Inleiding
Dit document biedt antwoorden op veelgestelde vragen over het gebruik van externe toegang door Technische ondersteuning van Cisco op Cisco Content Security-toestellen. Dit omvat de Cisco Email Security Appliance (ESA), de Cisco Web Security Appliance (WSA) en de Cisco Security Management Appliance (SMA).
Voorwaarden
Gebruikte componenten
De informatie in dit document is gebaseerd op de Cisco Content Security-toestellen met elke versie van AsyncOS.
Wat is externe toegang?
Externe toegang is een Secure Shell (SSH)-verbinding die wordt ingeschakeld vanaf een Cisco Content Security-toestel voor een beveiligde host bij Cisco. Alleen Cisco Customer Assistance heeft toegang tot het toestel wanneer een externe sessie is ingeschakeld. Met externe toegang kan Cisco Customer Support een toestel analyseren. Support krijgt via een SSH-tunnel die door deze procedure wordt gemaakt tussen het toestel en de server upgrades.ironport.com server toegang tot het toestel.
Hoe externe toegang werkt
Wanneer een verbinding voor externe toegang wordt gestart, opent het toestel een beveiligde, willekeurige high-source poort via een SSH-verbinding op het toestel voor de geconfigureerde/geselecteerde poort één van de volgende Cisco Content Security-servers:
IP-adres |
Hostnaam |
Gebruik |
63.251.108.107 |
upgrades.ironport.com |
Alle Content Security-toestellen |
63.251.108.107 |
c.tunnels.ironport.com |
C-Series toestellen (ESA) |
63.251.108.107 |
x.tunnels.ironport.com |
X-Series toestellen (ESA) |
63.251.108.107 |
m.tunnels.ironport.com |
M-Series toestellen (SMA) |
63.251.108.107 |
s.tunnels.ironport.com |
S-Series toestellen (WSA) |
Het is belangrijk te vermelden dat een klantfirewall mogelijk moet worden geconfigureerd om uitgaande verbindingen met een van de hierboven genoemde servers toe te staan. Als uw firewall SMTP-protocolinspectie heeft ingeschakeld, wordt de tunnel niet ingesteld. Poorten waarvan Cisco verbindingen van het toestel accepteert voor de externe toegang zijn:
- 22
- 25 (Standaard)
- 53
- 80
- 443
- 4766
De verbinding voor externe toegang wordt gemaakt naar een hostnaam en niet naar een in code vastgelegd IP-adres. Hiervoor is vereist dat Domain Name Server (DNS) wordt geconfigureerd op het toestel om de uitgaande verbinding op te zetten.
Op een klantnetwerk blokkeren protocolbewuste netwerkapparaten mogelijk deze verbinding vanwege de mismatch tussen protocol/poort. Sommige Simple Mail Transport Protocol (SMTP)-bewuste apparaten kunnen ook de verbinding onderbreken. Wanneer er protocolbewuste apparaten of uitgaande verbindingen zijn die zijn geblokkeerd, kan het gebruiken van een poort anders dan de standaardpoort (25) vereist zijn. Toegang tot het externe uiteinde van de tunnel is beperkt tot Cisco Customer Support. Zorg ervoor dat u uw firewall/netwerk controleert op uitgaande verbindingen als u probeert verbindingen voor externe toegang voor uw toestel op te zetten of hiervoor probleemoplossing uit te voeren.
Opmerking: wanneer een Cisco Customer Support Engineer via externe toegang is verbonden met het toestel, toont de systeemprompt op het toestel (SERVICE).
Externe toegang inschakelen
Opmerking: zorg ervoor dat u de gebruikershandleiding van uw toestel en versie van AsyncOS raadpleegt voor instructies voor 'Inschakelen van externe toegang voor technisch ondersteuningspersoneel van Cisco'.
Opmerking: bijlagen die via e-mail worden verzonden naar attach@cisco.com zijn mogelijk niet beveiligd als ze onderweg zijn. Support Case Manager is de voorkeursoptie van Cisco voor beveiliging om informatie te uploaden naar uw case. Meer informatie over de beveiliging en groottebeperkingen van andere bestandsuploadopties: Klantbestandsuploads naar Cisco Technical Assistance Center
Identificeer een poort die vanuit het internet kan worden bereikt. De standaard is poort 25, wat in de meeste omgevingen werkt omdat het systeem ook algemene toegang nodig heeft via die poort om e-mailberichten te kunnen verzenden. Verbindingen via deze poort zijn in de meeste firewallconfiguraties toegestaan.
CLI
Als u een verbinding voor externe toegang wilt opzetten via de CLI, moet u als Admin-gebruiker deze stappen voltooien:
- Ga naar de opdracht techsupport
- Kies TUNNEL
- Kies voor Genereren of Invoeren voor een willekeurige seed-tekenreeks
- Geef het poortnummer voor op voor de verbinding
- Antwoord met 'Y' om servicetoegang in te schakelen
Op dit moment wordt externe toegang ingeschakeld. Het toestel is nu bezig om de beveiligde verbinding naar de beveiligde bastion-host bij Cisco op te zetten. Geef zowel het serienummer van het toestel als de seed-tekenreeks op die wordt gegenereerd voor de TAC Engineer die uw case behandelt.
GUI
Als u een verbinding voor externe toegang wilt opzetten via de GUI, moet u als Admin-gebruiker deze stappen voltooien:
- Ga naar Help en ondersteuning > Externe toegang (voor ESA, SMA), Ondersteuning en hulp > Externe toegang (voor WSA)
- Klik op Inschakelen
- Kies de methode voor de seed-tekenreeks
- Zorg ervoor dat u het selectievakje Verbinding initiëren via beveiligde tunnel inschakelt en het poortnummer voor de verbinding opgeeft
- Klik op Submit (Verzenden)
Op dit moment wordt externe toegang ingeschakeld. Het toestel is nu bezig om de beveiligde verbinding naar de beveiligde bastion-host bij Cisco op te zetten. Geef zowel het serienummer van het toestel als de seed-tekenreeks op die wordt gegenereerd voor de TAC Engineer die uw case behandelt.
Externe toegang uitschakelen
CLI
- Ga naar de opdracht techsupport
- Kies UITSCHAKELEN
- Reageer met 'Y' als u wordt gevraagd 'Weet u zeker dat u servicetoegang wilt uitschakelen?'
GUI
- Ga naar Help en ondersteuning > Externe toegang (voor ESA, SMA), Ondersteuning en hulp > Externe toegang (voor WSA)
- Klik op Uitschakelen
- De GUI-uitvoer toont 'Gelukt - Externe toegang is uitgeschakeld'
De connectiviteit van externe toegang testen
Gebruik dit voorbeeld om een initiële test uit te voeren voor connectiviteit vanaf uw toestel naar Cisco:
example.run> > telnet upgrades.ironport.com 25
Trying 63.251.108.107...
Connected to 63.251.108.107.
Escape character is '^]'.
SSH-2.0-OpenSSH_6.2 CiscoTunnels1
Connectiviteit kan worden getest voor alle hierboven genoemde poorten: 22, 25, 53, 80, 443 of 4766. Als de connectiviteit mislukt, moet u mogelijk een pakketopname uitvoeren om te controleren waar de verbinding mislukt vanaf uw toestel/netwerk.
Waarom werkt de externe toegang niet op de SMA?
Externe toegang wordt mogelijk niet ingeschakeld op een SMA als de SMA in het lokale netwerk is geplaatst zonder directe toegang tot internet. Voor dit exemplaar kan externe toegang worden ingeschakeld op een ESA of WSA, en SSH-toegang kan worden ingeschakeld op de SMA. Zo kan Cisco Support als eerste via externe toegang verbinding maken met de ESA/WSA, en vervolgens vanaf de ESA/WSA met de SMA via SSH. Hiervoor is connectiviteit tussen de ESA/WSA en de SMA op poort 22 vereist.
Opmerking: zorg ervoor dat u de gebruikershandleiding van uw toestel en versie van AsyncOS raadpleegt voor instructies voor 'Inschakelen van externe toegang voor toestellen zonder een directe internetverbinding'.
CLI
Als u een verbinding voor externe toegang wilt opzetten via de CLI, moet u als Admin-gebruiker deze stappen voltooien:
- Ga naar de opdracht techsupport
- Kies SSHACCESS
- Kies voor Genereren of Invoeren voor een willekeurige seed-tekenreeks
- Antwoord met 'Y' om servicetoegang in te schakelen
Op dit moment wordt externe toegang ingeschakeld. De CLI-uitvoer toont de seed-tekenreeks. Verstrek deze aan de Cisco Customer Support Engineer. De CLI-uitvoer toont ook de verbindingsstatus en details van de externe toegang, inclusief het serienummer van het toestel. Verstrek dit serienummer aan de Cisco Customer Support Engineer.
GUI
Als u een verbinding voor externe toegang wilt opzetten via de GUI, moet u als Admin-gebruiker deze stappen voltooien:
- Ga naar Help en ondersteuning > Externe toegang (voor ESA, SMA), Ondersteuning en hulp > Externe toegang (voor WSA)
- Klik op Inschakelen
- Kies de methode voor de seed-tekenreeks
- Schakel het selectievakje Verbinding starten via beveiligde tunnel NIET in
- Klik op Submit (Verzenden)
Op dit moment wordt externe toegang ingeschakeld. De GUI-uitvoer toont een bericht dat het is gelukt en de seed-tekenreeks van het toestel. Verstrek deze aan de Cisco Customer Support Engineer. De GUI-uitvoer toont ook de verbindingsstatus en details van de externe toegang, inclusief het serienummer van het toestel. Verstrek dit serienummer aan de Cisco Customer Support Engineer.
Externe toegang uitschakelen wanneer ingeschakeld voor SSHACCESS
Voor het uitschakelen van externe toegang voor SSHACCESS gebruikt u dezelfde stappen als hierboven beschreven.
Probleemoplossing
Als het toestel externe toegang niet kan inschakelen en geen verbinding kan maken met upgrades.ironport.com via een van de vermelde poorten, moet u een pakketopname uitvoeren, rechtstreeks vanaf het toestel, om te controleren wat de oorzaak is van het mislukken van de uitgaande verbinding.
Opmerking: zorg ervoor dat u de gebruikershandleiding van uw toestel en versie van AsyncOS raadpleegt voor instructies voor 'Een pakketopname uitvoeren'.
De Cisco Customer Support Engineer kan vereisen dat het .pcap-bestand wordt verstrekt om te controleren en te helpen met probleemoplossing.
Gerelateerde informatie