No se puede habilitar la cuarentena de brotes, virus y políticas centralizadas (PVO) de ESA

Introducción

En este documento se describe un problema que se ha producido cuando no se puede habilitar la cuarentena de brotes, virus y políticas centralizadas (PVO) en el dispositivo de seguridad Cisco Email Security Appliance (ESA) porque el botón Habilitar está atenuado y ofrece una solución al problema.

Prerequisites

Requirements

Cisco recomienda que tenga conocimiento sobre estos temas:

• Cómo habilitar PVO en el dispositivo de administración de seguridad (SMA).
• Cómo agregar el servicio PVO a cada ESA administrado.
• Cómo configurar la migración de PVO.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

• SMA versión 8.1 y posteriores
• ESA Versión 8.0 y posteriores

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). If your network is live, make sure that you understand the potential impact of any command.

Antecedentes

Los mensajes procesados por determinados filtros, políticas y operaciones de análisis en un ESA pueden ponerse en cuarentena para retenerlos temporalmente y poder realizar otras acciones. En algunos casos, parece que el PVO no se puede habilitar en el ESA aunque se configuró correctamente en el SMA y se utilizó el Asistente de migración. El botón para habilitar esta función en el ESA generalmente sigue atenuado porque el ESA no puede conectarse al SMA en el puerto 7025.

Problema

En el ESA, el botón Activar aparece atenuado.

El SMA muestra que el servicio no está activo y que se requiere una acción

Solución

Hay varios escenarios, que se describen aquí.

Escenario 1

En el SMA, ejecute el comando status en la CLI para asegurarse de que el dispositivo está en un estado en línea. Si el SMA está desconectado, el PVO no se puede habilitar en el ESA porque la conexión falla.

sma.example.com> status

Enter "status detail" for more information.

Status as of:                  Mon Jul 21 11:57:38 2014 GMT
Up since:                      Mon Jul 21 11:07:04 2014 GMT (50m 34s)
Last counter reset:            Never
System status:                 Offline
Oldest Message:                No Messages

Si el SMA está desconectado, ejecute el comando resume para volver a ponerlo en línea, lo que inicia cpq_listener.

sma.example.com> resume

Receiving resumed for euq_listener, cpq_listener.

Escenario 2

Después de utilizar el asistente de migración en el SMA, es importante confirmar los cambios. El botón [Activar...] del ESA permanece atenuado si no realiza cambios.

1. Inicie sesión en SMA y ESA con la cuenta Administrator, no con el Operador (u otros tipos de cuenta) o la configuración se puede realizar, pero el botón [Enable...] aparecerá atenuado en el lado ESA.
   
   
2. En el SMA , elija Dispositivo de administración > Servicios centralizados > Cuarentenas de brotes, virus y políticas.
   
   
3. Haga clic en Iniciar Asistente para migración y elija un método de migración.
   
   
4. Envíe y confirme los cambios.
   
   

Escenario 3

Si el ESA se ha configurado con una interfaz de entrega predeterminada mediante el comando delivery config y si esa interfaz predeterminada no tiene conectividad hacia el SMA porque reside en una subred diferente o no hay ruta, el PVO no se puede habilitar en el ESA.

Este es un ESA con una interfaz de entrega predeterminada configurada para la interfaz In:

mx.example.com> deliveryconfig

Default interface to deliver mail: In

A continuación se presenta una prueba de conectividad ESA de la interfaz In al puerto SMA 7025:

mx.example.com> telnet

Please select which interface you want to telnet from.
1. Auto
2. In (192.168.1.1/24: mx.example.com)
3. Management (10.172.12.18/24: mgmt.example.com)
[1]> 2

Enter the remote hostname or IP address.
[]> 10.172.12.17

Enter the remote port.
[25]> 7025

Trying 10.172.12.17...
telnet: connect to address 10.172.12.17: Operation timed out
telnet: Unable to connect to remote host

Para resolver este problema, configure la interfaz predeterminada en Auto donde el ESA utiliza la interfaz correcta automáticamente.

mx.example.com> deliveryconfig

Default interface to deliver mail: In

Choose the operation you want to perform:
- SETUP - Configure mail delivery.
[]> setup

Choose the default interface to deliver mail.
1. Auto
2. In (192.168.1.1/24: mx.example.com)
3. Management (10.172.12.18/24: mgmt.example.com)
[1]> 1

Situación 4

Las conexiones a la cuarentena centralizada están cifradas de forma predeterminada mediante Seguridad de la capa de transporte (TLS). Si revisa el archivo de registro de correo en el ESA y busca los ID de conexión de entrega (DCID) al puerto 7025 en el SMA, es posible que vea errores de TLS fallidos como este:

Mon Apr 7 15:48:42 2014 Info: New SMTP DCID 3385734 interface 172.16.0.179
address 172.16.0.94 port 7025
Mon Apr 7 15:48:42 2014 Info: DCID 3385734 TLS failed: verify error: no certificate
from server
Mon Apr 7 15:48:42 2014 Info: DCID 3385734 TLS was required but could not be
successfully negotiated

Cuando ejecuta un tlsverify en la CLI ESA, ve lo mismo.

mx.example.com> tlsverify

Enter the TLS domain to verify against:
[]> the.cpq.host

Enter the destination host to connect to.  Append the port (example.com:26) if you are not
connecting on port 25:
[the.cpq.host]> 10.172.12.18:7025

Connecting to 10.172.12.18 on port 7025.
Connected to 10.172.12.18 from interface 10.172.12.17.
Checking TLS connection.
TLS connection established: protocol TLSv1, cipher ADH-CAMELLIA256-SHA.
Verifying peer certificate.
Certificate verification failed: no certificate from server.
TLS connection to 10.172.12.18 failed: verify error.
TLS was required but could not be successfully negotiated.

Failed to connect to [10.172.12.18].
TLS verification completed.

En base a esto, el cifrado ADH-CAMELLIA256-SHA utilizado para negociar con el SMA hace que el SMA no presente un certificado de peer. Una investigación adicional revela que todos los cifrados ADH utilizan autenticación anónima, que no proporciona un certificado de peer. La solución aquí es eliminar los cifrados anónimos. Para hacer esto, cambie la lista de cifrado saliente a HIGH:MEDIUM:ALL:-aNULL:-SSLv2.

mx.example.com> sslconfig

sslconfig settings:
  GUI HTTPS method:  sslv3tlsv1
  GUI HTTPS ciphers: RC4-SHA:RC4-MD5:ALL
  Inbound SMTP method:  sslv3tlsv1
  Inbound SMTP ciphers: RC4-SHA:RC4-MD5:ALL
  Outbound SMTP method:  sslv3tlsv1
  Outbound SMTP ciphers: RC4-SHA:RC4-MD5:ALL

Choose the operation you want to perform:
- GUI - Edit GUI HTTPS ssl settings.
- INBOUND - Edit Inbound SMTP ssl settings.
- OUTBOUND - Edit Outbound SMTP ssl settings.
- VERIFY - Verify and show ssl cipher list.
[]> OUTBOUND

Enter the outbound SMTP ssl method you want to use.
1. SSL v2.
2. SSL v3 
3. TLS v1 
4. SSL v2 and v3
5. SSL v3 and TLS v1
6. SSL v2, v3 and TLS v1
[5]> 

Enter the outbound SMTP ssl cipher you want to use.
[RC4-SHA:RC4-MD5:ALL]> HIGH:MEDIUM:ALL:-aNULL:-SSLv2

sslconfig settings:
  GUI HTTPS method:  sslv3tlsv1
  GUI HTTPS ciphers: RC4-SHA:RC4-MD5:ALL
  Inbound SMTP method:  sslv3tlsv1
  Inbound SMTP ciphers: RC4-SHA:RC4-MD5:ALL
  Outbound SMTP method:  sslv3tlsv1
  Outbound SMTP ciphers: HIGH:MEDIUM:ALL:-aNULL:-SSLv2

Choose the operation you want to perform:
- GUI - Edit GUI HTTPS ssl settings.
- INBOUND - Edit Inbound SMTP ssl settings.
- OUTBOUND - Edit Outbound SMTP ssl settings.
- VERIFY - Verify and show ssl cipher list.
[]> 

mx.example.com> commit

Sugerencia: Agregue también -SSLv2 porque también son cifrados inseguros.

Situación 5

El PVO no se puede habilitar y muestra este tipo de mensaje de error.

Unable to proceed with Centralized Policy, Virus and Outbreak Quarantines 
configuration as host1 and host2 in Cluster have content filters / DLP actions 
available at a level different from the cluster Level.

El mensaje de error puede indicar que uno de los hosts no tiene una clave de función DLP aplicada y que DLP está desactivado. La solución consiste en agregar la clave de característica que falta y aplicar la configuración de DLP idéntica a la del host que tiene la clave de característica aplicada. Esta incoherencia en la clave de característica puede tener el mismo efecto con los filtros de brote de virus, Sophos Antivirus y otras claves de característica.

Situación 6

El botón Activar para el PVO se atenuará si, en una configuración de clúster, hay una configuración de nivel de equipo o de grupo para el contenido, filtros de mensajes, DLP y parámetros de DMARC. Para resolver este problema, todos los filtros de mensajes y contenido deben moverse de nivel de equipo o de grupo a nivel de clúster, así como los ajustes de DLP y DMARC. Como alternativa, puede quitar completamente del clúster la máquina que tiene la configuración de nivel de máquina. Ingrese el comando CLI clusterconfig > removemachine y luego únalo nuevamente al clúster para heredar la configuración del clúster.

Información Relacionada

• Resolución de problemas de entrega desde y hacia la cuarentena de PVO en SMA
• Requisitos para el asistente de migración de PVO cuando ESA está agrupado en clústeres
• Soporte Técnico y Documentación - Cisco Systems