Este documento proporciona una configuración de ejemplo sobre cómo enviar el tráfico de red desde Cisco ASA 5500 Series Adaptive Security Appliance (ASA) al Content Security and Control Security Services Module (CSC-SSM).
CSC-SSM proporciona protección contra virus, spyware, spam y otro tráfico no deseado. Esto se logra mediante el escaneo del tráfico FTP, HTTP, POP3 y SMTP que el dispositivo de seguridad adaptable desvía hacia él. Para obligar al ASA a desviar el tráfico al CSC-SSM, debe utilizar el marco de políticas modular.
Consulte ASA: Enviar el tráfico de red del ASA al Ejemplo de configuración de AIP SSM para enviar el tráfico de red que pasa a través del Cisco ASA 5500 Series Adaptive Security Appliance (ASA) al módulo Advanced Inspection and Prevention Security Services Module (AIP-SSM) (IPS).
Nota: El CSC-SSM sólo puede escanear tráfico FTP, HTTP, POP3 y SMTP cuando el puerto de destino del paquete que solicita la conexión es el puerto conocido para el protocolo especificado. El CSC-SSM sólo puede analizar estas conexiones:
Conexiones FTP abiertas al puerto TCP 21
Conexiones HTTP abiertas al puerto TCP 80
Conexiones POP3 abiertas al puerto TCP 110
Conexiones SMTP abiertas al puerto TCP 25
Asegúrese de cumplir estos requisitos antes de intentar esta configuración:
Una comprensión básica de cómo configurar Cisco ASA serie 5500 ejecuta la versión de software 7.1 y posterior.
Se ha instalado CSC-SSM.
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
ASA 5520 con versión de software 7.1 y posterior
CSC-SSM-10 con versión de software 6.1
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.
El CSC-SSM mantiene un archivo que contiene perfiles de firma de contenido sospechoso, que se actualiza regularmente desde un servidor de actualización de Trend Micro. El CSC-SSM analiza el tráfico que recibe del dispositivo de seguridad adaptable y lo compara con los perfiles de contenido que obtiene de Trend Micro. A continuación, reenvía el contenido legítimo al dispositivo de seguridad adaptable para su routing, o bloquea e informa el contenido sospechoso.
De forma predeterminada, CSC-SSM incluye una licencia base que proporciona las siguientes funciones:
Detecta el tráfico de red y realiza acciones contra virus y malware
Bloquea archivos comprimidos o muy grandes que exceden los parámetros especificados
Busca y elimina spyware, adware y otros tipos de griayware
Además, si está equipado con una licencia Plus, también realiza estas tareas:
Reduce el spam y protege contra el fraude de suplantación de identidad en el tráfico SMTP y POP3
Configura filtros de contenido que le permiten permitir o prohibir el tráfico de correo electrónico que contiene palabras o frases clave
Filtra/bloquea las URL a las que no desea que accedan los usuarios o las URL a las que se sabe que tienen fines ocultos o maliciosos
Nota: El CSC-SSM sólo puede escanear las transferencias de archivos FTP cuando la inspección FTP está habilitada en el ASA. De forma predeterminada, la inspección FTP está activada.
Nota: El CSC-SSM no puede soportar Stateful Failover porque el CSC-SSM no mantiene la información de conexión y, por lo tanto, no puede proporcionar a la unidad de failover la información requerida para Stateful Failover. Las conexiones que escanea un CSC-SSM se pierden cuando falla el dispositivo de seguridad en el que se instala el CSC-SSM. Cuando el dispositivo de seguridad adaptable en espera se activa, reenvía el tráfico escaneado al CSC-SSM y se restablecen las conexiones.
En una red en la que el dispositivo de seguridad adaptable se implementa con el CSC-SSM, usted configura el dispositivo de seguridad adaptable para enviar al CSC-SSM solamente los tipos de tráfico que desea que se analice.
Nota: Utilice la herramienta Command Lookup (sólo para clientes registrados) para obtener más información sobre los comandos utilizados en esta sección.
Este diagrama muestra el flujo de tráfico dentro de ASA y CSC-SSM:
En este ejemplo, los clientes pueden ser usuarios de red que acceden a un sitio web, descargan archivos de un servidor FTP o recuperan correo de un servidor POP3.
En esta configuración, así es como fluye el tráfico:
El cliente inicia una solicitud.
El dispositivo de seguridad adaptable recibe la solicitud y la reenvía a Internet.
Cuando se recupera el contenido solicitado, el dispositivo de seguridad adaptable determina si sus políticas de servicio definen este tipo de contenido como uno que se debe desviar al CSC-SSM para su escaneo, y lo hace si procede.
El CSC-SSM recibe el contenido del dispositivo de seguridad adaptable, lo analiza y lo compara con su última actualización de los filtros de contenido de Trend Micro.
Si el contenido es sospechoso, el CSC-SSM bloquea el contenido e informa del evento. Si el contenido no es sospechoso, el CSC-SSM reenvía el contenido solicitado al dispositivo de seguridad adaptable para su enrutamiento.
En la configuración inicial, es necesario configurar varios parámetros. Asegúrese de haber recopilado la información necesaria para estos parámetros antes de comenzar.
Como primer paso para configurar el CSC-SSM, inicie el Cisco ASDM. De forma predeterminada, puede acceder al CSC-SSM a través de la dirección IP de administración del ASA en https://192.168.1.1/. Debe asegurarse de que su PC y la interfaz de gestión de ASA se encuentran en la misma red. Alternativamente, puede descargar el lanzador de ASDM para los accesos posteriores.
Configure estos parámetros con el ASDM:
Una vez en la ventana principal de ASDM, elija Configuration > Trend Micro Content Security > Wizard Setup y haga clic en Launch Setup Wizard .
Clave de activación:
El primer paso para obtener la clave de activación es identificar la clave de autorización de producto (PAK) enviada junto con el producto. Contiene un código de barras y 11 caracteres hexadecimales. Por ejemplo, un PAK de ejemplo puede ser 120106C7D4A.
Utilice la PAK para registrar el CSC-SSM en la página web Registro de licencias de productos (sólo clientes registrados). Después de registrarse, recibirá claves de activación por correo electrónico.
Parámetros IP de puerto de administración:
Especifique la dirección IP, la máscara de red y la dirección IP de la gateway para la interfaz de administración de CSC.
Servidores DNS: dirección IP para el servidor DNS principal.
Nombres de host y de dominio: especifique un nombre de host, así como el nombre de dominio del CSC-SSM.
Dominio entrante: nombre de dominio utilizado por el servidor de correo local como dominio de correo electrónico entrante.
Nota: Las políticas anti-SPAM se aplican solamente al tráfico de correo electrónico que llega a este dominio.
Configuración de notificación: dirección de correo electrónico del administrador y dirección IP y puerto del servidor de correo electrónico que se utilizarán para las notificaciones.
Parámetros de acceso del host de administración:
Introduzca la dirección IP y la máscara para cada subred y host que debe tener acceso de administración al CSC-SSM.
Nota: De forma predeterminada, todas las redes tienen acceso de administración al CSC-SSM. Por motivos de seguridad, Cisco recomienda restringir el acceso a subredes o hosts de administración específicos.
Nueva contraseña para CSC-SSM:
Cambie la contraseña predeterminada, cisco, por una nueva contraseña para el acceso de administración.
En el paso 6 del asistente de configuración de CSC, especifique el tipo de tráfico que se analizará.
El dispositivo de seguridad adaptable desvía paquetes al CSC-SSM después de aplicar las políticas de firewall pero antes de que los paquetes salgan de la interfaz de salida. Por ejemplo, los paquetes bloqueados por una lista de acceso no se reenvían al CSC-SSM.
Configure las políticas de servicio para especificar qué tráfico debe desviar el dispositivo de seguridad adaptable al CSC-SSM. El CSC-SSM puede analizar el tráfico HTTP, POP3, FTP y SMTP enviado a los puertos conocidos para esos protocolos.
Para simplificar el proceso de configuración inicial, este procedimiento crea una política de servicio global que desvía todo el tráfico para los protocolos soportados al CSC-SSM, tanto de entrada como de salida. Dado que el análisis de todo el tráfico que se produce a través del dispositivo de seguridad adaptable puede reducir el rendimiento del dispositivo de seguridad adaptable y del CSC-SSM, desea revisar esta política de seguridad más adelante. Por ejemplo, normalmente no es necesario analizar todo el tráfico que proviene de la red interna porque proviene de una fuente de confianza. Si refina las políticas de servicio para que CSC-SSM analice sólo el tráfico de fuentes no fiables, puede alcanzar sus objetivos de seguridad y maximizar el rendimiento del dispositivo de seguridad adaptable y el CSC-SSM.
Complete estos pasos para crear una política de servicio global que identifique el tráfico que se debe analizar:
Haga clic en Agregar para agregar un nuevo tipo de tráfico.
Elija Global en la lista desplegable Interfaz.
Deje los campos Origen y Destino establecidos en Any.
En Service are, haga clic en el botón de opción ellipsis (...). En este cuadro de diálogo, elija un servicio predefinido o haga clic en Agregar para definir un nuevo servicio.
En el área Si falla la tarjeta CSC, elija si el dispositivo de seguridad adaptable debe permitir o denegar el tráfico seleccionado si el CSC-SSM no está disponible.
Haga clic en Aceptar para volver a la ventana Selección de tráfico para escaneo CSC.
Haga clic en Next (Siguiente).
En el paso 7 del asistente de configuración de CSC, revise los parámetros de configuración que ha introducido para el CSC-SSM.
Si está satisfecho con estos parámetros, haga clic en Finalizar.
El ASDM muestra un mensaje que indica que el dispositivo CSC está ahora activo.
De forma predeterminada, el CSC-SSM se configura para realizar análisis de seguridad de contenido habilitados por la licencia que compró, que pueden incluir antivirus, antispam, antisuplantación de identidad y filtrado de contenido. También está configurado para obtener actualizaciones periódicas del servidor de actualización de Trend Micro.
Si se incluye en la licencia que compró, puede crear configuraciones personalizadas para el bloqueo de URL y el filtrado de URL, así como parámetros de correo electrónico y FTP. Consulte la Guía del administrador de SSM de control y seguridad de contenido de Cisco para obtener más información.
Para obligar al ASA a desviar el tráfico al CSC-SSM, debe utilizar el marco de políticas modular. Complete estos pasos para lograr la identificación y desviación del tráfico a CSC-SSM:
Cree una lista de acceso que coincida con el tráfico que desea escanear por el CSC-SSM, para desviar el tráfico a CSC-SSM, con el comando access-list extended:
hostname(config)#access-list acl-name extended {deny | permit} protocol src_ip mask dest_ip mask operator port
Cree un mapa de clase para identificar el tráfico que se debe desviar a CSC-SSM con el comando class-map:
hostname(config)#class-map class_map_name
Una vez en el modo de configuración de mapa de clase, utilice el comando match access-list para identificar el tráfico con el uso de la lista de acceso previamente especificada:
hostname(config-cmap)#match access-list acl-name
hostname(config-cmap)#exit
Cree un policy map para enviar el tráfico al CSC-SSM con el comando policy-map:
hostname(config)#policy-map policy_map_name
Una vez en el modo de configuración de policy map, utilice el comando class para especificar el mapa de clase, creado previamente, que identifica el tráfico que se escaneará:
hostname(config-pmap)#class class_map_name
Una vez en el modo de configuración de clase de mapa de políticas, puede configurar lo siguiente:
Si desea imponer un límite por cliente para las conexiones simultáneas que el dispositivo de seguridad adaptable desvía al CSC-SSM, utilice el comando set connection, como se indica a continuación:
hostname(config-pmap-c)#set connection per-client-max n
donde n es el número máximo de conexiones simultáneas que permite el dispositivo de seguridad adaptable para cada cliente. Este comando evita que un único cliente abuse de los servicios de CSC-SSM o de cualquier servidor protegido por el SSM, lo que incluye la prevención de intentos de ataques DoS en servidores HTTP, FTP, POP3 o SMTP que protege el CSC-SSM.
Utilice el comando csc para controlar cómo el ASA maneja el tráfico cuando el CSC-SSM no está disponible:
hostname(config-pmap-c)#csc {fail-close | fail-open}
donde fail-close especifica que el ASA debe bloquear el tráfico si el CSC-SSM falla y, por el contrario, fail-open especifica que el ASA debe permitir el tráfico si falla el CSC-SSM.
Nota: Esto se aplica únicamente al tráfico seleccionado por el mapa de clase. Otro tráfico no enviado al CSC-SSM no se ve afectado por una falla de CSC-SSM.
Por último, aplique el policy map globalmente o a una interfaz específica con el comando service-policy:
hostname(config-pmap-c)#service-policy policy_map_name [global | interface interface_ID]
donde interface_ID es el nombre asignado a la interfaz con el comando nameif.
Nota: Sólo se permite una política global. Puede reemplazar la política global en una interfaz con la aplicación de una política de servicio a esa interfaz. Sólo puede aplicar un policy map a cada interfaz.
Este diagrama es un ejemplo de un ASA 5500 configurado para estos parámetros:
El resumen del diagrama de red ilustra lo siguiente:
Conexión HTTP a redes externas
Conexión FTP de los clientes dentro del dispositivo de seguridad a los servidores fuera del dispositivo de seguridad
Clientes POP3 desde los clientes dentro del dispositivo de seguridad a los servidores fuera del dispositivo de seguridad.
Conexiones SMTP entrantes designadas al servidor de correo interno
ASA5520 |
---|
ciscoasa(config)#show running-config : Saved : ASA Version 8.0(2) ! hostname ciscoasa domain-name Security.lab.com enable password 2kxsYuz/BehvglCF encrypted no names dns-guard ! interface GigabitEthernet0/0 speed 100 duplex full nameif outside security-level 0 ip address 172.30.21.222 255.255.255.0 ! interface GigabitEthernet0/1 description INSIDE nameif inside security-level 100 ip address 192.168.5.1 255.255.255.0 ! !--- Output suppressed access-list csc-acl remark Exclude CSC module traffic from being scanned access-list csc-acl deny ip host 10.89.130.241 any !--- In order to improve the performance of the ASA and CSC Module. !--- Any traffic from CSC Module is excluded from the scanning. access-list csc-acl remark Scan Web & Mail traffic access-list csc-acl permit tcp any any eq www access-list csc-acl permit tcp any any eq smtp access-list csc-acl permit tcp any any eq pop3 ! !--- All Inbound and Outbound traffic for WEB, Mail services is scanning. access-list csc-acl-ftp permit tcp any any eq ftp !--- All Inbound and Outbound traffic for FTP service is scanning. class-map csc-class match access-list csc-acl ! class-map csc-ftp-class match access-list csc-acl-ftp ! policy-map global_policy class csc-class csc fail-open class csc-ftp-class csc fail-open policy-map global_policy class inspection_default !--- Inspect FTP traffic for scanning. inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp inspect icmp inspect http service-policy global_policy global !--- Output suppressed |
Trend Micro InterScan para Cisco CSC-SSM proporciona protección para los protocolos de tráfico principales, como SMTP, HTTP y FTP, así como para el tráfico POP3, a fin de garantizar que los empleados no introducen accidentalmente virus de sus cuentas personales de correo electrónico.
Elija Configuration > Trend Micro Content Security para abrir el CSC-SSM. En el menú Configuración, elija entre estas opciones de configuración:
Configuración de CSC: inicia el asistente de configuración para instalar y configurar el CSC-SSM
Web: configura el análisis web, el bloqueo de archivos, el filtrado de URL y el bloqueo de URL
Correo: configura el escaneo, el filtrado de contenido y la prevención de spam para correo electrónico entrante y saliente SMTP y POP3
Transferencia de archivos: configura el escaneo y bloqueo de archivos
Actualizaciones: planifica las actualizaciones de los componentes de análisis de seguridad de contenido, por ejemplo, el archivo de patrón de virus, el motor de exploración, etc.
Las opciones Web, Mail, File Transfer y Updates se describen con más detalle en estos capítulos:
Transferencia de archivos y Web: configuración del tráfico Web (HTTP) y de transferencia de archivos (FTP)
Actualizaciones: Administración de actualizaciones y consultas de registro
Este ejemplo muestra cómo configurar un CSC-SSM para analizar el mensaje SMTP entrante en la red de red interna.
Los mensajes SMTP entrantes se desvían al CSC-SSM para su escaneo. En este ejemplo, todo el tráfico del exterior para acceder al servidor de correo interno (192.168.5.2/24) para los servicios SMTP se desvía al CSC-SSM.
access-list csc_inbound extended permit tcp any host 192.168.5.2 eq smtp
Estos parámetros predeterminados le ofrecen cierta protección para el tráfico de correo electrónico después de instalar Trend Micro InterScan para Cisco CSC-SSM.
Complete estos pasos para configurar el CSC-SSM para escanear el mensaje SMTP entrante usando ASDM:
Elija Configuration > Trend Micro Content Security > Mail en ASDM y haga clic en Configure Incoming Scan para mostrar la ventana SMTP Incoming Message Scan/Target.
La ventana le lleva al mensaje de inicio de sesión Trend Micro InterScan para Cisco CSC-SSM. Introduzca la contraseña CSC-SSM.
La ventana Análisis de mensajes entrantes SMTP tiene estas tres vistas:
Objetivo
Acción
Notificación
Puede cambiar de una vista a otra si hace clic en la ficha correspondiente para obtener la información que desea. El nombre de la ficha activa aparece en texto marrón; los nombres de ficha inactivos aparecen en texto negro. Utilice las tres fichas para configurar el escaneo de virus del tráfico SMTP entrante.
Haga clic en Target para permitirle definir el alcance de la actividad sobre la que se actúa.
El escaneo de mensajes entrantes SMTP está habilitado de forma predeterminada.
En la sección Escaneo predeterminado, Todos los archivos escaneables se seleccionan de forma predeterminada. Analiza independientemente de las extensiones de nombre de archivo.
Configure el manejo de archivos comprimidos SMTP para correo entrante.
Configurar para omitir el escaneo de archivos comprimidos cuando uno de estos es verdadero:
El recuento de archivos descomprimido es mayor que 200.
El tamaño del archivo eliminado supera los 20 MB.
El número de capas de compresión supera tres.
La proporción de tamaño de archivo comprimido o descomprimido es mayor de 100 a 1.
Los archivos comprimidos exceden los criterios de escaneo especificados.
Modifique los parámetros predeterminados del conteo de archivos Descomprimidos como 300 y el tamaño de archivo Descomprimido como 30 MB.
En la sección Buscar software espía/software de grises de estas ventanas, que se muestra en el paso 5, elija los tipos de software de grises que desea que detecten Trend Micro InterScan para Cisco CSC-SSM. Consulte la ayuda en línea para obtener una descripción de cada tipo de software gráfico enumerado.
Haga clic en Guardar para habilitar la nueva configuración
Haga clic en la ficha Acción, que le permite definir la acción que se realizará cuando se detecte una amenaza. Los ejemplos de acciones son limpiar o eliminar.
Estos valores son acciones predeterminadas tomadas para los correos entrantes.
Para la sección Mensajes con detección de virus/malware: Limpie el mensaje o archivo adjunto en el que se detectó el malware y, si el mensaje o el archivo adjunto no se puede limpiar, elimínelo.
Para Spyware/Grayware Detection: Estos son los archivos que se entregarán si se detectan los mensajes SMTP en los que se detectan programas espía o de gráficos.
Haga clic en Guardar para habilitar la nueva configuración
Haga clic en la pestaña Notificación, que le permite redactar un mensaje de notificación, así como definir a quién se notifica el evento y la acción.
Si está satisfecho con la configuración de notificación predeterminada, no es necesario realizar ninguna otra acción. Sin embargo, puede revisar las opciones de notificación y decidir si desea cambiar los valores predeterminados. Por ejemplo, puede enviar una notificación al administrador cuando se ha detectado un riesgo de seguridad en un mensaje de correo electrónico. Para SMTP, también puede notificar al remitente o al destinatario.
Active las casillas Administrator y Recipient para la notificación por correo electrónico. También puede adaptar el texto predeterminado del mensaje de notificación a algo más adecuado para su organización, como en esta captura de pantalla.
En la sección Notificaciones en línea de la ventana, elija una de las opciones enumeradas, ninguna o ambas.
En nuestro ejemplo, elija mensaje libre de riesgo y escriba su propio mensaje en el campo proporcionado.
Haga clic en Guardar para habilitar la nueva configuración.
Después de la instalación, el tráfico HTTP y FTP se analiza de forma predeterminada en busca de virus, gusanos y troyanos. El malware, como el spyware y otro tipo de software gris, requiere un cambio de configuración antes de que se detecten.
Estos parámetros predeterminados le ofrecen cierta protección para el tráfico web y FTP después de instalar Trend Micro InterScan para Cisco CSC-SSM. Puede cambiar estos parámetros. Por ejemplo, puede preferir utilizar la opción Examinar por extensiones de archivo especificadas en lugar de Todos los archivos escaneables para la detección de malware. Antes de realizar cambios, revise la ayuda en línea para obtener más información sobre estas selecciones.
Después de la instalación, es posible que desee actualizar los parámetros de configuración adicionales para obtener la máxima protección para el tráfico Web y FTP. Si adquirió la licencia Plus, que le da derecho a recibir funciones de bloqueo de URL, antisuplantación de identidad y filtrado de URL, debe configurar estas funciones adicionales.
Complete estos pasos para configurar el CSC-SSM para escanear el mensaje HTTP con ASDM:
Haga clic en Web (HTTP) en la página Trend Micro y esta ventana de análisis de mensajes Web tiene cuatro vistas:
Objetivo
Análisis de Webmail
Acción
Notificación
Haga clic en la ficha correspondiente para obtener la información que desee para cambiar de una vista a otra. El nombre de la ficha activa aparece en texto marrón; los nombres de ficha inactivos aparecen en texto negro. Utilice todas las fichas para configurar el escaneo de virus del tráfico web.
Haga clic en el Destino para permitirle definir el alcance de la actividad sobre la que se va a actuar.
El escaneo de mensajes HTTP está habilitado de forma predeterminada.
Habilitado con el uso de Todos los archivos escaneables como método de escaneo.
Gestión de archivos comprimidos de Web (HTTP) para la descarga desde la Web: se configura para omitir el escaneo de archivos comprimidos cuando uno de ellos es verdadero:
El recuento de archivos descomprimido es mayor que 200.
El tamaño del archivo eliminado supera los 30 MB.
El número de capas de compresión supera tres.
La proporción de tamaño de archivo comprimido o descomprimido es mayor de 100 a 1.
Para el escaneo de Webmail: configurado para escanear sitios de Webmail en Yahoo, AOL, MSN y Google.
Gestión de archivos de gran tamaño
Las fichas Destino de las ventanas Escaneo HTTP y Escaneo FTP le permiten definir el tamaño de la descarga más grande que desea escanear. Por ejemplo, puede especificar que se escanee una descarga de menos de 20 MB, pero no se escanea una descarga mayor de 20 MB.
Además, puede:
Especifique las descargas de gran tamaño que se enviarán sin escaneo, lo que puede suponer un riesgo para la seguridad.
Especifique que se eliminarán las descargas superiores al límite especificado.
De forma predeterminada, el software CSC-SSM especifica que se analizan los archivos de menos de 50 MB. Modificar como 75 MB. Los archivos de 75 MB o más se entregan sin escanear al cliente solicitante.
Escaneo diferido
La función de escaneo diferido no está activada de forma predeterminada. Cuando está activada, esta función le permite comenzar a descargar datos sin analizar la descarga completa. El escaneo diferido le permite comenzar a ver los datos sin una espera prolongada mientras se escanea todo el cuerpo de la información.
Nota: Si no habilita la opción de escaneo diferido, puede enfrentarse a una actualización fallida a través del módulo CSC.
Nota: Cuando se habilita el escaneo diferido, la parte de la información no escaneada puede presentar un riesgo de seguridad.
Nota: El software CSC-SSM no puede analizar el tráfico que se mueve a través de HTTPS en busca de virus y otras amenazas.
Si el escaneo diferido no está habilitado, se debe analizar todo el contenido de la descarga antes de que se le presente. Sin embargo, algunos software cliente pueden agotar el tiempo debido al tiempo necesario para recopilar suficientes paquetes de red para componer archivos completos para el escaneo. Esta tabla resume las ventajas y desventajas de cada método.
Método | Ventaja | Desventaja | |
---|---|---|---|
Análisis aplazado activado | Evita los tiempos de espera del cliente | Puede suponer un riesgo para la seguridad | |
Análisis aplazado desactivado | Más seguro. Se analiza todo el archivo para detectar los riesgos de seguridad antes de presentarlo. | Puede dar como resultado que el cliente agote el tiempo de espera antes de que se complete la descarga |
Buscar software espía y software de grises
Grayware es una categoría de software que puede ser legítimo, no deseado o malintencionado. A diferencia de amenazas como virus, gusanos y troyanos, el grayware no infecta, replica ni destruye datos, pero puede violar su privacidad. Algunos ejemplos de software gráfico son spyware, adware y herramientas de acceso remoto.
La detección de programas espía o de software no está habilitada de forma predeterminada. Debe configurar esta función en estas ventanas para detectar spyware y otras formas de spyware y otro tipo de software gráfico en su Web y tráfico de transferencia de archivos:
Haga clic en Guardar para actualizar su configuración.
Puede cambiar a la pestaña Escaneo de Webmail para escanear sitios de Webmail para Yahoo, AOL, MSN y Google.
Nota: Si selecciona explorar sólo Webmail, el escaneo de HTTP se restringe a los sitios especificados en la ficha Webmail Scanning (Análisis de Webmail) de la ventana Web (HTTP) > Scanning > HTTP Scanning (Escaneo de HTTP). No se analiza otro tráfico HTTP. Los sitios configurados se analizan hasta que los elimina al hacer clic en el icono Trashcan.
En el campo Name, ingrese el nombre exacto del sitio web, una palabra clave URL y una cadena para definir el sitio de Webmail.
Nota: Se analizan los archivos adjuntos a los mensajes administrados en Webmail.
Haga clic en Guardar para actualizar su configuración.
Puede cambiar a la pestaña Acción para la configuración de Virus/Detección de Malware y Detección de Spyware/Grayware.
Descargas web (HTTP) para los archivos en los que se detecta el virus/malware: limpie el archivo o archivo descargado en el que se detectó el malware. Si no se puede limpiar, elimine el archivo.
Descargas web (HTTP) y transferencias de archivos (FTP) para archivos en los que se detecta spyware o grayware: los archivos se eliminan.
Web (HTTP) se descarga cuando se detecta malware: se inserta una notificación en línea en el explorador que indica que Trend Micro InterScan para CSC-SSM ha analizado el archivo que intenta transferir y ha detectado un riesgo para la seguridad.
En el menú desplegable izquierdo , haga clic en Bloqueo de archivos.
Esta función está activada de forma predeterminada; sin embargo, debe especificar los tipos de archivos que desea bloquear. El bloqueo de archivos le ayuda a aplicar las políticas de su organización para el uso de Internet y otros recursos informáticos durante el trabajo. Por ejemplo, su empresa no permite la descarga de música, tanto por problemas legales como por problemas de productividad de los empleados.
En la ficha Destino de la ventana Bloqueo de archivos, active la casilla de verificación Ejecutable para bloquear .exe.
Puede especificar tipos de archivo adicionales por extensión de nombre de archivo. Marque la casilla de verificación Bloquear extensiones de archivo especificadas para habilitar esta función.
A continuación, introduzca tipos de archivo adicionales en el campo Extensiones de archivo para bloquear y haga clic en Agregar. En el ejemplo, se bloquean los archivos .mpg.
Haga clic en Guardar cuando haya terminado para actualizar la configuración.
Marque la casilla Administrator Notification para enviar los mensajes predeterminados en el cuadro de texto.
Haga clic en la pestaña Notificación para el mensaje de alerta.
Esta sección describe la función de bloqueo de URL e incluye estos temas:
Nota: Esta función requiere la licencia Plus.
La función de bloqueo de URL le ayuda a evitar que los empleados accedan a sitios web prohibidos. Por ejemplo, es posible que desee bloquear algunos sitios porque las políticas de su organización prohíben el acceso a servicios de citas, servicios de compras en línea o sitios ofensivos.
También puede bloquear sitios que se sabe que cometen fraude, como phishing. La suplantación de identidad es una técnica utilizada por los delincuentes que envían mensajes de correo electrónico que parecen provenir de una organización legítima, que le solicitan que revele información privada, como números de cuenta bancaria. Esta imagen muestra un ejemplo de un mensaje de correo electrónico utilizado para la suplantación de identidad.
De forma predeterminada, el bloqueo de URL está activado. Sin embargo, sólo los sitios del archivo de patrón TrendMicro PhishTrap se bloquean hasta que se especifican sitios adicionales para el bloqueo.
Complete estos pasos para configurar el bloqueo de URL desde la ficha Via Local List:
Elija Configuration > Trend Micro Content Security > Web en ASDM y haga clic en Configure URL Blocking para mostrar la ventana URL Blocking .
En la ficha Vía lista local de la ventana Bloqueo de URL, escriba las URL que desea bloquear en el campo Coincidencia. Puede especificar el nombre exacto del sitio Web, una palabra clave URL y una cadena.
Haga clic en Bloquear después de cada entrada para mover la URL a la Lista de Bloques. Haga clic en No bloquear para agregar la entrada a Excepciones de lista de bloqueo para especificar su entrada como excepción. Las entradas permanecerán bloqueadas o las excepciones hasta que las elimine.
Nota: También puede importar un bloque y una lista de excepciones. El archivo importado debe tener un formato específico. Consulte la ayuda en línea para obtener instrucciones.
Complete estos pasos para configurar el bloqueo del archivo URL desde la ficha Via Pattern File (PhishTrap):
Elija Configuration > Trend Micro Content Security > Web en ASDM y haga clic en el enlace Configure URL Blocking para mostrar la ventana URL Blocking .
A continuación, haga clic en la pestaña Via Pattern File (PhishTrap).
De forma predeterminada, el archivo de patrón de Trend Micro PhishTrap detecta y bloquea los sitios de phishing conocidos, los sitios de spyware, los sitios de cómplices de virus que son sitios asociados a vulnerabilidades conocidas y los vectores de enfermedades, que son sitios web que sólo existen con fines malintencionados. Utilice los campos Enviar la URL de phishing potencial a TrendLabs para enviar sitios que considere que se deben agregar al archivo de modelo PhishTrap. TrendLabs evalúa el sitio y puede agregarlo a este archivo si se justifica tal acción.
Haga clic en la pestaña Notificación para revisar el texto del mensaje predeterminado que aparece en el navegador cuando se intenta acceder a un sitio bloqueado. La ayuda en línea muestra un ejemplo. Resalte y redefina el mensaje para personalizar el mensaje predeterminado.
Haga clic en Guardar cuando haya terminado para actualizar la configuración.
Hay dos secciones importantes que se discutirán aquí.
Las URL definidas en las ventanas de bloqueo de URL descritas anteriormente siempre están permitidas o no siempre. Sin embargo, la función de filtrado de URL le permite filtrar las URL en categorías, que puede programar para permitir el acceso durante determinadas horas, definidas como tiempo de ocio, y no permitir el acceso durante el tiempo de trabajo.
Nota: Esta función requiere la licencia Plus.
Estas son las seis categorías de filtrado de URL:
Prohibido por la empresa
No relacionado con el trabajo
Temas de investigación
Función empresarial
Definido por el cliente
Otros
De forma predeterminada, los sitios prohibidos por la empresa se bloquean tanto durante el horario laboral como durante el de ocio.
Complete estos pasos para configurar la función de filtrado de URL:
Elija Configuration > Trend Micro Content Security > Web en ASDM y haga clic en Configure URL Filtering Settings para mostrar la ventana URL Filtering Settings .
En la ficha Categorías de URL, revise las subcategorías enumeradas y las clasificaciones predeterminadas asignadas a cada categoría para ver si las asignaciones son adecuadas para su organización. Por ejemplo, las drogas ilegales son una subcategoría de la categoría prohibida por la empresa. Si su organización es una empresa de servicios financieros, es posible que desee dejar esta categoría clasificada como prohibida por la empresa. Marque la casilla de verificación Drogas ilegales para permitir el filtrado de sitios relacionados con drogas ilegales. Pero, si su organización es una agencia de cumplimiento de la ley, debería reclasificar la subcategoría Drogas ilegales a la categoría de función Empresarial. Consulte la ayuda en línea para obtener más información sobre la reclasificación.
Después de revisar y refinar las clasificaciones de subcategorías, verifique la subcategoría asociada para habilitar todas las subcategorías para las que desea realizar el filtrado.
Si hay sitios dentro de algunas de las subcategorías activadas que no desea filtrar, haga clic en la pestaña Excepciones de filtrado de URL.
Escriba las URL que desea excluir del filtrado en el campo Coincidencia. Puede especificar el nombre exacto del sitio Web, una palabra clave URL y una cadena.
Haga clic en Agregar después de cada entrada para mover la URL a la lista No filtrar los siguientes sitios. Las entradas permanecen como excepciones hasta que las elimina.
Nota: También puede importar una lista de excepciones. El archivo importado debe tener un formato específico. Consulte la ayuda en línea para obtener instrucciones.
Haga clic en la pestaña Programación para definir los días de la semana y las horas del día que deben considerarse tiempo de trabajo. El tiempo no designado como tiempo de trabajo se designa automáticamente como tiempo de ocio.
Haga clic en Guardar para actualizar la configuración de filtrado de URL.
Haga clic en la pestaña Reclasificar URL para enviar URL sospechosas a TrendLabs para su evaluación.
Después de asignar las subcategorías de URL a las categorías correctas de su organización, definir excepciones (si las hubiera) y crear el horario laboral y de ocio, asigne las reglas de filtrado que determinan cuándo se filtra una categoría.
Complete estos pasos para asignar las reglas de filtrado de URL:
Elija Configuration > Trend Micro Content Security > Web en ASDM y haga clic en el enlace Configure URL Filtering Rules para mostrar la ventana URL Filtering Rules .
Para cada una de las seis categorías principales, especifique si las URL de esa categoría están bloqueadas y, en caso afirmativo, durante el tiempo de trabajo, el tiempo de ocio o ambas. Consulte la ayuda en línea para obtener más información.
Haga clic en Guardar para actualizar la configuración.
Nota: Para que el filtrado de URL funcione correctamente, el módulo CSC-SSM debe poder enviar solicitudes HTTP al servicio Trend Micro. Si se requiere un proxy HTTP, elija Update > Proxy Settings para configurar el proxy. El componente de filtrado de URL no admite el proxy SOCKS4.
Después de la instalación, el tráfico FTP se analiza de forma predeterminada en busca de virus, gusanos y troyanos. El malware, como el spyware y otro tipo de software gris, requiere un cambio de configuración antes de que se detecten.
Análisis de transferencia de archivos (FTP) de las transferencias de archivos: habilitado mediante Todos los archivos escaneables como método de análisis.
Complete los pasos dados en la página Bloqueo de archivos para el tráfico HTTP.
Complete los pasos dados en la página Bloqueo de archivos para el tráfico HTTP.
Utilize esta sección para confirmar que su configuración funcione correctamente.
La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Aunque la OIT se puede utilizar para ver un análisis de algunas salidas de comandos show, estos comandos show actualmente no son compatibles con esta herramienta.
show module: para verificar el estado de un SSM, por ejemplo:
ciscoasa#show module Mod Card Type Model Serial No. --- -------------------------------------------- ------------------ ----------- 0 ASA 5520 Adaptive Security Appliance ASA5520 JMX090000B7 1 ASA 5500 Series Security Services Module-20 ASA-SSM-20 JAF10333331 Mod MAC Address Range Hw Version Fw Version Sw Version --- --------------------------------- ------------ ------------ --------------- 0 0014.c482.5151 to 0014.c482.5155 1.1 1.0(10)0 8.0(2) 1 000b.fcf8.012c to 000b.fcf8.012c 1.0 1.0(10)0 Trend Micro InterScan Security Module Version 6.0 Mod SSM Application Name Status SSM Application Version --- ------------------------------ ---------------- -------------------------- 1 Trend Micro InterScan Security Up Version 6.0 Mod Status Data Plane Status Compatibility --- ------------------ --------------------- ------------- 0 Up Sys Not Applicable 1 Up Up
show module 1 details—Utilice la palabra clave details para ver información adicional para el SSM, por ejemplo:
ciscoasa#show module 1 details Getting details from the Service Module, please wait... ASA 5500 Series Security Services Module-20 Model: ASA-SSM-20 Hardware version: 1.0 Serial Number: JAF10333331 Firmware version: 1.0(10)0 Software version: Trend Micro InterScan Security Module Version 6.0 App. name: Trend Micro InterScan Security Module App. version: Version 6.0 Data plane Status: Up Status: Up HTTP Service: Up Mail Service: Up FTP Service: Up Activated: Yes Mgmt IP addr: 172.30.21.235 Mgmt web port: 8443
show module slot_num recovery —Determina si hay una configuración de recuperación para el SSM. Si existe una configuración de recuperación para el SSM, el ASA la muestra. Por ejemplo:
ciscoasa#show module 1 recover Module 1 recover parameters. . . Boot Recovery Image: Yes Image URL: tftp://10.21.18.1/ids-oldimg Port IP Address: 172.30.21.10 Port Mask: 255.255.255.0 Gateway IP Address: 172.30.21.254
Consulte Verificación de la Configuración Inicial para obtener más información sobre cómo verificar que Trend Micro InterScan para Cisco CSC-SSM funcione correctamente.
En esta sección encontrará información que puede utilizar para solucionar problemas de configuración. Refiérase a Troubleshooting de Trend Micro InterScan para Cisco CSC SSM para obtener más información sobre cómo resolver problemas en CSC-SSM.
Problema
El CSC no puede acceder a Internet a través de la interfaz de administración de ASA o el CSC no puede obtener actualizaciones del servidor Trend a través de Internet. .
Solución
La interfaz de administración se configura con el comando management-only y hace que sólo acepte tráfico hacia o desde el ASA, no a través de él. Así que elimine el comando management-only y la sentencia NAT para el tráfico de administración a externa y luego permita que Internet para CSC se actualice.
Problema
El CSC no puede detectar el SPAM.
Solución
Debe activar la opción antispam, que no está activada de forma predeterminada. La licencia Plus debe estar instalada y la configuración de DNS debe ser correcta para que la reputación de correo electrónico antispam basada en la red funcione correctamente. Refiérase a Habilitación del Filtrado de Spam SMTP y POP3 para obtener más información.
Problema
El módulo CSC muestra los errores de violación de la licencia e informa de más hosts que lo que está en la red. La violación de la licencia se ha detectado en el error InterScan for CSC SSM se ve en el módulo CSC. ¿Cómo se puede resolver este error?
Solución
Mueva todas las interfaces excepto la WAN externa (nivel de seguridad 0) a los niveles de seguridad más altos.
Problema
El tráfico SMTP entrante se ha vuelto muy lento. El servidor de correo interno a veces obtiene una respuesta del servidor que tarda un par de minutos o dos en recibir.
Solución
Es posible que se encuentre con tráfico lento debido a paquetes fuera de servicio. Pruebe este ejemplo, que puede resolver el problema.
!--- Creates a new tcp map and allows for 100 out of order packets tcp-map localmap queue-limit 100 !--- This is the class that defines traffic to sent to the csc-module. The name you use can be different. Sets the localmap parameters to flow matching the class map. policy-map global_policy class csc-class set connection advanced-options localmap
Problema
El escaneo HTTP no funcionó y mostró este error:
Error: Failed to rate URL, rc=-723
Solución
Este mensaje de error se genera cuando el CSC-SSM tiene problemas para ponerse en contacto con los servidores Trend Micro. Esto puede ocurrir cuando hay latencia en la red o si el CSC-SSM está demasiado ocupado para manejar las solicitudes de conexión. El número máximo de conexiones simultáneas en el CSC-SSM-10 es de aproximadamente 500. En este caso para el período especificado, el número de conexiones posiblemente ha superado el límite máximo. Refiérase a la Tabla 2 en Cisco ASA 5500 Series Content Security and Control Security Services Module para obtener más información sobre los límites de conexión.
Una solución alternativa posible para esto es limitar las conexiones simultáneas. Refiérase a Limitar Conexiones a través del CSC SSM para obtener más información.
Problema
El aviso de liberación de responsabilidades en los correos electrónicos no se puede eliminar de los correos si es necesario y tampoco se pueden cambiar las fuentes en el aviso de liberación de responsabilidades por correo electrónico. ¿Por qué ocurre esto?
Solución
No es posible eliminar la renuncia de algunos de los correos electrónicos salientes en CSC-SSM. Además, no puede cambiar la fuente de la renuncia de responsabilidad porque no es compatible con CSC-SSM.
Problema
No puede detener el envío del tráfico desde ASA a CSC-SSM. ¿Cómo se puede resolver esto?
Solución
Para evitar que el tráfico se envíe a ASA desde CSC-SSM, el administrador debe quitar la política de servicio de la interfaz con el comando no service-policy:
hostname(config-pmap-c)#no service-policy policy_map_name [global | interface interface_ID]
Problema
Este mensaje de error se registra en el módulo CSC.
GraywarePattern: Actualización de patrón: No se puede obtener la información del patrón. Actualización de patrón: El archivo de descarga no fue exitoso para ActiveUpdate no pudo descomprimir los paquetes de parche descargados. El archivo zip puede estar dañado. Esto puede ocurrir debido a una conexión de red inestable. Intente descargar el archivo de nuevo. El código de error es 24.
PatrónAntivirus: Actualización de patrón: El archivo de descarga no fue exitoso para ActiveUpdate no pudo descomprimir los paquetes de parche descargados. El archivo zip puede estar dañado. Esto puede ocurrir debido a una conexión de red inestable. Intente descargar el archivo de nuevo. El código de error es 24.
¿Cómo se puede resolver este mensaje de error?
Solución
Este problema está relacionado con el Id. de bug Cisco CSCtc37947 (sólo clientes registrados) y con el ID de bug Cisco CSCsk10777 (sólo clientes registrados) . Vuelva a colocar el CSC-SSM o actualice el código a 6.2.x para resolver este problema. Además, la eliminación de los archivos temporales creados para la actualización automática en la cuenta raíz de CSC puede resolver el problema. Reinicie los servicios después de reiniciar CSC-SSM o actualizar el código.
Problema
No puede bloquear el tráfico HTTPS a través de CSC-SSM. ¿Cómo se puede bloquear el tráfico HTTPS?
Solución
El CSC-SSM no puede bloquear el tráfico HTTPS porque no puede inspeccionar en profundidad el paquete debido al cifrado SSL que contiene.
El tráfico se puede omitir de la inspección de CSC si agrega sentencias deny para los rangos de red en cuestión a la ACL utilizada para hacer coincidir el tráfico que se pasará al módulo.
CSC no puede registrar todo el tráfico pero solo muestra información de intentos de bloqueo/filtración.
El [ERR-PAT-0002] El sistema de actualización no puede descomprimir el archivo de actualización y no puede continuar. Este mensaje se utiliza únicamente con fines de diagnóstico. Clientes: póngase en contacto con el servicio de asistencia técnica cuando actualice el CSC. Este mensaje de error aparece cuando se utiliza el archivo .bin en lugar del archivo .pkg. El problema no ocurre cuando se utiliza el archivo .pkg.
Problema:
Cuando el CSC realiza la actualización automática, recibe este mensaje.
El modelo antispam 17462 se descargó e instaló correctamente. No se puede copiar el archivo. Debe copiar manualmente el archivo /opt/pattern/isvw/temp/AU/piranhacache/* a la ruta /opt/pattern/isvw/lib/mail/cache.
Solución:
Este es un error conocido con el código Trendmicro de CSC. Se ha producido un error de funcionamiento para esto y para obtener detalles completos. Consulte Cisco bug ID CSCtc37947 (sólo clientes registrados) . Actualice el CSC a 6.3.1172(2) o posterior para eliminar el problema.
Problema:
Después de actualizar a 6.3.1172.4, el servicio LogServer en el módulo CSC puede fallar y el administrador recibe esta notificación por correo electrónico: LogServer se ha detenido recientemente en InterScan para CSC SSM. Póngase en contacto con el servicio de atención al cliente para obtener asistencia.
Solución:
Hay dos opciones como solución alternativa:
Instale la solución de generación de ingeniería.
Póngase en contacto con Cisco TAC (sólo clientes registrados) para obtener información sobre cómo instalar esta generación.
Vuelva a crear una imagen del dispositivo en una versión anterior.
Consulte Recreación de imágenes del CSC-SSM para obtener información completa sobre este proceso.
Consulte Cisco bug ID CSCtl21378 (sólo clientes registrados) para obtener más información.
Problema:
El servidor Log del módulo CSC se ejecuta en un loop infinito y se detiene abruptamente.
Solución:
Este problema se debe al ID de bug Cisco CSCtl21378. Consulte CSCtl21378 (sólo clientes registrados) para obtener más información.
La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilize el OIT para ver una análisis de la salida del comando show.
Consulte Solución de problemas de InterScan de Trend Micro para Cisco CSC-SSM para obtener más información sobre cómo resolver varios problemas de CSC-SSM.
Nota: Consulte Información Importante sobre Comandos Debug antes de utilizar los comandos debug.
debug module-boot: muestra mensajes de depuración acerca del proceso de inicio de SSM.
hw-module module 1 shutdown—Apagar el SSM
hw-module module 1 reset—Restablecer el SSM
Nota: El %ASA-3-421001: El flujo TCP desde el interior:172.22.50.112/1718 al exterior:XX.XX.XX.XX/80 se omite porque el mensaje de la tarjeta de control y seguridad de contenido ha fallado es un mensaje de registro que aparece cuando el módulo CSC se vuelve totalmente insensible.
Nota: Utilice este comando para reiniciar el módulo.
ASA#hw-module module 1 reset The module in slot 1 should be shut down before resetting it or loss of configuration may occur. Reset module in slot 1? [confirm] (Confirm it at this point by 'return'.)
Consulte la guía de referencia de comandos para obtener más información sobre este comando.
Revisión | Fecha de publicación | Comentarios |
---|---|---|
1.0 |
18-Oct-2007 |
Versión inicial |