Seguridad : Dispositivos de seguridad adaptable Cisco ASA de la serie 5500

ASA: Ejemplo de Configuración de Envío de Tráfico de Red de ASA a CSC-SSM

23 Julio 2008 - Traducción manual
Otras Versiones: PDFpdf | Traducción Automática (31 Julio 2013) | Inglés (18 Octubre 2007) | Comentarios

Contenido

Introducción
Requisitos previos
      Requisitos
      Componentes Utilizados
      Convenciones
Antecedentes
Configuración
      Diagrama de flujo: ASA - CSC SSM
      Configuración Inicial del CSC
      Cómo configurar ASA para desviar tráfico al CSC-SSM
      Diagrama de Red
      Configuración de ASA
Página de Inicio del CSC
      Configuración de CSC
Configuración de SMTP
      Configuración de SMTP de Trend Micro
Configuración de HTTP
      Scanning
      Bloqueo de Archivos
      Bloqueo de URL
      Filtrado de URL
Configuración de FTP
      Configuración de FTP de Trend Micro
Verificación
Troubleshooting
      Problemas de Rendimiento
      Comandos de Troubleshooting
Discusiones relacionadas de la comunidad de soporte de Cisco
Información Relacionada

Introducción

Este documento muestra un ejemplo de configuración para enviar tráfico de red desde el dispositivo Cisco ASA 5500 Series Adaptive Security Appliance (ASA) hasta el módulo Content Security and Control Security Services Module (CSC-SSM).

El CSC-SSM ofrece protección contra virus, spyware, spam y cualquier otro tráfico no deseado. Esto es posible gracias al análisis del tráfico FTP, HTTP, POP3 y SMTP que es desviado por el ASA. Para forzar al ASA a desviar el tráfico al CSC-SSM, tiene que utilizar el Marco de Políticas Modulares (Modular Policy Framework).

Consulte ASA: Send Network Traffic from the ASA to the AIP SSM Configuration Example para enviar tráfico de red desde el dispositivo Cisco ASA 5500 Series Adaptive Security Appliance (ASA) hasta el módulo Advanced Inspection and Prevention Security Services Module (AIP-SSM) (IPS).

Nota: El CSC-SSM puede analizar tráfico FTP, HTTP, POP3 y SMTP sólo cuando el puerto de destino del paquete que solicita la conexión es el puerto conocido (well-known port) para el protocolo especificado. El CSC-SSM sólo puede analizar estas conexiones:

  • Conexiones FTP abiertas al puerto TCP 21

  • Conexiones HTTP abiertas al puerto TCP 80

  • Conexiones POP3 abiertas al puerto TCP 110

  • Conexiones SMTP abiertas al puerto TCP 25

Requisitos Previos

Requisitos

Asegúrese de cumplir con estos requerimientos antes de probar esta configuración:

  • Nociones básicas acerca de la configuración de Cisco ASA 5500 Series que ejecuta la versión de software 7.x y posterior.

  • Se ha instalado el CSC-SSM.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware:

  • ASA 5520 con versión de software 7.x y posterior

  • CSC-SSM-10 con versión de software 6.1

La información que contiene este documento se creó a partir de los dispositivos en un entorno de laboratorio específico. Todos los dispositivos que se utilizan en este documento se iniciaron con una configuración vacía (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte la sección Cisco Technical Tips Conventions para obtener más información sobre las convenciones del documento.

Antecedentes

El CSC-SSM mantiene un archivo que contiene perfiles de firmas de contenido sospechoso, actualizado regularmente desde un servidor de actualizaciones en Trend Micro. El CSC-SSM analiza el tráfico que recibe desde el dispositivo ASA y lo compara con los perfiles de contenido que obtiene de Trend Micro. A continuación, reenvía el contenido legítimo al ASA para su ruteo, o bien bloquea el contenido sospechoso e informa sobre el mismo.

De forma predeterminada, CSC-SSM viene con una licencia básica que ofrece estas funciones:

  • Detecta y actúa sobre virus y malware en el tráfico de red

  • Bloquea archivos comprimidos o muy grandes que exceden los parámetros especificados

  • Busca y elimina spyware, adware y otros tipos de grayware

Además, si se le dota de una licencia Plus, realiza también estas tareas:

  • Reduce el spam y protege frente a estafas de "phishing" en el tráfico SMTP y POP3

  • Establece filtros de contenido que le ofrecen la opción de permitir o prohibir tráfico de correos electrónicos que contienen frases o palabras clave.

  • Filtra/bloquea URLs a las que no desea que accedan los usuarios, o URLs conocidas por tener propósitos ocultos o malignos.

Nota: El CSC-SSM puede escanear transferencias de archivos FTP sólo si se ha habilitado la inspección de FTP en el ASA. De forma predeterminada, la inspección de FTP está activada.

Nota: El CSC-SSM no puede soportar Stateful Failover ya que CSC-SSM no mantiene información de conexión y, por lo tanto, no puede proporcionar a la unidad de failover la información necesaria para Stateful Failover. Las conexiones que está analizando un CSC-SSM se pierden cuando falla el dispositivo de seguridad en el que está instalado el CSC-SSM. Cuando un ASA en modo de espera (standby unit) se vuelve activo, reenvía el tráfico analizado al CSC-SSM y las conexiones son reiniciadas (reset).

Configuración

En una red en la que el ASA se ha implementado con el CSC-SSM, se configura el ASA para que envíe al CSC-SSM sólo los tipos de tráfico que desea analizar.

Nota: Use la Herramienta Command Lookup (usuarios registrados exclusivamente) para obtener más información sobre los comandos utilizados en esta sección.

Diagrama de Flujo ASA - CSC SSM

Este diagrama muestra el flujo de tráfico en ASA y CSC-SSM:

asa-traffic-csc-ssm-config-diagram1.gif

En este ejemplo, los clientes pueden ser usuarios de red que acceden a un sitio Web, que descargan archivos de un servidor FTP o que reciben correo de un servidor POP3.

En esta configuración, el flujo del tráfico se produce de esta manera:

  1. El cliente inicia una solicitud.

  2. El ASA recibe la solicitud y la reenvía a Internet.

  3. Cuando se recupera el contenido de la solicitud, el ASA determina si sus políticas de servicio definen ese tipo de contenido como un tipo que debería ser desviado al CSC-SSM para su análisis y, si es el caso, lo reenvía.

  4. El CSC-SSM recibe el contenido desde el ASA, lo analiza y lo compara con la última actualización de los filtros de contenido de Trend Micro.

  5. Si el contenido es sospechoso, el CSC-SSM lo bloquea e informa del evento. Si el contenido no es sospechoso, el CSC-SSM reenvía el contenido de la solicitud de nuevo al ASA para su ruteo.

Configuración Inicial de CSC

En la configuración inicial, es necesario configurar varios parámetros. Asegúrese de disponer de la información necesaria para configurar estos parámetros antes de comenzar.

El primer paso para configurar el CSC-SSM es iniciar Cisco ASDM. De forma predeterminada, puede acceder al CSC-SSM a través de la dirección IP de administración del ASA en https://192.168.1.1/. Debe asegurarse de que su PC y la interfaz de administración del ASA se encuentren en la misma red. También puede descargar el ASDM Launcher para acceder más adelante.

Configure estos parámetros con el ASDM:

  1. Cuando se encuentre en la ventana principal de ASDM, seleccione Configuration > Trend Micro Content Security > Wizard Setup y haga clic en Launch Setup Wizard.

    asa-traffic-csc-ssm-config-1.gif

  2. Clave de activación:

    El primer paso para obtener la clave de activación es identificar la clave de autorización del producto (PAK) que se envía junto con el producto. Esta clave contiene un código de barras y 11 caracteres hexadecimales. Por ejemplo, una clave PAK puede ser 120106C7D4A.

    Utilice la PAK para registrar el CSC-SSM en la página Web Product License Registration (sólo para clientes registrados) . Una vez que haya registrado el producto, recibirá las claves de activación por correo electrónico.

    asa-traffic-csc-ssm-config-2.gif

  3. Parámetros IP del puerto de administración:

    Especifique la dirección IP, máscara de red y dirección IP del gateway para la interfaz de administración de CSC.

    DNS server address: Dirección IP del servidor DNS primario.

    asa-traffic-csc-ssm-config-3.gif

  4. Hostname and Domain name of the CSC-SSM: Especifique un nombre de host y el nombre de dominio para el CSC-SSM.

    Incoming domain: El nombre de dominio que utiliza el servidor de correo local como dominio de correo electrónico entrante.

    Nota: Las políticas anti-spam se aplican sólo al tráfico de correo electrónico que entra en este dominio.

    Notification settings: La dirección de correo electrónico del administrador y la dirección IP y puerto del servidor de correo electrónico que se utilizará para las notificaciones.

    asa-traffic-csc-ssm-config-4.gif

  5. Parámetros de acceso del host de administración:

    Introduzca la dirección IP y la máscara para cada subred y host que deban tener acceso de administración al CSC-SSM.

    Nota: De forma predeterminada, todas las redes tienen acceso de administración al CSC-SSM. Por motivos de seguridad, Cisco le recomienda que restrinja el acceso a determinadas subredes o host de administración.

    asa-traffic-csc-ssm-config-5.gif

  6. Nueva contraseña para el CSC-SSM:

    Cambie la contraseña predeterminada, cisco, por una nueva contraseña para el acceso de administración.

    asa-traffic-csc-ssm-config-6.gif

  7. En el paso 6 del asistente para instalación del CSC, especifique el tipo de tráfico que desea que sea analizado.

    El ASA desvía paquetes al CSC-SSM después de que se hayan aplicado las políticas del firewall, pero antes de que los paquetes salgan de la interfaz de egreso. Por ejemplo, los paquetes que son bloqueados por una lista de acceso no se reenvían al CSC-SSM.

    Configure políticas de servicio para especificar qué tráfico debe desviar el ASA al CSC-SSM. El CSC-SSM puede analizar tráfico HTTP, POP3, FTP y SMTP que se haya enviado a puertos conocidos por esos protocolos.

    Para simplificar el proceso de configuración inicial, este procedimiento crea una política de servicio global que desvía todo el tráfico de los protocolos admitidos al CSC-SSM, tanto el entrante como el saliente. Dado que analizar todo el tráfico que pasa a través del ASA puede reducir el rendimiento del ASA y del CSC-SSM, puede que desee revisar esta política de seguridad más adelante. Por ejemplo, normalmente no es necesario analizar todo el tráfico que viene de su red interna, ya que proviene de una fuente fiable. Si ajusta las políticas de servicio de forma que el CSC-SSM analice sólo el tráfico de fuentes no confiables, puede alcanzar sus objetivos de seguridad y maximizar el rendimiento del ASA y del CSC-SSM.

    Lleve a cabo estos pasos para crear una política de servicio global que identifique el tráfico que debe analizarse:

    asa-traffic-csc-ssm-config-7.gif

    1. Haga clic en Add para agregar un nuevo tipo de tráfico.

    2. Seleccione Global en el menú desplegable Interface.

    3. Deje los campos Source (Origen) y Destination (Destino) como Any (Cualquiera).

    4. En el área Service, haga clic en el botón de elipsis (...). En el cuadro de dialogo, seleccione un servicio predefinido o haga clic en Add para definir un nuevo servicio.

    5. En el área If CSC card fails, then (Si la tarjeta CSC falla, entonces), seleccione si el ASA debería permitir o rechazar el tráfico seleccionado si el CSC-SSM no está disponible.

    6. Haga clic en OK para volver a la ventana Traffic Selection for CSC Scan.

    7. Haga clic en Next (Siguiente).

  8. En el paso 7 del asistente de instalación del CSC, revise los parámetros de configuración que ha introducido para el CSC-SSM.

    asa-traffic-csc-ssm-config-8.gif

    Si está satisfecho con esos parámetros, haga clic en Finish (Finalizar).

    El ASDM muestra un mensaje que indica que el dispositivo CSC ahora está activo.

    De forma predeterminada, el CSC-SSM está configurado para hacer análisis de seguridad de los contenidos, de acuerdo con la licencia que adquirió, que puede incluir antivirus, anti-spam, antiphishing y filtrado de contenidos. También está configurado para recibir actualizaciones periódicas desde el servidor de actualizaciones de Trend Micro.

    Si está incluido en la licencia que adquirió, puede crear configuraciones personalizadas para el bloqueo y filtrado de URL, además de parámetros de correo electrónico y FTP. Consulte la guía Cisco Content Security and Control SSM Administrator Guide.

Cómo configurar ASA para desviar tráfico a CSC-SSM

Para forzar al ASA a desviar el tráfico al CSC-SSM, tiene que utilizar el Modular Policy Framework (Marco de Políticas Modulares). Lleve a cabo estos pasos para que se produzca la identificación y el desvío del tráfico al CSC-SSM:

  1. Cree una lista de acceso que identifique el tráfico que desea que analice el CSC-SSM y así desviar el tráfico al CSC-SSM, mediante el comando access-list extended:

    hostname(config)#access-list acl-name extended {deny | permit} protocol src_ip mask dest_ip mask operator port
    
    
  2. Cree un class-map (mapa de clase) para identificar el tráfico que debe desviarse al CSC-SSM mediante el comando class-map:

    hostname(config)#class-map class_map_name
    
    
  3. Una vez que se encuentre en el modo de configuración de class-map, utilice el comando match access-list para identificar el tráfico con el uso de la lista de acceso que se especificó anteriormente:

    hostname(config-cmap)#match access-list acl-name
    
    hostname(config-cmap)#exit
    
  4. Cree un policy-map (mapa de política) para enviar tráfico al CSC-SSM con el comando policy-map:

    hostname(config)#policy-map policy_map_name
    
    
  5. Una vez que se encuentre en el modo de configuración de policy-map, utilice el comando class para especificar el class-map creado anteriormente, que identifica el tráfico que se debe analizar:

    hostname(config-pmap)#class class_map_name
    
    
  6. Una vez en el modo de configuración policy-map-class, puede configurar lo siguiente:

    • Si desea aplicar un límite de conexiones simultáneas por cliente que el ASA desvía al CSC-SSM, utilice el comando set connection de la siguiente forma:

      hostname(config-pmap-c)#set connection per-client-max n
       

      donde n es el número máximo de conexiones simultáneas que el ASA permite para cada cliente. Este comando evita que un sólo cliente abuse de los servicios del CSC-SSM o de cualquier servidor protegido por el SSM, lo que incluye la prevención de intentos de ataques DoS en servidores HTTP, FTP, POP3 o SMTP protegidos por el CSC-SSM.

    • Utilice el comando csc para controlar cómo el ASA deberá manejar el tráfico cuando el CSC-SSM no esté disponible:

      hostname(config-pmap-c)#csc {fail-close | fail-open}
       

      donde fail-close especifica que el ASA debe bloquear el tráfico si el CSC-SSM falla, y fail-open especifica que el ASA debe permitir el tráfico si el CSC-SSM falla.

      Nota: Esto se aplica sólo al tráfico seleccionado por el class-map. El resto de tráfico que no se envía al CSC-SSM no se ve afectado por un fallo del mismo.

  7. Por último, aplique el policy-map globalmente o a una interfaz específica, mediante el comando service-policy:

    hostname(config-pmap-c)#service-policy policy_map_name [global | interface interface_ID]
     

    donde interface_ID es el nombre asignado a la interfaz con el comando nameif.

    Nota: Sólo se permite una política global. Puede anular la política global en una interfaz aplicando una política de servicio a esa interfaz. Sólo puede aplicar un policy-map a cada interfaz.

Diagrama de Red

Este diagrama es un ejemplo de un ASA 5500 configurado para estos parámetros:

asa-traffic-csc-ssm-config-9.gif

El resumen del diagrama de red ilustra lo siguiente:

  • Conexión HTTP a las redes externas

  • Conexión FTP desde clientes internos del ASA a servidores externos al ASA

  • Clientes POP3 internos del ASA a servidores externos al ASA.

  • Conexiones SMTP entrantes designadas al servidor de correo interno

Configuración del ASA

ASA5520

ciscoasa(config)#show running-config
: Saved
:
ASA Version 8.0(2)
!
hostname ciscoasa
domain-name Security.lab.com
enable password 2kxsYuz/BehvglCF encrypted
no names
dns-guard
!
interface GigabitEthernet0/0
 speed 100
 duplex full
 nameif outside
 security-level 0
 ip address 172.30.21.222 255.255.255.0
!
interface GigabitEthernet0/1
 description INSIDE
 nameif inside
 security-level 100
 ip address 192.168.5.1 255.255.255.0
!


!--- Salida omitida

access-list csc-acl remark Exclude CSC module traffic from being scanned
access-list csc-acl deny ip host 10.89.130.241 any

!--- Para mejorar el rendimiento del ASA y del Módulo CSC.
!--- Todo el tráfico que proviene del Módulo CSC se excluye del análisis. 

access-list csc-acl remark Scan Web & Mail traffic

access-list csc-acl permit tcp any any eq www
access-list csc-acl permit tcp any any eq smtp
access-list csc-acl permit tcp any any eq pop3

!

!--- Todo el tráfico entrante y saliente para servicios WEB y de correo es analizado. 


access-list csc-acl-ftp permit tcp any any eq ftp

!--- Todo el tráfico entrante y saliente para servicio FTP es analizado. 

class-map csc-class
match access-list csc-acl
!

class-map csc-ftp-class
match access-list csc-acl-ftp
!
policy-map global_policy
class csc-class
csc fail-open

class csc-ftp-class
csc fail-open
policy-map global_policy
 class inspection_default

!--- Inspeccione tráfico FTP para su análisis.

  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
  inspect icmp
  inspect http
service-policy global_policy global


!--- Salida omitida

Página de Inicio del CSC

Configuración del CSC

Trend Micro InterScan para Cisco CSC-SSM proporciona protección para los principales protocolos, como SMTP y HTTP y FTP, además para tráfico POP3, con el fin de garantizar que los empleados no introduzcan algún virus de forma accidental a través de sus cuentas personales de correo electrónico.

Seleccione Configuration > Trend Micro Content Security para abrir el CSC-SSM. En el menú de Configuración, elija entre las siguientes opciones: asa-traffic-csc-ssm-config-10.gif

  • CSC Setup: Ejecuta el asistente de instalación para instalar y configurar el CSC-SSM

  • Web: Configura el análisis de Web, el bloqueo de archivos y el filtrado y bloqueo de URL

  • Mail: Configura el análisis, el filtrado de contenidos y la prevención de spam para el correo electrónico SMTP y POP3, tanto saliente como entrante

  • File Transfer: Configura el análisis y bloqueo de archivos

  • Updates: Programa actualizaciones para componentes del análisis de seguridad de contenidos, por ejemplo, archivos de patrones de virus, motor de análisis, etc.

Las opciones Web, Mail (Correo), File Transfer (Transferencia de archivos) y Updates (Actualizaciones) se describen con más detalle en estos capítulos:

Este ejemplo muestra cómo configurar un CSC-SSM para analizar los mensajes SMTP entrantes a la red interna.

Los mensajes SMTP entrantes se desvían al CSC-SSM para su análisis. En este ejemplo, todo el tráfico exterior que accede al servidor de correo interno (192.168.5.2/24) para servicios SMTP se desvía al CSC-SSM.

access-list csc_inbound extended permit tcp any host 192.168.5.2 eq smtp 

Estos parámetros predeterminados le ofrecen cierta protección para el tráfico de correos electrónicos después de que haya instalado Trend Micro InterScan para CSC-SSM de Cisco.

Configuración de SMTP

Configuración de SMTP de Trend Micro

Realice estos pasos para configurar el CSC-SSM de forma que analice los mensajes SMTP entrantes mediante el ASDM:

  1. Seleccione Configuration > Trend Micro Content Security > Mail en ASDM y haga clic en Configure Incoming Scan para que aparezca la ventana SMTP Incoming Message Scan (Análisis/Objetivo de Mensajes Entrantes SMTP).

    asa-traffic-csc-ssm-config-11.gif

  2. Desde esa ventana se accede al mensaje de inicio de sesión para Trend Micro InterScan for Cisco CSC-SSM. Introduzca la contraseña del CSC-SSM.

    asa-traffic-csc-ssm-config-12.gif

  3. La ventana SMTP Incoming Message Scan (Análisis de mensajes entrantes SMTP) tiene tres vistas disponibles:

    • Target (Objetivo)

    • Action (Acción)

    • Notification (Notificación)

    Puede cambiar entre las distintas vistas haciendo clic en la pestaña correspondiente para ver la información que desea. El nombre de la pestaña activa aparece en marrón; los nombres de las pestañas inactivas aparecen en negro. Utilice las tres pestañas para configurar el análisis de virus en el tráfico SMTP entrante.

    Haga clic en Target para definir el alcance de la actividad sobre la que se actuará.

    El análisis de mensajes SMTP entrantes está activado de forma predeterminada.

    asa-traffic-csc-ssm-config-13.gif

  4. En la sección Default Scanning (Análisis Predeterminado), la opción All scannable files (Todos los archivos analizables) está seleccionada de forma predeterminada. Se analizan los archivos independientemente del nombre de la extensión.

    asa-traffic-csc-ssm-config-14.gif

  5. Configure el tratamiento de los archivos comprimidos del correo SMTP entrante mediante la opción compressed file handling.

    asa-traffic-csc-ssm-config-15.gif

    Cambie la configuración para omitir el análisis de archivos comprimidos si se da una de estas condiciones:

    • El conteo de archivos descomprimidos es mayor de 200.

    • El tamaño del archivo descomprimido supera los 20 MB.

    • El número de capas de compresión es superior a tres.

    • El radio de compresión del archivo comprimido o descomprimido es mayor de 100 a 1.

    • Los archivos comprimidos sobrepasan los criterios de análisis especificados.

    Modifique el parámetro predeterminado del conteo de archivos descomprimidos a 300 y el de tamaño de archivo descomprimido a 30 MB.

    asa-traffic-csc-ssm-config-16.gif

  6. En la sección Scan for Spyware/Grayware (Analizar spyware y grayware) de estas ventanas, mostrada en el paso 5, seleccione los tipos de grayware que desea que detecte Trend Micro InterScan para CSC-SSM de Cisco. Consulte la ayuda en línea para ver una descripción de cada tipo de grayware que aparece en la lista.

    Haga clic en Save (Guardar) para activar la nueva configuración

  7. Haga clic en la pestaña Action, que le permite definir la acción que debe aplicarse cuando se detecta una amenaza. Ejemplos de acciones posibles son limpiar o eliminar.

    asa-traffic-csc-ssm-config-17.gif

    Estos valores representan la acción predeterminada para los correos entrantes.

    • Sección For Messages with Virus/Malware Detection: Limpia el mensaje o el archivo adjunto donde se ha detectado el malware. Si el mensaje o el archivo adjunto no se puede limpiar, se elimina.

      asa-traffic-csc-ssm-config-18.gif

    • For Spyware/Grayware Detections: Estos son los archivos que se entregarán si se detecta spyware o grayware en los mensajes SMTP.

      Haga clic en Save (Guardar) para activar la nueva configuración

  8. Haga clic en la pestaña Notification, que le permite redactar un mensaje de notificación, además de definir a quién se le notificará el evento y la acción.

    asa-traffic-csc-ssm-config-19.gif

    Si está satisfecho con la configuración de notificaciones predeterminada, no es necesario que realice ninguna acción. No obstante, puede revisar las opciones de notificación y decidir si desea o no cambiar los valores predeterminados. Por ejemplo, puede enviar una notificación al administrador cuando se detecte un riesgo para la seguridad en un mensaje de correo electrónico. En cuanto al SMTP, también puede notificar al remitente o al destinatario.

    Active las casillas Administrator (Administrador) y Recipient (Destinatario) para activar la notificación por correo electrónico. También puede adaptar el texto del mensaje de notificación para hacerlo más adecuado para su organización, tal y como se muestra en la captura de pantalla.

    asa-traffic-csc-ssm-config-20.gif

  9. En la sección Inline Notifications de la ventana, seleccione una de las opciones de la lista, ambas o ninguna.

    asa-traffic-csc-ssm-config-21.gif

    Para nuestro ejemplo, seleccione Risk free message (Mensaje sin riesgos) y escriba su propio mensaje en el campo correspondiente.

    asa-traffic-csc-ssm-config-22.gif

    Haga clic en Save (Guardar) para activar la nueva configuración.

Configuración de HTTP

Análisis

Después de la instalación, el tráfico HTTP y FTP se analiza en busca de virus, gusanos y troyanos de forma predeterminada. Malware como spyware y otros tipos de grayware requieren un cambio en la configuración para que puedan ser detectados.

Estos valores predeterminados le ofrecen cierta protección para el tráfico Web y FTP después de que haya instalado Trend Micro InterScan para Cisco CSC-SSM. Puede cambiar estos valores. Por ejemplo, es posible que prefriera utilizar la opción de análisis por extensiones de archivo específicas en lugar de todos los archivos analizables para detectar malware. Antes de realizar cambios, revise la ayuda en línea para obtener más información sobre estas opciones.

Después de la instalación, puede que desee actualizar valores de configuración adicionales para obtener la máxima protección para el tráfico Web y FTP. Si adquirió la licencia Plus, que le permite disfrutar de las opciones de bloqueo de URL, antiphishing y filtrado de URL, debe configurar estas funciones adicionales.

Lleve a cabo estos pasos para configurar el CSC-SSM de forma que analice los mensajes HTTP mediante el ASDM:

  1. Haga clic en Web (HTTP) en la página Trend Micro. Accederá a la ventana de análisis de mensajes Web, que dispone de cuatro vistas:

    • Target (Objetivo)

    • Webmail Scanning (Análisis del correo Web)

    • Action (Acción)

    • Notification (Notificación)

    Haga clic en la pestaña correspondiente para ver la información que desea y cambiar entre las distintas vistas. El nombre de la pestaña activa aparece en marrón; los nombres de las pestañas inactivas aparecen en negro. Utilice todas las pestañas para configurar el análisis de virus en el tráfico Web entrante.

    Haga clic en Target para definir el alcance de la actividad sobre la que se actuará.

    • El análisis de mensajes HTTP está activado de forma predeterminada.

    • Se activa usando All Scannable Files (Todos los archivos analizables) como método de análisis.

    • Tratamiento de archivos comprimidos en Web (HTTP) cuando se descargan de la Web: configurado para omitir el análisis de archivos comprimidos si se da una de estas condiciones:

      • El conteo de archivos descomprimidos es mayor de 200.

      • El tamaño del archivo descomprimido supera los 30 MB.

      • El número de capas de compresión es superior a tres.

      • El radio de compresión del archivo comprimido o descomprimido es mayor de 100 a 1.

      asa-traffic-csc-ssm-config-23.gif

    Para Webmail scanning (análisis del Correo Web): Configurado para analizar sitios Web de Yahoo, AOL, MSN y Google.

  2. Tratamiento de archivos de gran tamaño

    Las pestañas Target en las ventanas de análisis de HTTP y FTP le permiten definir el tamaño de la descarga más grande que desea que se analice. Por ejemplo, puede especificar que se analicen descargas menores de 20 MB pero no descargas superiores a 20 MB.

    Además, puede:

    • Especificar que las descargas grandes puedan ser entregadas sin analizarse (lo que puede suponer un riesgo para la seguridad).

    • Especificar que las descargas que superen el límite establecido se eliminen.

    De forma predeterminada, el software CSC-SSM especifica que se analicen los archivos con un tamaño inferior a 50 MB. Modifíquelo a 75 MB. Los archivos de 75 MB o más grandes se entregarán al cliente que lo solicita sin analizarse previamente.

    asa-traffic-csc-ssm-config-24.gif

    Análisis Diferido

    De forma predeterminada, la función de análisis diferido no está activada. Si está activada, esta función le permite empezar a descargar datos sin analizar toda la descarga. El análisis diferido le permite empezar a ver los datos sin tener que esperar el tiempo que tarda el análisis del cuerpo completo de la información.

    asa-traffic-csc-ssm-config-25.gif

    Nota:  Cuando el análisis diferido está activado, la parte aún no analizada de la información puede provocar un riesgo para la seguridad.

    Nota:  El software CSC-SSM no puede analizar en busca de virus y otras amenazas el tráfico que se desplaza a través de HTTPS.

    Si el análisis diferido no está activado, es necesario que se analice toda la descarga ante de que pueda acceder a ella. No obstante, algunos software cliente pueden agotar el tiempo de espera, debido al tiempo necesario para acumular suficientes paquetes de red y componer así archivos completos que puedan analizarse. En esta tabla se resumen las ventajas y desventajas de cada método.

    Análisis de spyware y grayware

    Grayware es un tipo de software que puede ser legítimo, no deseado o malicioso. A diferencia de otras amenazas como virus, gusanos o troyanos, el grayware no infecta, replica o destruye datos, pero puede violar su privacidad. Entre los ejemplos de grayware se incluyen spyware, adware y herramientas de acceso remoto.

    De forma predeterminada, la detección de spyware o grayware no está activada. Debe configurar la función en estas ventanas para detectar spyware y otras formas de grayware en su tráfico Web y de transferencia de archivos:

    Haga clic en Save para actualizar la configuración.

  3. Puede dirigirse a la pestaña Scanning Webmail para analizar sitios Web de Yahoo, AOL, MSN y Google.

    Nota: Si elige analizar sólo correo Web, el análisis de HTTP se limitará a los sitios especificados en la pestaña Webmail Scanning en Web (HTTP) > Scanning > ventana HTTP Scanning. No se analizará otro tráfico HTTP. Los sitios configurados se analizarán hasta que los elimine haciendo clic en el icono de la papelera.

    En el campo Name introduzca el nombre exacto del sitio Web, una palabra clave URL y una cadena para definir el sitio de correo Web.

    Nota: Se analizan los archivos adjuntos de los mensajes de correo Web.

    Haga clic en Save para actualizar la configuración.

  4. Puede dirigirse a la pestaña Action para la configuración de Virus/Malware Detection y Spyware/Grayware Detections.

    • En las descargas Web (HTTP) de archivos en los que se detectan virus o malware, se limpia el archivo descargado o el archivo en el que se detectó el malware. Si no se puede limpiar, se elimina el archivo.

    • En las descargas Web (HTTP) y transferencias de archivos (FTP) en archivos en los que se ha detectado spyware o grayware, los archivos se eliminan.

    asa-traffic-csc-ssm-config-26.gif

  5. En las descargas Web (HTTP), cuando se detecta malware, se insertará una notificación en el explorador indicando que Trend Micro InterScan para CSC-SSM ha analizado el archivo que intenta transferir y ha detectado un riesgo de seguridad.

    asa-traffic-csc-ssm-config-27.gif

Bloqueo de Archivos

En el menú desplegable de la izquierda, haga clic en File Blocking (Bloqueo de Archivos).

Esta función está activada de forma predeterminada, no obstante, debe especificar el tipo de archivos que desea bloquear. El bloqueo de archivos le ayuda a aplicar las políticas de su organización en cuanto al uso de Internet y otros recursos informáticos durante las horas de trabajo. Por ejemplo, si su compañía no permite la descarga de música, tanto por motivos legales como de productividad.

asa-traffic-csc-ssm-config-28.gif

  • En la pestaña Target de la ventana File Blocking, active la casilla de verificación Executable para bloquear archivos con extensión ".exe".

  • Puede especificar tipos de archivos adicionales por el nombre de extensión del archivo. Active la casilla de verificación Block specified file extensions (Bloquear Extensiones de Archivos Específicas) para activar esta función.

  • A continuación, introduzca tipos de archivos adicionales en el campo File Extensions to Block (Extensiones de Archivos para Bloquear) y haga clic en Add. En el ejemplo, se bloquean los archivos ".mpg".

    Haga clic en Save cuando haya finalizado para actualizar la configuración.

Active la casilla de verificación Administrator Notification para enviar mensajes predeterminados en el cuadro de texto.

Haga clic en la pestaña Notification para el mensaje de alerta.

asa-traffic-csc-ssm-config-29.gif

Bloqueo de URL

En esta sección se describe la función de bloqueo de URL e incluye los siguientes temas:

Nota: esta función requiere la licencia Plus.

La función de bloqueo de URL le ayuda a evitar que sus empleados accedan a sitios Web prohibidos. Por ejemplo, es posible que desee bloquear algunos sitios porque las políticas de su organización prohíben el acceso a servicios de citas, servicios de compras en línea o sitios de carácter ofensivo.

También puede bloquear sitios que sean conocidos por sus prácticas de fraude, como por ejemplo phishing. Phishing es una técnica utilizada por delincuentes que envían mensajes de correo electrónico procedentes en apariencia de una organización fiable, pidiéndole que revele información privada como los números de una cuenta de banco. Esta imagen muestra un ejemplo de un correo electrónico utilizado con fines de phishing.

asa-traffic-csc-ssm-config-30.gif

De manera predeterminada, el bloqueo de URL está activado. No obstante, sólo se bloquean los sitios que se encuentran en el archivo de patrones de Trend Micro PhishTrap, hasta que no especifique sitios adicionales para su bloqueo.

Bloquear desde la pestaña Via Local List

Complete estos pasos para configurar el bloqueo de URL en la pestaña Via Local List:

  1. Seleccione Configuration > Trend Micro Content Security > WEB en ASDM y haga clic en Configure URL Blocking para que aparezca la ventana URL Blocking.

  2. En la pestaña Via Local List de la ventana URL Blocking, introduzca los URL que desee bloquear en el campo Match (Coincidencia). Puede especificar el nombre exacto del sitio Web, una palabra clave URL y una cadena.

  3. Haga clic en Block después de cada entrada para mover el URL a la lista Block List. Haga clic en Do Not Block para añadir la entrada a la lista Block List Exceptions e introducir la entrada como una excepción. Las entradas se guardan como bloqueos o excepciones hasta que las elimina.

    Nota: También puede importar una lista de bloqueos y excepciones. El archivo importado debe tener un formato específico. Consulte la ayuda en línea para obtener instrucciones.

    asa-traffic-csc-ssm-config-31.gif

Bloquear desde la pestaña Via Pattern File (PhishTrap)

Complete estos pasos para configurar el bloqueo de URL en la pestaña Via Pattern File (PhishTrap):

  1. Seleccione Configuration > Trend Micro Content Security > WEB en ASDM y haga clic en Configure URL Blocking para que aparezca la ventana URL Blocking.

  2. A continuación haga clic en la pestaña Via Pattern File (PhishTrap).

  3. De forma predeterminada, el archivo de patrones Trend Micro PhishTrap detecta y bloquea sitios conocidos por practicar phishing, sitios cómplices de virus, es decir, sitios asociados con ataques conocidos, y vectores de infección, es decir, sitios Web que sólo existen con propósitos maliciosos. Utilice los campos Submit the Potential Phishing URL to TrendLabs (Enviar URL de Phishing Potenciales a TrendLabs) para remitir sitios que piensa que deberían añadirse al archivo de patrones de PhishTrap. TrendLabs evaluará el sitio y lo agregará a este archivo si procede.

  4. Haga clic en la pestaña Notification para revisar el texto del mensaje predeterminado que aparece en el explorador cuando se produce un intento de acceso a un sitio bloqueado. En la ayuda en línea se muestra un ejemplo. Resáltelo y modifíquelo para personalizar el mensaje predeterminado.

  5. Haga clic en Save cuando haya finalizado para actualizar la configuración.

Filtrado de Direcciones URL

Hay dos secciones importantes a tener en cuenta.

  • Configuración de Filtrado

  • Reglas de Filtrado

    Los URL definidos en las ventanas URL Blocking descritos con anterioridad, o se bloquean siempre o en ningún caso. La función de filtrado de URL, por el contrario, le permite filtrar URLs según categorías, que puede programar para permitir el acceso durante determinadas horas definidas como tiempo de ocio, y bloquearlas durante las horas de trabajo.

    Nota: Esta función requiere la licencia Plus.

    Hay seis categorías de filtrado de URL:

    • Company-prohibited (Prohibidas por la compañía)

    • Not work related (Sin relación con el trabajo)

    • Research topics (Temas de investigación)

    • Business function (Función empresarial)

    • Customer defined (Definidas por el usuario)

    • Otras

De forma predeterminada, los sitios prohibidos por la compañía se bloquean tanto en horas de trabajo como en horas de ocio.

Configuración de Filtrado

Siga estos pasos para configurar la función de filtrado de URL:

  1. Seleccione Configuration > Trend Micro Content Security > WEB en ASDM y haga clic en Configure URL Filtering Settings para que aparezca la ventana URL Filtering Settings.

  2. En la pestaña URL Categories revise las categorías de la lista y la clasificación predeterminada asignada a cada categoría para ver si esa asignación es apropiada para su organización. Por ejemplo, llegal Drugs (Drogas Ilegales) es una subcategoría de la categoría Company-prohibited. Si su organización es una empresa de servicios financieros, es posible que desee seguir conservando esta categoría como prohibida por la compañía. Active la casilla de verificación Illegal Drugs para activar el filtrado de sitios relacionados con drogas ilegales. Sin embargo, si su organización se encarga de velar por el cumplimiento de las leyes, debería reclasificar la subcategoría Illegal Drugs en la categoría Business function. Consulte la ayuda en línea para obtener más información sobre cómo reclasificar.

  3. Una vez que haya revisado y adaptado las clasificaciones de las subcategorías, active la categoría asociada para habilitar todas las subcategorías en las que desea que se realice un filtrado.

  4. Si existen sitios dentro de algunas de las subcategorías habilitadas que no desea que se filtren, haga clic en la pestaña URL Filtering Exceptions.

  5. Introduzca los URL que desea excluir del filtrado en el campo Match. Puede especificar el nombre exacto del sitio Web, una palabra clave URL y una cadena.

  6. Haga clic en Add después de introducir cada entrada para desplazar el URL a la lista Do Not Filter the Following Sites (No Filtrar los Siguientes Sitios). Las entradas se guardan como excepciones hasta que las elimine.

    Nota: También puede importar una lista de excepciones. El archivo importado debe tener un formato específico. Consulte la ayuda en línea para obtener instrucciones.

  7. Haga clic en la pestaña Schedule para definir los días de la semana y horas del día que deben considerarse horas de trabajo. Las horas que no se definan como horas de trabajo se clasificarán automáticamente como tiempo de ocio.

  8. Haga clic en Save para actualizar la nueva configuración de filtrado de URL.

  9. Haga clic en la pestaña Reclassify URL para remitir URLs sospechosos a TrendLabs para su evaluación.

Reglas de Filtrado

Una vez que haya asignado las subcategorías URL a las categorías adecuadas para su organización, haya definido las excepciones (si las hay) y haya creado el programa de horas de trabajo y tiempo de ocio, asigne las reglas de filtrado que determinan cuándo se filtra una categoría.

Siga estos pasos para asignar las reglas de filtrado de URL:

  1. Seleccione Configuration > Trend Micro Content Security > WEB en ASDM y haga clic en Configure URL Filtering Rules para que aparezca la ventana URL Filtering Rules.

  2. En cada una de las seis categorías principales, especifique si los URL de esa categoría se bloquean y, en ese caso, si se bloquean durante horas de trabajo, tiempo de ocio o en ambos casos. Consulte la ayuda en línea para obtener más información.

    asa-traffic-csc-ssm-config-32.gif
  3. Haga clic en Save para actualizar la configuración.

    Nota: Para que el filtrado de URL funcione correctamente el módulo CSC-SSM debe poder enviar solicitudes HTTP al servicio Trend Micro. Si se requiere un proxy HTTP, seleccione Update > Proxy Settings para configurar los parámetros del proxy. El componente de filtrado de URL no soporta proxy SOCKS4.

Configuración de FTP

Configuración de FTP de Trend Micro

Después de la instalación, el tráfico FTP se analiza en busca de virus, gusanos y troyanos de forma predeterminada. Malware como spyware y otros tipos de grayware requieren un cambio en la configuración para que puedan ser detectados.

Análisis de transferencia de archivos (FTP): Activado cuando se utiliza All Scannable Files como método de análisis.

asa-traffic-csc-ssm-config-33.gif

Siga los pasos que se detallan en la página Bloqueo de Archivos para el tráfico HTTP.

asa-traffic-csc-ssm-config-34.gif

Siga los pasos que se detallan en la página Bloqueo de Archivos para el tráfico HTTP.

asa-traffic-csc-ssm-config-35.gif

Verificación

Utilice esta sección para confirmar que la configuración funcione correctamente.

La Herramienta Output Interpreter (OIT) (usuarios registrados únicamente) admite determinados comandosshow. A pesar de que la OIT pueda utilizarse para ver un análisis de algunos resultados del comando show, en este momento estos comandos show no son compatibles con esta herramienta.

  • show module: Para comprobar el estado de un SSM, por ejemplo:

    ciscoasa#show module
    Mod Card Type                                    Model              Serial No.
    --- -------------------------------------------- ------------------ -----------
      0 ASA 5520 Adaptive Security Appliance         ASA5520            JMX090000B7
      1 ASA 5500 Series Security Services Module-20  ASA-SSM-20         JAF10333331
    
    Mod MAC Address Range                 Hw Version   Fw Version   Sw Version
    --- --------------------------------- ------------ ------------ ---------------
      0 0014.c482.5151 to 0014.c482.5155  1.1          1.0(10)0     8.0(2)
      1 000b.fcf8.012c to 000b.fcf8.012c  1.0          1.0(10)0     Trend Micro InterScan Security Module Version 6.0
    
    Mod SSM Application Name           Status           SSM Application Version
    --- ------------------------------ ---------------- --------------------------
      1 Trend Micro InterScan Security Up               Version 6.0
    
    Mod Status             Data Plane Status     Compatibility
    --- ------------------ --------------------- -------------
      0 Up Sys             Not Applicable
      1 Up                 Up
  • show module 1 details: Utilice la palabra clave details para ver información adicional sobre el SSM, por ejemplo:

    ciscoasa#show module 1 details
    Getting details from the Service Module, please wait...
    ASA 5500 Series Security Services Module-20
    Model:              ASA-SSM-20
    Hardware version:   1.0
    Serial Number:      JAF10333331
    Firmware version:   1.0(10)0
    Software version:   Trend Micro InterScan Security Module Version 6.0
    App. name:          Trend Micro InterScan Security Module
    App. version:       Version 6.0
    Data plane Status:  Up
    Status:             Up
    HTTP Service:       Up
    Mail Service:       Up
    FTP Service:        Up
    Activated:          Yes
    Mgmt IP addr:       172.30.21.235
    Mgmt web port:      8443
  • show module slot_num recover: Determina si hay una configuración de recuperación para el SSM. Si existe una configuración de recuperación para el SSM, el ASA la mostrará. Por ejemplo:

    ciscoasa#show module 1 recover
    Module 1 recover parameters. . .
    Boot Recovery Image: Yes
    Image URL:           tftp://10.21.18.1/ids-oldimg
    Port IP Address:     172.30.21.10
    Port Mask:          255.255.255.0
    Gateway IP Address:  172.30.21.254

Consulte la sección Verificación de la Configuración Inicial para obtener más información sobre cómo verificar que Trend Micro InterScan para Cisco CSC-SSM funcione correctamente.

Troubleshooting

Esta sección proporciona información que podrá utilizar para resolver problemas de configuración.

Problemas de Rendimiento

Problema

El tráfico entrante de SMTP se ha vuelto muy lento. El servidor de correo interno tarda a veces unos minutos en recibir respuesta del servidor.

Solución

Es posible que el tráfico se haga lento debido a out-of-order packets (paquetes fuera de orden). Pruebe con este ejemplo, que podrá resolver el problema.


!--- Cree un nuevo mapa tcp y permita 100
 paquetes fuera de orden.

tcp-map localmap
 queue-limit 100

!--- Esta es la clase que define el tráfico que se envía al
módulo csc. El nombre que usted use puede ser diferente.
Configure los parámetros del mapa local para que el flujo coincida con el class-map.

policy-map global_policy
 class csc-class
  set connection advanced-options localmap

Comandos para Troubleshooting

La Herramienta Output Interpreter (OIT) (usuarios registrados únicamente) admite ciertos comandosshow. Utilice la OIT para ver un análisis de los resultados de los comandos show.

Consulte la sección Troubleshooting Trend Micro InterScan for Cisco CSC-SSM para obtener más información sobre cómo resolver distintos problemas del CSC-SSM.

Nota: Consulte Información Importante sobre Comandos de Depuración (Debug) antes de utilizar los comandos debug:

  • debug module-boot: Muestra mensajes de depuración sobre el proceso de arranque del SSM.


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 99141