Détails administratifs sur la commande CLI de « pionnier » pour l'appliance de Gestion de sécurité Cisco (SMA)

Introduction

Commençant par AsyncOS 11.4 et continuant AsyncOS 12.x pour l'appliance de Gestion de la sécurité (SMA), l'interface utilisateur d'utilisateur web (UI) a subi une reconception aussi bien que le traitement interne des données. Le centre de cet article adresse des changements de la capacité de parcourir l'interface utilisateur d'utilisateur web nouvellement remodelée.  L'implémentation d'une conception plus technologiquement avancée, Cisco a fonctionné pour améliorer l'expérience utilisateur.

Contribué par Chris Arellano, ingénieur TAC Cisco.

Conditions préalables

Remarque: L'interface de « Gestion » est l'interface par défaut, présentée pendant la première configuration sur le SMA.  Du réseau > des interfaces IP, il ne permet pas la suppression.  Pour cette raison, ce sera toujours l'interface par défaut qui entretient sera vérifiée.

Assurez que les articles suivants ont été vérifiés avant d'activer le trailblazerconfig :

1. SMA a été amélioré et exécute la version 12.x d'AsyncOS (ou plus nouveau)
2. Du réseau > des interfaces IP, l'interface de gestion a la Gestion d'appareils > le HTTPS activés
   • La Gestion d'appareils > le port HTTPS doivent être ouverts sur le Pare-feu
3. Du réseau > des interfaces IP, l'interface de gestion a AsyncOS API > HTTP et AsyncOS > HTTPS chacun des deux activés.
   • AsyncOS API > HTTP et AsyncOS des ports API > HTTPS doivent être ouverts sur le Pare-feu
4. Le port de « pionnier » doit être ouvert par le Pare-feu
   • Le par défaut est 4431
5. Assurez que les DN peuvent résoudre l'interface de gestion « adresse Internet »
   
   • c.-à-d., le nslookup sma.hostname renvoie une adresse IP
6. Assurez que les DN peuvent résoudre « ceci est l'interface par défaut pour la quarantaine » hostname/URL de Spam configurée pour accéder à la quarantaine de Spam

Pourquoi

12.x Le GUI de la nouvelle génération SMA (NGSMA) re-a été mis en application comme application d'une seule page (STATION THERMALE) qui obtient téléchargé sur le client (IE, Chrome, Firefox) pour améliorer l'expérience utilisateur.  La STATION THERMALE communique à travers aux plusieurs serveurs internes du SMA, chacun exécutant un service différent.

Les restrictions de CORS (partage de ressources de Croix-origine) dans la transmission de STATION THERMALE au SMA entraînent quelques obstacles à la transmission entre les plusieurs modules.

• Les CORS est une fonctionnalité de sécurité conçue pour empêcher des commandes malveillantes d'exécuter dans une voie de communication établie à un autre service interne.

Les serveurs internes sont accessibles par différents ports TCP numérotés par l'intermédiaire du NGSMA.  Chaque port TCP exige d'une approbation distincte de certificat de communiquer au client.  La capacité insuffisante de communiquer aux serveurs internes du NGSMA présente un problème.

Incidence

Les interfaces web de nouvelle génération comprenant « /euq-login » et « NG-procédure de connexion ».

État pour l'intégration du Solutions de sécurité pour neutraliser les menaces réseau Cisco d'AMP (CTR).

Solution

L'exemple simple des ports TCP représentant différents modules exige l'acceptation de certificat pour chaque port.  Si un certificat signé de confiance n'existe pas sur le SMA, alors des acceptations de plusieurs certificat sont exigées pendant que le navigateur initie la transmission transparente aux modules.  À un utilisateur qui peut ne pas comprendre le besoin de ports TCP 6443, 443, 4431, l'expérience peuvent potentiellement entraîner la confusion.

Pour se déplacer au delà de ces défis, Cisco a mis en application Nginx pour remplir une fonction de proxy entre le client (client de navigateur) et les serveurs (services accessibles par l'intermédiaire des ports spécifiques).  Nginx (stylisé comme NGINX ou nginx) est un web server qui peut également être utilisé car un proxy inverse, un équilibreur de charge, un proxy de messagerie et un cache de HTTP.

Ceci condense la transmission à une acceptation simple de flot et de certificat de transmission.

Cisco a étiqueté la commande CLI d'activer cette fonctionnalité comme trailblazerconfig.

La première illustration affiche un exemple de deux serveurs en cours :

• Serveur HTTP:6080 et HTTPS:6443 API
• Serveur HTTP:80 et HTTPS:443 GUI

La transmission avec approbation du GUI à l'API exige l'approbation et l'accès de port.

STATION THERMALE et serveurs associés

La prochaine illustration incorpore le proxy de Nginx devant les processus API et GUI - éliminer le souci des transmissions restreintes.

STATION THERMALE, utilisant le proxy NGINX pour atteindre les serveurs associés

Ligne de commande exemples

Pleine aide :

sma.local> help trailblazerconfig

trailblazerconfig

    Configure and check the trailblazer.
    (Please make sure existing UI is functioning on https)
    trailblazerconfig enable <https_port> <http_port>
    trailblazerconfig disable
    trailblazerconfig status

    Sub-commands:
        enable         - Runs the trailblazer either on
                         default ports (https_port: 4431 and http_port: 801)
                         or optionally specified https_port and http_port
        disable        - Disable the trailblazer
        status         - Check the status of trailblazer

    Options:
        https_port     - HTTPS port number, Optional
        http_port      - HTTP port number, Optional

État de contrôle :

sma.local> trailblazerconfig status

trailblazer is not running

Enable :

sma.local> trailblazerconfig enable

trailblazer is enabled.
To access the Next Generation web interface, use the port 4431 for HTTPS.

POST-enable, état de contrôle :

sma.local> trailblazerconfig status

trailblazer is running with https on port 4431.

Échantillon nommant la syntaxe

L'accès de Web activé par pionnier inclurait le port de pionnier dans l'adresse URL :

• Le portail de Gestion NGSMA apparaîtrait en tant que : https:// hostname:4431/ng-login
• Le portail d'End User Quarantine NGSMA (ou ISQ) apparaîtrait en tant que : https:// hostname:4431/euq-login

Dépannage

Quelques réalisations se concentrent sur l'interface secondaire pour des notifications de Spam. SI l'interface de gestion « adresse Internet » n'est pas résoluble dans des DN (c.-à-d., adresse Internet de nslookup), alors le pionnier n'initialisera pas.

Une action de confirmer immédiatement et service de restauration est d'ajouter une adresse Internet résoluble à l'interface de gestion. (Créez alors un enregistrement A pour résoudre correctement l'adresse Internet indiquée.)

Les restrictions de Sécurité de côté utilisateur empêchent l'accès de l'environnement de l'utilisateur vers le port TCP SMA 4431 :

1. Testez pour s'assurer que le port est à la disposition du navigateur
2. Entrez dans l'adresse Internet et mettez en communication en tant que :

https:// hostname:4431

Port TCP 443 non ouvert	Port TCP 4431 ouvert et certificat reçu
IE11 : Cette page ne peut pas être affichée Chrome : Ce site ne peut pas être atteint. A refusé de se connecter Firefox : Incapable de se connecter	IE : HTTP 406 Chrome : {« erreur » : {« message » : « Non autorisé.  », « code » : "401", « explication » : "401 = aucune autorisation -- voir les schémas d'autorisation.  »}} Firefox : Demande de certificat (ACCEPT).  Firefox : acceptation de certificat de courrier > « non autorisé. » 401

Syntaxe correcte URL :

• les systèmes activés parpionnier n'utiliseront pas le port 4431 dans le nom :

https:// hostname/ng-login

adresse Internet - ou de https:///euq-procédure de connexion

• Les systèmes activés par pionnier incluront le numéro de port 4431 dans le nom :

https:// hostname:4431/ng-login

- ou https:// hostname:4431/euq-login