ASA : Exemple de configuration d'envoi du trafic réseau du dispositif ASA au module SSM CSC

Introduction

Ce document fournit un exemple de configuration pour l'envoi du trafic réseau de la gamme Cisco ASA 5500 Adaptive Security Appliance (ASA) au Content Security and Control Security Services Module (CSC-SSM).

Le module CSC-SSM offre une protection contre les virus, les logiciels espions, le spam et tout autre trafic indésirable. Pour ce faire, il analyse le trafic FTP, HTTP, POP3 et SMTP qui lui est détourné par l'appliance de sécurité adaptative. Afin de forcer l'ASA à détourner le trafic vers CSC-SSM, vous devez utiliser le Cadre de stratégie modulaire.

Consultez ASA : Envoyer le trafic réseau de l'ASA vers l'exemple de configuration AIP SSM afin d'envoyer le trafic réseau qui passe par l'appliance de sécurité adaptable (ASA) de la gamme Cisco ASA 5500 au module AIP-SSM (Advanced Inspection and Prevention Security Services Module) (IPS).

Remarque : Le module CSC-SSM peut analyser le trafic FTP, HTTP, POP3 et SMTP uniquement lorsque le port de destination du paquet qui demande la connexion est le port bien connu du protocole spécifié. Le module CSC-SSM peut analyser uniquement les connexions suivantes :

• Connexions FTP ouvertes au port TCP 21

• Connexions HTTP ouvertes au port TCP 80

• Connexions POP3 ouvertes au port TCP 110

• Connexions SMTP ouvertes au port TCP 25

Conditions préalables

Conditions requises

Assurez-vous que vous répondez à ces exigences avant d'essayer cette configuration :

• Une compréhension de base de la configuration de la gamme Cisco ASA 5500 exécute les versions 7.1 et ultérieures du logiciel.

• Le module CSC-SSM a été installé.

Components Used

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

• ASA 5520 avec les versions 7.1 et ultérieures du logiciel

• CSC-SSM-10 avec la version 6.1 du logiciel

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Informations générales

CSC-SSM gère un fichier qui contient des profils de signature de contenu suspect, mis à jour régulièrement à partir d'un serveur de mise à jour de Trend Micro. Le module CSC-SSM analyse le trafic qu'il reçoit du dispositif de sécurité adaptatif et le compare aux profils de contenu qu'il obtient de Trend Micro. Il transfère ensuite le contenu légitime à l'appliance de sécurité adaptative pour le routage, ou bloque et signale le contenu suspect.

Par défaut, CSC-SSM est fourni avec une licence de base qui fournit les fonctionnalités suivantes :

• Détecte les virus et les programmes malveillants dans le trafic réseau et prend des mesures

• Bloque les fichiers compressés ou très volumineux qui dépassent les paramètres spécifiés

• Recherche et suppression des logiciels espions, publicitaires et autres types de logiciels malveillants

En outre, s'il est équipé d'une licence Plus, il effectue également les tâches suivantes :

• Réduit le spam et protège contre les fraudes par phishing dans votre trafic SMTP et POP3

• Définit des filtres de contenu qui vous permettent d'autoriser ou d'interdire le trafic de messagerie contenant des mots ou expressions clés

• Filtre/bloque les URL auxquelles vous ne souhaitez pas que les utilisateurs accèdent ou les URL dont les objectifs sont connus pour être cachés ou malveillants

Remarque : CSC-SSM peut analyser les transferts de fichiers FTP uniquement lorsque l'inspection FTP est activée sur l'ASA. Par défaut, l'inspection FTP est activée.

Remarque : Le module CSC-SSM ne peut pas prendre en charge le basculement dynamique, car le module CSC-SSM ne gère pas les informations de connexion et ne peut donc pas fournir à l'unité de basculement les informations requises pour le basculement dynamique. Les connexions qu'un module CSC-SSM analyse sont abandonnées lorsque l'appliance de sécurité dans laquelle le module CSC-SSM est installé échoue. Lorsque le dispositif de sécurité adaptatif de secours devient actif, il transfère le trafic analysé au module CSC-SSM et les connexions sont réinitialisées.

Configuration

Dans un réseau dans lequel l'appliance de sécurité adaptative est déployée avec le module CSC-SSM, vous configurez l'appliance de sécurité adaptative pour qu'elle envoie au module CSC-SSM uniquement les types de trafic que vous souhaitez analyser.

Remarque : utilisez l'outil de recherche de commandes (clients enregistrés uniquement) pour obtenir plus d'informations sur les commandes utilisées dans cette section.

ASA - Diagramme de flux CSC SSM

Ce diagramme montre le flux de trafic dans ASA et CSC-SSM :

Dans cet exemple, les clients peuvent être des utilisateurs réseau qui accèdent à un site Web, téléchargent des fichiers à partir d'un serveur FTP ou récupèrent du courrier à partir d'un serveur POP3.

Dans cette configuration, voici comment le trafic circule :

1. Le client lance une requête.

2. Le dispositif de sécurité adaptatif reçoit la demande et la transmet à Internet.

3. Lorsque le contenu demandé est récupéré, l'appliance de sécurité adaptative détermine si ses stratégies de service définissent ce type de contenu comme un type qui doit être détourné vers le module CSC-SSM pour analyse, et le fait le cas échéant.

4. Le module CSC-SSM reçoit le contenu du dispositif de sécurité adaptatif, le analyse et le compare à sa dernière mise à jour des filtres de contenu Trend Micro.

5. Si le contenu est suspect, le module CSC-SSM bloque le contenu et signale l'événement. Si le contenu n'est pas suspect, le module CSC-SSM renvoie le contenu demandé au dispositif de sécurité adaptatif pour le routage.

Configuration initiale CSC

Dans la configuration initiale, plusieurs paramètres doivent être configurés. Assurez-vous d'avoir recueilli les informations requises pour ces paramètres avant de commencer.

Comme première étape de configuration du module CSC-SSM, lancez le module Cisco ASDM. Par défaut, vous pouvez accéder au module CSC-SSM via l'adresse IP de gestion de l'ASA à l'adresse https://192.168.1.1/. Vous devez vous assurer que votre ordinateur et l'interface de gestion d'ASA se trouvent sur le même réseau. Vous pouvez également télécharger le lanceur ASDM pour accéder ultérieurement.

Configurez ces paramètres avec l'ASDM :

1. Une fois dans la fenêtre principale d'ASDM, sélectionnez Configuration > Trend Micro Content Security > Wizard Setup et cliquez sur Launch Setup Wizard.

   

2. Clé d'activation :

   La première étape pour obtenir la clé d'activation consiste à identifier la clé d'autorisation du produit (PAK) fournie avec le produit. Il contient un code barre et 11 caractères hexadécimaux. Par exemple, un exemple de PAK peut être 120106C7D4A.

   Utilisez la clé PAK pour enregistrer CSC-SSM sur la page Web Enregistrement de licence de produit (clients enregistrés uniquement). Après vous être inscrit, vous recevez les clés d'activation par e-mail.

   

3. Paramètres IP du port de gestion :

   Spécifiez l'adresse IP, le masque de réseau et l'adresse IP de la passerelle pour l'interface de gestion CSC.

   Serveurs DNS : adresse IP du serveur DNS principal.

   

4. Host and Domain Names : spécifiez un nom d'hôte ainsi que le nom de domaine du module CSC-SSM.

   Domaine entrant : nom de domaine utilisé par le serveur de messagerie local comme domaine de messagerie entrant.

   Remarque : Les stratégies anti-SPAM sont appliquées uniquement au trafic de messagerie entrant dans ce domaine.

   Paramètres de notification : adresse de messagerie de l'administrateur et adresse IP et port du serveur de messagerie à utiliser pour les notifications.

   

5. Paramètres d'accès à l'hôte de gestion :

   Saisissez l'adresse IP et le masque de chaque sous-réseau et hôte devant disposer d'un accès de gestion au module CSC-SSM.

   Remarque : par défaut, tous les réseaux disposent d'un accès de gestion au module CSC-SSM. Pour des raisons de sécurité, Cisco vous recommande de restreindre l'accès à des sous-réseaux ou à des hôtes de gestion spécifiques.

   

6. Nouveau mot de passe pour CSC-SSM :

   Modifiez le mot de passe par défaut, cisco, en un nouveau mot de passe pour l'accès à la gestion.

   

7. À l'étape 6 de l'Assistant de configuration CSC, spécifiez le type de trafic à analyser.

   L'appliance de sécurité adaptative dévie les paquets vers le module CSC-SSM après l'application des stratégies de pare-feu, mais avant que les paquets quittent l'interface de sortie. Par exemple, les paquets bloqués par une liste d'accès ne sont pas transférés au module CSC-SSM.

   Configurez les stratégies de service pour spécifier le trafic que l'appliance de sécurité adaptative doit détourner vers CSC-SSM. Le module CSC-SSM peut analyser le trafic HTTP, POP3, FTP et SMTP envoyé aux ports réservés pour ces protocoles.

   Afin de simplifier le processus de configuration initiale, cette procédure crée une politique de service globale qui dévie tout le trafic des protocoles pris en charge vers le module CSC-SSM, entrant et sortant. Étant donné que l'analyse de tout le trafic qui passe par l'appliance de sécurité adaptative peut réduire les performances de l'appliance de sécurité adaptative et du module CSC-SSM, vous souhaitez réviser cette stratégie de sécurité ultérieurement. Par exemple, il n'est généralement pas nécessaire d'analyser tout le trafic qui provient de votre réseau interne, car il provient d'une source fiable. Si vous affinez les stratégies de service de sorte que CSC-SSM analyse uniquement le trafic provenant de sources non fiables, vous pouvez atteindre vos objectifs de sécurité et optimiser les performances du dispositif de sécurité adaptatif et du module CSC-SSM.

   Complétez ces étapes afin de créer une stratégie de service globale qui identifie le trafic à analyser :

   

   1. Cliquez sur Add afin d'ajouter un nouveau type de trafic.

   2. Choisissez Global dans la liste déroulante Interface.

   3. Laissez les champs Source et Destination définis sur Any.

   4. Dans la zone Service are, cliquez sur la case d'option ellipse (...). Dans cette boîte de dialogue, choisissez un service prédéfini ou cliquez sur Ajouter afin de définir un nouveau service.

   5. Dans la zone Si la carte CSC échoue, choisissez si l'appliance de sécurité adaptative doit autoriser ou refuser le trafic sélectionné si le module CSC-SSM n'est pas disponible.

   6. Cliquez sur OK afin de revenir à la fenêtre Sélection du trafic pour l'analyse CSC.

   7. Cliquez sur Next (Suivant).

8. À l'étape 7 de l'Assistant de configuration CSC, vérifiez les paramètres de configuration que vous avez saisis pour le module CSC-SSM.

   

   Si ces paramètres vous conviennent, cliquez sur Terminer.

   L'ASDM affiche un message indiquant que le périphérique CSC est maintenant actif.

   Par défaut, le module CSC-SSM est configuré pour effectuer des analyses de sécurité de contenu activées par la licence que vous avez achetée, qui peuvent inclure des fonctions antivirus, antispam, anti-hameçonnage et de filtrage de contenu. Il est également configuré pour obtenir des mises à jour périodiques à partir du serveur de mise à jour Trend Micro.

   S'il est inclus dans la licence que vous avez achetée, vous pouvez créer des paramètres personnalisés pour le blocage des URL et le filtrage des URL, ainsi que des paramètres de messagerie électronique et FTP. Pour plus d'informations, reportez-vous au Guide de l'administrateur SSM de Cisco Content Security and Control.

Comment configurer ASA pour transférer le trafic vers CSC-SSM

Afin de forcer l'ASA à détourner le trafic vers CSC-SSM, vous devez utiliser le Cadre de stratégie modulaire. Effectuez ces étapes afin d'identifier et de détourner le trafic vers CSC-SSM :

1. Créez une liste d'accès qui correspond au trafic que vous voulez analyser par CSC-SSM, afin de détourner le trafic vers CSC-SSM, avec la commande access-list extended :

   hostname(config)#access-list acl-name extended {deny | permit} protocol src_ip mask dest_ip mask operator port
   
   

2. Créez une carte de classe afin d'identifier le trafic qui doit être détourné vers CSC-SSM avec la commande class-map :

   hostname(config)#class-map class_map_name
   
   

3. Une fois en mode de configuration class map, utilisez la commande match access-list afin d'identifier le trafic avec l'utilisation de la liste d'accès précédemment spécifiée :

   hostname(config-cmap)#match access-list acl-name
   
   hostname(config-cmap)#exit
   

4. Créez une carte de stratégie afin d'envoyer le trafic au CSC-SSM avec la commande policy-map :

   hostname(config)#policy-map policy_map_name
   
   

5. Une fois en mode de configuration de la carte de stratégie, utilisez la commande class afin de spécifier la carte de classe, précédemment créée, qui identifie le trafic à analyser :

   hostname(config-pmap)#class class_map_name
   
   

6. Une fois en mode de configuration de classe de mappage de stratégie, vous pouvez configurer les éléments suivants :

   • Si vous voulez appliquer une limite par client pour les connexions simultanées que l'appliance de sécurité adaptative dédirige vers CSC-SSM, utilisez la commande set connection, comme suit :

     hostname(config-pmap-c)#set connection per-client-max n
      

     où n est le maximum de connexions simultanées que l'appliance de sécurité adaptative autorise pour chaque client. Cette commande empêche un seul client d'abuser des services du module CSC-SSM ou de tout serveur protégé par le module SSM, ce qui inclut la prévention des tentatives d'attaques DoS sur les serveurs HTTP, FTP, POP3 ou SMTP que le module CSC-SSM protège.

   • Utilisez la commande csc afin de contrôler comment l'ASA gère le trafic lorsque le CSC-SSM est indisponible :

     hostname(config-pmap-c)#csc {fail-close | fail-open}
      

     où fail-close spécifie que l'ASA doit bloquer le trafic si le CSC-SSM échoue et en revanche, fail-open spécifie que l'ASA doit autoriser le trafic si le CSC-SSM échoue.

     Remarque : Ceci s'applique au trafic sélectionné par la carte de classe uniquement. Le reste du trafic non envoyé au module CSC-SSM n'est pas affecté par une défaillance du module CSC-SSM.

7. Enfin, appliquez la carte de stratégie globalement ou à une interface spécifique avec la commande service-policy :

   hostname(config-pmap-c)#service-policy policy_map_name [global | interface interface_ID]
    

   où interface_ID est le nom attribué à l'interface avec la commande nameif.

   Remarque : une seule stratégie globale est autorisée. Vous pouvez remplacer la stratégie globale sur une interface avec l'application d'une stratégie de service à cette interface. Vous ne pouvez appliquer qu'une seule carte de stratégie à chaque interface.

Diagramme du réseau

Ce schéma est un exemple d'ASA 5500 configuré pour ces paramètres :

Le résumé du schéma de réseau illustre les éléments suivants :

• Connexion HTTP aux réseaux externes

• Connexion FTP des clients à l'intérieur de l'appliance de sécurité vers les serveurs à l'extérieur de l'appliance de sécurité

• Clients POP3 des clients situés à l'intérieur de l'appliance de sécurité vers les serveurs situés à l'extérieur de l'appliance de sécurité.

• Connexions SMTP entrantes désignées au serveur de messagerie interne

Configuration ASA

ciscoasa(config)#show running-config
: Saved
:
ASA Version 8.0(2) 
!
hostname ciscoasa
domain-name Security.lab.com
enable password 2kxsYuz/BehvglCF encrypted
no names
dns-guard
!
interface GigabitEthernet0/0
 speed 100
 duplex full
 nameif outside
 security-level 0
 ip address 172.30.21.222 255.255.255.0 
!
interface GigabitEthernet0/1
 description INSIDE
 nameif inside
 security-level 100
 ip address 192.168.5.1 255.255.255.0 
!


!--- Output suppressed

access-list csc-acl remark Exclude CSC module traffic from being scanned
access-list csc-acl deny ip host 10.89.130.241 any

!--- In order to improve the performance of the ASA and CSC Module. !--- Any traffic from CSC Module is excluded from the scanning. 

access-list csc-acl remark Scan Web & Mail traffic

access-list csc-acl permit tcp any any eq www
access-list csc-acl permit tcp any any eq smtp
access-list csc-acl permit tcp any any eq pop3

!

!--- All Inbound and Outbound traffic for WEB, Mail services is scanning. 


access-list csc-acl-ftp permit tcp any any eq ftp

!--- All Inbound and Outbound traffic for FTP service is scanning. 
 
class-map csc-class 
match access-list csc-acl 
!

class-map csc-ftp-class 
match access-list csc-acl-ftp
! 
policy-map global_policy
class csc-class
csc fail-open

class csc-ftp-class
csc fail-open
policy-map global_policy
 class inspection_default

!--- Inspect FTP traffic for scanning.

  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect rsh 
  inspect sqlnet 
  inspect skinny  
  inspect sunrpc 
  inspect xdmcp 
  inspect sip  
  inspect netbios 
  inspect tftp 
  inspect icmp 
  inspect http 
service-policy global_policy global


!--- Output suppressed

Page d'accueil CSC

Configuration CSC

Trend Micro InterScan pour Cisco CSC-SSM fournit une protection pour les principaux protocoles de trafic, tels que SMTP, HTTP et FTP, ainsi que le trafic POP3, afin de s'assurer que les employés n'introduisent pas accidentellement de virus à partir de leurs comptes de messagerie personnels.

Choisissez Configuration > Trend Micro Content Security afin d'ouvrir CSC-SSM. Dans le menu Configuration, choisissez l'une des options de configuration suivantes :

• Configuration CSC - Lance l'Assistant de configuration pour installer et configurer CSC-SSM

• Web : configure l'analyse Web, le blocage des fichiers, le filtrage des URL et le blocage des URL

• Courrier : configure l'analyse, le filtrage du contenu et la prévention du spam pour les messages électroniques SMTP et POP3 entrants et sortants.

• Transfert de fichiers : configure l'analyse et le blocage des fichiers

• Mises à jour : planifie les mises à jour pour les composants d'analyse de sécurité du contenu, par exemple, le fichier de modèle de virus, le moteur d'analyse, etc.

Les options Web, Mail, File Transfer et Updates sont décrites plus en détail dans les chapitres suivants :

• Courrier : Configuration du trafic de messagerie SMTP et POP3

• Web et transfert de fichiers : configuration du trafic Web (HTTP) et FTP (File Transfer)

• Mises à jour : gestion des mises à jour et des requêtes de journal

Cet exemple montre comment configurer un CSC-SSM pour analyser le message SMTP entrant sur le réseau interne.

Les messages SMTP entrants sont détournés vers CSC-SSM pour analyse. Dans cet exemple, tout le trafic de l'extérieur pour accéder au serveur de messagerie interne (192.168.5.2/24) pour les services SMTP est détourné vers CSC-SSM.

access-list csc_inbound extended permit tcp any host 192.168.5.2 eq smtp 

Ces paramètres par défaut vous offrent une certaine protection pour votre trafic de messagerie après l'installation de Trend Micro InterScan pour Cisco CSC-SSM.

Configuration SMTP

Configuration SMTP de Trend Micro

Complétez ces étapes afin de configurer CSC-SSM pour analyser le message SMTP entrant à l'aide d'ASDM :

1. Choisissez Configuration > Trend Micro Content Security > Mail in ASDM et cliquez sur Configure Incoming Scan afin d'afficher la fenêtre SMTP Incoming Message Scan/Target.

   

2. La fenêtre vous amène à l'invite Trend Micro InterScan for Cisco CSC-SSM Login. Saisissez le mot de passe CSC-SSM.

   

3. La fenêtre SMTP Incoming Message Scan présente les trois vues suivantes :

   • Target

   • Action

   • Notification

   Vous pouvez basculer d'une vue à l'autre si vous cliquez sur l'onglet approprié pour les informations souhaitées. Le nom de l'onglet actif apparaît en texte marron ; les noms des onglets inactifs apparaissent en noir. Utilisez les trois onglets afin de configurer l'analyse antivirus du trafic SMTP entrant.

   Cliquez sur Cible afin de vous permettre de définir la portée de l'activité sur laquelle est effectué.

   L'analyse des messages entrants SMTP est activée par défaut.

   

4. Dans la section Analyse par défaut, Tous les fichiers analysables sont sélectionnés par défaut. Il analyse indépendamment des extensions de nom de fichier.

   

5. Configurez la gestion des fichiers compressés SMTP pour le courrier entrant.

   

   Configurez pour ignorer l'analyse des fichiers compressés lorsque l'une des conditions suivantes est remplie :

   • Le nombre de fichiers décompressés est supérieur à 200.

   • La taille du fichier décompressé dépasse 20 Mo.

   • Le nombre de couches de compression dépasse trois.

   • Le ratio de taille de fichier décompressé ou compressé est supérieur à 100 pour 1.

   • Les fichiers compressés dépassent les critères d'analyse spécifiés.

   Modifiez les paramètres par défaut du nombre de fichiers décompressés en 300 et de la taille de fichier décompressé en 30 Mo.

   

6. Dans la section Scan for Spyware/Grayware de ces fenêtres, qui a été affichée à l'étape 5, choisissez les types de gris que vous voulez détecter par Trend Micro InterScan pour Cisco CSC-SSM. Reportez-vous à l'aide en ligne pour obtenir une description de chaque type de grayware répertorié.

   Cliquez sur Enregistrer afin d'activer la nouvelle configuration

7. Cliquez sur l'onglet Action, qui vous permet de définir l'action à entreprendre lorsqu'une menace est détectée. Des exemples d'actions sont propres ou supprimées.

   

   Ces valeurs sont des actions par défaut prises pour les messages entrants.

   • Pour la section Messages avec détection de virus/programmes malveillants : nettoyez le message ou la pièce jointe dans lequel le programme malveillant a été détecté. Si le message ou la pièce jointe n'est pas nettoyable, supprimez-le.

     

   • Pour les détections de logiciels espions et de logiciels malveillants : il s'agit des fichiers à livrer si les messages SMTP dans lesquels des logiciels espions ou des logiciels malveillants sont détectés.

     Cliquez sur Enregistrer afin d'activer la nouvelle configuration

8. Cliquez sur l'onglet Notification, qui vous permet de composer un message de notification, ainsi que de définir qui est averti de l'événement et de l'action.

   

   Si vous êtes satisfait de la configuration de notification par défaut, aucune autre action n'est requise. Mais vous pouvez consulter les options de notification et décider si vous voulez modifier les valeurs par défaut. Par exemple, vous pouvez envoyer une notification à l'administrateur lorsqu'un risque de sécurité a été détecté dans un message électronique. Pour SMTP, vous pouvez également en informer l'expéditeur ou le destinataire.

   Cochez les cases Administrateur et Destinataire pour recevoir une notification par e-mail. Vous pouvez également adapter le texte par défaut du message de notification à un élément plus approprié pour votre organisation, comme dans cette capture d'écran.

   

9. Dans la section Notifications en ligne de la fenêtre, sélectionnez l'une des options répertoriées, ni l'une ni l'autre, ni les deux.

   

   Dans notre exemple, choisissez Message sans risque et tapez votre propre message dans le champ prévu à cet effet.

   

   Cliquez sur Save afin d'activer la nouvelle configuration.

Configuration HTTP

Analyse

Après l'installation, par défaut, votre trafic HTTP et FTP est analysé à la recherche de virus, vers et chevaux de Troie. Les programmes malveillants tels que les logiciels espions et autres logiciels malveillants nécessitent une modification de configuration avant d'être détectés.

Ces paramètres par défaut vous offrent une certaine protection pour votre trafic Web et FTP après l'installation de Trend Micro InterScan pour Cisco CSC-SSM. Vous pouvez modifier ces paramètres. Par exemple, vous pouvez utiliser l'option Analyser par extensions de fichiers spécifiées plutôt que Tous les fichiers analysables pour la détection des programmes malveillants. Avant d'apporter des modifications, consultez l'aide en ligne pour plus d'informations sur ces sélections.

Après l'installation, il est possible que vous souhaitiez mettre à jour des paramètres de configuration supplémentaires afin d'obtenir la protection maximale pour votre trafic Web et FTP. Si vous avez acheté la licence Plus, qui vous permet de recevoir des fonctionnalités de blocage d'URL, d'anti-hameçonnage et de filtrage d'URL, vous devez configurer ces fonctionnalités supplémentaires.

Complétez ces étapes afin de configurer CSC-SSM pour analyser le message HTTP avec ASDM :

1. Cliquez sur le Web (HTTP) dans la page Trend Micro et cette fenêtre Analyse des messages Web présente quatre vues :

   • Target

   • Analyse Webmail

   • Action

   • Notification

   Cliquez sur l'onglet approprié pour obtenir les informations souhaitées afin de passer d'une vue à l'autre. Le nom de l'onglet actif apparaît en texte marron ; les noms des onglets inactifs apparaissent en noir. Utilisez tous les onglets afin de configurer l'analyse antivirus du trafic Web.

   Cliquez sur la cible afin de vous permettre de définir la portée de l'activité sur laquelle vous devez agir.

   • L'analyse des messages HTTP est activée par défaut.

   • Activé avec l'utilisation de Tous les fichiers numérisables comme méthode d'analyse.

   • Gestion des fichiers compressés Web (HTTP) pour téléchargement à partir du Web : configuré pour ignorer l'analyse des fichiers compressés lorsque l'une des conditions suivantes est remplie :

     • Le nombre de fichiers décompressés est supérieur à 200.

     • La taille du fichier décompressé dépasse 30 Mo.

     • Le nombre de couches de compression dépasse trois.

     • Le ratio de taille de fichier décompressé ou compressé est supérieur à 100 pour 1.

     

   Pour l'analyse Webmail : configuré pour analyser les sites Web de messagerie pour Yahoo, AOL, MSN et Google.

2. Gestion des fichiers volumineux

   Les onglets Cible des fenêtres Analyse HTTP et Analyse FTP vous permettent de définir la taille du téléchargement le plus important que vous voulez analyser. Par exemple, vous pouvez spécifier qu'un téléchargement inférieur à 20 Mo est analysé, mais qu'un téléchargement supérieur à 20 Mo n'est pas analysé.

   En outre, vous pouvez :

   • Spécifiez les téléchargements volumineux à livrer sans analyse, ce qui peut présenter un risque pour la sécurité.

   • Spécifiez que les téléchargements supérieurs à la limite spécifiée sont supprimés.

   Par défaut, le logiciel CSC-SSM spécifie que les fichiers de moins de 50 Mo sont analysés. Modifiez comme 75 Mo. Les fichiers de 75 Mo et plus sont livrés sans analyse au client demandeur.

   

   Analyse différée

   La fonction d'analyse différée n'est pas activée par défaut. Lorsqu'elle est activée, cette fonction vous permet de commencer à télécharger des données sans analyser l'intégralité du téléchargement. L'analyse différée vous permet de commencer à afficher les données sans attendre longtemps pendant que l'ensemble des informations est analysé.

   Remarque : si vous n'activez pas l'option d'analyse différée, vous pouvez faire face à une mise à jour infructueuse via le module CSC.

   

   Remarque : lorsque l'analyse différée est activée, la partie non analysée des informations peut présenter un risque pour la sécurité.

   Remarque : le trafic qui transite par HTTPS ne peut pas être analysé à la recherche de virus et d'autres menaces par le logiciel CSC-SSM.

   Si l'analyse différée n'est pas activée, l'intégralité du contenu du téléchargement doit être analysée avant qu'il ne vous soit présenté. Cependant, certains logiciels clients peuvent expirer en raison du temps nécessaire pour collecter suffisamment de paquets réseau afin de composer des fichiers complets pour l'analyse. Ce tableau résume les avantages et les inconvénients de chaque méthode.

   Méthode	Avantage	Désavantage
   Analyse différée activée	Empêche les délais d'attente du client	Peut présenter un risque de sécurité
   Analyse différée désactivée	Plus sûr. L'intégralité du fichier est analysée à la recherche de risques de sécurité avant de vous être présenté.	Peut entraîner la temporisation du client avant la fin du téléchargement

   Rechercher les logiciels espions et les logiciels malveillants

   Les logiciels malveillants sont une catégorie de logiciels légitimes, indésirables ou malveillants. Contrairement aux menaces telles que les virus, les vers et les chevaux de Troie, les logiciels malveillants n'infectent, ne répliquent pas ou ne détruisent pas les données, mais ils peuvent violer votre vie privée. Les logiciels espions, les logiciels publicitaires et les outils d'accès à distance sont des exemples de logiciels malveillants.

   La détection des logiciels espions ou des logiciels malveillants n'est pas activée par défaut. Vous devez configurer cette fonctionnalité dans ces fenêtres afin de détecter les logiciels espions et autres formes de logiciels espions et autres logiciels malveillants dans votre trafic Web et de transfert de fichiers :

   Cliquez sur Save afin de mettre à jour votre configuration.

3. Vous pouvez passer à l'onglet Analyse du Webmail afin d'analyser les sites de Webmail pour Yahoo, AOL, MSN et Google.

   Remarque : Si vous choisissez d'analyser uniquement Webmail, l'analyse HTTP est limitée aux sites spécifiés dans l'onglet Analyse Webmail de la fenêtre Web (HTTP) > Analyse > Analyse HTTP. Aucun autre trafic HTTP n'est analysé. Les sites configurés sont analysés jusqu'à ce que vous les supprimiez lorsque vous cliquez sur l'icône Trashcan.

   Dans le champ Nom, saisissez le nom exact du site Web, un mot clé d'URL et une chaîne afin de définir le site Web.

   Remarque : les pièces jointes aux messages gérés sur Webmail sont analysées.

   Cliquez sur Save afin de mettre à jour votre configuration.

4. Vous pouvez passer à l'onglet Action pour la configuration de la détection des virus/programmes malveillants et des logiciels espions/logiciels malveillants.

   • Téléchargements Web (HTTP) pour les fichiers dans lesquels un virus ou un programme malveillant est détecté : nettoyez le fichier ou le fichier téléchargé dans lequel le programme malveillant a été détecté. Si elle n'est pas nettoyable, supprimez le fichier.

   • Téléchargements Web (HTTP) et transferts de fichiers (FTP) pour les fichiers dans lesquels des logiciels espions ou des logiciels malveillants sont détectés : les fichiers sont supprimés.

   

5. Téléchargements Web (HTTP) en cas de détection de programmes malveillants : une notification en ligne est insérée dans le navigateur, qui indique que Trend Micro InterScan for CSC-SSM a analysé le fichier que vous tentez de transférer et a détecté un risque pour la sécurité.

   

Blocage de fichiers

Dans le menu déroulant de gauche, cliquez sur Blocage de fichiers.

Cette fonction est activée par défaut ; cependant, vous devez spécifier les types de fichiers à bloquer. Le blocage des fichiers vous aide à appliquer les stratégies de votre entreprise pour l'utilisation d'Internet et d'autres ressources informatiques pendant le temps de travail. Par exemple, votre entreprise n'autorise pas le téléchargement de musique, tant en raison de problèmes juridiques que de problèmes de productivité des employés.

• Sous l'onglet Cible de la fenêtre Blocage de fichiers, cochez la case Exécutable afin de bloquer .exe.

• Vous pouvez spécifier des types de fichiers supplémentaires par extension de nom de fichier. Cochez la case Bloquer les extensions de fichier spécifiées afin d'activer cette fonctionnalité.

• Ensuite, saisissez des types de fichiers supplémentaires dans le champ Extensions de fichier à bloquer, puis cliquez sur Ajouter. Dans l'exemple, les fichiers .mpg sont bloqués.

  Cliquez sur Enregistrer lorsque vous avez terminé afin de mettre à jour la configuration.

Cochez la case Notification administrateur afin d'envoyer les messages par défaut dans la zone de texte.

Cliquez sur l'onglet Notification du message d'alerte.

Blocage d'URL

Cette section décrit la fonctionnalité de blocage d'URL et inclut les rubriques suivantes :

• Blocage à partir de l'onglet Via Local List

• Blocage à partir de l'onglet Via Pattern File (PhishTrap)

Remarque : Cette fonctionnalité nécessite la licence Plus.

La fonction de blocage des URL vous aide à empêcher les employés d'accéder aux sites Web interdits. Par exemple, il est possible que vous souhaitiez bloquer certains sites, car les politiques de votre organisation interdisent l'accès aux services de rencontres, aux services d'achats en ligne ou aux sites offensants.

Vous pouvez également bloquer des sites connus pour commettre des fraudes, comme le phishing. L'hameçonnage est une technique utilisée par les criminels qui envoient des messages électroniques qui semblent provenir d'une organisation légitime, qui vous demandent de révéler des informations privées telles que des numéros de compte bancaire. Cette image montre un exemple de message électronique utilisé pour le phishing.

Par défaut, le blocage des URL est activé. Cependant, seuls les sites du fichier de modèle TrendMicro PhishTrap sont bloqués jusqu'à ce que vous spécifiiez d'autres sites à bloquer.

Blocage à partir de l'onglet Via Local List

Complétez ces étapes afin de configurer le blocage des URL à partir de l'onglet Via Local List :

1. Choisissez Configuration > Trend Micro Content Security > Web dans ASDM et cliquez sur Configurer le blocage d'URL afin d'afficher la fenêtre de blocage d'URL.

2. Dans l'onglet Via Local List de la fenêtre URL Blocking, tapez les URL à bloquer dans le champ Match. Vous pouvez spécifier le nom exact du site Web, un mot clé URL et une chaîne.

3. Cliquez sur Bloquer après chaque entrée afin de déplacer l'URL vers la liste de blocage. Cliquez sur Ne pas bloquer pour ajouter l'entrée aux exceptions de liste de blocage afin de spécifier votre entrée comme exception. Les entrées restent bloquées ou des exceptions jusqu'à ce que vous les supprimiez.

   Remarque : Vous pouvez également importer une liste de blocage et d'exceptions. Le fichier importé doit être dans un format spécifique. Reportez-vous à l'aide en ligne pour obtenir des instructions.

   

Blocage à partir de l'onglet Via Pattern File (PhishTrap)

Complétez ces étapes afin de configurer le blocage des fichiers URL à partir de l'onglet Via Pattern File (PhishTrap) :

1. Choisissez Configuration > Trend Micro Content Security > Web dans ASDM et cliquez sur le lien Configurer le blocage des URL afin d'afficher la fenêtre de blocage des URL.

2. Cliquez ensuite sur l'onglet Via Pattern File (PhishTrap).

3. Par défaut, le fichier de modèle Trend Micro PhishTrap détecte et bloque les sites d'hameçonnage, les sites de logiciels espions, les sites complices de virus associés à des exploits connus et les vecteurs de maladies, qui sont des sites Web qui n'existent qu'à des fins malveillantes. Utilisez les champs Envoyer l'URL d'hameçonnage potentiel à TrendLabs afin d'envoyer des sites qui, selon vous, devraient être ajoutés au fichier de modèle PhishTrap. TrendLabs évalue le site et peut l'ajouter à ce fichier si une telle action est justifiée.

4. Cliquez sur l'onglet Notification afin de consulter le texte du message par défaut qui apparaît dans le navigateur lorsqu'une tentative d'accès à un site bloqué est effectuée. L'aide en ligne présente un exemple. Mettez-le en surbrillance et redéfinissez-le afin de personnaliser le message par défaut.

5. Cliquez sur Enregistrer lorsque vous avez terminé afin de mettre à jour la configuration.

Filtrage des URL

Il y a deux sections importantes à examiner ici.

• Paramètres de filtrage

• Règles de filtrage

  Les URL définies dans les fenêtres de blocage des URL décrites précédemment sont toujours autorisées ou toujours interdites. La fonction de filtrage des URL vous permet cependant de filtrer les URL en catégories, que vous pouvez planifier pour autoriser l'accès à certaines heures, définies comme temps de loisir, et interdire l'accès pendant le temps de travail.

  Remarque : Cette fonctionnalité nécessite la licence Plus.

  Voici les six catégories de filtrage d'URL :

  • Interdit à l'entreprise

  • Non lié au travail

  • Thèmes de recherche

  • Fonction commerciale

  • Client défini

  • Autres

Par défaut, les sites interdits par la société sont bloqués pendant les heures de travail et de loisirs.

Paramètres de filtrage

Complétez ces étapes afin de configurer la fonctionnalité de filtrage d'URL :

1. Choisissez Configuration > Trend Micro Content Security > Web dans ASDM et cliquez sur Configurer les paramètres de filtrage d'URL afin d'afficher la fenêtre Paramètres de filtrage d'URL.

2. Dans l'onglet Catégories d'URL, vérifiez les sous-catégories répertoriées et les classifications par défaut affectées à chaque catégorie pour voir si les affectations sont appropriées pour votre organisation. Par exemple, les drogues illégales sont une sous-catégorie de la catégorie interdite par la société. Si votre organisation est une société de services financiers, il est possible que vous souhaitiez laisser cette catégorie classée comme étant interdite par la société. Cochez la case Drogues illégales afin d'activer le filtrage pour les sites liés aux drogues illégales. Mais si votre organisme est un organisme d'application de la loi, vous devriez reclasser la sous-catégorie Drogues illégales dans la catégorie de la fonction Affaires. Consultez l'aide en ligne pour plus d'informations sur le reclassement.

3. Après avoir examiné et affiné les classifications de sous-catégories, cochez la sous-catégorie associée afin d'activer toutes les sous-catégories pour lesquelles vous voulez effectuer le filtrage.

4. Si certains sites de certaines sous-catégories activées ne doivent pas être filtrés, cliquez sur l'onglet Exceptions de filtrage URL.

5. Tapez les URL à exclure du filtrage dans le champ Correspondance. Vous pouvez spécifier le nom exact du site Web, un mot clé URL et une chaîne.

6. Cliquez sur Add après chaque entrée afin de déplacer l'URL vers la liste Ne pas filtrer les sites suivants. Les entrées restent des exceptions jusqu'à ce que vous les supprimiez.

   Remarque : Vous pouvez également importer une liste d'exceptions. Le fichier importé doit être dans un format spécifique. Reportez-vous à l'aide en ligne pour obtenir des instructions.

7. Cliquez sur l'onglet Programmer afin de définir les jours de la semaine et les heures de la journée qui doivent être considérés comme du temps de travail. Le temps non désigné comme temps de travail est automatiquement désigné comme temps de loisir.

8. Cliquez sur Save afin de mettre à jour la configuration du filtrage URL.

9. Cliquez sur l'onglet Reclassify URL afin d'envoyer des URL suspectes à TrendLabs pour évaluation.

Règles de filtrage

Après avoir affecté les sous-catégories d'URL aux catégories correctes pour votre organisation, défini des exceptions (le cas échéant) et créé le planning de temps de travail et de loisirs, affectez les règles de filtrage qui déterminent quand une catégorie est en cours de filtrage.

Complétez ces étapes afin d'affecter les règles de filtrage des URL :

1. Choisissez Configuration > Trend Micro Content Security > Web dans ASDM et cliquez sur le lien Configure URL Filtering Rules afin d'afficher la fenêtre URL Filtering Rules.

2. Pour chacune des six principales catégories, indiquez si les URL de cette catégorie sont bloquées et, dans l'affirmative, pendant le temps de travail, de loisir ou les deux. Pour plus d'informations, reportez-vous à l'aide en ligne.

   

3. Cliquez sur Save afin de mettre à jour la configuration.

   Remarque : pour que le filtrage des URL fonctionne correctement, le module CSC-SSM doit être en mesure d'envoyer des requêtes HTTP au service Trend Micro. Si un proxy HTTP est requis, choisissez Update > Proxy Settings afin de configurer le paramètre de proxy. Le composant de filtrage d'URL ne prend pas en charge le proxy SOCKS4.

Configuration FTP

Configuration FTP de Trend Micro

Après l'installation, par défaut, votre trafic FTP est analysé à la recherche de virus, vers et chevaux de Troie. Les programmes malveillants tels que les logiciels espions et autres logiciels malveillants nécessitent une modification de configuration avant d'être détectés.

Analyse du transfert de fichiers (FTP) : activée à l'aide de la méthode d'analyse Tous les fichiers analysables.

Suivez les étapes indiquées dans la page Blocage de fichiers pour le trafic HTTP.

Suivez les étapes indiquées dans la page Blocage de fichiers pour le trafic HTTP.

Vérification

Utilisez cette section pour confirmer que votre configuration fonctionne correctement.

L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Bien que le OIT puisse être utilisé pour afficher une analyse de certaines sorties de show command, ces commandes show ne sont pas actuellement compatibles avec cet outil.

• show module - Afin de vérifier l'état d'un SSM, par exemple :

  ciscoasa#show module
  Mod Card Type                                    Model              Serial No. 
  --- -------------------------------------------- ------------------ -----------
    0 ASA 5520 Adaptive Security Appliance         ASA5520            JMX090000B7
    1 ASA 5500 Series Security Services Module-20  ASA-SSM-20         JAF10333331
  
  Mod MAC Address Range                 Hw Version   Fw Version   Sw Version     
  --- --------------------------------- ------------ ------------ ---------------
    0 0014.c482.5151 to 0014.c482.5155  1.1          1.0(10)0     8.0(2)
    1 000b.fcf8.012c to 000b.fcf8.012c  1.0          1.0(10)0     Trend Micro InterScan Security Module Version 6.0
  
  Mod SSM Application Name           Status           SSM Application Version
  --- ------------------------------ ---------------- --------------------------
    1 Trend Micro InterScan Security Up               Version 6.0
  
  Mod Status             Data Plane Status     Compatibility
  --- ------------------ --------------------- -------------
    0 Up Sys             Not Applicable         
    1 Up                 Up

• show module 1 details : utilisez le mot clé details afin d'afficher des informations supplémentaires pour le module SSM, par exemple :

  ciscoasa#show module 1 details
  Getting details from the Service Module, please wait...
  ASA 5500 Series Security Services Module-20
  Model:              ASA-SSM-20
  Hardware version:   1.0
  Serial Number:      JAF10333331
  Firmware version:   1.0(10)0
  Software version:   Trend Micro InterScan Security Module Version 6.0
  App. name:          Trend Micro InterScan Security Module
  App. version:       Version 6.0
  Data plane Status:  Up
  Status:             Up
  HTTP Service:       Up
  Mail Service:       Up
  FTP Service:        Up
  Activated:          Yes
  Mgmt IP addr:       172.30.21.235
  Mgmt web port:      8443

• show module slot_num recover : détermine s'il existe une configuration de récupération pour le SSM. Si une configuration de récupération existe pour le SSM, l'ASA l'affiche. Exemple :

  ciscoasa#show module 1 recover
  Module 1 recover parameters. . .
  Boot Recovery Image: Yes
  Image URL:           tftp://10.21.18.1/ids-oldimg
  Port IP Address:     172.30.21.10
  Port Mask:          255.255.255.0
  Gateway IP Address:  172.30.21.254

Référez-vous à Vérification de la configuration initiale pour plus d'informations sur la façon de vérifier que Trend Micro InterScan pour Cisco CSC-SSM fonctionne correctement.

Dépannage

Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration. Référez-vous à Dépannage de Trend Micro InterScan pour Cisco CSC SSM pour plus d'informations sur la façon de dépanner plus sur CSC-SSM.

Accès Internet

Problème

Le CSC ne peut pas accéder à Internet via l'interface de gestion ASA ou le CSC ne peut pas obtenir de mises à jour à partir du serveur Trend via Internet. .

Solution

L'interface de gestion configure avec la commande management-only et la fait accepter uniquement le trafic en provenance ou à destination de l'ASA, pas par son intermédiaire. Supprimez donc la commande management-only et l'instruction NAT pour le trafic de gestion à l'extérieur, puis autorisez la mise à jour d'Internet pour CSC.

Spam non détecté

Problème

Le CSC ne peut pas détecter le SPAM.

Solution

Vous devez activer l'option antispam, qui n'est pas activée par défaut. La licence Plus doit être installée et les paramètres DNS doivent être corrects pour que la réputation de messagerie anti-spam basée sur le réseau fonctionne correctement. Référez-vous à Activation du filtrage du courrier indésirable SMTP et POP3 pour plus d'informations.

Erreurs de violation de licence

Problème

Le module CSC affiche les erreurs de violation de licence et signale plus d'hôtes que ceux du réseau. La violation de licence a été détectée sur l'erreur InterScan for CSC SSM est visible dans le module CSC. Comment résoudre cette erreur ?

Solution

Déplacer toutes les interfaces, à l'exception du WAN externe (niveau de sécurité 0), vers les niveaux de sécurité les plus élevés.

Problème de performances

Problème

Le trafic SMTP entrant est devenu très lent. Le serveur de messagerie interne reçoit parfois une réponse du serveur qui prend quelques minutes ou deux à recevoir.

Solution

Il est possible que le trafic soit lent en raison de paquets hors service. Essayez cet exemple, qui peut résoudre le problème.

!--- Creates a new tcp map and allows for 100 out of order packets

tcp-map localmap       
 queue-limit 100    

!--- This is the class that defines traffic to sent to the csc-module. The name you use can be different. Sets the localmap parameters to flow matching the class map.

policy-map global_policy
 class csc-class            
  set connection advanced-options localmap

Problème

L'analyse HTTP n'a pas fonctionné et a affiché cette erreur :

Error: Failed to rate URL, rc=-723

Solution

Ce message d'erreur est généré lorsque le module CSC-SSM ne parvient pas à contacter les serveurs Trend Micro. Cela peut se produire en cas de latence sur le réseau ou si le module CSC-SSM est trop occupé pour traiter les demandes de connexion. Le nombre maximal de connexions simultanées sur CSC-SSM-10 est d'environ 500. Dans ce cas pour la période spécifiée, le nombre de connexions a peut-être dépassé la limite maximale. Reportez-vous au tableau 2 du module de services de sécurité de contrôle et de sécurité du contenu de la gamme Cisco ASA 5500 pour plus d'informations sur les limites de connexion.

Une solution de contournement possible est de limiter les connexions simultanées. Référez-vous à Limit Connections Through the CSC SSM pour plus d'informations.

Problème de courrier électronique

Problème

La clause de non-responsabilité dans les e-mails ne peut pas être supprimée des e-mails si nécessaire et les polices ne peuvent pas être modifiées dans la clause de non-responsabilité. Pourquoi cela arrive-t-il ?

Solution

Il n'est pas possible de supprimer la clause de non-responsabilité de certains courriels sortants sur CSC-SSM. En outre, vous ne pouvez pas modifier la police de l'avertissement car il n'est pas pris en charge par CSC-SSM.

Problème de trafic

Problème

Vous ne pouvez pas empêcher l'envoi du trafic d'ASA à CSC-SSM. Comment cela peut-il être résolu ?

Solution

Afin d'empêcher l'envoi du trafic vers ASA à partir de CSC-SSM, l'administrateur doit supprimer la stratégie de service de l'interface avec la commande no service-policy :

hostname(config-pmap-c)#no service-policy policy_map_name [global | interface interface_ID]

Problème de mise à jour du modèle de gris

Problème

Ce message d'erreur est connecté au module CSC.

GraywarePattern : Pattern Update: Impossible d'obtenir les informations de modèle. Pattern Update: The download file was unsuccessful for ActiveUpdate was unable to unzip the downloaded patch packages. The zip file may be corrupted. This can happen due to an unstable network connection. Please try downloading the file again. The error code is 24.

AntiVirusPattern : Pattern Update: The download file was unsuccessful for ActiveUpdate was unable to unzip the downloaded patch packages. The zip file may be corrupted. This can happen due to an unstable network connection. Please try downloading the file again. The error code is 24.

Comment résoudre ce message d'erreur ?

Solution

Ce problème est lié à l'ID de bogue Cisco CSCtc37947 (clients enregistrés uniquement) et à l'ID de bogue Cisco CSCsk10777 (clients enregistrés uniquement). Réinstallez CSC-SSM ou mettez à niveau le code vers 6.2.x afin de résoudre ce problème. La suppression des fichiers temporaires créés pour la mise à jour automatique sur le compte racine CSC peut également résoudre le problème. Redémarrez les services après avoir réinstallé CSC-SSM ou mis à niveau le code.

Problème de trafic HTTPS

Problème

Vous ne pouvez pas bloquer le trafic HTTPS via CSC-SSM. Comment le trafic HTTPS peut-il être bloqué ?

Solution

Le module CSC-SSM ne peut pas bloquer le trafic HTTPS, car il ne peut pas inspecter en profondeur le paquet en raison du chiffrement SSL sur lui.

Impossible de contourner le trafic de l'inspection CSC

Le trafic peut être ignoré de l'inspection CSC si vous ajoutez des instructions de refus pour les plages réseau en question à la liste de contrôle d'accès utilisée pour le trafic correspondant à passer au module.

Impossible de consigner tout le trafic HTTP qui passe par CSC-SSM

CSC ne peut pas enregistrer tout le trafic, mais affiche uniquement les informations des tentatives de blocage/filtrage.

Erreur lors de la mise à niveau de CSC

Le [ERR-PAT-0002] Le système de mise à jour ne peut pas décompresser le fichier de mise à jour et ne peut pas continuer. Ce message est uniquement destiné à des fins de diagnostic. Clients - Veuillez contacter le support technique lorsque vous mettez à niveau CSC, un message d'erreur s'affiche. Ce message d'erreur apparaît lorsque le fichier .bin est utilisé à la place du fichier .pkg. Le problème ne se produit pas lorsque le fichier .pkg est utilisé.

Erreur lors de la mise à jour automatique des signatures CSC

Problème :

Quand le CSC fait la mise à jour automatique, il a reçu ce message.

Le modèle antispam 17462 a été téléchargé et installé avec succès. Impossible de copier le fichier. Vous devez copier manuellement le fichier /opt/tendon/isvw/temp/AU/piranhacache/* vers path /opt/tendon/isvw/lib/mail/cache.

Solution :

Il s'agit d'un bogue connu avec le code CSC Trendmicro. Un bogue a été déposé pour ceci et pour des détails complets. Référez-vous à l'ID de bogue Cisco CSCtc37947 (clients enregistrés uniquement). Mettre à niveau le CSC vers la version 6.3.1172(2) ou ultérieure afin de se débarrasser du problème.

Le module CSC n'affiche pas syslogs

Problème :

Après la mise à niveau vers 6.3.1172.4, le service LogServer sur le module CSC peut échouer et l'administrateur reçoit cette notification par e-mail : LogServer s'est récemment arrêté sur InterScan pour CSC SSM. Veuillez contacter l'assistance à la clientèle pour obtenir de l'aide.

Solution :

Il existe deux options de contournement :

1. Installez le correctif de build technique.

   Contactez le TAC de Cisco (clients enregistrés uniquement) pour plus d'informations sur l'installation de cette build.

2. Réinstallez le périphérique sur une version antérieure.

   Référez-vous à Réimagerie du module CSC-SSM pour obtenir des informations complètes sur ce processus.

Référez-vous à l'ID de bogue Cisco CSCtl21378 (clients enregistrés uniquement) pour plus d'informations.

Le serveur CSC Log s'exécute en boucle infinie et s'arrête brusquement

Problème :

Le serveur Log du module CSC s'exécute dans une boucle infinie et s'arrête brusquement.

Solution :

Ce problème est dû au bogue Cisco ayant l'ID CSCtl21378. Référez-vous à CSCtl21378 (clients enregistrés uniquement) pour plus d'informations.

Dépannage des commandes

L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Employez l'OIT afin d'afficher une analyse de la sortie de la commande show.

Référez-vous à Dépannage de Trend Micro InterScan pour Cisco CSC-SSM pour plus d'informations sur la façon de résoudre différents problèmes du CSC-SSM.

Remarque : Consulter les renseignements importants sur les commandes de débogage avant d’utiliser les commandes de débogage.

• debug module-boot - Affiche les messages de débogage relatifs au processus de démarrage SSM.

• hw-module module module 1 shutdown : arrêt du module SSM

• hw-module module 1 reset : réinitialisation du module SSM

Remarque : Le %ASA-3-421001 : Le flux TCP de inside:172.22.50.112/1718 à outside:XX.XX.XX.XX/80 est ignoré car le message de sécurité et de contrôle du contenu a échoué est un message de journal qui apparaît lorsque le module CSC devient totalement insensible.

Remarque : utilisez cette commande afin de réinitialiser le module.

ASA#hw-module module 1 reset

The module in slot 1 should be shut down before 
resetting it or loss of configuration may occur.
Reset module in slot 1? [confirm]

(Confirm it at this point by 'return'.)

Reportez-vous au guide de référence des commandes pour plus d'informations sur cette commande.

Informations connexes

• Appareils de sécurité adaptatifs de la gamme Cisco ASA 5500 - Assistance produit
• Guide de l'administrateur SSM de la sécurité et du contrôle du contenu Cisco, 6.2
• Guide de l'administrateur SSM de la sécurité et du contrôle du contenu Cisco
• Cisco Adaptive Security Device Manager - Assistance produit
• Support et documentation techniques - Cisco Systems