Segurança : Dispositivos de segurança adaptáveis Cisco ASA 5500 Series

ASA: Exemplo de Configuração para Envio de Tráfego de Rede do ASA para o CSC-SSM

23 Julho 2008 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (18 Outubro 2007) | Feedback

Índice

Introdução
Pré-requisitos
      Requisitos
      Componentes Usados
      Convenções
Informação Básica
Configuração
      Fluxograma do ASA - CSC SSM
      Configuração Inicial do SSC
      Como Configurar o ASA para Desviar Tráfego para o CSC-SSM
      Diagrama da Rede
      Configuração do ASA
Página Inicial do SSC
      Configuração do CSC
Configuração do SMTP
      Configuração do SMTP da Trend Micro
Configuração de HTTP
      Verificação
      Bloqueio de Arquivos
      Bloqueio de URLs
      Filtragem de URLs
Configuração de FTP
      Configuração do FTP da Trend Micro
Verificação
Troubleshooting
      Problemas de Desempenho
      Comandos para Troubleshooting
Discussões relacionadas da comunidade de suporte da Cisco

Introdução

Este documento apresenta um exemplo de configuração que descreve como enviar tráfego de rede do Cisco ASA 5500 Series Adaptive Security Appliance (ASA) para o Content Security and Control Security Services Module (CSC-SSM).

O CSC-SSM oferece proteção contra vírus, spyware, spam, entre outros tipos de tráfego indesejados. Isso é realizado através da verificação do tráfego do FTP, HTTP, POP3 e do SMTP desviado ao CSC-SSM através do Adaptative Security Appliance. Para que o ASA desvie o tráfego para o CSC-SSM, será necessário usar uma Estrutura de Política Modular.

Consulte ASA: Exemplo de configuração de envio de tráfego de rede do ASA para o AIP SSM para enviar tráfego de rede que passa pelo Cisco ASA 5500 Series Adaptive Security Appliance (ASA) até o módulo Advanced Inspection and Prevention Security Services Module (AIP-SSM) (IPS).

Observação: o CSC-SSM pode efetuar uma verificação no tráfego do FTP, HTTP, POP3 e do SMTP somente quando a porta de destino do pacote que solicita a conexão é a porta conhecida para o protocolo especificado. O CSC-SSM pode efetuar uma verificação somente nas seguintes conexões:

  • Conexões FTP abertas para a porta TCP 21

  • Conexões HTTP abertas para a porta TCP 80

  • Conexões POP3 abertas para a porta TCP 110

  • Conexões SMTP abertas para a porta TCP 25

Pré-requisitos

Requisitos

Verifique se você atende a estes requisitos antes de tentar esta configuração:

  • Conhecimento básico de como configurar o Cisco ASA 5500 Series para executar o software na versão 7.x ou posterior.

  • O CSC-SSM foi instalado.

Componentes Usados

As informações neste documento são baseadas nas seguintes versões de software e hardware:

  • ASA 5520 com software versão 7.x ou posterior

  • CSC-SSM-10 com software versão 6.1

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte Convenções de dicas técnicas da Cisco para obter mais informações sobre as convenções do documento.

Informação Básica

O CSC-SSM mantém um arquivo que contém perfis de assinatura de conteúdo suspeito, atualizado regularmente em um servidor de atualização da Trend Micro. O CSC-SSM realiza uma verificação no tráfego recebido do Adaptative Security Appliance e compara aos perfis de conteúdo obtidos da Trend Micro. Depois disso, encaminha o conteúdo legítimo ao Adaptive Security Appliance para roteamento ou bloqueia e comunica conteúdo suspeito.

Por padrão, o CSC-SSM é fornecido com uma licença base com os seguintes recursos:

  • Detecta e executa ações sobre vírus e malware no tráfego da rede

  • Bloqueia arquivos compactados ou muito grandes que ultrapassam os parâmetros especificados

  • Efetua verificações e remove spyware, adware e outros tipos de grayware

Se estiver equipado com uma Licença Plus, também executa as seguintes tarefas:

  • Reduz o spam e protege contra fraudes de phishing no seu tráfego SMTP e POP3

  • Define filtros de conteúdo que permitem que você habilite ou proíba tráfego de e-mail com determinadas palavras-chave ou frases em particular

  • Filtra e/ou bloqueia URLs que você não deseja que os usuários acessem, ou URLs com propósitos mal intencionados ou ocultos

Observação: o CSC-SSM pode efetuar uma verificação em transferências de arquivos FTP somente quando a inspeção no FTP for ativada no ASA. Por padrão, a inspeção no FTP está ativada.

Observação: o CSC-SSM não é compatível com Stateful Failover porque o CSC-SSM não mantém informações sobre a conexão e, portanto, não é capaz de fornecer as informações necessárias à unidade de failover para o Stateful Failover. As conexões verificadas pelo CSC-SSM são descartadas quando ocorre alguma falha no ASA no qual o CSC-SSM está instalado. Quando o Adaptive Security Appliance em espera fica ativo, ele encaminha o tráfego no qual efetuou a verificação para o CSC-SSM e as conexões são redefinidas.

Configuração

Em uma rede na qual o Adaptive Security Appliance é implantado com o CSC-SSM, o Adaptive Security Appliance é configurado para enviar para o CSC-SSM somente os tipos de tráfego nos quais que você deseja efetuar uma verificação.

Observação: use a Ferramenta Command Lookup (somente para clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Fluxograma do ASA - CSC SSM

O diagrama a seguir apresenta o fluxo do tráfego no ASA e no CSC-SSM:

asa-traffic-csc-ssm-config-diagram1.gif

Nesse exemplo, os clientes podem ser usuários de rede que acessam um website, fazem o download de arquivos de um servidor FTP ou recuperam e-mail de um servidor POP3.

Nessa configuração, o fluxo de tráfego ocorre da seguinte forma:

  1. O cliente inicia uma solicitação.

  2. O Adaptive Security Appliance recebe a solicitação e a encaminha para a Internet.

  3. Quando o conteúdo solicitado é recuperado, o Adaptive Security Appliance determina se as políticas de serviço definem esse tipo de conteúdo como um tipo de conteúdo que deve ser desviado para verificação do CSC-SSM e executa uma ação de acordo com essa definição.

  4. O CSC-SSM recebe o conteúdo do Adaptive Security Appliance, efetua uma verificação e compara-o à sua última atualização dos filtros de conteúdo da Trend Micro.

  5. Se o conteúdo for suspeito, o CSC-SSM bloqueia o conteúdo e comunica o evento. Se o conteúdo não for suspeito, o CSC-SSM encaminha o conteúdo solicitado de volta para o Adaptive Security Appliance para roteamento.

Configuração Inicial do CSC

Na configuração inicial, é necessário configurar vários parâmetros. Certifique-se de que você reuniu as informações necessárias para esses parâmetros antes de começar.

O primeiro passo é configurar o CSC-SSM e iniciar o Cisco ASDM. Por padrão, é possível acessar o CSC-SSM através do endereço IP de gerenciamento do ASA em https://192.168.1.1/. É necessário garantir que o seu PC e a interface de gerenciamento do ASA estão na mesma rede. Como alternativa, é possível fazer o download do ASDM Launcher para acessos posteriores.

Configure os seguintes parâmetros com o ASDM:

  1. Na janela principal do ASDM, selecione Configuration > Trend Micro Content Security > Wizard Setup e clique em Launch Setup Wizard.

    asa-traffic-csc-ssm-config-1.gif

  2. Chave de ativação do produto:

    O primeiro passo para obter a chave de ativação é identificar a chave de autorização do produto (PAK) inclusa com o produto. A chave contém um código de barras e 11 caracteres hexadecimais. Um exemplo de PAK seria 120106C7D4A, por exemplo.

    Use a chave de ativação do produto (PAK) para registrar o CSC-SSM na página da internet Registro da Licença do Produto (somente para clientes registrados) . Após efetuar o registro, serão enviadas chaves de ativação ao seu e-mail.

    asa-traffic-csc-ssm-config-2.gif

  3. Parâmetros de gerenciamento de porta IP:

    Especifique o endereço IP, a máscara de rede e o endereço IP do gateway da interface Gerenciamento de CSC.

    Endereço do servidor DNS — Endereço IP do servidor DNS primário.

    asa-traffic-csc-ssm-config-3.gif

  4. Nome de host e nome do domínio do CSC-SSM — Especifica um nome de host e um nome de domínio do CSC-SSM.

    Domínio de entrada — Nome de domínio usado pelo servidor de correio local como domínio de e-mail de entrada.

    Observação: políticas anti-SPAM são aplicadas somente em tráfego de e-mail que entram nesse domínio.

    Configurações de notificação — Endereço de e-mail do administrador e endereço de IP do servidor de e-mail e a porta a ser usada para notificações.

    asa-traffic-csc-ssm-config-4.gif

  5. Parâmetros de acesso do host de gerenciamento:

    Insira o endereço IP e a máscara de cada sub-rede e host que devem ter acesso de gerenciamento ao CSC-SSM.

    Observação: por padrão, todas as redes têm acesso de gerenciamento ao CSC-SSM. Por motivos de segurança, a Cisco recomenda que você limite a sub-redes ou hosts de gerenciamento específicos.

    asa-traffic-csc-ssm-config-5.gif

  6. Nova senha do CSC-SSM:

    Altere a senha padrão, cisco, para uma nova senha de acesso de gerenciamento.

    asa-traffic-csc-ssm-config-6.gif

  7. Na etapa 6 do CSC Setup Wizard, especifique o tipo de tráfego no qual você deseja efetuar uma verificação.

    O Adaptive Security Appliance desvia pacotes para o CSC-SSM após as políticas do firewall serem aplicadas, mas antes de os pacotes saírem da interface de saída. Por exemplo: pacotes bloqueados por uma lista de acesso não são encaminhados para o CSC-SSM.

    Configure políticas de serviço para especificar qual tipo de tráfego o Adaptive Security Appliance deve desviar para o CSC-SSM. O CSC-SSM pode efetuar verificações no tráfego de HTTP, POP3, FTP e de SMTP enviado para as portas conhecidas desses tipos de protocolos.

    Para simplificar o processo de configuração inicial, este procedimento cria uma política de serviço global que desvia todo o tráfego para os protocolos suportados para o CSC-SSM, tanto de entrada quanto de saída. Como a verificação de todo o tráfego que entra pelo Adaptive Security Appliance pode reduzir o desempenho do Adaptive Security Appliance e do CSC-SSM, recomendamos que revise a política de segurança mais tarde. Por exemplo: geralmente, não é necessário efetuar uma verificação em todo o tráfego originário da rede interna, já que esse tipo de tráfego vem de uma fonte confiável. Se você refinar as políticas de segurança para que o CSC-SSM efetue verificações somente em tráfegos de fontes não confiáveis, é possível atingir as suas metas de segurança e maximizar o desempenho do Adaptive Security Appliance e do CSC-SSM.

    Execute as etapas a seguir para criar uma política global de serviços que identifica o tráfego que deve ser verificado:

    asa-traffic-csc-ssm-config-7.gif

    1. Clique em Add para adicionar um novo tipo de tráfego.

    2. Selecione Global na lista suspensa Interface.

    3. Deixe os campos Origem e Destino definidos como Any.

    4. Na área Serviço, clique no botão de opção reticências (...). Nessa caixa de diálogo, selecione um serviço predefinido ou clique em Add para definir um novo serviço.

    5. Se a placa do CSC falhar, escolha se o Adaptive Security Appliance deve permitir ou recusar o tráfego selecionado se o CSC-SSM não estiver disponível.

    6. Selecione OK para retornar para a janela Traffic Selection for CSC Scan.

    7. Clique em Next.

  8. Na etapa 7 do Assistente de configuração do CSC, revise as configurações inseridos para o CSC-SSM.

    asa-traffic-csc-ssm-config-8.gif

    Se estiver satisfeito com as configurações, clique em Finish.

    O ASDM apresenta uma mensagem que indica que o dispositivo CSC está ativo no momento.

    Por padrão, o CSC-SSM está configurado para executar verificações de conteúdo habilitadas pela licença adquirida, o que pode incluir antivírus, anti-spam, anti-phishing e filtragem de conteúdos. O CSC-SSM também está configurado para procurar atualizações regularmente do servidor de atualização da Trend Micro.

    Se incluso na licença adquirida, é possível criar configurações personalizadas para o bloqueio e filtragem de URL, bem como parâmetros de e-mail e FTP. Consulte o Guia do Administrador do Cisco Content Security and Control SSM para obter mais informações.

Como Configurar o ASA para Desviar Tráfego para o CSC-SSM

Para que o ASA desvie tráfego para o CSC-SSM, será necessário usar a Estrutura de Política Modular. Execute essas etapas para concluir a identificação e desvio do tráfego para o CSC-SSM:

  1. Crie uma lista de acesso que corresponda ao tráfego no qual você deseja efetuar uma verificação pelo CSC-SSM, de modo a desviar o tráfego para o CSC-SSM com o comando access-list extended:

    hostname(config)#access-list acl-name extended {deny | permit} protocol src_ip mask dest_ip mask operator port
    
    
  2. Crie um mapa de classes para identificar o tráfego que deve ser desviado para o CSC-SSM com o comando class-map:

    hostname(config)#class-map class_map_name
    
    
  3. No modo de configuração do mapa de classes, use o comando match access-list para identificar o tráfego mediante o uso de uma lista de acesso especificada anteriormente:

    hostname(config-cmap)#match access-list acl-name
    
    hostname(config-cmap)#exit
    
  4. Crie um mapa de políticas para enviar o tráfego para o CSC-SSM com o comando policy-map:

    hostname(config)#policy-map policy_map_name
    
    
  5. No modo de configuração do mapa de políticas, use o comando class para especificar o mapa de classes criado anteriormente que identifica o tráfego no qual a verificação será efetuada.

    hostname(config-pmap)#class class_map_name
    
    
  6. No modo de configuração da classe do mapa de políticas, é possível configurar:

    • Se deseja aplicar um limite por cliente para conexões simultâneas desviadas pelo Adaptive Security Appliance para o CSC-SSM, use o comando set connection, conforme a seguir:

      hostname(config-pmap-c)#set connection per-client-max n
       

      no qual n é o número máximo de conexões simultâneas permitidas para cada cliente pelo Adaptive Security Appliance. Esse comando impede que um único cliente explore os serviços do CSC-SSM ou de qualquer servidor protegido pelo SSM, o que inclui a prevenção de tentativas de ataque de DoS em servidores HTTP, FTP, POP3 ou SMTP protegidos pelo CSC-SSM.

    • Use o comando csc para controlar como o ASA controla o tráfego quando o CSC-SSM não estiver disponível:

      hostname(config-pmap-c)#csc {fail-close | fail-open}
       

      no qual fail-close especifica que o ASA deve bloquear o tráfego se o CSC-SSM falhar, enquanto fail-open especifica que o ASA deve permitir o tráfego se o CSC-SSM falhar.

      Observação: isso se aplica ao tráfego selecionado somente pelo mapa de classes. Outros tipos de tráfego não enviados ao CSC-SSM não são afetados por uma falha no CSC-SSM.

  7. Finalmente, aplique o mapa de políticas globalmente ou em uma interface específica com o comando service-policy:

    hostname(config-pmap-c)#service-policy policy_map_name [global | interface interface_ID]
     

    no qual interface_ID representa o nome atribuído à interface com o comando nameif.

    Observação: somente uma política global é permitida. É possível substituir a política global em uma interface com a aplicação de uma política de serviços na interface. Somente um mapa de políticas pode ser aplicado em cada interface.

Diagrama da Rede

O diagrama abaixo é um exemplo de um ASA 5500 configurado para esses parâmetros:

asa-traffic-csc-ssm-config-9.gif

O resumo do diagrama da rede ilustra o seguinte:

  • A conexão HTTP para as redes externas

  • A conexão FTP de clientes dentro do Security Appliance para os servidores fora do Security Appliance

  • Clientes POP3 de clientes dentro do Security Appliance para servidores fora do Security Appliance.

  • Conexões SMTP de entrada designadas para o servidor de correio interno

Configuração do ASA

ASA5520

ciscoasa(config)#show running-config
: Saved
:
ASA Version 8.0(2)
!
hostname ciscoasa
domain-name Security.lab.com
enable password 2kxsYuz/BehvglCF encrypted
no names
dns-guard
!
interface GigabitEthernet0/0
 speed 100
 duplex full
 nameif outside
 security-level 0
 ip address 172.30.21.222 255.255.255.0
!
interface GigabitEthernet0/1
 description INSIDE
 nameif inside
 security-level 100
 ip address 192.168.5.1 255.255.255.0
!


!--- Saída suprimida

access-list csc-acl remark Exclude CSC module traffic from being scanned
access-list csc-acl deny ip host 10.89.130.241 any

!--- Para melhorar o desempenho do ASA e do CSC Module.
!--- Todo tráfego do CSC Module é removido da verificação. 

access-list csc-acl remark Scan Web & Mail traffic

access-list csc-acl permit tcp any any eq www
access-list csc-acl permit tcp any any eq smtp
access-list csc-acl permit tcp any any eq pop3

!

!--- Todo o tráfego de entrada e de saída de serviços de Web e correio é verificado. 


access-list csc-acl-ftp permit tcp any any eq ftp

!--- Todo o tráfego de entrada e de saída de serviços de FTP é verificado. 

class-map csc-class
match access-list csc-acl
!

class-map csc-ftp-class
match access-list csc-acl-ftp
!
policy-map global_policy
class csc-class
csc fail-open

class csc-ftp-class
csc fail-open
policy-map global_policy
 class inspection_default

!--- Inspecione o tráfego de FTP para verificação.

  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
  inspect icmp
  inspect http
service-policy global_policy global


!--- Saída suprimida

Página Inicial do CSC

Configuração do CSC

O Trend Micro InterScan for Cisco CSC-SSM proporciona proteção para protocolos de tráfego intenso, como SMTP, HTTP e FTP, bem como tráfego de POP3, para garantir que os funcionários não introduzam vírus por acidente de suas contas de e-mail pessoais.

Selecione Configuration > Trend Micro Content Security para abrir o CSC-SSM. No menu Configuration, selecione uma das seguintes opções de configuração: asa-traffic-csc-ssm-config-10.gif

  • CSC Setup — Executa o Setup Wizard para instalar e configurar o CSC-SSM

  • Web — Configura a verificação na Web, o bloqueio de arquivos e a filtragem e o bloqueio de URL

  • Mail — Configura a verificação e a filtragem de conteúdo, e a prevenção de spam para e-mail SMTP POP3 de entrada e saída

  • File Transfer — Configura a verificação e o bloqueio de arquivos

  • Updates — Programa as atualizações dos componentes de verificação do conteúdo de segurança, como arquivo padrão e mecanismo de verificação, por exemplo

As opções Web, Mail, File Transfer e Updates são descritas com mais detalhes nos seguintes capítulos:

O exemplo a seguir mostra como configurar um CSC-SSM para efetuar uma verificação nas mensagens SMTP de entrada na rede interna.

As mensagens SMTP de entrada são desviadas para o CSC-SSM para verificação. No exemplo, todo o tráfego exterior de acesso ao servidor de correio interno (192.168.5.2/24) para serviços SMTP é desviado para o CSC-SSM.

access-list csc_inbound extended permit tcp any host 192.168.5.2 eq smtp 

Essas configurações padrão oferecem proteção para o tráfego de e-mail após a instalação do Trend Micro InterScan for Cisco CSC-SSM.

Configuração do SMTP

Configuração de SMTP da Trend Micro

Execute as etapas a seguir para configurar o CSC-SSM para efetuar a verificação de mensagens SMTP de entrada com o ASDM:

  1. Selecione Configuration > Trend Micro Content Security > Mail no ASDM e clique em Configure Incoming Scan para exibir a janela SMTP Incoming Message Scan/Target.

    asa-traffic-csc-ssm-config-11.gif

  2. A janela redireciona para a tela de logon do Trend Micro InterScan for Cisco CSC-SSM. Insira a senha do CSC-SSM.

    asa-traffic-csc-ssm-config-12.gif

  3. A janela SMTP Incoming Message Scan de entrada tem as seguintes três visualizações:

    • Target

    • Action

    • Notification

    Você pode alternar entre as visualizações clicando na guia que corresponde às informações que deseja conferir. O nome da guia ativa é exibido em texto na cor marrom; os nomes das guias inativas são exibidos em texto na cor preta. Use as três guias para configurar a verificação de vírus de tráfego SMTP de entrada.

    Clique em Target para definir o escopo da atividade.

    Por padrão, a verificação de mensagem SMTP fica ativada.

    asa-traffic-csc-ssm-config-13.gif

  4. Na seção Verificação padrão, All scannable files são selecionados, por padrão. Essa opção efetua as verificações sem considerar a extensão do nome do arquivo.

    asa-traffic-csc-ssm-config-14.gif

  5. Configure a seção compressed file handling do SMTP para o correio de entrada.

    asa-traffic-csc-ssm-config-15.gif

    Configure para ignorar a verificação de arquivos compactados quando uma das seguintes opções for verdadeira:

    • A contagem do arquivo descompactado é superior a 200.

    • O tamanho do arquivo descompactado é superior a 20 MB.

    • O número de camadas de compactação é superior a três.

    • A proporção de tamanho do arquivo compactado ou descompactado é superior a 100 para 1.

    • Arquivos compactados ultrapassam os critérios de verificação especificados.

    Modifique os parâmetros padrão de Contagem do arquivo descompactado para 300 e Tamanho do arquivo descompactado para 30 MB.

    asa-traffic-csc-ssm-config-16.gif

  6. Na seção Scan for Spyware/Grayware, exibida na etapa 5, selecione os tipos de grayware que deseja detectar com o Trend Micro InterScan for Cisco CSC-SSM. Consulte a ajuda on-line para conferir uma descrição de cada tipo de grayware relacionado.

    Clique em Save para ativar a nova configuração

  7. Clique na guia Action para poder definir a ação a ser executada na detecção de uma ameaça. As ações possíveis são: limpar e excluir.

    asa-traffic-csc-ssm-config-17.gif

    Esses valores são a ação padrão para e-mails de entrada.

    • Seção For Messages with Virus/Malware Detection — limpe a mensagem ou anexo no qual o malware foi detectado; se isso não for possível, exclua a mensagem ou anexo.

      asa-traffic-csc-ssm-config-18.gif

    • For Spyware/Grayware Detections — os arquivos a serem entregues se as mensagens SMTP nas quais foi detectado spyware ou grayware forem excluídas.

      Clique em Save para ativar a nova configuração

  8. Clique em Notification para poder escrever uma mensagem de notificação, bem como definir que será notificado do evento e da ação.

    asa-traffic-csc-ssm-config-19.gif

    Não altere nada se estiver satisfeito com a configuração da notificação padrão. Ainda assim, você pode verificar as opções de notificação e decidir se deseja alterar os valores padrão. É possível, por exemplo, enviar uma notificação ao administrador quando um risco de segurança for detectado em uma mensagem de e-mail. Para SMTP, também é possível modificar o remetente e o destinatário.

    Verifique as caixas Administrator e Recipient para conferir a notificação de e-mail. Você também pode modificar o texto padrão da mensagem de notificação para deixá-lo mais adequado à sua organização, assim como no exemplo da imagem abaixo.

    asa-traffic-csc-ssm-config-20.gif

  9. Na seção Inline Notifications, selecione uma ou nenhuma das opções relacionadas, ou ambas.

    asa-traffic-csc-ssm-config-21.gif

    No exemplo, você selecionaria Risk free message e digitaria a sua própria mensagem no campo adequado.

    asa-traffic-csc-ssm-config-22.gif

    Clique em Save para ativar a nova configuração.

Configuração de HTTP

Verificação

Após a instalação, por padrão, o tráfego HTTP e FTP é verificado para a detecção de eventuais vírus, worms e cavalos de tróia. Malware como spyware e outros tipos de grayware exigem uma alteração na configuração para serem detectados.

As configurações padrão oferecem um pouco de proteção para o tráfego de Web e FTP após a instalação do Trend Micro InterScan for Cisco CSC-SSM. É possível alterar essas configurações padrão. Você pode, por exemplo, preferir usar a opção Scan por extensões de arquivo especificadas em vez de All Scannable Files para detecção de malware. Antes de efetuar qualquer alteração, confira a ajuda on-line para obter mais informações sobre essas opções.

Após a instalação, você pode querer atualizar as configurações adicionais para obter o máximo de proteção para o tráfego de Web e FTP. Se você adquiriu uma Licença Plus, a qual permite que você receba as funcionalidades de bloqueio de URLs, anti-phishing e filtragem de URLs, será necessário configurar esses recursos adicionais.

Execute as etapas a seguir para configurar o CSC-SSM para efetuar a verificação de mensagens HTTP com o ASDM:

  1. Clique em Web (HTTP) na página da Trend Micro para exibir a janela Verificação de mensagem da Web com quatro visualizações:

    • Destino

    • Verificação de Webmail

    • Ação

    • Notificação

    Clique na guia que corresponde às informações que você deseja conferir para alterar entre as visualizações. O nome da guia ativa é exibido em texto na cor marrom; os nomes das guias inativas são exibidos em texto na cor preta. Use as quatro guias para configurar a verificação de vírus do tráfego de Web.

    Clique em Target para poder definir o escopo da atividade.

    • Por padrão, a verificação de mensagens HTTP é ativada.

    • Use o método de verificação All Scannable Files para ativar essa verificação.

    • Manipulação de arquivo compactado da Web (HTTP) para download da Web — Configurado para ignorar a verificação de arquivos compactados quando uma das opções abaixo for verdadeira:

      • A contagem do arquivo descompactado é superior a 200.

      • O tamanho do arquivo descompactado é superior a 30 MB.

      • O número de camadas de compactação é superior a três.

      • A proporção de tamanho do arquivo compactado ou descompactado é superior a 100 para 1.

      asa-traffic-csc-ssm-config-23.gif

    Para Webmail scanning — Configurado para verificar sites de Webmail, como aqueles da Yahoo, da AOL, do MSN e do Google.

  2. Manipulação de arquivos grandes

    As guias Destino nas janelas Verificação de HTTP e Verificação de FTP permitem que você defina o tamanho do download de maior porte que você deseja verificar. Você pode, por exemplo, especificar que um download com tamanho inferior a 20 MB deve ser verificado, mas um download com tamanho superior a 20 MB não deve ser verificado.

    Além disso, também é possível:

    • Especificar que downloads de grande tamanho sejam entregues sem verificação, o que pode apresentar um risco à segurança.

    • Especificar que downloads com tamanho superior ao limite especificado sejam excluídos.

    Por padrão, o software CSC-SSM especifica que os arquivos com tamanho inferior a 50 MB são verificados. Modifique esse valor para 75 MB. Arquivos com tamanho igual ou superior a 75 MB são entregues sem verificação para o cliente solicitante.

    asa-traffic-csc-ssm-config-24.gif

    Verificação adiada

    O recursos de verificação adiada não é ativado por padrão. Quando ativado, esse recurso permite que você comece a fazer o download de dados sem verificar o download por completo. A verificação adiada permite que você comece a visualizar os dados sem ter que esperar que todo o conjunto de informações seja verificado.

    asa-traffic-csc-ssm-config-25.gif

    Observação: quando uma verificação adiada é ativada, a parte do conjunto de informações que não foi verificada pode apresentar um risco à segurança.

    Observação: o tráfego em HTTPS não pode ser verificado para a detecção de vírus e outras eventuais ameaças pelo software CSC-SSM.

    Se a verificação adiada não for ativada, todo o conteúdo do download será verificado antes de apresentado ao usuário. Entretanto, algum software cliente pode atingir o tempo limite devido ao tempo necessário para coletar pacotes de rede suficientes para criar arquivos completos para verificação. A tabela a seguir resume as vantagens e desvantagens de cada método.

    Verificação de spyware e grayware

    Grayware é uma categoria de software que pode ser legítima, indesejada ou mal intencionada. Diferentemente de ameaças como vírus, worms e cavalos de tróia, o grayware não infecta, duplica ou destrói dados, mas pode violar a privacidade do usuário. Alguns tipos de grayware são spyware, adware e ferramentas de acesso remoto.

    A detecção de spyware e grayware não é ativada por padrão. É necessário configurar esse recurso nas janelas a seguir para detectar spyware e outras formas de spyware e grayware no tráfego de Web e de arquivos:

    Clique em Save para atualizar a sua configuração.

  3. É possível mudar para a guia Scanning Webmail para verificar sites de Webmail, como aqueles do Yahoo, da AOL, do MSN e do Google.

    Observação: se você optar por verificar somente Webmail, a verificação de HTTP estará restrita aos sites especificados na guia Verificação de Webmail na janela Web (HTTP) > Verificação > Verificação de HTTP. Os demais tráfegos de HTTP não são verificados. Sites configurados não são verificados até que você remova-os clicando no ícone da lixeira.

    No campo Name, insira o nome exato do site, uma palavra-chave de URL e uma string para definir o site de Webmail.

    Observação: os anexos de mensagens gerenciadas em Webmail também são verificados.

    Clique em Save para atualizar a sua configuração.

  4. Você pode clicar na guia Action para conferir a configuração da Detecção de vírus/malware e das Detecções de spyware/grayware.

    • Downloads da Web (HTTP) para arquivos no quais o vírus/malware é detectado — Limpe o arquivo do download ou o arquivo no qual o malware foi detectado. Se isso não for possível, exclua o arquivo.

    • Downloads da Web (HTTP) e transferências de arquivo (FTP) para arquivos nos quais foi detectado spyware ou grayware — Os arquivos são excluídos.

    asa-traffic-csc-ssm-config-26.gif

  5. Downloads da Web (HTTP) nos quais malware é detectado — Uma notificação no corpo do texto é inserida no navegador para comunicar que o Trend Micro InterScan for CSC-SSM verificou o arquivo que você está tentando transferir e detectou um risco à segurança.

    asa-traffic-csc-ssm-config-27.gif

Bloqueio de Arquivos

No menu de lista suspensa esquerdo, clique em File Blocking.

Por padrão, esse recurso é ativado; entretanto, é necessário especificar os tipos de arquivos que você bloquear. O bloqueio de arquivos ajuda o usuário a reforçar as políticas e diretrizes da organização com relação ao uso da Internet e outros recursos de computação durante o período de trabalho. Por exemplo, a sua empresa pode não permitir o download de arquivos de música devido tanto a questões legais quanto a problemas envolvendo a produtividade dos funcionários.

asa-traffic-csc-ssm-config-28.gif

  • Na guia Destino da janela Bloqueio de arquivos, marque a caixa de seleção Executable para bloquear arquivos com a extensão .exe.

  • É possível especificar tipos adicionais de arquivo pela extensão de nome de arquivo. Marque a caixa de seleção Block specified file extensions para ativar esse recurso.

  • Em seguida, insira tipos de arquivo adicionais no campo Extensões de arquivo bloqueadas e clique em Add. No exemplo, os arquivos com extensão .mpg serão bloqueados.

    Clique em Save para concluir e atualizar a configuração.

Marque a caixa de seleção Administrator Notification para enviar as mensagens padrão na caixa de texto.

Clique na guia Notification para a mensagem de alerta.

asa-traffic-csc-ssm-config-29.gif

Bloqueio de URLs

Esta seção apresenta o recurso de bloqueio de URLs e consta dos tópicos a seguir:

Observação: você precisa ter adquirido a Licença Plus para usar este recurso.

O recurso de bloqueio de URL ajuda o usuário a impedir que funcionários acessem sites proibidos na Web. É possível, por exemplo, bloquear determinados sites porque políticas na organização proíbem o acesso a serviços de encontros, de compras on-line ou sites de conteúdo inapropriado e ofensivos.

Também é possível bloquear sites que são reconhecidamente alvo de fraudes, como o phishing. O phishing é uma técnica usada por criminosos virtuais que enviam mensagens de e-mail que aparentemente são de uma organização legítima, solicitando que o usuário revele informações particulares, como números de contas bancárias, por exemplo. A imagem abaixo apresenta um exemplo de uma mensagem de e-mail usada para phishing.

asa-traffic-csc-ssm-config-30.gif

Por padrão,, o bloqueio de URLs é ativado. Contudo, somente sites no arquivo padrão do TrendMicro PhishTrap são bloqueados até que você especifique sites adicionais para serem bloqueados.

Bloqueio pela guia Via lista local

Execute as etapas a seguir para configurar o bloqueio de URLs pela guia Via lista local:

  1. Selecione Configuration > Trend Micro Content Security > Web no ASDM e clique em Configure URL Blocking para exibir a janela Bloqueio de URLs.

  2. Na guia Via lista local da janela Bloqueio de URLs, digite os URLs que você deseja bloquear no campo Correspondência. Você pode especificar o nome exato do site da Web, uma palavra-chave da URL e uma string.

  3. Clique em Block depois de cada entrada para mover o URL para a Lista de bloqueio. Clique em Do Not Block para adicionar a entrada às Exceções da lista de bloqueio para especificar a entrada como exceção. As entradas permanecem bloqueadas ou definidas como exceções até que você as remova.

    Observação: também é possível importar uma lista de bloqueio e exceções. O arquivo importado deve estar em formato específico. Consulte a ajuda on-line para obter mais instruções.

    asa-traffic-csc-ssm-config-31.gif

Bloqueio pela guia Via arquivo padrão (PhishTrap)

Execute as etapas a seguir para configurar o bloqueio de arquivos de um URL específico pela guia Via arquivo padrão (PhishTrap):

  1. Selecione Configuration > Trend Micro Content Security > Web no ASDM e clique no link Configure URL Blocking para exibir a janela Bloqueio de URLs.

  2. Em seguida, clique na guia Via Pattern File (PhishTrap).

  3. Por padrão, o arquivo padrão do Trend Micro PhishTrap detecta e bloqueia sites de phishing, spyware e sites que são fonte de vírus e estão associados a explorações conhecidas e vetores de vírus, que são sites da Web dedicados exclusivamente a fins mal intencionados. Use os campos Enviar URL de phishing em potencial para a TrendLabs para enviar sites que você considera que devem ser adicionados ao padrão do PhishTrap. A TrendLabs avalia o site e pode adicionar o site a esse arquivo se a ação for garantida.

  4. Clique na guia Notification para verificar o texto da mensagem padrão exibida no navegador quando é realizada uma tentativa de acessar um site bloqueado. A ajuda on-line apresenta um exemplo. Destaque e redefina o texto para personalizar a mensagem padrão.

  5. Clique em Save para concluir e atualizar a configuração.

Filtragem de URLs

Há duas seções importantes neste ponto.

  • Configurações da filtragem

  • Regras da filtragem

    Os URLs definidos nas janelas de Bloqueio de URL descritos anteriormente são sempre permitidos ou sempre proibidos. Entretanto, o recurso de filtragem de URL permite que você filtre URLs nas categorias, que podem ser programadas para permitir acesso em determinados momentos, definidos como horas de lazer, e proibir o acesso durante o horário de trabalho.

    Observação: você precisa ter adquirido a Licença Plus para usar este recurso.

    Há seis categorias de filtragem de URL:

    • Proibido pela empresa

    • Não relacionado a trabalho

    • Tópicos de pesquisa

    • Função de negócios

    • Definido pelo cliente

    • Outros

Por padrão, sites proibidos pela empresa são bloqueados em horários de trabalho e de lazer.

Configurações de filtragem

Execute as etapas a seguir para configurar o recurso de filtragem de URL:

  1. Selecione Configuration > Trend Micro Content Security > Web no ASDM e clique em Configure URL Filtering Settings para exibir a janela Configurações de filtragem de URLs.

  2. Na guia Categorias de URL, confira as subcategorias relacionadas e as classificações padrão atribuídas para cada categoria para conferir se as atribuições apropriadas para a empresa. Por exemplo, Drogas ilícitas é uma subcategoria da categoria Proibido pela empresa. Se a organização for uma empresa de serviços financeiros, é possível que você queira classificar essa categoria como proibida pela empresa. Marque a caixa de seleção Illegal Drugs para ativar a filtragem de sites relacionados às drogas ilícitas. Em contrapartida, se a organização for uma agência de autoridade policial, você poderá ter que reclassificar a subcategoria Drogas Ilícitas para a categoria Função de negócios. Consulte a ajuda on-line para obter mais informações sobre o recurso de reclassificação.

  3. Após verificar e refinar as classificações de subcategoria, verifique a subcategoria associada para ativar todas as subcategorias que você deseja filtrar.

  4. Se houver sites nas subcategorias habilitadas que você não deseja filtrar, clique na guia URL Filtering Exceptions.

  5. Digite os URLs que você deseja excluir da filtragem no campo Correspondência. É possível especificar o nome exato do site, uma palavra-chave do URL e uma string.

  6. Clique em Add depois de cada entrada para mover o URL para a lista Não filtrar os sites a seguir. As entradas permanecem como exceções até que você as remova.

    Observação: também é possível importar uma lista de exceções. O arquivo importado deve estar em formato específico. Consulte a ajuda on-line para obter mais instruções.

  7. Clique na guia Schedule para definir os dias da semana e as horas do dia que devem ser considerados como horário de trabalho. O horário não designado como horário de trabalho é designado automaticamente como horário de lazer.

  8. Clique em Save para atualizar a configuração da filtragem de URL.

  9. Clique na guia Reclassify URL para enviar URLs suspeitas para avaliação da TrendLabs.

Regras de filtragem

Depois de atribuir as subcategorias de URL para as categorias corretas da organização, definir as exceções (se houver) e criar a programação dos horários de trabalho e de lazer, atribua as regras de filtragem que determinam quando uma categoria está sendo filtrada.

Execute as etapas a seguir para atribuir as regras de filtragem de URL:

  1. Selecione Configuration > Trend Micro Content Security > Web no ASDM e clique no link Configure URL Filtering Rules para exibir a janela Regras de filtragem de URLs.

  2. Para cada uma das seis categorias principais, especifique se os URLs nessas categorias serão bloqueados. Se forem bloqueados, defina se isso ocorrerá no horário de trabalho, no horário de lazer, ou em ambos. Consulte a ajuda on-line para obter mais informações.

    asa-traffic-csc-ssm-config-32.gif
  3. Clique em Save para atualizar a sua configuração.

    Observação: para que a Filtragem de URLs funcione corretamente, é necessário habilitar o módulo CSC-SSM para enviar solicitações de HTTP para o atendimento da Trend Micro. Se um proxy de HTTP for solicitado, selecione Update > Proxy Settings para configurar o proxy. O componente Filtragem de URLs não é compatível com o proxy SOCKS4.

Configuração de FTP

Configuração de FTP da Trend Micro

Após a instalação, por padrão, o tráfego de FTP é verificado para a detecção de eventuais vírus, worms e cavalos de tróia. Malware como spyware e outros tipos de grayware exigem uma alteração na configuração para serem detectados.

Verificação de transferência de arquivos (FTP) de transferências de arquivos — Ativado pelo método de verificação Todos os arquivos que podem ser verificados.

asa-traffic-csc-ssm-config-33.gif

Execute as etapas descritas na página File Blocking com relação a Tráfego de HTTP.

asa-traffic-csc-ssm-config-34.gif

Execute as etapas descritas na página File Blocking com relação a Tráfego de HTTP.

asa-traffic-csc-ssm-config-35.gif

Verificação

Utilize esta seção para confirmar se a sua configuração está funcionando corretamente.

A Ferramenta Output Interpreter (somente para clientes registrados) (OIT) é compatível com determinados comandos show. Entretanto, o OIT pode ser usado para exibir uma análise de saídas do comando show. Esses comandos show não são compatíveis com a ferramenta OIT até o momento.

  • show module — Por exemplo, para verificar o status de um SSM:

    ciscoasa#show module
    Mod Card Type                                    Model              Serial No.
    --- -------------------------------------------- ------------------ -----------
      0 ASA 5520 Adaptive Security Appliance         ASA5520            JMX090000B7
      1 ASA 5500 Series Security Services Module-20  ASA-SSM-20         JAF10333331
    
    Mod MAC Address Range                 Hw Version   Fw Version   Sw Version
    --- --------------------------------- ------------ ------------ ---------------
      0 0014.c482.5151 to 0014.c482.5155  1.1          1.0(10)0     8.0(2)
      1 000b.fcf8.012c to 000b.fcf8.012c  1.0          1.0(10)0     Trend Micro InterScan Security Module Version 6.0
    
    Mod SSM Application Name           Status           SSM Application Version
    --- ------------------------------ ---------------- --------------------------
      1 Trend Micro InterScan Security Up               Version 6.0
    
    Mod Status             Data Plane Status     Compatibility
    --- ------------------ --------------------- -------------
      0 Up Sys             Not Applicable
      1 Up                 Up
  • show module 1 details — Por exemplo, use a palavra-chave details para exibir as informações adicionais para o SSM:

    ciscoasa#show module 1 details
    Getting details from the Service Module, please wait...
    ASA 5500 Series Security Services Module-20
    Model:              ASA-SSM-20
    Hardware version:   1.0
    Serial Number:      JAF10333331
    Firmware version:   1.0(10)0
    Software version:   Trend Micro InterScan Security Module Version 6.0
    App. name:          Trend Micro InterScan Security Module
    App. version:       Version 6.0
    Data plane Status:  Up
    Status:             Up
    HTTP Service:       Up
    Mail Service:       Up
    FTP Service:        Up
    Activated:          Yes
    Mgmt IP addr:       172.30.21.235
    Mgmt web port:      8443
  • show module slot_num recover — Determina se há alguma configuração de recuperação para o SSM. Se houver uma configuração de recuperação para o SSM, será exibido pelo ASA. Por exemplo:

    ciscoasa#show module 1 recover
    Module 1 recover parameters. . .
    Boot Recovery Image: Yes
    Image URL:           tftp://10.21.18.1/ids-oldimg
    Port IP Address:     172.30.21.10
    Port Mask:          255.255.255.0
    Gateway IP Address:  172.30.21.254

Consulte Verificação da configuração inicial para obter mais informações sobre como verificar se o Trend Micro InterScan for Cisco CSC-SSM está operando corretamente.

Troubleshooting

Esta seção fornece informações que você pode usar para análise de falhas de configuração.

Problemas de Desempenho

Problema

O tráfego de SMTP de entrada está muito lento. Às vezes, o servidor de correio interno obtém uma resposta do servidor que demora alguns minutos para ser recebida.

Solução

Provavelmente, a lentidão no tráfego está sendo causada por pacotes fora de ordem. Execute o exemplo a seguir para tentar resolver o problema.


!--- Cria um novo mapa tcp e permite 100 pacotes
 fora de ordem

tcp-map localmap
 queue-limit 100

!--- Classe que define o tráfego enviado para o
CSC Module. Você pode atribuir um nome diferente.
Define os parâmetros de localmap para correspondência de fluxo com o mapa da classe.

policy-map global_policy
 class csc-class
  set connection advanced-options localmap

Comandos para Troubleshooting

A Ferramenta Output Interpreter (somente para clientes registrados) (OIT) é compatível com determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

Consulte Fazer troubleshooting do Trend Micro InterScan for Cisco CSC-SSM para obter mais informações sobre como solucionar diversos tipos de problemas no CSC-SSM.

Observação: consulte Informações Importantes sobre Comandos de Depuração antes de usar comandos debug.

  • debug module-boot — Mostra mensagens de depuração sobre o processo de reinicialização do SSM.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 99141