Bước 2: Chúng ta sẽ thực hiện viết policy để cho phép ping từ PC ra DNS 8.8.8.8

của google

Đầu tiên chúng ta sẽ tạo 1 ACL cho phép ping.

FW-ASA-DTU(config)# access-list ICMP extended permit icmp any any echo

Chúng ta sẽ viết 1 ACL extend cho phép giao thức icmp từ source là bất cứ địa chỉ nào (any) tới destination cũng là bất cứ địa chỉ nào (any) bằng cờ echo.

Tiếp theo chúng ta sẽ viết 1 class-map chứa ACL ở trên.

Cấu trúc của 1 class-map

FW-ASA-DTU(config)# class {class_map_name | class-default}

FW-ASA-DTU(config-cmap)# match

class sẽ được đặt tên do chúng ta định ra hoặc cũng có thể sử dụng class-default do

cấu hình mặc định của ASA.

Các options ở đây được liệt kê như sau:

access-list Match an Access List

any Match any packet

default-inspection-traffic Match default inspection traffic:

ctiqbe----tcp--2748 dns-------udp--53

ftp-------tcp--21 gtp-------udp--2123,3386

h323-h225-tcp--1720 h323-ras--udp--1718-1719

http------tcp--80 icmp------icmp

ils-------tcp--389 ip-options-----rsvp

mgcp------udp--2427,2727 netbios---udp--137-138

radius-acct----udp--1646 rpc-------udp--111

rsh-------tcp--514 rtsp------tcp--554

sip-------tcp--5060 sip-------udp--5060

skinny----tcp--2000 smtp------tcp--25

sqlnet----tcp--1521 tftp------udp--69

waas------tcp--1-65535 xdmcp-----udp--177

dscp Match IP DSCP (DiffServ CodePoints)

flow Flow based Policy

port Match TCP/UDP port(s)

precedence Match IP precedence

rtp Match RTP port numbers

tunnel-group Match a Tunnel Group

Như vậy trong ví dụ này, chúng ta sẽ tạo 1 class-map là ICMP và match access-list vừa khởi tạo ở trên.

FW-ASA-DTU(config)# class-map ICMP

FW-ASA-DTU(config-cmap)# match access-list ICMP

Kế tiếp chúng ta sẽ tạo 1 policy có tên là POLICY và đưa class cần áp chính sách vào.

FW-ASA-DTU(config)# policy-map POLICY

FW-ASA-DTU(config-pmap)# class ICMP

FW-ASA-DTU(config-pmap-c)# inspect icmp



Sau cùng chúng ta sẽ áp POLICY lên cổng với cấu trúc câu lệnh như sau

FW-ASA-DTU(config)# service-policy policy_map_name {global | interface if_name}

Ở bài này chúng ta sẽ áp policy tên là POLICY lên interface inside như sau:

FW-ASA-DTU(config)# service-policy POLICY interface LAN

Kiểm tra:

Chúng ta sẽ kiểm tra kết nối bằng lệnh ping giữa PC-LAN với DNS GOOGLE 8.8.8.8

Đến đây thì PC đã có thể ping được thành công!

Nhớ NAT trước khi kiểm tra kết nối.

FW-ASA-DTU(config)# nat (LAN,outside) source dynamic any interface

FW-ASA-DTU# show nat translated interface outside

Manual NAT Policies (Section 1)

1 (LAN) to (outside) source dynamic any interface

translate_hits = 12, untranslate_hits = 0

FW-ASA-DTU#

FW-ASA-DTU# show nat detail

Manual NAT Policies (Section 1)

1 (LAN) to (outside) source dynamic any interface

translate_hits = 12, untranslate_hits = 0

Source - Origin: 0.0.0.0/0, Translated: 192.168.40.145/24

FW-ASA-DTU#



Bước 3: Chúng ta sẽ cấu hình để PC không thể truy xuất được dantri.vn

+ Thao tác 1: Chúng ta sẽ cấu hình 1 regular expression liên quan đến dantri.vn để

filter.

FW-ASA-DTU(config)# regex DOMAIN “dantri\.vn”

– 1 REGEX (regular expression) là 1 chuỗi.

Có 2 cách để chúng ta định nghĩa 1 REGEX (regular expression):

• Chúng ta có thể tạo trực tiếp bằng command sau:

FW-ASA-DTU(config)# regex regex_name regular_expression

+ Thao tác 2: Kiểm tra REGEX chúng ta đã tạo.

FW-ASA-DTU (config)# test regex dantri.vn “dantri\.vn”

INFO: Regular expression match succeeded.

+ Thao tác 3: Tạo 1 class-map chứa các REGEX đã tạo.

FW-ASA-DTU(config)# class-map type regex match-any URL

FW-ASA-DTU(config-cmap)# match regex DOMAIN

Chúng ta sẽ tạo class-map chưa REGEX đã liệt kê ở trên theo cú pháp câu lệnh như sau:

FW-ASA-DTU(config)# class-map type regex match-any regex_cmap_name

FW-ASA-DTU(config-cmap)# match regex regex_name

Tạo 1 class-map inspect giao thức HTTP.

FW-ASA-DTU(config)# class-map type inspect http HTTP-TRAFFIC

FW-ASA-DTU(config-cmap)# match request header host regex class URL

HTTP là giao thức được sử dụng giữa client và server. Client sẽ gửi request đến server và server sẽ response trở lại. Ở đây vì là ASA đứng giữa server và client nên chúng ta hoàn toàn có thể chặn được quá trình request này.

+ Thao tác 4: Tạo 1 policy và drop các gói tin có header chứa chuỗi “dantri.vn”.

FW-ASA-DTU(config-cmap)# policy-map type inspect http HTTP-TRAFFIC

FW-ASA-DTU(config-pmap)# class HTTP-TRAFFIC

FW-ASA-DTU(config-pmap-c)# drop-connection log

Ở đây có nhiều option trong class HTTP-TRAFFIC mà chúng ta có thể lựa chọn, ngoài drop-connection log, chúng ta có thể reset kết nối HTTP hoặc thông báo log xuất hiện bằng các option thay thế như sau:

FW-ASA-DTU(config-pmap)# class HTTP-TRAFFIC

FW-ASA-DTU(config-pmap-c)# log

FW-ASA-DTU(config-pmap)# class HTTP-TRAFFIC

FW-ASA-DTU(config-pmap-c)# reset [log]

+ Thao tác 5: tạo 1 class-map xử lý layer 3 và 4.

FW-ASA-DTU(config)# class-map LAYER3-4

FW-ASA-DTU(config-cmap)# match any

+ Thao tác 6: thêm class-map LAYER3-4 và inspect policy-map HTTP-TRAFFIC vào trong policy-map đang chạy ở trên là POLICY

FW-ASA-DTU(config)# policy-map POLICY

FW-ASA-DTU(config-pmap)# class LAYER3-4

FW-ASA-DTU(config-pmap-c)# inspect http HTTP-TRAFFIC

+ Thao tác 7: áp policy có tên là POLICY vừa tạo lên cổng inside

FW-ASA-DTU(config)# service-policy POLICY interface LAN

Kiểm tra:

Đến đây chúng ta đã thưc hiện thành công việc chặn web !



References

[1]http://www.mustbegeek.com/configure-ssh-access-in-cisco-asa/

[2]https://cuongquach.com/firewall-asa-bai-1-cau-hinh-co-ban.html

[3]https://learningnetwork.cisco.com/thread/76581

[4]Nhóm tác giả TT Tin học VNPro, CCSP LABPRO (ISCW, SNRS, IPS & CSMARS, SNAF & SNAA), NXB Thông tin & Truyền thông.

[5] https://supportforums.cisco.com/t5/security-documents/asa-how-to-download-images-using-tftp-ftp-http-https-and-scp/ta-p/3109769