Seguridad : Cisco Email Security Appliance

Túnel contento FAQ de Techsupport de la Seguridad

16 Enero 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (5 Enero 2016) | Comentarios

Introducción

Este documento proporciona las respuestas a las preguntas frecuentes sobre el uso de los túneles de Techsupport en los dispositivos de seguridad del contenido de Cisco.

Contribuido por el Chris Haag, ingeniero de Cisco TAC.

Prerrequisitos

Requisitos

Cisco recomienda que tenga conocimiento sobre estos temas:

  • Dispositivo de seguridad del correo electrónico de Cisco (ESA)
  • Dispositivo de seguridad de la red de Cisco (WSA)
  • Dispositivo de la Administración del Cisco Security (S A)
  • AsyncOS

Componentes Utilizados

La información en este documento se basa en los dispositivos de seguridad del contenido de Cisco que funcionan con cualquier versión de AsyncOS.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

¿Cuáles son túneles de Techsupport?

Los túneles de Techsupport son las conexiones del Secure Shell (SSH) que se crean de un dispositivo de seguridad del contenido de Cisco a un bastion host en las jefaturas de la Seguridad del contenido de Cisco. Los túneles permiten que el soporte de cliente de Cisco y los ingenieros de aplicaciones analicen un sistema y reparen.

¿Cómo los túneles de Techsupport funcionan?

El túnel de Techsupport funciona con la mayoría de los Firewall sin la modificación. Cuando los iniciados de la conexión del túnel, el dispositivo hacen que una conexión SSH de una alto-fuente al azar vira hacia el lado de babor al puerto especificado de uno de estos servidores asegurados Cisco:

  • 63.251.108.107 - para más viejas estructuras de AsyncOS
  • upgrades.ironport.com - para más viejas estructuras de AsyncOS
  • c.tunnels.ironport.com - para la serie C appliances/ESA
  • x.tunnels.ironport.com - para las X-series appliances/ESA
  • m.tunnels.ironport.com - para las M-series appliances/SMA
  • s.tunnels.ironport.com - para la serie S appliances/WSA 

Los puertos que están disponibles en los servidores del asegurar-túnel de Cisco son 22, 25, 53, 80, 443, y 4766. Puesto que la conexión se hace al nombre de host bastante que una dirección IP codificada por hardware, un Domain Name Server activo (DNS) se requiere para establecer el túnel.

Algunos dispositivos protocolo-enterados bloquean la conexión debido a la discordancía y a un cierto protocolo simple mail transport (S TP) del /port del protocolo - los dispositivos enterados interrumpen la conexión. En caso de que haya los dispositivos o las conexiones salientes protocolo-enterados se bloquean que, el uso de un puerto con excepción del valor por defecto (25) pudo ser requerido. El acceso al extremo remoto del túnel se restringe solamente al soporte de cliente de Cisco y a los ingenieros de aplicaciones.

Nota: Cuando un soporte de Cisco o un ingeniero de aplicaciones está conectado con el túnel, el prompt del sistema en el dispositivo incluye (SERVICIO).

Consejo: Los túneles intentan automáticamente restablecerse, por ejemplo cuando ocurre una interrupción de la red o cuando se reinicia el dispositivo.

¿Cómo establezco un túnel de Techsupport?

Para establecer una conexión del túnel de Techsupport vía el dispositivo CLI como Usuario administrador, complete estos pasos:

  1. Ingrese el comando del techsupport.

  2. Elija el túnel.

  3. Complete los prompts.

Nota: Cuando usted habilita un túnel, usted debe ingresar una contraseña temporal y proporcionarla al ingeniero de servicio técnico del cliente de Cisco. Esta contraseña no se utiliza directamente, sino se utiliza para generar una contraseña máquina-específica.

Para establecer un túnel del dispositivo admin GUI, complete estos pasos:

  1. Navegue a la administración del sistema > al Acceso Remoto.

  2. Asegúrese de que usted marque el Acceso Remoto de la permit a este dispositivo e inicie la conexión vía las casillas de verificación del túnel seguro.

  3. Presente el impreso.

Es importante observar que cualquier Firewall se debe configurar para permitir las conexiones salientes a upgrades.ironport.com. Si su Firewall tiene examen del protocolo S TP habilitado, el túnel no establece. En estas situaciones, usted debe especificar un puerto alternativo. Elija el puerto más conveniente de esta lista:

  • 22
  • 53
  • 80
  • 443
  • 4766

Nota: El puerto 25 se utiliza como el puerto destino predeterminado.

Consejo: Para inhabilitar el túnel cuando se requiere no más, ingrese el comando del techsupport y elija la neutralización.

¿Cómo puedo probar el túnel de Techsupport para la Conectividad?

Utilice este ejemplo para realizar una prueba inicial para la Conectividad con su Firewall:

example.run> > telnet upgrades.ironport.com 25

Trying 63.251.108.107...
Connected to 63.251.108.107.
Escape character is '^]'.
SSH-2.0-OpenSSH_6.2 CiscoTunnels1

¿Por qué el túnel de Techsupport no funciona en el dispositivo de la Administración de seguridad (S A)?


No trabaja en los casos donde el S A se coloca en la red local sin el acceso directo a Internet, aunque los puertos mencionados enumerados antes de que el túnel de Techsupport no establezca. En este caso el túnel de Techsupport se puede habilitar en un ESA en lugar de otro y el acceso de SSH se puede habilitar en el S A. Esto permite el soporte de Cisco a primero conecta vía el túnel de Techsupport con el ESA y del ESA con SSH con el S A, que requiere que haya Conectividad entre el ESA y el S A en el puerto 22.

Establezca el acceso de SSH vía el S A CLI como Usuario administrador

  1. Ingrese el comando del techsupport.

  2. Elija SSHACCESS.

  3. Complete los prompts.

Nota: Una vez que está habilitado, proporcione el soporte de Cisco el número de serie del ESA y el S A así como la contraseña del servicio. 


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 117873