cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 

Módulo de CSC en el ASA (Configuración inicial)

Introducción

El propósito de este documento es el de poder realizar la configuración initial del módulo de CSC-SSM en el ASA  a través de la CLI (Línea de comando).

Instalación inicial

El módulo de CSC-SSM se inserta en la ranura del ASA 5510,5520,5540,5550. La primera vez que el módulo es insertado, el ASA debe estar apagado y reiniciado posteriormente.

Después de ser insertado, se le debe de proveer al módulo con acceso a la red. El usuario debe de utilizar el puerto Ethernet externo del módulo para darle acceso a Internet. Este debe ser tratado como cualquier otro host dentro de la red, debe ser parte de la LAN y tener acceso a Internet para poder obtener actualizaciones y poderse comunicar con los servidores de Trend Micro.

Configurando el CSC-SSM

La configuración inicial del CSC se puede realizar con el comando "session 1". El usuario y password por default son ambos cisco. Un menú llevará al usuario a configurar los siguientes parámetros.

-password nuevo

-dirección ip del módulo

-hostname of the CSC (cualquier nombre)

-dominio

-máscara de red

-domnio de correo electrónico que será inspeccionado

-dirección ip del servidor de SMTP

-código de licencia base

-código de licencia plus

A continuación de muestra  un ejemplo de los pasos a seguir.

CSC-ASA# sess 1
Opening command session with slot 1.
Connected to slot 1. Escape character sequence is 'CTRL-^X'.

login: cisco
Password:

The password has expired.

You are required to change your password immediately

Changing password for cisco

(current) password:

New password:

Retype new password:


       Trend Micro InterScan for Cisco CSC SSM Setup Wizard

---------------------------------------------------------------------



To set up the SSM, the wizard prompts for the following information:

     1. Network settings

     2. Date/time settings verification

     3. Incoming email domain name

     4. Notification settings

     5. Activation Codes

The Base License is required to activate the SSM.      

Press Control-C to abort the wizard.



Press Enter to continue ...


                         Network Settings

---------------------------------------------------------------------



Enter the SSM card IP address: 172.18.124.237

Enter subnet mask: 255.255.255.0

Enter host name: my-csc-ssm

Enter domain name: cisco.com

Enter primary DNS IP address: 172.18.108.43

Enter optional secondary DNS IP address:

Enter gateway IP address: 172.18.124.1

Do you use a proxy server? [y|n] n


                         Network Settings

---------------------------------------------------------------------



IP             172.18.124.237

Netmask        255.255.255.0

Hostname       my-csc-ssm

Domain name    cisco.com

Primary DNS    172.18.108.43

Gateway        172.18.124.1

No Proxy

Are these settings correct? [y|n] y

Applying network settings ...

Do you want to confirm the network settings using ping? [y|n] n


                        Date/Time Settings

---------------------------------------------------------------------

SSM card date and time: 11/21/2008 19:16:32

The SSM card periodically synchronizes with the chassis.

Is the time correct? [y|n] y



                       Incoming Domain Name

---------------------------------------------------------------------

Enter the domain name that identifies incoming email messages: (default:cisco.com)

Domain name of incoming email: cisco.com

Is the incoming domain correct? [y|n] y


               Administrator/Notification Settings

---------------------------------------------------------------------

Administrator email address: admin-4-csc@cisco.com,

Notification email server IP: 172.18.108.45

Notification email server port: (default:25)


               Administrator/Notification Settings

---------------------------------------------------------------------

Administrator email address: admin-4-csc@cisco.com

Notification email server IP: 172.18.108.45

Notification email server port: 25

Are the notification settings correct? [y|n] y


                            Activation

---------------------------------------------------------------------

You must activate your Base License, which enables you to update

your virus pattern file. You may also activate your Plus License.

Activation Code example: BV-43CZ-8TYY9-D4VNM-82We9-L7722-WPX41

Enter your Base License Activation Code: PX-DUMM-DUMMY-DUMMY-DUMMY-DUMMY-DUMMY

Base License activation is successful.

(Press Enter to skip activating your Plus License.)

Enter your Plus License Activation Code: PX-DUMM-DUMMY-DUMMY-DUMMY-DUMMY-DUMMY

Plus License activation is successful.


                         Activation Status

---------------------------------------------------------------------

Your Base License is activated.

Your Plus License is activated.

Stopping services: OK

Starting services: OK

The Setup Wizard is finished.

Please use your Web browser to connect to the management console at:

https://172.18.124.237:8443

Press Enter to exit ...

Remote card closed command session. Press any key to continue.
Command session with slot 1 terminated.

Si se trata de abrir un browser y buscar https://172.18.124.237:8443 , se tendrá acceso la interfaz gráfica del CSC.

Configurando el ASA para mandar tráfico al CSC-SSM

Se debe configurar el ASA para enviar el tráfico que será inspeccionado. Se usa una lista de accesio (ACL) para identificar el tráfico de HTTP, SMTP, POP3 y FTP. Se recomienda excluir el tráfico mismo del módulo para mejorar el rendimiento. Esta ACL  se utilizará en una class-map que identificará el tráfico. A su vez, esta class-map se configurará dentro de un policy-map.

A continuación se muestra un ejemplo de la configuración, es importante resaltar que el comando de "csc fail-open" evitará inspeccionar el tráfico cuando el módulo de CSC falle. En caso de que se configure "csc fail-close" todo el tráfico que debe ser inspeccionado será tirado en caso de que el módulo falle.

Finalmente, el policy-map será aplicado con el comando de service-policy. En el ejemplo siguiente el módulo de CSC tendrá la dirección IP 172.18.124.237.

access-list csc-acl extended deny ip host 172.18.124.237 any
access-list csc-acl extended permit tcp any any eq www
access-list csc-acl extended permit tcp any any eq smtp
access-list csc-acl extended permit tcp any any eq pop3
access-list csc-acl extended permit tcp any any eq ftp

class-map csc-class
  match access-list csc-acl

policy-map global_policy
  class csc-class
   csc fail-open

service-policy global_policy global

Verificación

Para verificar la configuración aplicada al CSC, se puede ejecutar el siguiente comando desde el ASA. El comando de  "show module 1 detail"

mostrará el estado del módulo.

CSC-ASA# sh modu 1 det
Getting details from the Service Module, please wait...
ASA 5500 Series Content Security Services Module-10
Model:              ASA-SSM-CSC-10
Hardware version:   1.0
Serial Number:      JADUMMYDUMM
Firmware version:   1.0(10)0
Software version:   CSC SSM 6.2.1599.0
MAC Address Range:  dumm.dumm.dumm to dumm.dumm.dumm
App. name:          CSC SSM
App. Status:        Up
App. Status Desc:   CSC SSM scan services are available
App. version:       6.2.1599.0
Data plane Status:  Up
Status:             Up
HTTP Service:       Up
Mail Service:       Up
FTP  Service:       Up
Activated:          Yes
Mgmt IP addr:       172.18.124.237
Mgmt web port:      8443
Peer IP addr:       <not enabled>

En el ASA se puede ejecutar el comando de "sh conn | i X", este mostrará las conexiones activas que están siendo inspeccionadas por el CSC.

CSC-ASA# sh conn | include X
TCP out 10.0.1.2:18610 in 10.0.0.3:25 idle 0:52:28 bytes 988 flags UfIOXB
TCP out 10.0.58.16:80 in 10.0.0.238:55393 idle 0:00:00 bytes 2578 flags UIOX
TCP out 10.23.6.4:80 in 10.0.0.238:55391 idle 0:00:00 bytes 4310 flags UIOX

NOTA: Se debe tener en cuenta que el módulo solamente inspecciona los protocolos de web,smtp,pop3,ftp. El protocolo de https no está soportado.

Documento original de Panos Kampanakis

Traducción por Itzcoatl Espinosa.

Comentarios
New Member

Estimado Itzcoatl Espinosa

Muy bueno tu aporte; pero tendrás un ejemplo de configuración del módulo Antispam para que analice el línea los correos externos entrantes (SMTP 25) y este luego de inspeccionarlo lo redireccione al correo Interno de la LAN o DMZ.

Gracias,

Luis Brito.

Cisco Employee

Luis,

Muchas gracias. El módulo inspecciona las conexiones que se establecen entre el cliente y el servidor. Sin embargo no existe forma de que primero inspeccione el tráfico y luego se establezca la conexión.

Gracias,

Itzcoatl

New Member

Itzcoatl,

Entonces el equipo no se comporta como los equipos Bluecoat y otro que analiza el tráfico entrante de correos externos y luego lo redirecciona al servidor interno. ¿Como se haría este comportamiento con el módulo AntiSpam CSC?

Gracias,

Luis Brito.

Cisco Employee

Luis,

Entiendo, lo que tú buscas es tener un proxy como lo es el  Bluecoat o Ironport, para que el tráfico  sea primero dirigido a este "proxy". Desafortunadamente el módulo de CSC en el ASA no soporta este tipo de configuración.

Muchas gracias,

Itzcoatl

5216
Visitas
5
ÚTIL
4
Comentarios