cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
cancel
1788
Visitas
0
ÚTIL
5
Respuestas

PROBLEMAS CON MODULO DE FILTRADO DE CONTENIDO CSC-SSM

jsosaromero
Level 1
Level 1

Buen día, alguien me puede indicar como solucionar el siguiente problema:

cuando realizo peticiones por puerto http de redes sociales u otras categorias el modulo bloquea satisfactoriamente las solicitudes, pero si cambio el puerto origen por https el modulo deja pasar la solicitud.

quedo atento a sus sugerencias.

5 RESPUESTAS 5

Itzcoatl Espinosa
Cisco Employee
Cisco Employee

Hola,

El módulo de CSC solamente soporta filtrado para tráfico que viaja sobre http. La explicación es la siguiente:

Cuando se trata de bloquear trafico HTTP como es http:www.facebook.com, el firewall inspecciona el  encabezado de

"GET request" para verificar la cadena del nombre facebook y bloquear este sitio. Sin embargo, cuando se manda tráfico en HTTPS detrás del firewall,  este se manda cifrado, por lo tanto el ASA no puede ver el  "GET request"  y como consecuencia no es bloqueado.

A partir de la versión 8.4.2 del ASA y de la versión 6.6.1125.0 del CSC, se puede realizar filtrado de tráfico sobre HTTPS. Esto se puede verificar en las release notes

http://www.cisco.com/en/US/partner/docs/security/asa/asa84/release/notes/asarn84.html

http://www.cisco.com/en/US/docs/security/csc/csc66/release/notes/cscrn66.html

Espero haya contestado tu pregunta

Saludos,

Itzcoatl Espinosa

ok agradezco su respuesta, pero tengo otra pregunta. Se que la versión de software para el ASA se puede cambiar, pero la del modulo es posible cambiarla?

Si es posible cambiar la versión del CSC, usando un archivo con extensión .pkg. Podrías indicarme que versión tienes actualmente en el ASA y en el módulo?

ASA:

Cisco Adaptive Security Appliance Software Version 8.0(3)

Device Manager Version 6.0(2)

Compiled on Tue 06-Nov-07 22:59 by builders

System image file is "disk0:/asa803-k8.bin"

Config file at boot was "startup-config"

Hardware:   ASA5510, 256 MB RAM, CPU Pentium 4 Celeron 1600 MHz

Internal ATA Compact Flash, 256MB

BIOS Flash M50FW080 @ 0xffe00000, 1024KB

CSC:

ASA 5500 Series Content Security Services Module-10

Model:              ASA-SSM-CSC-10

Hardware version:   1.0

Serial Number:      JAF1210AKEN

Firmware version:   1.0(11)2

Software version:   CSC SSM 6.2.1599.0

MAC Address Range:  001e.f710.62c0 to 001e.f710.62c0

App. name:          CSC SSM

App. Status:        Up

App. Status Desc:   CSC SSM scan services are available

App. version:       6.2.1599.0 

Hola,

Estuve observando que el ASA5510, actualmente tiene 256 MB en RAM. Para poder hacer una actualización de la versión a la 8.3 o superior se requiere una memoria de 1 GB.

Esto se puede ver en la siguiente documentación, así como el número de parte de la tarjeta de memoria.

http://www.cisco.com/en/US/prod/collateral/vpndevc/ps6032/ps6094/ps6120/product_bulletin_c25-586414.html.

Es decir, para poder hacer actualización del módulo de CSC, se quiere la actualización de la versión del ASA y por lo tanto actualización de la memoria RAM.

Algo adicional que debo mencionar es que a partir de la versión 8.3, se hizo un rediseño del NAT en el ASA, por lo que la configuración de traducciones estáticas y dinámicas cambian drasticamente. Antes de realizar una actualización se recomienda familiarse con la nueva configuración.

La versiónes del módulo también se encuentran disponibles en la página de cisco.com

Espero haya respondido tu pregunta.

Itzcoatl Espinosa

Vamos a comenzar

¡Conecte con otros expertos de Cisco y del mundo! Encuentre soluciones a sus problemas técnicos o comerciales, y aprenda compartiendo experiencias.

Queremos que su experiencia sea grata, le compartimos algunos links que le ayudarán a familiarizarse con la Comunidad de Cisco: