Segurança : Cisco Email Security Appliance

Túnel satisfeito FAQ de Techsupport da Segurança

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (5 Janeiro 2016) | Feedback

Introdução

Este documento dá respostas às perguntas mais frequentes sobre o uso de túneis de Techsupport em ferramentas de segurança do índice de Cisco.

Contribuído por Chris Haag, engenheiro de TAC da Cisco.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

  • Cisco envia por correio eletrónico a ferramenta de segurança (o ESA)
  • Ferramenta de segurança da Web de Cisco (WSA)
  • Dispositivo do Gerenciamento do Cisco Security (S A)
  • AsyncOS

Componentes Utilizados

A informação neste documento é baseada nas ferramentas de segurança do índice de Cisco que executam toda a versão de AsyncOS.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Que são túneis de Techsupport?

Os túneis de Techsupport são as conexões do Shell Seguro (ssh) que são criadas de uma ferramenta de segurança do índice de Cisco a um bastion host em matrizes da Segurança do índice de Cisco. Os túneis permitem que o apoio de cliente Cisco e os coordenadores de aplicativos analisem um sistema e façam reparos.

Como os túneis de Techsupport funcionam?

O túnel de Techsupport funciona com a maioria de Firewall sem alteração. Quando os novatos da conexão de túnel, o dispositivo fizerem uma conexão de SSH de uma porta aleatória da alto-fonte à porta especificada de um destes server fixados Cisco:

  • 63.251.108.107 - para construções mais velhas de AsyncOS
  • upgrades.ironport.com - para construções mais velhas de AsyncOS
  • c.tunnels.ironport.com - para a série C appliances/ESA
  • x.tunnels.ironport.com - para as X-séries appliances/ESA
  • m.tunnels.ironport.com - para as M-séries appliances/SMA
  • s.tunnels.ironport.com - para a série S appliances/WSA 

As portas que estão disponíveis nos server do fixar-túnel de Cisco são 22, 25, 53, 80, 443, e 4766. Desde que a conexão é feita ao hostname um pouco do que um endereço IP de Um ou Mais Servidores Cisco ICM NT duro-codificado, um Domain Name Server ativo (DNS) é exigido a fim estabelecer o túnel.

Alguns dispositivos protocolo-cientes obstruem o conexão devido à má combinação da /porta do protocolo e a algum protocolo simple mail transport (S TP) - dispositivos cientes interrompem a conexão. Nos casos onde há os dispositivos ou as conexões externas protocolo-cientes que são obstruídos, o uso de uma porta a não ser o padrão (25) pôde ser exigido. O acesso à extremidade remota do túnel é restringido somente ao apoio de cliente Cisco e aos coordenadores de aplicativos.

Nota: Quando Cisco apoia ou coordenador de aplicativos estão conectados ao túnel, a alerta do sistema no dispositivo inclui (SERVIÇO).

Dica: Os túneis tentam automaticamente restabelecer-se, como quando uma parada de rede ocorre ou quando o dispositivo está recarregado.

Como eu estabeleço um túnel de Techsupport?

A fim estabelecer uma conexão de túnel de Techsupport através do dispositivo CLI como um usuário admin, termine estas etapas:

  1. Incorpore o comando do techsupport.

  2. Escolha o túnel.

  3. Termine as alertas.

Nota: Quando você permite um túnel, você deve incorporar uma senha provisória e fornecê-la ao engenheiro de suporte do cliente Cisco. Esta senha não é usada diretamente, mas é usada a fim gerar uma senha máquina-específica.

A fim estabelecer um túnel do dispositivo admin GUI, termine estas etapas:

  1. Navegue à administração do sistema > ao Acesso remoto.

  2. Assegure-se de que você verifique o Acesso remoto reservar a este dispositivo e inicie-se a conexão através das caixas de seleção do túnel seguro.

  3. Submeta o formulário.

É importante notar que todo o Firewall deve ser configurado a fim permitir conexões externas a upgrades.ironport.com. Se seu Firewall tem a inspeção do protocolo S TP permitida, o túnel não estabelece. Nestas situações, você deve especificar uma porta alternativa. Escolha a porta a mais apropriada desta lista:

  • 22
  • 53
  • 80
  • 443
  • 4766

Nota: A porta 25 é usada como a porta do destino do padrão.

Dica: A fim desabilitar o túnel quando já não se exige, incorpore o comando do techsupport e escolha o desabilitação.

Como posso eu testar o túnel de Techsupport para a Conectividade?

Use este exemplo a fim executar um teste inicial para a Conectividade com seu Firewall:

example.run> > telnet upgrades.ironport.com 25

Trying 63.251.108.107...
Connected to 63.251.108.107.
Escape character is '^]'.
SSH-2.0-OpenSSH_6.2 CiscoTunnels1

Por que o túnel de Techsupport não funciona no dispositivo do Gerenciamento de segurança (S A)?


Não trabalha nos exemplos onde o S A é colocado na rede local sem o de acesso direto ao Internet, embora as portas mencionadas alistadas antes que o túnel de Techsupport não estabelecer. Neste caso o túnel de Techsupport pode ser permitido em um ESA pelo contrário e o acesso SSH pode ser permitido no S A. Isto permite o apoio de Cisco a primeiramente conecta através do túnel de Techsupport ao ESA e do ESA com o SSH ao S A, que exige que há uma Conectividade entre o ESA e o S A na porta 22.

Estabeleça o acesso SSH através do S A CLI como um usuário admin

  1. Incorpore o comando do techsupport.

  2. Escolha SSHACCESS.

  3. Termine as alertas.

Nota: Uma vez que permitido, forneça o apoio de Cisco o número de série do ESA e o S A assim como a senha do serviço. 



Document ID: 117873