Introduction
Ce document fournit des réponses aux questions fréquemment posées sur l'utilisation de l'accès à distance par l'assistance technique de Cisco sur les appliances de sécurité du contenu Cisco. Cela inclut l'appareil de sécurité de la messagerie électronique Cisco (ESA), l'appareil de sécurité Web Cisco (WSA) et l'appareil de gestion de la sécurité Cisco (SMA).
Conditions préalables
Composants utilisés
Les informations contenues dans ce document sont basées sur les dispositifs de sécurité du contenu Cisco exécutant n'importe quelle version d'AsyncOS.
Qu'est-ce que l'accès distant ?
L'accès à distance est une connexion SSH (Secure Shell) qui est activée à partir d'un dispositif de sécurité du contenu Cisco vers un hôte sécurisé chez Cisco. Seule l'Assistance à la clientèle Cisco peut accéder à l'appliance une fois qu'une session à distance est activée. L'accès à distance permet au support client Cisco d'analyser un appareil. La prise en charge accède à l'appliance via un tunnel SSH que cette procédure crée entre l'appliance et le serveur upgrades.ironport.com.
Fonctionnement de l'accès distant
Lorsqu'une connexion d'accès à distance démarre, l'appliance ouvre un port sécurisé, aléatoire et de source élevée via une connexion SSH sur l'appliance au port configuré/sélectionné de l'un des serveurs Cisco Content Security suivants :
Adresse IP |
Nom de l'hôte |
Utilisation |
63.251.108.107 |
upgrades.ironport.com |
Tous les appareils de sécurité du contenu |
63.251.108.107 |
c.tunnels.ironport.com |
Appareils de la série C (ESA) |
63.251.108.107 |
x.tunnels.ironport.com |
Appareils de la gamme X (ESA) |
63.251.108.107 |
m.tunnels.ironport.com |
Appareils de la gamme M (SMA) |
63.251.108.107 |
s.tunnels.ironport.com |
Appareils de la gamme S (WSA) |
Il est important de noter qu'un pare-feu client doit être configuré pour autoriser les connexions sortantes vers l'un des serveurs répertoriés ci-dessus. Si l'inspection du protocole SMTP est activée sur votre pare-feu, le tunnel ne s'établit pas. Les ports que Cisco acceptera les connexions de l'appliance pour l'accès à distance sont les suivants :
- 22
- 25 (Default)
- 53
- 80
- 443
- 4766
La connexion d'accès à distance est établie avec un nom d'hôte et non avec une adresse IP codée en dur. Ceci ne nécessite pas la configuration du serveur de noms de domaine (DNS) sur l'appliance afin d'établir la connexion sortante.
Sur le réseau d'un client, certains périphériques réseau sensibles au protocole peuvent bloquer cette connexion en raison d'une non-concordance entre le protocole et le port. Certains périphériques prenant en charge le protocole SMTP (Simple Mail Transport Protocol) peuvent également interrompre la connexion. Dans les cas où des périphériques sensibles au protocole ou des connexions sortantes sont bloquées, l'utilisation d'un port autre que le port par défaut (25) peut être nécessaire. L'accès à l'extrémité distante du tunnel est limité à l'assistance à la clientèle Cisco. Assurez-vous que vous recherchez les connexions sortantes dans votre pare-feu/réseau lorsque vous essayez d'établir ou de dépanner des connexions d'accès à distance pour votre appliance.
Remarque : lorsqu'un ingénieur du support technique Cisco est connecté à l'appliance via un accès à distance, l'invite système de l'appliance affiche (SERVICE).
Comment activer l'accès à distance
Remarque : consultez le Guide de l'utilisateur de votre appliance et de la version d'AsyncOS pour obtenir des instructions sur l'activation de l'accès à distance pour le personnel du support technique Cisco.
Remarque : les pièces jointes envoyées par e-mail à l'adresse attach@cisco.com peuvent ne pas être sécurisées lors du transfert. Support Case Manager est l'option sécurisée préférée de Cisco pour télécharger des informations sur votre dossier. Pour en savoir plus sur la sécurité et les limites de taille des autres options de téléchargement de fichiers : Téléchargements de fichiers client vers le Centre d'assistance technique Cisco
Identifiez un port accessible à partir d'Internet. Le port par défaut est le port 25, qui fonctionne dans la plupart des environnements, car le système requiert également un accès général sur ce port pour envoyer des e-mails. Les connexions sur ce port sont autorisées dans la plupart des configurations de pare-feu.
CLI
Pour établir une connexion d'accès à distance via l'interface de ligne de commande, en tant qu'utilisateur Admin, procédez comme suit :
- Entrez la commande techsupport
- Choisir un TUNNEL
- Choisir de générer ou d'entrer une chaîne d'amorce aléatoire
- Spécifiez le numéro de port de la connexion
- Répondez "Y" pour activer l'accès au service
L'accès à distance sera activé à ce moment-là. L'appliance fonctionne désormais pour établir la connexion sécurisée à l'hôte bastion sécurisé chez Cisco. Fournissez à la fois le numéro de série de l'appliance et la chaîne d'amorçage générée à l'ingénieur TAC prenant en charge votre dossier.
IUG
Afin d'établir une connexion d'accès à distance via l'interface utilisateur graphique, en tant qu'utilisateur Admin, complétez ces étapes :
- Accédez à Aide et support > Accès à distance (pour ESA, SMA), Support et aide > Accès à distance (pour WSA)
- Cliquez sur Activer
- Choisissez la méthode de la chaîne d'amorce
- Assurez-vous que vous cochez la case Initiate connection via secure tunnel et spécifiez le numéro de port pour la connexion
- Cliquez sur Submit
L'accès à distance sera activé à ce moment-là. L'appliance fonctionne désormais pour établir la connexion sécurisée à l'hôte bastion sécurisé chez Cisco. Fournissez à la fois le numéro de série de l'appliance et la chaîne d'amorçage générée à l'ingénieur TAC prenant en charge votre dossier.
Comment désactiver l'accès à distance
CLI
- Entrez la commande techsupport
- Sélectionnez DISABLE
- Répondez "Y" lorsque le message "Voulez-vous vraiment désactiver l'accès au service ?" s'affiche.
IUG
- Accédez à Aide et support > Accès à distance (pour ESA, SMA), Support et aide > Accès à distance (pour WSA).
- Cliquez sur Désactiver
- Le résultat de l'interface utilisateur graphique indique « Success — Remote Access has been disabled »
Comment tester la connectivité d'accès à distance
Utilisez cet exemple afin d'effectuer un test initial pour la connectivité de votre appliance à Cisco :
example.run> > telnet upgrades.ironport.com 25
Trying 63.251.108.107...
Connected to 63.251.108.107.
Escape character is '^]'.
SSH-2.0-OpenSSH_6.2 CiscoTunnels1
La connectivité peut être testée pour n'importe lequel des ports répertoriés ci-dessus : 22, 25, 53, 80, 443 ou 4766. Si la connectivité échoue, vous devrez peut-être exécuter une capture de paquets pour voir où la connexion échoue à partir de votre appliance/réseau.
Pourquoi l'accès à distance ne fonctionne-t-il pas sur le SMA ?
L'accès à distance peut ne pas être activé sur un SMA si le SMA est placé sur le réseau local sans accès direct à Internet. Dans ce cas, l'accès à distance peut être activé sur un ESA ou un WSA, et l'accès SSH peut être activé sur le SMA. Cela permet au support Cisco de se connecter d'abord via un accès à distance à l'ESA/WSA, puis de l'ESA/WSA au SMA via SSH. Cela nécessitera une connectivité entre l'ESA/WSA et le SMA sur le port 22.
Remarque : consultez le Guide de l'utilisateur de votre appliance et de la version d'AsyncOS pour obtenir des instructions sur l'activation de l'accès à distance aux appliances sans connexion Internet directe.
CLI
Pour établir une connexion d'accès à distance via l'interface de ligne de commande, en tant qu'utilisateur Admin, procédez comme suit :
- Entrez la commande techsupport
- Choisir SHACCESS
- Choisir de générer ou d'entrer une chaîne d'amorce aléatoire
- Répondez "Y" pour activer l'accès au service
L'accès à distance sera activé à ce moment-là. La sortie CLI affiche la chaîne d'amorçage. Veuillez le fournir à l'Ingénieur du support client Cisco. La sortie CLI affiche également l'état de la connexion et les détails de l'accès à distance, y compris le numéro de série de l'appliance. Veuillez fournir ce numéro de série à l'Ingénieur du support client.
IUG
Afin d'établir une connexion d'accès à distance via l'interface utilisateur graphique, en tant qu'utilisateur Admin, complétez ces étapes :
- Accédez à Aide et support > Accès à distance (pour ESA, SMA), Support et aide > Accès à distance (pour WSA)
- Cliquez sur Activer
- Choisissez la méthode de la chaîne d'amorce
- Ne cochez PAS la case Initiate connection via secure tunnel
- Cliquez sur Submit
L'accès à distance sera activé à ce moment-là. Le résultat de l'interface utilisateur graphique affiche un message de réussite et la chaîne d'amorçage de l'appliance. Veuillez le fournir à l'Ingénieur du support client Cisco. Le résultat de l'interface utilisateur graphique affiche également l'état de la connexion et les détails de l'accès à distance, y compris le numéro de série du matériel. Veuillez fournir ce numéro de série à l'Ingénieur du support client.
Comment désactiver l'accès à distance lorsqu'il est activé pour SHACCESS
La désactivation de l'accès à distance pour SHACCESS s'effectue comme indiqué ci-dessus.
Dépannage
Si la solution matérielle-logicielle ne parvient pas à activer l'accès à distance et à se connecter à upgrades.ironport.com via l'un des ports répertoriés, vous devrez exécuter une capture de paquets directement à partir de la solution matérielle-logicielle pour vérifier ce qui provoque l'échec de la connexion sortante.
Remarque : consultez le Guide de l'utilisateur de votre appliance et de la version d'AsyncOS pour obtenir des instructions sur l'exécution d'une capture de paquets.
L'Ingénieur du support client Cisco peut demander que le fichier .pcap soit fourni afin d'examiner et d'aider au dépannage.
Informations connexes