Introduction
Les quarantaines suivantes peuvent désormais être centralisées collectivement sur un appareil de gestion de la sécurité (SMA) Cisco :
- Antivirus
- Attaque
- Quarantaines des stratégies utilisées pour les messages interceptés par :
- Filtres de messages
- Filtres de contenu
- Politiques de prévention des pertes de données
La centralisation de ces quarantaines offre les avantages suivants :
- Les administrateurs peuvent gérer les messages mis en quarantaine à partir de plusieurs dispositifs de sécurité de la messagerie (ESA) sur un seul site.
- Les messages mis en quarantaine sont stockés derrière le pare-feu plutôt que dans la zone DMZ, ce qui réduit les risques de sécurité.
- Les quarantaines centralisées peuvent être sauvegardées dans le cadre de la fonctionnalité de sauvegarde standard sur le SMA.
Conditions préalables
Configurer
À partir de l'ESA, dans une quarantaine de stratégie existante, il y a des messages actifs dans la quarantaine de stratégie :
Afin de migrer ces messages et de s'appuyer sur le SMA pour être l'appliance active propriétaire de la quarantaine de stratégie, suivez les instructions ci-dessous.
Sur le SMA, accédez à Appliance de gestion > Centralized Services > Policy, Virus and Outbreak Quarantines. Si cette option n'est pas déjà activée, cliquez sur Enable :
Sélectionnez l'interface, le cas échéant, destinée à gérer le trafic entre l'ESA et le SMA.
Remarque : le port de quarantaine peut être modifié, mais il devra être ouvert si une liste de contrôle d'accès de pare-feu/réseau est en place.
Cliquez sur Submit. L'écran s'actualise pour afficher le message ?Service activé?, affiché ci-dessous :
Accédez à Appliance de gestion > Centralized Services > Security Appliances et ajoutez la communication ESA au SMA :
Cliquez sur Add Email Appliance.
Remarque : il vous suffit d'ajouter l'adresse IP que le SMA utilisera pour communiquer avec l'ESA. Le nom de l'appliance est utilisé uniquement comme référence administrative.
Assurez-vous d'établir la connexion et de tester la connexion. Lors de l'établissement de la connexion du SMA à l'ESA, le nom d'utilisateur et le mot de passe de l'administrateur seront demandés. Il s'agit de l'utilisateur administratif et du mot de passe de l'ESA qui est ajouté. En fonction de ce qui est déjà actif et de ce qui est ajouté, les résultats du test peuvent varier, mais ils doivent être similaires à :
Assurez-vous de Soumettre et valider les modifications à ce stade sur le SMA.
À ce stade, si vous deviez revoir l'ESA et tenter de configurer la section Services centralisés de la quarantaine des politiques, elle serait similaire à ce qui suit :
Les étapes de migration doivent toujours être effectuées sur le SMA. Revenez à la SMA et passez à la section suivante.
Une fois que la commande Commit Changes est terminée, l'Assistant Lancer la migration? de l'étape 2 devient actif :
Sélectionnez Launch Migration Wizard et continuez comme suit :
Si seule une quarantaine particulière doit être migrée, sélectionnez Custom. Dans cet exemple, nous allons continuer avec Automatic, qui va migrer ANY/ALL Policy Quarantines de l'ESA vers SMA. Veuillez noter que vous verrez le nom spécifié choisi lors de l'ajout ESA mentionné précédemment, suivi de l'adresse IP utilisée dans la communication :
Cliquez sur Next, et continuez :
Enfin, cliquez sur Submit, et la notification "Success" est présentée :
Validez vos modifications sur le SMA.
Pour revenir à l'ESA, accédez à Services de sécurité > Quarantaines des stratégies, des virus et des attaques. Les étapes préalables sur le SMA sont désormais reconnues :
Cliquez sur Enable?, et continuez :
Notez qu'ici encore, le port approprié utilisé pour la communication est noté. Ceux-ci doivent correspondre et, si le pare-feu/la liste de contrôle d'accès réseau est utilisé, doivent être ouverts afin de permettre une migration correcte entre l'ESA et le SMA.
Remarque : si des quarantaines des stratégies, des virus et des attaques sont configurées sur un ESA, la migration des quarantaines et de tous leurs messages commence dès que vous validez cette modification.
Remarque : un seul processus de migration peut être en cours à la fois. N'activez pas les quarantaines centralisées des stratégies, des virus et des attaques sur une autre appliance de sécurisation de la messagerie tant que la migration précédente n'est pas terminée.
Cliquez sur Submit, et enfin sur Commit. La notification d'informations doit être similaire. Si un grand nombre de messages sont déjà en quarantaine locale, leur traitement de ESA à SMA peut prendre du temps :
Revenez au SMA et accédez à Appliance de gestion > Centralized Services > Policy, Virus and Outbreak Quarantines. Les étapes de migration vont maintenant être terminées :
Vérification
À ce stade, la migration de la quarantaine des stratégies de l'ESA vers le SMA est terminée. Pour la vérification finale, vérifiez la quarantaine de stratégie sur le SMA :
Vous devriez voir les mêmes messages que ceux qui étaient initialement répertoriés sur l'ESA. Sélectionnez le lien hypertexte # dans la colonne des messages et vérifiez les points suivants :
Si vous regardez les journaux de messagerie sur l'ESA, la migration des messages réels sera présentée :
Remarque : notez l'utilisation de la communication entre l'ESA (XX.X.XX.XXX) et le SMA (YY.Y.YY.YYY) via le port 7025.
Wed Mar 5 02:48:40 2014 Info: New SMTP DCID 2 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar 5 02:48:40 2014 Info: DCID 2 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar 5 02:49:52 2014 Info: New SMTP DCID 3 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar 5 02:49:52 2014 Info: DCID 3 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar 5 02:50:22 2014 Info: New SMTP DCID 4 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar 5 02:50:22 2014 Info: DCID 4 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar 5 02:50:23 2014 Info: New SMTP DCID 5 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar 5 02:50:23 2014 Info: DCID 5 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar 5 02:50:40 2014 Info: New SMTP DCID 6 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar 5 02:50:40 2014 Info: DCID 6 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar 5 02:50:41 2014 Info: New SMTP DCID 7 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar 5 02:50:41 2014 Info: DCID 7 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar 5 02:50:42 2014 Info: New SMTP DCID 8 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar 5 02:50:42 2014 Info: DCID 8 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar 5 02:51:01 2014 Info: New SMTP DCID 9 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar 5 02:51:01 2014 Info: DCID 9 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar 5 02:51:01 2014 Info: CPQ listener cpq_listener starting
Wed Mar 5 02:51:01 2014 Info: New SMTP DCID 10 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar 5 02:51:01 2014 Info: DCID 10 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar 5 02:51:02 2014 Info: New SMTP DCID 11 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar 5 02:51:02 2014 Info: DCID 11 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar 5 02:51:02 2014 Info: MID 1 enqueued for transfer to centralized quarantine
"Policy" (content filter _policy_q_in_)
Wed Mar 5 02:51:02 2014 Info: MID 1 queued for delivery
Wed Mar 5 02:51:02 2014 Info: New SMTP DCID 12 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar 5 02:51:02 2014 Info: DCID 12 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar 5 02:51:02 2014 Info: Delivery start DCID 12 MID 1 to RID [0] to Centralized
Policy Quarantine
Wed Mar 5 02:51:02 2014 Info: MID 2 enqueued for transfer to centralized quarantine
"Policy" (content filter _policy_q_in_)
Wed Mar 5 02:51:02 2014 Info: MID 2 queued for delivery
Wed Mar 5 02:51:02 2014 Info: MID 3 enqueued for transfer to centralized quarantine
"Policy" (content filter _policy_q_in_)
Wed Mar 5 02:51:02 2014 Info: MID 3 queued for delivery
Wed Mar 5 02:51:02 2014 Info: Message done DCID 12 MID 1 to RID [0] (centralized
policy quarantine)
Wed Mar 5 02:51:02 2014 Info: MID 1 RID [0] Response 'ok: Message 1 accepted'
Wed Mar 5 02:51:02 2014 Info: Message finished MID 1 done
Wed Mar 5 02:51:02 2014 Info: MID 1 migrated from all quarantines
Wed Mar 5 02:51:02 2014 Info: Delivery start DCID 12 MID 2 to RID [0] to Centralized
Policy Quarantine
Wed Mar 5 02:51:02 2014 Info: New SMTP DCID 13 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar 5 02:51:02 2014 Info: DCID 13 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar 5 02:51:02 2014 Info: New SMTP DCID 14 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar 5 02:51:02 2014 Info: DCID 14 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar 5 02:51:02 2014 Info: Message done DCID 12 MID 2 to RID [0] (centralized
policy quarantine)
Wed Mar 5 02:51:02 2014 Info: MID 2 RID [0] Response 'ok: Message 2 accepted'
Wed Mar 5 02:51:02 2014 Info: Message finished MID 2 done
Wed Mar 5 02:51:02 2014 Info: MID 2 migrated from all quarantines
Wed Mar 5 02:51:02 2014 Info: Delivery start DCID 12 MID 3 to RID [0] to Centralized
Policy Quarantine
Wed Mar 5 02:51:02 2014 Info: Message done DCID 12 MID 3 to RID [0] (centralized
policy quarantine)
Wed Mar 5 02:51:02 2014 Info: MID 3 RID [0] Response 'ok: Message 3 accepted'
Wed Mar 5 02:51:02 2014 Info: Message finished MID 3 done
Wed Mar 5 02:51:02 2014 Info: MID 3 migrated from all quarantines
Wed Mar 5 02:51:02 2014 Info: New SMTP DCID 15 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar 5 02:51:02 2014 Info: DCID 15 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar 5 02:51:07 2014 Info: DCID 12 close
Revenez à l'ESA et les éléments suivants s'affichent lorsque vous affichez les quarantaines des stratégies, des virus et des attaques :
L'étape suivante de la vérification consiste à envoyer un nouveau message de test via l'ESA qui sera intercepté pour la mise en quarantaine de la stratégie. En examinant les journaux de messagerie sur l'ESA, notez que la ligne mise en surbrillance indique le transfert de l'ESA vers SMA via 7025, indiquant la quarantaine de stratégie :
Wed Mar 5 02:57:47 2014 Info: Start MID 4 ICID 6
Wed Mar 5 02:57:47 2014 Info: MID 4 ICID 6 From: <robsherw.cisco@gmail.com>
Wed Mar 5 02:57:47 2014 Info: MID 4 ICID 6 RID 0 To: <robsherw@cisco.com>
Wed Mar 5 02:57:47 2014 Info: MID 4 Message-ID
'<7642E61C-4BA2-432E-A524-E163EA0B9753@gmail.com>'
Wed Mar 5 02:57:47 2014 Info: MID 4 Subject 'NEW FUNNY'
Wed Mar 5 02:57:47 2014 Info: MID 4 ready 525 bytes from
<robsherw.cisco@gmail.com>
Wed Mar 5 02:57:47 2014 Info: MID 4 matched all recipients for per-recipient
policy DEFAULT in the inbound table
Wed Mar 5 02:57:47 2014 Info: MID 4 enqueued for transfer to centralized
quarantine "Policy" (content filter _policy_q_in_)
Wed Mar 5 02:57:47 2014 Info: MID 4 queued for delivery
Wed Mar 5 02:57:47 2014 Info: New SMTP DCID 16 interface XX.X.XX.XXX address
YY.Y.YY.YYY port 7025
Wed Mar 5 02:57:47 2014 Info: DCID 16 TLS success protocol TLSv1 cipher RC4-SHA
the.cpq.host
Wed Mar 5 02:57:47 2014 Info: Delivery start DCID 16 MID 4 to RID [0] to Centralized
Policy Quarantine
Wed Mar 5 02:57:47 2014 Info: Message done DCID 16 MID 4 to RID [0] (centralized
policy quarantine)
Wed Mar 5 02:57:47 2014 Info: MID 4 RID [0] Response 'ok: Message 4 accepted'
Wed Mar 5 02:57:47 2014 Info: Message finished MID 4 done
Wed Mar 5 02:57:52 2014 Info: DCID 16 close
Revenez à la mise en quarantaine de stratégie mentionnée précédemment sur le SMA, le nouveau message test est également en quarantaine :
Informations connexes