PROBLEMAS CON MODULO DE FILTRADO DE CONTENIDO CSC-SSM

Unanswered Question
Feb 16th, 2012

Buen día, alguien me puede indicar como solucionar el siguiente problema:

cuando realizo peticiones por puerto http de redes sociales u otras categorias el modulo bloquea satisfactoriamente las solicitudes, pero si cambio el puerto origen por https el modulo deja pasar la solicitud.

quedo atento a sus sugerencias.

I have this problem too.
0 votes
  • 1
  • 2
  • 3
  • 4
  • 5
Average Rating: 0 (0 ratings)
itespino Thu, 02/16/2012 - 12:10

Hola,

El módulo de CSC solamente soporta filtrado para tráfico que viaja sobre http. La explicación es la siguiente:

Cuando se trata de bloquear trafico HTTP como es http:www.facebook.com, el firewall inspecciona el  encabezado de

"GET request" para verificar la cadena del nombre facebook y bloquear este sitio. Sin embargo, cuando se manda tráfico en HTTPS detrás del firewall,  este se manda cifrado, por lo tanto el ASA no puede ver el  "GET request"  y como consecuencia no es bloqueado.

A partir de la versión 8.4.2 del ASA y de la versión 6.6.1125.0 del CSC, se puede realizar filtrado de tráfico sobre HTTPS. Esto se puede verificar en las release notes

http://www.cisco.com/en/US/partner/docs/security/asa/asa84/release/notes/asarn84.html

http://www.cisco.com/en/US/docs/security/csc/csc66/release/notes/cscrn66.html

Espero haya contestado tu pregunta

Saludos,

Itzcoatl Espinosa

jsosaromero Mon, 02/20/2012 - 06:32

ok agradezco su respuesta, pero tengo otra pregunta. Se que la versión de software para el ASA se puede cambiar, pero la del modulo es posible cambiarla?

itespino Mon, 02/20/2012 - 07:53

Si es posible cambiar la versión del CSC, usando un archivo con extensión .pkg. Podrías indicarme que versión tienes actualmente en el ASA y en el módulo?

jsosaromero Mon, 02/20/2012 - 08:35

ASA:

Cisco Adaptive Security Appliance Software Version 8.0(3)

Device Manager Version 6.0(2)

Compiled on Tue 06-Nov-07 22:59 by builders

System image file is "disk0:/asa803-k8.bin"

Config file at boot was "startup-config"

Hardware:   ASA5510, 256 MB RAM, CPU Pentium 4 Celeron 1600 MHz

Internal ATA Compact Flash, 256MB

BIOS Flash M50FW080 @ 0xffe00000, 1024KB

CSC:

ASA 5500 Series Content Security Services Module-10

Model:              ASA-SSM-CSC-10

Hardware version:   1.0

Serial Number:      JAF1210AKEN

Firmware version:   1.0(11)2

Software version:   CSC SSM 6.2.1599.0

MAC Address Range:  001e.f710.62c0 to 001e.f710.62c0

App. name:          CSC SSM

App. Status:        Up

App. Status Desc:   CSC SSM scan services are available

App. version:       6.2.1599.0 

itespino Mon, 02/20/2012 - 10:10

Hola,

Estuve observando que el ASA5510, actualmente tiene 256 MB en RAM. Para poder hacer una actualización de la versión a la 8.3 o superior se requiere una memoria de 1 GB.

Esto se puede ver en la siguiente documentación, así como el número de parte de la tarjeta de memoria.

http://www.cisco.com/en/US/prod/collateral/vpndevc/ps6032/ps6094/ps6120/product_bulletin_c25-586414.html.

Es decir, para poder hacer actualización del módulo de CSC, se quiere la actualización de la versión del ASA y por lo tanto actualización de la memoria RAM.

Algo adicional que debo mencionar es que a partir de la versión 8.3, se hizo un rediseño del NAT en el ASA, por lo que la configuración de traducciones estáticas y dinámicas cambian drasticamente. Antes de realizar una actualización se recomienda familiarse con la nueva configuración.

La versiónes del módulo también se encuentran disponibles en la página de cisco.com

Espero haya respondido tu pregunta.

Itzcoatl Espinosa

Actions

Login or Register to take actions

This Discussion

Posted February 16, 2012 at 8:20 AM
Stats:
Replies:5 Avg. Rating:
Views:1091 Votes:0
Shares:0
Tags: No tags.

Discussions Leaderboard