02-16-2012 08:20 AM - editado 03-21-2019 06:09 PM
Buen día, alguien me puede indicar como solucionar el siguiente problema:
cuando realizo peticiones por puerto http de redes sociales u otras categorias el modulo bloquea satisfactoriamente las solicitudes, pero si cambio el puerto origen por https el modulo deja pasar la solicitud.
quedo atento a sus sugerencias.
el 02-16-2012 12:10 PM
Hola,
El módulo de CSC solamente soporta filtrado para tráfico que viaja sobre http. La explicación es la siguiente:
Cuando se trata de bloquear trafico HTTP como es http:www.facebook.com, el firewall inspecciona el encabezado de
"GET request" para verificar la cadena del nombre facebook y bloquear este sitio. Sin embargo, cuando se manda tráfico en HTTPS detrás del firewall, este se manda cifrado, por lo tanto el ASA no puede ver el "GET request" y como consecuencia no es bloqueado.
A partir de la versión 8.4.2 del ASA y de la versión 6.6.1125.0 del CSC, se puede realizar filtrado de tráfico sobre HTTPS. Esto se puede verificar en las release notes
http://www.cisco.com/en/US/partner/docs/security/asa/asa84/release/notes/asarn84.html
http://www.cisco.com/en/US/docs/security/csc/csc66/release/notes/cscrn66.html
Espero haya contestado tu pregunta
Saludos,
Itzcoatl Espinosa
el 02-20-2012 06:32 AM
ok agradezco su respuesta, pero tengo otra pregunta. Se que la versión de software para el ASA se puede cambiar, pero la del modulo es posible cambiarla?
el 02-20-2012 07:53 AM
Si es posible cambiar la versión del CSC, usando un archivo con extensión .pkg. Podrías indicarme que versión tienes actualmente en el ASA y en el módulo?
el 02-20-2012 08:35 AM
ASA:
Cisco Adaptive Security Appliance Software Version 8.0(3)
Device Manager Version 6.0(2)
Compiled on Tue 06-Nov-07 22:59 by builders
System image file is "disk0:/asa803-k8.bin"
Config file at boot was "startup-config"
Hardware: ASA5510, 256 MB RAM, CPU Pentium 4 Celeron 1600 MHz
Internal ATA Compact Flash, 256MB
BIOS Flash M50FW080 @ 0xffe00000, 1024KB
CSC:
ASA 5500 Series Content Security Services Module-10
Model: ASA-SSM-CSC-10
Hardware version: 1.0
Serial Number: JAF1210AKEN
Firmware version: 1.0(11)2
Software version: CSC SSM 6.2.1599.0
MAC Address Range: 001e.f710.62c0 to 001e.f710.62c0
App. name: CSC SSM
App. Status: Up
App. Status Desc: CSC SSM scan services are available
App. version: 6.2.1599.0
el 02-20-2012 10:10 AM
Hola,
Estuve observando que el ASA5510, actualmente tiene 256 MB en RAM. Para poder hacer una actualización de la versión a la 8.3 o superior se requiere una memoria de 1 GB.
Esto se puede ver en la siguiente documentación, así como el número de parte de la tarjeta de memoria.
Es decir, para poder hacer actualización del módulo de CSC, se quiere la actualización de la versión del ASA y por lo tanto actualización de la memoria RAM.
Algo adicional que debo mencionar es que a partir de la versión 8.3, se hizo un rediseño del NAT en el ASA, por lo que la configuración de traducciones estáticas y dinámicas cambian drasticamente. Antes de realizar una actualización se recomienda familiarse con la nueva configuración.
La versiónes del módulo también se encuentran disponibles en la página de cisco.com
Espero haya respondido tu pregunta.
Itzcoatl Espinosa
Descubra y salve sus notas favoritas. Vuelva a encontrar las respuestas de los expertos, guías paso a paso, temas recientes y mucho más.
¿Es nuevo por aquí? Empiece con estos tips. Cómo usar la comunidad Guía para nuevos miembros
Navegue y encuentre contenido personalizado de la comunidad