Sécurité : Dispositifs de sécurité adaptatifs dédiés de la gamme Cisco ASA 5500

ASA : Exemple de configuration d'envoi du trafic réseau du dispositif ASA au module SSM CSC

17 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Ce document fournit une configuration d'échantillon pour que la façon envoie le trafic réseau de l'appliance de sécurité adaptatif de la gamme Cisco ASA 5500 (ASA) au Content Security and Control Security Services Module (CSC-SSM).

Le CSC-SSM assure la protection contre des virus, le logiciel espion, le Spam, et tout autre trafic non désiré. Il accomplit ceci en balayant le trafic de FTP, de HTTP, POP3, et de SMTP qui est détourné à lui par l'appliance de sécurité adaptable. Afin de forcer l'ASA pour détourner le trafic au CSC-SSM, vous devez utiliser le cadre de stratégie modulaire.

Référez-vous à l'ASA : Envoyez le trafic réseau de l'ASA à l'exemple de configuration d'AIP SSM afin d'envoyer le trafic réseau qui traverse l'appliance de sécurité adaptatif de la gamme Cisco ASA 5500 (ASA) à l'Advanced Inspection and Prevention Security Services Module (AIP SSM) (IPS) module.

Remarque: Le CSC-SSM peut balayer le trafic de FTP, de HTTP, POP3, et de SMTP seulement quand la destination port du paquet qui demande la connexion est le port connu pour le protocole spécifié. Le CSC-SSM peut balayer seulement ces connexions :

  • Connexions FTP ouvertes au port TCP 21

  • Connexions HTTP ouvertes au port TCP 80

  • Connexions POP3 ouvertes au port TCP 110

  • Connexions de SMTP ouvertes au port TCP 25

Conditions préalables

Conditions requises

Assurez-vous que vous répondez à ces exigences avant d'essayer cette configuration :

  • Une compréhension de base de la façon configurer la gamme de Cisco ASA 5500 exécute la version de logiciel 7.1 et plus tard.

  • Le CSC-SSM a été installé.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • ASA 5520 avec la version de logiciel 7.1 et plus tard

  • CSC-SSM-10 avec la version de logiciel 6.1

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Informations générales

Le CSC-SSM met à jour un fichier qui contient des profils de signature de contenu méfiant, mis à jour régulièrement d'un serveur de mise à jour à Trend Micro. Les balayages CSC-SSM le trafiquent reçoit de l'appliance de sécurité adaptable et la compare au satisfait le profile obtient de Trend Micro. Lui puis en avant contenu légitime en fonction à l'appliance de sécurité adaptable pour conduire, ou les blocs et les états contentent qui est méfiant.

Par défaut, CSC-SSM est livré avec un permis de base qui fournit ces caractéristiques :

  • Détecte et agit sur des virus et le malware dans le trafic réseau

  • Les blocs compressés ou les fichiers très grands qui dépassent ont spécifié des paramètres

  • Les balayages pour et enlèvent le logiciel espion, le logiciel publicitaire, et d'autres types de grayware

Supplémentaire, s'il est équipé d'a plus le permis, il effectue également ces tâches :

  • Réduit le Spam et se protège contre la fraude de phishing dans votre SMTP et trafic POP3

  • Installent les filtres satisfaits qui te permettent de permettre ou interdire le trafic d'email qui contiennent des mots-clé ou des expressions

  • Filtres/blocs URLs que vous ne voulez pas que les utilisateurs accèdent à, ou URLs qui sont connus pour avoir masqué ou les buts malveillants

Remarque: Le CSC-SSM peut analyser des transferts de fichiers de FTP seulement quand l'inspection de FTP est activée sur l'ASA. Par défaut, l'inspection de FTP est activée.

Remarque: Le CSC-SSM ne peut pas prendre en charge le basculement dynamique parce que le CSC-SSM ne met pas à jour les informations de connexion, et ne peut pas donc fournir à l'unité de Basculement l'information requise pour le basculement dynamique. Les connexions qu'un CSC-SSM balaye sont abandonnées quand les dispositifs de sécurité dans lesquels le CSC-SSM est installé échouent. Quand l'appliance de sécurité adaptable de réserve devient active, elle en avant le trafic balayé au CSC-SSM et les connexions sont remises à l'état initial.

Configurez

Dans un réseau dans lequel l'appliance de sécurité adaptable est déployée avec le CSC-SSM, vous configurez l'appliance de sécurité adaptable pour envoyer au CSC-SSM seulement les types de trafic que vous voulez être balayé.

Remarque: Utilisez l'outil Command Lookup Tool (clients enregistrés seulement) pour obtenir plus d'informations sur les commandes utilisées dans cette section.

ASA - Organigramme de SSM CSC

Ce diagramme affiche l'écoulement du trafic dans l'ASA et le CSC-SSM :

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-diagram1.gif

Dans cet exemple, les clients peuvent être des utilisateurs du réseau qui accèdent à un site Web, des fichiers téléchargés d'un ftp server, ou récupèrent la messagerie d'un serveur POP3.

Dans cette configuration, c'est comment la circulation :

  1. Le client initie une demande.

  2. L'appliance de sécurité adaptable reçoit la demande et en avant elle à l'Internet.

  3. Quand le contenu demandé est récupéré, l'appliance de sécurité adaptable détermine si ses stratégies de service définissent ce type satisfait en tant qu'un qui devrait être détourné au CSC-SSM pour le balayage, et font ainsi si approprié.

  4. Le CSC-SSM reçoit le contenu de l'appliance de sécurité adaptable, le balaye et le compare à sa dernière mise à jour des filtres satisfaits Trends Micros.

  5. Si le contenu est méfiant, le CSC-SSM bloque le contenu et signale l'événement. Si le contenu n'est pas méfiant, le CSC-SSM en avant le contenu demandé de nouveau à l'appliance de sécurité adaptable pour l'acheminement.

Première installation CSC

Dans la première installation, plusieurs paramètres doivent être configurés. Veillez-vous pour avoir recueilli les informations requises pour ces paramètres avant que vous commenciez.

Comme première étape pour configurer le CSC-SSM, lancez Cisco ASDM. Par défaut, vous pouvez accéder au CSC-SSM par l'adresse IP de Gestion de l'ASA chez https://192.168.1.1/. Vous devez s'assurer que votre PC et l'interface de gestion de l'ASA sont dans le même réseau. Alternativement, vous pouvez télécharger le lanceur ASDM pour des accès ultérieurs.

Configurez ces paramètres avec l'ASDM :

  1. Une fois dans la fenêtre principale ASDM, choisissez la configuration > sécurité du contenu Trende Micro > installation d'assistant et cliquez sur l'assistant de configuration de lancement.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-1.gif

  2. Clé d'activation :

    La première étape pour obtenir la clé d'activation est d'identifier la clé d'autorisation de produit (PAK) expédiée avec le produit. Il contient code barre et 11 caractères hexadécimaux. Par exemple, un échantillon PAK peut être 120106C7D4A.

    Employez le PAK pour enregistrer le CSC-SSM à la page Web d'enregistrement de permis de produit (clients enregistrés seulement). Après que vous vous enregistriez, vous recevez des clés d'activation par le courrier électronique.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-2.gif

  3. Paramètres IP de port de gestion :

    Spécifiez l'adresse IP d'adresse IP, de netmask et de passerelle pour l'interface de gestion CSC.

    Serveurs DNS — Adresse IP pour le serveur de DNS principal.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-3.gif

  4. Hôte et noms de domaine — Spécifiez un nom d'hôte aussi bien que le nom de domaine du CSC-SSM.

    Domaine entrant — Nom de domaine utilisé par le serveur de messagerie local comme domaine entrant de courrier électronique.

    Remarque: Des stratégies d'anti-Spam sont appliquées seulement au trafic de courrier électronique qui entrent dans ce domaine.

    Configurations de notification — Adresse électronique d'administrateur et l'adresse IP et le port de serveur de mail à utiliser pour des notifications.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-4.gif

  5. Paramètres d'accès au hôte de Gestion :

    Écrivez l'adresse IP et la masquez pour chaque sous-réseau et la hébergez qui devrait avoir accès de Gestion au CSC-SSM.

    Remarque: Par défaut, tous les réseaux ont accès de Gestion au CSC-SSM. Pour des raisons de sécurité, Cisco recommande que vous limitiez l'accès aux sous-réseaux ou aux hôtes spécifiques de Gestion.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-5.gif

  6. Nouveau mot de passe pour CSC-SSM :

    Changez le mot de passe par défaut, Cisco, à un nouveau mot de passe pour l'accès de Gestion.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-6.gif

  7. Dans l'étape 6 de l'assistant de configuration CSC, spécifiez le type de trafic à balayer.

    L'appliance de sécurité adaptable détourne des paquets au CSC-SSM après que les stratégies de Pare-feu soient appliquées mais avant les paquets quittez l'interface de sortie. Par exemple, des paquets qui sont bloqués par une liste d'accès ne sont pas expédiés au CSC-SSM.

    Configurez les stratégies de service pour spécifier qui trafiquent l'appliance de sécurité adaptable devraient détourner au CSC-SSM. Le CSC-SSM peut balayer le trafic de HTTP, POP3, de FTP, et de SMTP envoyé aux ports connus pour ces protocoles.

    Afin de simplifier le processus de configuration initiale, cette procédure crée une stratégie de service mondial qui détourne tout le trafic pour les protocoles pris en charge au CSC-SSM, d'arrivée et sortant. Puisque le balayage de tout le trafic qui est livré par l'appliance de sécurité adaptable peut réduire la représentation de l'appliance de sécurité adaptable et du CSC-SSM, vous voulez mettre à jour cette stratégie de sécurité plus tard. Par exemple, il n'est pas habituellement nécessaire de balayer tout le trafic qui provient votre réseau intérieur parce qu'il provient une source sûre. Si vous affinez les stratégies de service de sorte que les balayages CSC-SSM trafiquent seulement des sources non approuvées, vous pouvez atteindre vos buts de Sécurité et maximiser la représentation de l'appliance de sécurité adaptable et du CSC-SSM.

    Terminez-vous ces étapes afin de créer une stratégie de service mondial qui identifie le trafic à balayer :

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-7.gif

    1. Cliquez sur Add afin d'ajouter un nouveau type de trafic.

    2. Choisissez global de la liste déroulante d'interface.

    3. En quittez la source et les champs de destination réglés à.

    4. Dans le service il y a, clique sur la case d'option des points de suspension (...). Dans cette boîte de dialogue, choisissez un service de prédéfinis ou cliquez sur Add afin de définir un nouveau service.

    5. Dans si la carte CSC échoue, puis la zone, choisissez si l'appliance de sécurité adaptable devrait permettre ou refuser le trafic sélectionné si le CSC-SSM est indisponible.

    6. Cliquez sur OK afin de retourner à la sélection du trafic pour la fenêtre de balayage CSC.

    7. Cliquez sur Next (Suivant).

  8. Dans l'étape 7 de l'assistant de configuration CSC, paramètres de configuration d'examen que vous avez écrits pour le CSC-SSM.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-8.gif

    Si vous êtes satisfait avec ces configurations, cliquez sur Finish.

    L'ASDM affiche un message qui indique que le périphérique CSC est maintenant en activité.

    Par défaut, le CSC-SSM est configuré pour exécuter des balayages de sécurité du contenu activés par le permis que vous avez acheté, qui peut inclure l'antivirus, l'anti-Spam, l'anti-phishing, et le filtrage selon le contenu. Il est également configuré pour obtenir des mises à jour régulières du serveur Trend Micro de mise à jour.

    Si inclus dans le permis vous avez acheté, vous pouvez créer les paramètres personnalisés pour le blocage et le Filtrage URL URL, aussi bien que le courrier électronique et les paramètres de FTP. Pour en savoir plus de guide de l'administrateur voyez de Cisco de sécurité du contenu et de contrôle SSM.

Comment configurer l'ASA pour détourner le trafic à CSC-SSM

Afin de forcer l'ASA pour détourner le trafic au CSC-SSM, vous devez utiliser le cadre de stratégie modulaire. Terminez-vous ces étapes afin d'accomplir l'identification et le transfert du trafic à CSC-SSM :

  1. Créez une liste d'accès qui apparie le trafic que vous voulez balayé par le CSC-SSM, afin de détourner le trafic à CSC-SSM, avec la commande d'access-list extended :

    hostname(config)#access-list acl-name extended {deny | permit} protocol src_ip mask dest_ip mask operator port
    
    
  2. Créez un class map afin d'identifier le trafic qui devrait être détourné au CSC-SSM avec la commande de class-map :

    hostname(config)#class-map class_map_name
    
    
  3. Une fois dans le mode de configuration de class map, employez la commande de match access-list afin d'identifier le trafic avec l'utilisation de la liste d'accès précédemment spécifiée :

    hostname(config-cmap)#match access-list acl-name
    
    hostname(config-cmap)#exit
    
  4. Créez une carte de stratégie afin d'envoyer le trafic au CSC-SSM avec la commande de policy-map :

    hostname(config)#policy-map policy_map_name
    
    
  5. Une fois en mode de configuration de policy-map, employez la commande de classe afin de spécifier le class map, précédemment créé, qui identifie le trafic à balayer :

    hostname(config-pmap)#class class_map_name
    
    
  6. Une fois dans le mode de configuration de map class de stratégie, vous pouvez configurer ces derniers :

    • Si vous voulez imposer une limite de par-client pour les connexions simultanées que l'appliance de sécurité adaptable détourne au CSC-SSM, utilisez la commande de connexion de positionnement, comme suit :

      hostname(config-pmap-c)#set connection per-client-max n
       

      là où n est les connexions simultanées maximum l'appliance de sécurité adaptable tient compte de chaque client. Cette commande empêche un client simple de maltraiter les services du CSC-SSM ou de n'importe quel serveur protégé par le SSM, qui inclut la prévention des tentatives d'attaques DoS sur le HTTP, le FTP, le POP3, ou les serveurs SMTP que le CSC-SSM protège.

    • Employez la commande de csc afin de contrôler comment les traitements ASA trafiquent quand le CSC-SSM est indisponible :

      hostname(config-pmap-c)#csc {fail-close | fail-open}
       

      là où l'échec-fin spécifie que l'ASA devrait bloquer le trafic si le CSC-SSM échoue et en revanche, échec-ouvert spécifie que l'ASA devrait permettre le trafic si le CSC-SSM échoue.

      Remarque: Ceci s'applique au trafic sélectionné par le class map seulement. L'autre trafic non envoyé au CSC-SSM n'est pas affecté par une panne CSC-SSM.

  7. Pour finir, appliquez la carte de stratégie globalement ou à une interface spécifique avec la commande de service-stratégie :

    hostname(config-pmap-c)#service-policy policy_map_name [global | interface interface_ID]
     

    là où l'interface_ID est le nom attribué à l'interface avec la commande de nameif.

    Remarque: On permet seulement une stratégie globale. Vous pouvez ignorer la stratégie globale sur une interface avec l'application d'une stratégie de service à cette interface. Vous pouvez seulement appliquer une carte de stratégie à chaque interface.

Diagramme du réseau

Ce diagramme est un exemple d'une ASA 5500 configurée pour ces paramètres :

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-9.gif

Le résumé du schéma de réseau montre ces derniers :

  • Connexion HTTP aux réseaux extérieurs

  • Connexion FTP des clients à l'intérieur des dispositifs de sécurité aux serveurs en dehors des dispositifs de sécurité

  • Clients POP3 des clients à l'intérieur des dispositifs de sécurité aux serveurs en dehors des dispositifs de sécurité.

  • Connexions entrantes de SMTP indiquées au serveur de messagerie intérieur

Configuration ASA

ASA5520
ciscoasa(config)#show running-config
: Saved
:
ASA Version 8.0(2) 
!
hostname ciscoasa
domain-name Security.lab.com
enable password 2kxsYuz/BehvglCF encrypted
no names
dns-guard
!
interface GigabitEthernet0/0
 speed 100
 duplex full
 nameif outside
 security-level 0
 ip address 172.30.21.222 255.255.255.0 
!
interface GigabitEthernet0/1
 description INSIDE
 nameif inside
 security-level 100
 ip address 192.168.5.1 255.255.255.0 
!


!--- Output suppressed

access-list csc-acl remark Exclude CSC module traffic from being scanned
access-list csc-acl deny ip host 10.89.130.241 any

!--- In order to improve the performance of the ASA and CSC Module.
!--- Any traffic from CSC Module is excluded from the scanning. 

access-list csc-acl remark Scan Web & Mail traffic

access-list csc-acl permit tcp any any eq www
access-list csc-acl permit tcp any any eq smtp
access-list csc-acl permit tcp any any eq pop3

!

!--- All Inbound and Outbound traffic for WEB, Mail services is scanning. 


access-list csc-acl-ftp permit tcp any any eq ftp

!--- All Inbound and Outbound traffic for FTP service is scanning. 
 
class-map csc-class 
match access-list csc-acl 
!

class-map csc-ftp-class 
match access-list csc-acl-ftp
! 
policy-map global_policy
class csc-class
csc fail-open

class csc-ftp-class
csc fail-open
policy-map global_policy
 class inspection_default

!--- Inspect FTP traffic for scanning.

  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect rsh 
  inspect sqlnet 
  inspect skinny  
  inspect sunrpc 
  inspect xdmcp 
  inspect sip  
  inspect netbios 
  inspect tftp 
  inspect icmp 
  inspect http 
service-policy global_policy global


!--- Output suppressed

Page d'accueil CSC

Installation CSC

InterScan Trend Micro pour Cisco CSC-SSM assure la protection pour des protocoles importants du trafic, tels que le SMTP, le HTTP, et le FTP, aussi bien que le trafic POP3, afin de s'assurer que les employés n'introduisent pas accidentellement des virus de leurs comptes e-mails personnels.

Choisissez la configuration > sécurité du contenu Trende Micro afin d'ouvrir le CSC-SSM. Du menu de configuration, choisissez de ces options de configuration : http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-10.gif

  • CSC installés — Lance l'assistant de configuration pour installer et configurer le CSC-SSM

  • Web — Configure la lecture de Web, le fichier bloquant, le Filtrage URL, et le blocage URL

  • Messagerie — Configure la lecture, le filtrage selon le contenu, et la prévention de Spam pour le SMTP et le courrier électronique entrants POP3 et sortants

  • Transfert de fichiers — Configure la lecture et le blocage de fichier

  • Mises à jour — Mises à jour de programmes pour des composants de lecture de sécurité du contenu, par exemple, fichier de modèle de virus, engine de balayage, et ainsi de suite

Les options de Web, de messagerie, de transfert de fichiers, et de mises à jour sont décrites plus en détail en ces chapitres :

Cet exemple affiche comment configurer un CSC-SSM pour analyser le message SMTP entrant au réseau de réseau interne.

Les messages SMTP entrants sont détournés au CSC-SSM pour le balayage. Dans cet exemple, tout le trafic de l'extérieur pour accéder au serveur de messagerie intérieur (192.168.5.2/24) pour des services de SMTP sont détournés au CSC-SSM.

access-list csc_inbound extended permit tcp any host 192.168.5.2 eq smtp 

Ces valeurs par défaut te donnent une certaine protection pour votre trafic de courrier électronique après que vous installiez InterScan Trend Micro pour Cisco CSC-SSM.

Configuration de SMTP

Configuration Trende Micro de SMTP

Terminez-vous ces étapes afin de configurer le CSC-SSM pour analyser le message SMTP entrant utilisant l'ASDM :

  1. Choisissez la configuration > sécurité du contenu Trende Micro > messagerie dans l'ASDM et cliquez sur Configure le balayage entrant afin d'afficher la fenêtre de balayage/cible de message entrant de SMTP.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-11.gif

  2. La fenêtre vous porte à l'InterScan Trend Micro pour l'invite d'ouverture de connexion de Cisco CSC-SSM. Entrez le mot de passe CSC-SSM.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-12.gif

  3. La fenêtre de balayage de message entrant de SMTP a ces trois points de vue :

    • Cible

    • Action

    • Notification

    Vous pouvez commuter parmi des vues si vous cliquez sur l'onglet approprié pour les informations que vous voulez. Le nom actif d'onglet apparaît en texte brun ; les noms inactifs d'onglet apparaissent en texte noir. Employez chacun des trois onglets afin de configurer la lecture de virus du trafic entrant de SMTP.

    Cliquez sur la cible afin de te permettre pour définir la portée de l'activité sur laquelle est agi.

    Le balayage de message entrant de SMTP est activé par défaut.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-13.gif

  4. Dans la section par défaut de lecture, tous les fichiers analysables est sélectionnés par défaut. Il balaye indépendamment des extensions de nom du fichier.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-14.gif

  5. Configurez le fichier compressé de SMTP manipulant pour la messagerie entrante.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-15.gif

    Configurez pour ignorer la lecture des fichiers compressés quand un de ces derniers est vrai :

    • Le compte décompressé de fichier est plus grand que 200.

    • La taille de fichier décompressée dépasse 20 Mo.

    • Le nombre de couches de compactage dépasse trois.

    • Le rapport décompressé ou de fichier compressé de volume est plus grand que 100 à 1.

    • Les fichiers compressés dépassent des critères de balayage spécifiés.

    Modifiez les paramètres par défaut du compte décompressé de fichier en tant que 300 et avez décompressé la taille de fichier en tant que 30 Mo.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-16.gif

  6. Dans le balayage pour la section de logiciel espion/Grayware de ces fenêtres, qui a été affichée dans l'étape 5, choisissez les types de grayware que vous voulez détecté par InterScan Trend Micro pour Cisco CSC-SSM. Voyez l'aide en ligne pour une description de chaque type de grayware répertorié.

    Sauvegarde de clic afin d'activer la nouvelle configuration

  7. Cliquez sur l'onglet d'action, qui te permet pour définir l'action d'être pris quand une menace est détectée. Les exemples des actions sont propres ou effacement.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-17.gif

    Ces valeurs sont action par défaut prise pour les messageries entrantes.

    • Pour des messages avec la section de détection de virus/malware — nettoyez le message ou la connexion dans lesquels le malware a été détecté, et si le message ou la connexion est uncleanable, supprimez-la.

      http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-18.gif

    • Pour le logiciel espion/détections de Grayware — Ce sont les fichiers à livrer si les messages SMTP dans lesquels le logiciel espion ou le grayware est détecté.

      Sauvegarde de clic afin d'activer la nouvelle configuration

  8. Cliquez sur l'onglet de notification, qui te permet pour composer un message de notification, aussi bien que définissez qui est avisé de l'événement et de l'action.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-19.gif

    Si vous êtes satisfait avec l'installation par défaut de notification, aucune action supplémentaire n'est exigée. Mais, vous pouvez passer en revue les options de notification et décider si vous voulez changer les par défaut. Par exemple, vous pouvez envoyer une notification à l'administrateur quand un risque de sécurité a été détecté dans un message électronique. Pour le SMTP, vous pouvez également informer l'expéditeur ou le récepteur.

    Vérifiez les cases d'administrateur et de destinataire pour la notification électronique. Vous pouvez également concevoir en fonction le texte par défaut dans le message de notification pour quelque chose plus appropriée pour votre organisation comme dans cette copie d'écran.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-20.gif

  9. Dans la section de notifications d'en ligne de la fenêtre, choisissez un des options énumérées, ni, ou de chacun des deux.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-21.gif

    Dans notre exemple, choisissez le message libre de risque et introduisez votre propre message dans le champ approprié.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-22.gif

    Sauvegarde de clic afin d'activer la nouvelle configuration.

Configuration de HTTP

Balayage

Après installation, par défaut votre HTTP et trafic FTP est balayé pour des virus, des vers, et des chevaux de Troie. Le malware tel que le logiciel espion et tout autre grayware exigent une modification de configuration avant qu'ils soient détectés.

Ces valeurs par défaut te donnent une certaine protection pour votre Web et trafic FTP après que vous installiez InterScan Trend Micro pour Cisco CSC-SSM. Vous pouvez changer ces configurations. Par exemple, vous pouvez préférer utiliser le balayage par l'option d'extensions de fichier spécifié plutôt que tous les fichiers analysables pour la détection de malware. Avant que vous apportiez des modifications, passez en revue l'aide en ligne pour plus d'informations sur ces sélections.

Après installation, il est possible que vous vouliez mettre à jour des configurations de configuration supplémentaire afin d'obtenir la protection maximale pour votre Web et trafic FTP. Si vous achetiez le permis plus, qui vous autorise à recevoir l'URL bloquant, anti-phishing, et fonctionnalité de Filtrage URL, vous devez configurer ces fonctionnalités supplémentaires.

Terminez-vous ces étapes afin de configurer le CSC-SSM pour balayer le message de HTTP avec l'ASDM :

  1. Cliquez sur le Web (HTTP) dans la page Trende Micro, et cette fenêtre de balayage de message de Web a quatre points de vue :

    • Cible

    • Lecture de webmail

    • Action

    • Notification

    Cliquez sur l'onglet approprié pour les informations que vous voulez afin de commuter parmi des vues. Le nom actif d'onglet apparaît en texte brun ; les noms inactifs d'onglet apparaissent en texte noir. Employez tous les onglets afin de configurer la lecture de virus du trafic web.

    Cliquez sur la cible afin de te permettre pour définir la portée de l'activité sur laquelle est être agie.

    • Le balayage de message de HTTP est activé par défaut.

    • Activé avec l'utilisation de tous les fichiers analysables comme méthode de lecture.

    • Fichier compressé de Web (HTTP) manipulant pour télécharger du Web — configuré pour ignorer la lecture des fichiers compressés quand un de ces derniers est vrai :

      • Le compte décompressé de fichier est plus grand que 200.

      • La taille de fichier décompressée dépasse 30 Mo.

      • Le nombre de couches de compactage dépasse trois.

      • Le rapport décompressé ou de fichier compressé de volume est plus grand que 100 à 1.

      http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-23.gif

    Pour la lecture de webmail — Configuré pour balayer des sites de webmail pour Yahoo, AOL, MSN, et Google.

  2. Grande manipulation de fichier

    Les onglets de cible sur le balayage et le FTP du HTTP balayant des fenêtres te permettent pour définir la taille du plus grand téléchargement que vous voulez balayé. Par exemple, vous pouvez spécifier qu'un téléchargement au-dessous de 20 Mo est balayé, mais un téléchargement plus grand que 20 Mo n'est pas balayés.

    En outre, vous pouvez :

    • Spécifiez les grands téléchargements à livrer sans balayage, qui peut introduire un risque de sécurité.

    • Spécifiez que des téléchargements plus grands que la limite spécifiée sont supprimés.

    Par défaut, le logiciel CSC-SSM spécifie que de plus petit que 50 Mo de fichiers sont balayés. Modifiez en tant que 75 Mo. Des fichiers qui sont 75 Mo et plus grands sont fournis sans balayer au client de demande.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-24.gif

    Lecture reportée

    La caractéristique de balayage reportée n'est pas activée par défaut. Une fois activée, cette caractéristique te permet pour commencer à télécharger des données sans balayer le téléchargement entier. La lecture reportée te permet pour commencer à visualiser les données sans attente prolongée tandis que le corps entier des informations est balayé.

    Remarque: Si vous n'activez pas l'option de balayage reportée, alors vous pouvez faire face à une mise à jour infructueuse par le module CSC.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-25.gif

    Remarque: Quand la lecture reportée est activée, la partie unscanned des informations peut introduire un risque de sécurité.

    Remarque:  Trafiquez que des mouvements par HTTPS ne peuvent pas être balayés pour des virus et d'autres menaces par le logiciel CSC-SSM.

    Si la lecture reportée n'est pas activée, le contenu entier du téléchargement doit être balayé avant qu'il te soit présenté. Mais, du logiciel client peut chronométrer en raison de la durée requise pour collecter les paquets du réseau suffisants afin de composer les fichiers complets pour le balayage. Cette table récapitule les avantages et les inconvénients de chaque méthode.

    Méthode Avantage Inconvénient
    Lecture reportée activée Empêche des délais d'attente de client Peut introduire un risque de sécurité
    Balayage reporté désactivé Plus sûr. Le fichier complet est analysé pour des risques de sécurité avant de t'être présentée. Le résultat de mai dans le client chronométrant avant le téléchargement est complet

    Balayage pour le logiciel espion et le Grayware

    Grayware est une catégorie de logiciel qui peut être légitime, non désirée, ou malveillante. À la différence des menaces telles que des virus, des vers, et des chevaux de Troie, le grayware n'infecte pas, réplique, ou détruit des données, mais il peut violer votre intimité. Les exemples du grayware incluent le logiciel espion, le logiciel publicitaire, et les outils d'Accès à distance.

    La détection de logiciel espion ou de grayware n'est pas activée par défaut. Vous devez configurer cette caractéristique dans ces fenêtres afin de détecter le logiciel espion et d'autres formes de logiciel espion et tout autre grayware dans votre Web et transfert de fichiers trafiquent :

    Sauvegarde de clic afin de mettre à jour votre configuration.

  3. Vous pouvez commuter à l'onglet de webmail de lecture afin de balayer des sites de webmail pour Yahoo, AOL, MSN, et Google.

    Remarque: Si vous choisissez de balayer seulement le webmail, le balayage de HTTP est limité aux sites spécifiés sur l'onglet de lecture de webmail du Web (HTTP) > lecture > HTTP balayant la fenêtre. L'autre trafic http n'est pas balayé. Des sites configurés sont balayés jusqu'à ce que vous les retiriez quand vous cliquez sur l'icône de poubelle.

    Dans la zone d'identification, écrivez le nom précis de site Web, un mot clé URL, et une chaîne afin de définir le site de webmail.

    Remarque: Des connexions aux messages qui sont gérés sur le webmail sont balayées.

    Sauvegarde de clic afin de mettre à jour votre configuration.

  4. Vous pouvez commuter à l'onglet d'action pour la configuration de la détection de virus/malware et du logiciel espion/des détections de Grayware.

    • Les téléchargements de Web (HTTP) pour les fichiers en lesquels le virus/malware est détecté — nettoient le fichier téléchargé ou le fichier en lesquels le malware a été détecté. Si uncleanable, supprimez le fichier.

    • Des téléchargements de Web (HTTP) et les transferts de fichiers (FTP) pour les fichiers en lesquels le logiciel espion ou le grayware est détecté — des fichiers sont supprimés.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-26.gif

  5. Des téléchargements de Web (HTTP) quand le malware est détecté — une notification intégrée est insérés dans le navigateur, qui déclare qu'InterScan Trend Micro pour CSC-SSM a analysé le fichier que vous tentez de transférer, et a détecté un risque de sécurité.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-27.gif

Blocage de fichier

Dans le menu déroulant gauche, blocage de fichier de clic.

Cette caractéristique est activée par défaut ; cependant, vous devez spécifier les types de fichiers que vous voulez bloqué. Le blocage de fichier vous aide à imposer vos stratégies d'organisation pour utiliser-et d'Internet d'autres ressources calculantes pendant le temps de travail. Par exemple, votre société ne permet pas le téléchargement de la musique, en raison des questions juridiques aussi bien que des questions de productivité des employés.

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-28.gif

  • Sur l'onglet de cible de la fenêtre de bloc de fichier, cochez la case exécutable afin de bloquer .exe.

  • Vous pouvez spécifier les types de fichier supplémentaires par l'extension de nom du fichier. Cochez la case d'extensions de fichier spécifié de bloc afin d'activer cette caractéristique.

  • Puis, écrivez les types de fichier supplémentaires dans les extensions de fichier pour bloquer le champ, et cliquez sur Add. Dans l'exemple, des fichiers .mpg sont bloqués.

    Sauvegarde de clic quand vous êtes de finition afin de mettre à jour la configuration.

Cochez la case de notification d'administrateur afin d'envoyer les messages par défaut dans la zone de texte.

Cliquez sur l'onglet de notification pour le message d'alerte.

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-29.gif

Blocage URL

Cette section décrit l'URL bloquant la caractéristique et inclut ces thèmes :

Remarque: Cette caractéristique exige le permis plus.

L'URL bloquant la caractéristique vous aide à empêcher des employés d'accéder à des sites Web interdits. Par exemple, il est possible que vous vouliez bloquer quelques sites parce que les stratégies dans votre organisation interdisent l'accès à dater des services, des services de shopping en ligne, ou des sites offensifs.

Vous pouvez également bloquer les sites qui sont connus pour commettre la fraude, telle que le phishing. Le phishing est une technique utilisée par les criminels qui envoient les messages électroniques qui semblent être d'une organisation légitime, qui vous invitent à indiquer les informations personnelles telles que des nombres de compte bancaire. Cette image affiche un exemple d'un message électronique utilisé pour le phishing.

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-30.gif

Par défaut, le blocage URL est activé. Mais, des seuls sites dans le fichier de modèle de TrendMicro PhishTrap sont bloqués jusqu'à ce que vous spécifiiez les sites supplémentaires pour le blocage.

Blocage du par l'intermédiaire de l'onglet de liste locale

Terminez-vous ces étapes afin de configurer l'URL bloquant du par l'intermédiaire de l'onglet de liste locale :

  1. Choisissez la configuration > sécurité du contenu Trende Micro > Web dans l'ASDM et cliquez sur Configure l'URL bloquant afin d'afficher l'URL bloquant la fenêtre.

  2. Sur par l'intermédiaire de l'onglet de liste locale de l'URL bloquant la fenêtre, tapez l'URLs que vous voulez bloquer dans le match field. Vous pouvez spécifier le nom précis de site Web, un mot clé URL, et une chaîne.

  3. Bloc de clic après que chaque entrée afin de déplacer l'URL à la liste de bloc. Le clic ne bloquent pas pour ajouter l'entrée pour bloquer des exceptions de liste afin de spécifier votre entrée comme exception. Les entrées demeurent comme bloquées ou des exceptions jusqu'à ce que vous les retiriez.

    Remarque: Vous pouvez également importer une liste de bloc et d'exception. Le fichier importé doit être dans un format spécifique. Voyez l'aide en ligne pour des instructions.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-31.gif

Blocage du par l'intermédiaire de l'onglet de fichier de modèle (PhishTrap)

Terminez-vous ces étapes afin de configurer le fichier URL bloquant du par l'intermédiaire de l'onglet de fichier de modèle (PhishTrap) :

  1. Choisissez la configuration > sécurité du contenu Trende Micro > Web dans l'ASDM et cliquez sur l'URL de configurer bloquant le lien afin d'afficher l'URL bloquant la fenêtre.

  2. Cliquez sur alors par l'intermédiaire de l'onglet de fichier de modèle (PhishTrap).

  3. Par défaut, le fichier de modèle de Trend Micro PhishTrap détecte et bloque les sites connus de phishing, les sites de logiciel espion, les sites de complice de virus qui sont des sites associés avec des exploits connues, et les vecteurs de maladies, qui sont des sites Web qui existent seulement pour les buts malveillants. Employez la soumission l'URL potentiel de phishing aux champs de TrendLabs afin de soumettre les sites que vous pensez devriez être ajouté au fichier de modèle de PhishTrap. TrendLabs évalue le site et peut ajouter le site à ce fichier si une telle action est justifiée.

  4. Cliquez sur l'onglet de notification afin de passer en revue le texte du message par défaut qui apparaît dans le navigateur quand une tentative est faite pour accéder à un site bloqué. L'aide en ligne affiche un exemple. Mettez- en valeuret redéfinissez-le afin de personnaliser le message par défaut.

  5. Sauvegarde de clic quand vous êtes de finition afin de mettre à jour la configuration.

Filtrage des URL

Il y a deux importantes sections à discuter ici.

  • Configurations de filtrage

  • Règles de filtrage

    L'URLs défini sur l'URL bloquant des fenêtres décrites précédemment sont toujours permis ou toujours rejetés. La caractéristique de Filtrage URL, cependant, te permet pour filtrer l'URLs dans les catégories, que vous pouvez programmer pour permettre l'accès pendant certaines périodes, définies en tant que temps libre, et rejetez l'accès pendant le temps de travail.

    Remarque: Cette caractéristique exige le permis plus.

    Ce sont les six catégories de Filtrage URL :

    • Société-interdit

    • Pas travail associé

    • Domaines de recherche

    • Fonction commerciale

    • Client défini

    • D'autres

Par défaut, des sites société-interdits sont bloqués pendant les temps de travail et libres.

Configurations de filtrage

Terminez-vous ces étapes afin de configurer la caractéristique de Filtrage URL :

  1. Choisissez la configuration > sécurité du contenu Trende Micro > Web dans l'ASDM et cliquez sur Configure les configurations de Filtrage URL afin d'afficher la fenêtre de configurations de Filtrage URL.

  2. Sur l'URL les catégories tabulent, passent en revue les sous-catégories répertoriées et les classifications par défaut assignées à chaque catégorie pour voir si les affectations sont appropriées pour votre organisation. Par exemple, les drogues illégales est une sous-catégorie de la catégorie Société-interdite. Si votre organisation est une entreprise de services financiers, il est possible que vous vouliez laisser cette catégorie classifiée comme société-interdite. Cochez la case de drogues illégales afin d'activer le filtrage pour des sites liés aux drogues illégales. Mais, si votre organisation est un organisme d'application de la loi, vous devriez reclassifier la sous-catégorie de drogues illégales à la catégorie de fonction commerciale. Voyez l'aide en ligne pour plus d'informations sur la reclassification.

  3. Après que vous ayez passé en revue et ayez affiné les classifications de sous-catégorie, vérifiez la sous-catégorie associée afin d'activer toutes les sous-catégories pour lesquelles vous voulez le filtrage exécuté.

  4. S'il y a des sites dans certaines des sous-catégories activées que vous ne voulez pas filtré, cliquez sur l'onglet d'exceptions de Filtrage URL.

  5. Tapez l'URLs que vous voulez exclure du filtrage dans le match field. Vous pouvez spécifier le nom précis de site Web, un mot clé URL, et une chaîne.

  6. Cliquez sur Add après que chaque entrée afin de déplacer l'URL au ne filtrent pas la liste suivante de sites. Les entrées demeurent comme exceptions jusqu'à ce que vous les enleviez.

    Remarque: Vous pouvez également importer une liste d'exception. Le fichier importé doit être dans un format spécifique. Voyez l'aide en ligne pour des instructions.

  7. Cliquez sur l'onglet de programme afin de définir les jours de la semaine et des heures du jour qui devrait être considéré temps de travail. Le temps non indiqué comme temps de travail est automatiquement indiqué en tant que temps libre.

  8. Sauvegarde de clic afin de mettre à jour la configuration de Filtrage URL.

  9. Cliquez sur l'onglet URL de reclassifier afin de soumettre l'URLs suspect à TrendLabs pour l'évaluation.

Règles de filtrage

Après que vous ayez assigné les sous-catégories URL aux catégories correctes pour votre organisation, des exceptions définies (le cas échéant), et créé le travail et le temps libre programment, assignez les règles de filtrage qui déterminent quand une catégorie filtre.

Terminez-vous ces étapes afin d'assigner les règles de Filtrage URL :

  1. Choisissez la configuration > sécurité du contenu Trende Micro > Web dans l'ASDM et cliquez sur les règles de Filtrage URL de configurer joignent afin d'afficher la fenêtre de règles de Filtrage URL.

  2. Pour chacune des six principales catégories, spécifiez si l'URLs dans cette catégorie sont bloqués, et si oui, pendant le temps de temps de travail et libre, ou les chacun des deux. Voyez le pour en savoir plus d'aide en ligne.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-32.gif
  3. Sauvegarde de clic afin de mettre à jour la configuration.

    Remarque: Pour que le Filtrage URL fonctionne correctement, le module CSC-SSM doit pouvoir envoyer des demandes de HTTP au service Trend Micro. Si un proxy HTTP est exigé, choisissez la mise à jour > les paramètres de proxy afin de configurer le paramètre de proxy. Le composant de Filtrage URL ne prend en charge pas le proxy SOCKS4.

Configuration de FTP

Configuration Trende Micro de FTP

Après installation, par défaut votre trafic FTP est balayé pour des virus, des vers, et des chevaux de Troie. Le malware tel que le logiciel espion et tout autre grayware exigent une modification de configuration avant qu'ils soient détectés.

Lecture de transfert de fichiers (FTP) des transferts de fichiers — activés utilisant tous les fichiers analysables comme méthode de lecture.

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-33.gif

Terminez-vous les étapes données dans le fichier bloquant la page pour le trafic http.

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-34.gif

Terminez-vous les étapes données dans le fichier bloquant la page pour le trafic http.

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-35.gif

Vérifiez

Utilisez cette section pour confirmer que votre configuration fonctionne correctement.

L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Bien que, l'OIT puisse être utilisé pour visualiser une analyse de quelques sorties de commande show, ces commandes show ne sont pas actuellement compatibles avec cet outil.

  • show module — Afin de vérifier l'état d'un SSM, par exemple :

    ciscoasa#show module
    Mod Card Type                                    Model              Serial No. 
    --- -------------------------------------------- ------------------ -----------
      0 ASA 5520 Adaptive Security Appliance         ASA5520            JMX090000B7
      1 ASA 5500 Series Security Services Module-20  ASA-SSM-20         JAF10333331
    
    Mod MAC Address Range                 Hw Version   Fw Version   Sw Version     
    --- --------------------------------- ------------ ------------ ---------------
      0 0014.c482.5151 to 0014.c482.5155  1.1          1.0(10)0     8.0(2)
      1 000b.fcf8.012c to 000b.fcf8.012c  1.0          1.0(10)0     Trend Micro InterScan Security Module Version 6.0
    
    Mod SSM Application Name           Status           SSM Application Version
    --- ------------------------------ ---------------- --------------------------
      1 Trend Micro InterScan Security Up               Version 6.0
    
    Mod Status             Data Plane Status     Compatibility
    --- ------------------ --------------------- -------------
      0 Up Sys             Not Applicable         
      1 Up                 Up
  • détails du show module 1 — Employez le mot clé de détails afin de visualiser les informations complémentaires pour le SSM, par exemple :

    ciscoasa#show module 1 details
    Getting details from the Service Module, please wait...
    ASA 5500 Series Security Services Module-20
    Model:              ASA-SSM-20
    Hardware version:   1.0
    Serial Number:      JAF10333331
    Firmware version:   1.0(10)0
    Software version:   Trend Micro InterScan Security Module Version 6.0
    App. name:          Trend Micro InterScan Security Module
    App. version:       Version 6.0
    Data plane Status:  Up
    Status:             Up
    HTTP Service:       Up
    Mail Service:       Up
    FTP Service:        Up
    Activated:          Yes
    Mgmt IP addr:       172.30.21.235
    Mgmt web port:      8443
  • le slot_num de show module récupèrent — Détermine s'il y a une configuration de reprise pour le SSM. Si une configuration de reprise existe pour le SSM, l'ASA l'affiche. Exemple :

    ciscoasa#show module 1 recover
    Module 1 recover parameters. . .
    Boot Recovery Image: Yes
    Image URL:           tftp://10.21.18.1/ids-oldimg
    Port IP Address:     172.30.21.10
    Port Mask:          255.255.255.0
    Gateway IP Address:  172.30.21.254

Référez-vous à vérifier la première installation pour plus d'informations sur la façon vérifier qu'InterScan Trend Micro pour Cisco CSC-SSM fonctionne correctement.

Dépannez

Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration. Référez-vous dépannage derrière InterScan Trend Micro pour le SSM de Cisco CSC pour plus d'informations sur la façon dépanner plus sur CSC-SSM.

Accès Internet

Problème

Le CSC ne peut pas accéder à l'Internet par l'interface de gestion ASA ou le CSC ne peut pas obtenir des mises à jour du serveur de tendance par l'Internet.

Solution

L'interface de gestion configure avec la commande réservée à la Gestion et la fait seulement recevoir le trafic à ou de l'ASA, pas par elle. Retirez ainsi la commande réservée à la Gestion et la déclaration NAT pour le trafic de Gestion-à-extérieur puis permet à l'Internet pour que CSC mette à jour.

Spam n'étant pas détecté

Problème

Le CSC ne peut pas détecter le Spam.

Solution

Vous devez activer l'option d'anti-Spam, qui n'est pas activée par défaut. Le permis plus doit être installé, et les configurations de DN doivent être correctes pour le Fondé(e) sur le réseau, réputation d'email d'anti-Spam à fonctionner correctement. Référez-vous à activer le SMTP et le pour en savoir plus du filtrage spam POP3.

Erreurs de violation de permis

Problème

Le module CSC affiche des erreurs de violation de permis et signale plus d'hôtes que ce qui est dans le réseau. La violation de permis a été détectée sur l'InterScan pour l'erreur de SSM CSC est vue dans le module CSC. Comment cette erreur peut-elle être résolue ?

Solution

Déplacez toutes les interfaces excepté l'Extérieur-WAN (niveau de Sécurité 0) aux niveaux de sécurité plus élevés.

Problème de performance

Problème

Le trafic entrant de SMTP est devenu très lent. Le serveur de messagerie intérieur obtient parfois la réponse du serveur qui prend quelques minutes ou deux pour recevoir.

Solution

Vous vous exécutez probablement dans le trafic lent dû aux paquets en panne. Essayez cet exemple, qui peut résoudre le problème.


!--- Creates a new tcp map and allows for 100 out
 of order packets

tcp-map localmap       
 queue-limit 100    

!--- This is the class that defines traffic to sent to 
the csc-module. The name you use can be different.
Sets the localmap parameters to flow matching the class map.

policy-map global_policy
 class csc-class            
  set connection advanced-options localmap

Problème

Le balayage de HTTP n'a pas fonctionné et a affiché cette erreur :

Error: Failed to rate URL, rc=-723

Solution

Ce message d'erreur est généré quand le CSC-SSM a le problème en contactant les serveurs Trends Micros. Ceci peut se produire quand il y a de latence dans le réseau ou si le CSC-SSM est trop occupé pour traiter des demandes de connexion. Les connexions simultanées maximum sur le CSC-SSM-10 est environ 500. Dans ce cas pour la période spécifiée, le nombre de connexions ont probablement surpassé la limite maximum. Référez-vous au tableau 2 dans le Content Security and Control Security Services Module de gamme de Cisco ASA 5500 pour plus d'informations sur des limites de connexion.

Un contournement possible pour ceci est de limiter les connexions simultanées. Référez-vous aux connexions de limite par le pour en savoir plus de SSM CSC.

Question d'email

Problème

Le déni de responsabilité dans les emails ne peut pas être retiré des messageries si nécessaire et également les polices ne peuvent pas être changées dans le déni de responsabilité d'email. Pourquoi est-ce que ceci fait se produit ?

Solution

Il n'est pas possible de retirer le déni de responsabilité de certains d'emails sortants sur CSC-SSM. En outre, vous ne pouvez pas changer la police du déni de responsabilité puisqu'il n'est pas pris en charge sur CSC-SSM.

Question du trafic

Problème

Vous ne pouvez pas arrêter le trafic de l'envoi de l'ASA à CSC-SSM. Comment est-ce que ceci peut être résolu ?

Solution

Afin d'arrêter le trafic de l'envoi à l'ASA de CSC-SSM, l'administrateur doit enlever la stratégie de service de l'interface avec l'aucune commande de service-stratégie :

hostname(config-pmap-c)#no service-policy policy_map_name [global | interface interface_ID]

Question de mise à jour de modèle de Grayware

Problème

Ce message d'erreur est module ouvert une session CSC.

GraywarePattern : Pattern Update: Incapable d'obtenir les informations de modèle. Pattern Update: The download file was unsuccessful for ActiveUpdate was unable to unzip the downloaded patch packages. The zip file may be corrupted. This can happen due to an unstable network connection. Please try downloading the file again. Code d'erreur est 24.

AntiVirusPattern : Pattern Update: The download file was unsuccessful for ActiveUpdate was unable to unzip the downloaded patch packages. The zip file may be corrupted. This can happen due to an unstable network connection. Please try downloading the file again. Code d'erreur est 24.

Comment ce message d'erreur peut-il être résolu ?

Solution

Cette question est liée à l'ID de bogue Cisco CSCtc37947 (clients enregistrés seulement) et à l'ID de bogue Cisco CSCsk10777 (clients enregistrés seulement). Réinsérez le CSC-SSM ou améliorez le code à 6.2.x afin de résoudre ce problème. Également la suppression des fichiers temporaires créés pour la mise à jour automatique sur le compte de racine CSC peut résoudre le problème. Redémarrez les services après que vous réinsériez CSC-SSM ou amélioriez le code.

Question du trafic HTTPS

Problème

Vous ne pouvez pas bloquer le trafic HTTPS par CSC-SSM. Comment le trafic HTTPS peut-il être bloqué ?

Solution

Le CSC-SSM ne peut pas bloquer le trafic HTTPS parce qu'il ne peut pas profondément examiner le paquet dû au ssl encryption là-dessus.

Incapable de sauter le trafic de l'inspection CSC

Le trafic peut être sauté de l'inspection CSC si vous ajoutez des instructions de refus pour les plages de réseau en question à l'ACL utilisé pour apparier le trafic pour passer au module.

Incapable de se connecter tout le trafic http qui traverse CSC-SSM

CSC ne peut pas se connecter tout les trafic mais seulement l'affiche des informations du bloc/des tentatives filtrées.

Erreur tout en améliorant CSC

Le [ERR-PAT-0002] le système de mise à jour ne peut pas décompresser le fichier de mise à jour, et ne peut pas continuer. Ce message est pour les buts diagnostiques seulement. Clients - entrez en contact avec s'il vous plaît le message d'erreur de Soutien technique apparaît quand vous améliorez CSC. Ce message d'erreur est vu quand le fichier.bin est utilisé au lieu du fichier .package. La question ne se produit pas quand le fichier .package est utilisé.

Erreur tandis que CSC mettant à jour automatiquement des signatures

Problème :

Quand le CSC fait la mise à jour automatique, il a reçu ce message.

Le modèle 17462 d'anti-Spam a été avec succès téléchargé et installé. Incapable de copier le fichier. Vous devez manuellement copier le fichier /opt/trend/isvw/temp/AU/piranhacache/ * sur le chemin /opt/trend/isvw/lib/mail/cache.

Solution :

C'est une bogue connu de question avec le code CSC Trendmicro. Une bogue a été classée pour ceci et pour les détails complets. Référez-vous à l'ID de bogue Cisco CSCtc37947 (clients enregistrés seulement). Améliorez le CSC à 6.3.1172(2) ou plus tard afin de se débarasser du problème.

Le module CSC échoue aux shows syslog

Problème :

Après évolution à 6.3.1172.4, le service de LogServer sur le module CSC pourrait échouer et l'administrateur reçoit cette notification électronique : LogServer a récemment arrêté sur InterScan pour le SSM CSC. Veuillez entrer en contact avec le support technique pour l'assistance.

Solution :

Il y a deux options comme contournement :

  1. Installez la difficulté de construction d'ingénierie.

    Contactez Cisco TAC (clients enregistrés seulement) pour les informations sur la façon dont installer cette construction.

  2. Re-image le périphérique à une version plus ancienne.

    Référez-vous à la nouvelle création d'images le CSC-SSM pour des informations complètes sur ce processus.

Référez-vous au pour en savoir plus de l'ID de bogue Cisco CSCtl21378 (clients enregistrés seulement).

Le serveur de log CSC fonctionne dans la boucle infinie et arrête abruptement

Problème :

Le serveur du log du module CSC fonctionne dans une boucle infinie et arrête abruptement.

Solution :

Cette question est due à l'ID de bogue Cisco CSCtl21378. Référez-vous (clients enregistrés seulement) au pour en savoir plus CSCtl21378.

Dépannage des commandes

L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Employez l'OIT afin d'afficher une analyse de la sortie de la commande show.

Référez-vous dépannage derrière InterScan Trend Micro pour Cisco CSC-SSM pour plus d'informations sur la façon dépanner de diverses questions du CSC-SSM.

Remarque: Référez-vous aux informations importantes sur les commandes de débogage avant d'utiliser les commandes de débogage.

  • mettez au point le module-démarrage — Affiche des messages de débogage au sujet du processus de démarrage de SSM.

  • arrêt du module 1 de hw-module — Arrêt le SSM

  • module 1 de hw-module remis à l'état initial — Remettez à l'état initial le SSM

Remarque: Le %ASA-3-421001 : L'écoulement de TCP d'inside:172.22.50.112/1718 à outside:XX.XX.XX.XX/80 est ignoré parce que la carte ordre de sécurité du contenu et a le message défectueux est un message de log qui apparaît quand le module CSC deviennent totalement insensible.

Remarque: Employez cette commande afin de remettre à l'état initial le module.

ASA#hw-module module 1 reset

The module in slot 1 should be shut down before 
resetting it or loss of configuration may occur.
Reset module in slot 1? [confirm]

(Confirm it at this point by 'return'.)

Référez-vous au guide de référence des commandes pour plus d'informations sur cette commande.

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 99141