Dépannage de la quarantaine PVO centralisée sur ESA et SMA

Options de téléchargement

  • PDF     (258.5 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (83.9 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (71.2 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:26 août 2015
ID du document:200068

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

Ce document décrit comment résoudre les problèmes de livraison et de connexion lorsque la quarantaine centralisée des stratégies, des virus et des attaques est activée.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • ESA (Email Security Appliance) avec AsyncOS 8.1 ou version ultérieure
  • Security Management Appliance (SMA) avec AsyncOS 8.0 ou version ultérieure

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Informations générales

La fonctionnalité de quarantaine centralisée des stratégies, des virus et des attaques (PVO) a été introduite dans AsyncOS 8.0 (ESA) / 8.1 (SMA). Cette fonctionnalité a des besoins de connectivité réseau supplémentaires et pose de nouveaux défis pour le dépannage.

Comprendre la communication

  • La communication CPQ utilise SMTP, mais avec quelques commandes supplémentaires pour transférer les métadonnées
  • Le SMA recherche les connexions sur l'interface et le port définis sous Services centralisés -> Quarantaines des stratégies, des virus et des attaques.  Par défaut, le port est le port 7025, mais il a peut-être été modifié par l'utilisateur admin !
  • L'ESA recherche les connexions sur l'interface et le port définis sous Services de sécurité -> Quarantaines des stratégies, des virus et des attaques.  Encore une fois, par défaut, le port est 7025, mais cela peut avoir été modifié par l'utilisateur admin !
  • Le SMA utilise également SSH (via le client de commande) pour obtenir des informations de configuration des ESA.  En particulier, il est utilisé lorsque le SMA remet des e-mails libérés à l'ESA. Le SMA utilisera SSH pour interroger la configuration de l'ESA et déterminer à quelle interface/port envoyer l'e-mail libéré.

Auditeurs

  • L'ESA et le SMA auront un écouteur masqué appelé « cpq_listener » qui écoutera sur le port spécifié.
  • Ces écouteurs sont visibles dans le fichier de configuration.  Exemple :

    <listener>
          <listener_name>cpq_listener</listener_name>
          <protocol>CPQ</protocol>
          <interface_name>Incoming Mail</interface_name>
          <port>7025</port>
          <listen_queue_size>50</listen_queue_size>
          <type>private</type>
          <hat>
    $RELAYED
        RELAY {}
    $BLOCKED
        REJECT {}
    RELAYLIST:
        10.1.2.3
            $RELAYED (Only select hosts can relay from this box)
    ALL
        $BLOCKED (Everyone else)
          </hat>
          <rat>
            <rat_entry>
              <rat_address>ALL</rat_address>
              <access>ACCEPT</access>
            </rat_entry>
          </rat>

  • Ces écouteurs seront suspendus si l'utilisateur admin utilise 'suspendlisteners all' ou 'suspend'.  Si le port n'accepte pas les connexions, vous devez vérifier si l'état du système est « hors ligne » et le reprendre si nécessaire.

Dépannage de la livraison de ESA à SMA

  • Vérifiez que l'ESA peut se connecter au SMA sur le port et l'interface configurés.  Vous pouvez le faire à l’aide de Telnet.  Vous devriez obtenir une bannière 220 si la communication est réussie.
  • L'ESA aura un objet de destination appelé 'the.cpq.host', qui contient des messages lorsqu'ils sont en attente de remise à l'AMS. Vous pouvez le voir en utilisant 'tophosts' ou Monitor -> Delivery Status.   Vous ne pouvez pas utiliser 'hoststatus' avec lui, mais vous pouvez utiliser 'showRecipients' et 'deleterecipients' si nécessaire.

Dépannage de la livraison de SMA à ESA

  • Vérifiez que le SMA peut se connecter au ESA sur le port et l'interface configurés.  Là encore, vous pouvez utiliser telnet et la bannière 220 s’affiche en cas de succès.
  • Lors de l'utilisation de clusters, il est important que l'interface définie au niveau du cluster sous Services de sécurité -> Quarantaines des stratégies, des virus et des attaques existe pour toutes les appliances au niveau de l'ordinateur.  (cochez la case Réseau -> Interfaces IP).
  • Le SMA aura un objet de destination appelé « the.cpq.release.host » qui contient les messages libérés alors qu'ils sont en attente de remise à l'ESA. Vous pouvez le voir en utilisant « tophosts ».  Cela ne semble pas fonctionner avec 'hoststatus' ou 'showRecipients', et je n'ai pas testé 'deleterecipients' avec, mais cela ne fonctionne probablement pas non plus.
  • Il peut également y avoir des problèmes de communication SSH entre le SMA et l'ESA. Ces problèmes ne sont pas toujours nécessairement basés sur le réseau, par exemple dans CSCus29647 un composant interne du SMA est hors service.  De tels problèmes apparaissent généralement comme des pannes d'application dans les journaux de messagerie et peuvent généralement être résolus en redémarrant le SMA.

TLS/Certificats

  • Toutes les connexions CPQ dans les deux directions dépendent de TLS, et par conséquent la configuration du chiffrement peut jouer un rôle.
  • Pour que la connexion TLS réussisse, le périphérique qui ouvre la connexion doit être en mesure de vérifier que le périphérique récepteur utilise notre certificat CPQ caché.  Il est possible que cela échoue si l'appliance négocie un chiffrement anonyme.  Ceci apparaîtrait dans les journaux comme quelque chose comme ceci :

    Mon Apr  1 12:00:00 2014 Info: New SMTP DCID 123456 interface 10.0.0.2 address 10.0.0.1 port 7025
    Mon Apr  1 12:00:00 2014 Info: DCID 123456 TLS failed: verify error: no certificate from server
    Mon Apr  1 12:00:00 2014 Info: DCID 123456 TLS was required but could not be successfully negotiated

  • Vous pouvez résoudre ces problèmes en supprimant simplement les chiffrements anonymes de la liste de chiffrement de remise sortante, ce qui est fait en ajoutant ':-aNULL' à la fin de la liste de chiffrement.  Par exemple : HIGH:MEDIUM:-NULL

Fichier journal

  • Si le SMA dispose d'un abonnement aux journaux des messages (ce qui est le cas par défaut), vous pouvez consulter les journaux des messages pour obtenir des informations supplémentaires.
  • Les événements de réception CPQ ressembleront à ceci pour les messages mis en quarantaine dans le SMA et les messages transmis à ESA

    New CPQ ICID 12345 interface Management (10.10.10.1) address 10.10.20.1 reverse dns host unknown verified no

  • Vous pouvez rechercher ces événements en utilisant grep, par exemple : grep "CPQ ICID" mail_logs
  • Les événements de livraison CPQ, à la fois la mise en quarantaine de ESA et la libération de la mise en quarantaine de SMA, ressemblent à n'importe quelle autre livraison, à l'exception du port personnalisé qui est répertorié et de quelques lignes qui incluent le verbiage « Centralized Policy Quarantine ». Exemple ci-dessous :

    Fri Sep 13 15:08:02 2013 Info: New SMTP DCID 12345 interface 10.10.20.1 address 10.10.10.1 port 7025
    Fri Sep 13 15:08:02 2013 Info: DCID 12345 TLS success protocol TLSv1 cipher RC4-SHA the.cpq.host
    Fri Sep 13 15:08:02 2013 Info: Delivery start DCID 12345 MID 23456 to RID [0] to Centralized Policy Quarantine
    Fri Sep 13 15:08:02 2013 Info: Message done DCID 12345 MID 23456 to RID [0] (centralized policy quarantine)
    Fri Sep 13 15:08:07 2013 Info: DCID 12345 close

  • Vous pouvez trouver ces événements en utilisant grep pour rechercher le port, par exemple : grep "port 7025" mail_logs

Bouton « Activer » ESA désactivé

Lorsque vous tentez d'activer le PVO sur l'ESA, vous constaterez peut-être que le bouton « Enable » est grisé, bien que toutes les configurations préalables soient terminées. Lorsque l'ESA affiche la page PVO, il communique avec le SMA sur le port 7025 pour vérifier que la configuration est prête à être activée.  Si cette communication échoue, le bouton « Activer » sera désactivé.  Vous pouvez résoudre ce problème comme n'importe quelle communication ESA -> SMA port 7025 en saisissant le port 7025 sur l'ESA. Pour plus d'informations, reportez-vous à la TechNote répertoriée dans Informations connexes.

Informations connexes

Historique de révision

Révision Date de publication Commentaires
1.0
25-Aug-2015
Première publication
TAC Authored

Contribution d’experts de Cisco

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco

Ce document s’applique à ces produits