, гуглите <br><br>https://ru.wikipedia.org/wiki/Server_Name_Indication<br><br>Server Name Indication (SNI) &#8212; расширение компьютерного протокола TLS[1], которое позволяет клиентам сообщать имя хоста, с которым он желает соединиться во время процесса &#171;рукопожатия&#187;. Это позволяет серверу предоставлять несколько сертификатов на одном IP-адресе и TCP-порту, и, следовательно, позволяет работать нескольким безопасным (HTTPS) сайтам (или другим сервисам поверх TLS) на одном IP-адресе без использования одного и того же сертификата на всех сайтах. Это эквивалентно возможности основанного на имени виртуального хостинга из HTTP/1.1. [b]Запрашиваемое имя хоста не шифруется[/b],[2] что позволяет злоумышленнику его перехватить. <br> https://opennet.ru/openforum/vsluhforumID6/2509.html#9 Wed, 15 Jul 2020 11:44:04 GMT &gt;&gt; Не знаю как в сквиде. Но в самом https url зашифрован <br>&gt; 15/Jul/2020:15:15:32 +0400 172.16.10.205 TCP_TUNNEL/200 6563 CONNECT osce12-ru-census.trendmicro.com:443 <br>&gt; - HIER_DIRECT/23.42.152.130 - <br>&gt; 15/Jul/2020:15:15:32 +0400 172.16.10.142 TCP_TUNNEL/200 9261 CONNECT messages.megafon.ru:443 <br>&gt; - HIER_DIRECT/85.26.205.134 - <br>&gt; 15/Jul/2020:15:15:32 +0400 172.16.10.229 TCP_TUNNEL/200 1276 CONNECT ok.ru:443 - HIER_DIRECT/217.20.155.13 <br>&gt; - <br>&gt; urn -да, не видно. домен - лехко. ЧЯДНТ?<br><br>Это называется SNI, гуглите<br> https://opennet.ru/openforum/vsluhforumID6/2509.html#8 Wed, 15 Jul 2020 11:20:21 GMT &gt; Не знаю как в сквиде. Но в самом https url зашифрован <br><br>15/Jul/2020:15:15:32 +0400 172.16.10.205 TCP_TUNNEL/200 6563 CONNECT osce12-ru-census.trendmicro.com:443 - HIER_DIRECT/23.42.152.130 -<br>15/Jul/2020:15:15:32 +0400 172.16.10.142 TCP_TUNNEL/200 9261 CONNECT messages.megafon.ru:443 - HIER_DIRECT/85.26.205.134 -<br>15/Jul/2020:15:15:32 +0400 172.16.10.229 TCP_TUNNEL/200 1276 CONNECT ok.ru:443 - HIER_DIRECT/217.20.155.13 -<br><br>urn -да, не видно. домен - лехко. ЧЯДНТ?<br><br> https://opennet.ru/openforum/vsluhforumID6/2509.html#7 Wed, 15 Jul 2020 09:54:34 GMT &gt;&gt; Ну, а как он доменное имя узнает, если не лезть в HTTPS?<br>&gt;&gt; Тут только либо SNI, либо подмена сертификата <br>&gt; ХЗ, как в циске, а прокси на сквиде прекрасно видит домены, куда <br>&gt; ходят по https без всяких sni и подмен сертификатов.<br><br>Не знаю как в сквиде. Но в самом https url зашифрован<br> https://opennet.ru/openforum/vsluhforumID6/2509.html#6 Wed, 15 Jul 2020 07:06:22 GMT &gt; Ну, а как он доменное имя узнает, если не лезть в HTTPS? <br>&gt; Тут только либо SNI, либо подмена сертификата <br><br>ХЗ, как в циске, а прокси на сквиде прекрасно видит домены, куда ходят по https без всяких sni и подмен сертификатов.<br> https://opennet.ru/openforum/vsluhforumID6/2509.html#5 Wed, 15 Jul 2020 06:25:15 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; access-list INSIDE-IN extended deny ip any any <br>&gt;&gt;&gt; access-group INSIDE-IN in interface inside <br>&gt;&gt;&gt; [/code] <br>&gt;&gt; А он точно можно в HTTPS залезть?<br>&gt; В смысле лезть в HTTPS?<br>&gt; Вопрос был про доступ по доменному имени, а не по ip.<br>&gt; Если вы хотите анализировать/инспектировать трафик, это другая тема. Обычная ASA может <br>&gt; инспектировать просто http, для https нужно другое решение.<br>&gt; Если вы не знаете по какому порту или протоколу будет доступ на <br>&gt; сайты, просто разрешите целиком ip на сайт, а не tcp 443 <br><br>Ну, а как он доменное имя узнает, если не лезть в HTTPS? Тут только либо SNI, либо подмена сертификата<br><br> https://opennet.ru/openforum/vsluhforumID6/2509.html#4 Tue, 14 Jul 2020 17:06:37 GMT &gt;[оверквотинг удален]<br>&gt;&gt; object network obj-www.website.com <br>&gt;&gt; fqdn www.website.com <br>&gt;&gt; object network obj-website.com <br>&gt;&gt; fqdn website.com <br>&gt;&gt; access-list INSIDE-IN extended permit tcp any object obj-www.website.com 443 <br>&gt;&gt; access-list INSIDE-IN extended permit tcp any object obj-website.com 443 <br>&gt;&gt; access-list INSIDE-IN extended deny ip any any <br>&gt;&gt; access-group INSIDE-IN in interface inside <br>&gt;&gt; [/code] <br>&gt; А он точно можно в HTTPS залезть?<br><br>В смысле лезть в HTTPS?<br>Вопрос был про доступ по доменному имени, а не по ip.<br><br>Если вы хотите анализировать/инспектировать трафик, это другая тема. Обычная ASA может инспектировать просто http, для https нужно другое решение.<br><br>Если вы не знаете по какому порту или протоколу будет доступ на сайты, просто разрешите целиком ip на сайт, а не tcp 443<br> https://opennet.ru/openforum/vsluhforumID6/2509.html#3 Tue, 14 Jul 2020 14:33:06 GMT &gt;[оверквотинг удален]<br>&gt; name-server 8.8.8.8 <br>&gt; object network obj-www.website.com <br>&gt; fqdn www.website.com <br>&gt; object network obj-website.com <br>&gt; fqdn website.com <br>&gt; access-list INSIDE-IN extended permit tcp any object obj-www.website.com 443 <br>&gt; access-list INSIDE-IN extended permit tcp any object obj-website.com 443 <br>&gt; access-list INSIDE-IN extended deny ip any any <br>&gt; access-group INSIDE-IN in interface inside <br>&gt; [/code] <br><br>А он точно можно в HTTPS залезть?<br>