Probleemoplossing gecentraliseerde PVO quarantaine op ESA en SMA

Inleiding

Dit document beschrijft hoe u problemen met levering en verbinding kunt oplossen wanneer gecentraliseerd beleid, virus en uitbraakquarantaine is ingeschakeld.

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

• E-mail security applicatie (ESA) met AsyncOS 8.1 of hoger
• Security Management-applicatie (SMA) met AsyncOS 8.0 of hoger

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Achtergrondinformatie

De functie Centralised Policy, Virus and Outbreak (PVO) Quarantines is geïntroduceerd in AsyncOS 8.0 (ESA) / 8.1 (SMA). Deze functie heeft extra netwerkconnectiviteitsvereisten en stelt enkele nieuwe uitdagingen voor probleemoplossing.

De communicatie begrijpen

• CPQ-communicatie gebruikt SMTP, maar met enkele extra opdrachten voor het overdragen van metagegevens
• De SMA luistert naar verbindingen op de interface en poort die zijn gedefinieerd onder Centralised Services -> Policy, Virus and Outbreak Quarantines.  Standaard is de poort 7025, maar dit kan zijn gewijzigd door de beheerder gebruiker!
• Het ESA zal luisteren naar verbindingen op de interface en poort gedefinieerd onder Security Services -> Policy, Virus en Outbreak Quarantines.  Opnieuw, door gebrek, is de haven 7025, maar dit kan door de admin gebruiker zijn veranderd!
• De SMA gebruikt ook SSH (via opdrachtclient) om configuratie-informatie van de ESA’s te verkrijgen.  Dit wordt met name gebruikt wanneer de SMA vrijgegeven e-mails aan de ESA levert. De SMA zal SSH gebruiken om de ESA-configuratie te bevragen en te bepalen naar welke interface / poort de vrijgegeven e-mail wordt verzonden.

Luisteraars

• Zowel de ESA als de SMA zullen een verborgen luisteraar hebben genaamd 'cpq_lister' die zal luisteren op de gespecificeerde poort.
• Deze luisteraars zijn te zien in het configuratiebestand.  Voorbeeld:
  
  

  <listener>
        <listener_name>cpq_listener</listener_name>
        <protocol>CPQ</protocol>
        <interface_name>Incoming Mail</interface_name>
        <port>7025</port>
        <listen_queue_size>50</listen_queue_size>
        <type>private</type>
        <hat>
  $RELAYED
      RELAY {}
  $BLOCKED
      REJECT {}
  RELAYLIST:
      10.1.2.3
          $RELAYED (Only select hosts can relay from this box)
  ALL
      $BLOCKED (Everyone else)
        </hat>
        <rat>
          <rat_entry>
            <rat_address>ALL</rat_address>
            <access>ACCEPT</access>
          </rat_entry>
        </rat>
  
  

• Deze luisteraars worden geschorst als de beheerder gebruikt 'hangluisteraars alles' of 'suspenderen'.  Als de poort geen verbindingen accepteert, moet u controleren of de systeemstatus 'offline' is en indien nodig hervatten.

Levering van probleemoplossing van ESA naar SMA

• Controleer of de ESA op de geconfigureerde poort en interface kan worden aangesloten op de SMA.  Dit kan met behulp van telnet.  Als de communicatie succesvol is, moet u een 220-banner krijgen.
• De ESA zal een doelobject genaamd 'the.cpq.host' hebben, dat berichten bevat terwijl ze in de wachtrij staan voor levering aan de SMA. U kunt dit zien met 'tophosts' of Monitor -> Leveringsstatus.   Je kunt 'hoststatus' er niet mee gebruiken, maar je kunt 'showusers' en 'deleterecipients' gebruiken als dat nodig is.

Levering van probleemoplossing van SMA naar ESA

• Controleer of de SMA op de geconfigureerde poort en interface kan worden aangesloten op de ESA.  Opnieuw, kunt u Telnet gebruiken en zal 220 banner zien als succesvol.
• Bij het gebruik van clusters is het belangrijk dat de interface die op clusterniveau is gedefinieerd onder Security Services -> Policy, Virus and Outbreak Quarantines bestaat voor alle apparaten op machineniveau.  (controleer Netwerk -> IP-interfaces).
• De SMA zal een doelobject genaamd 'the.cpq.release.host' hebben dat vrijgegeven berichten bevat terwijl ze in de wachtrij staan voor levering aan de ESA. U kunt dit zien met 'tophosts'.  Dit lijkt niet te werken met 'hoststatus' of 'showusers', en ik heb er geen 'deleterecipients' mee getest, maar dit werkt waarschijnlijk ook niet.
• Er kunnen ook problemen zijn met de SSH-communicatie tussen de SMA en de ESA. Deze kwesties zijn niet altijd per se netwerkgebaseerd, bijvoorbeeld in CSCus29647 gaat een intern onderdeel van de SMA buiten bedrijf.  Problemen zoals deze zullen typisch als toepassingsfouten in de e-maillogboeken verschijnen, en kunnen gewoonlijk worden opgelost door SMA te rebooten.

TLS/certificaten

• Alle CPQ-verbindingen in beide richtingen zijn afhankelijk van TLS, waardoor de configuratie van het algoritme een rol kan spelen.
• Om de TLS-verbinding te laten slagen, moet het apparaat dat de verbinding opent, kunnen verifiëren dat het ontvangende apparaat ons verborgen CPQ-certificaat gebruikt.  Dit kan gebeuren als met het apparaat met een anoniem algoritme wordt onderhandeld.  Dit zou in de logboeken als iets als dit verschijnen:
  
  

  Mon Apr  1 12:00:00 2014 Info: New SMTP DCID 123456 interface 10.0.0.2 address 10.0.0.1 port 7025
  Mon Apr  1 12:00:00 2014 Info: DCID 123456 TLS failed: verify error: no certificate from server
  Mon Apr  1 12:00:00 2014 Info: DCID 123456 TLS was required but could not be successfully negotiated
  
  

• U kunt deze problemen oplossen door anonieme algoritmen simpelweg te verwijderen uit de lijst met uitgaande leveringsalgoritmen. Dit gebeurt door ':-aNULL' toe te voegen aan het einde van de lijst met algoritmen.  Bijvoorbeeld: HIGH:MEDIUM:-NULL

Logbestand

• Als de SMA een maillogboekabonnement heeft (standaard), kunt u de maillogboeken bekijken om extra inzicht te verkrijgen.
• CPQ-ontvangst van gebeurtenissen zal er zo uitzien voor zowel berichten die in quarantaine worden geplaatst bij het SMA als berichten die worden vrijgegeven aan het ESA
  
  

  New CPQ ICID 12345 interface Management (10.10.10.1) address 10.10.20.1 reverse dns host unknown verified no
  
  

• U kunt zoeken naar deze gebeurtenissen met behulp van grep, voorbeeld: grep "CPQ ICID" mail_logs
• CPQ-aflevergebeurtenissen, zowel quarantaine van ESA als vrijgave uit quarantaine van SMA, lijken op elke andere levering, met de uitzondering dat de douanepoort wordt vermeld en een paar regels bevatten het woordenboek 'Gecentraliseerde beleidsquarantaine'. Voorbeeld hieronder:
  
  

  Fri Sep 13 15:08:02 2013 Info: New SMTP DCID 12345 interface 10.10.20.1 address 10.10.10.1 port 7025
  Fri Sep 13 15:08:02 2013 Info: DCID 12345 TLS success protocol TLSv1 cipher RC4-SHA the.cpq.host
  Fri Sep 13 15:08:02 2013 Info: Delivery start DCID 12345 MID 23456 to RID [0] to Centralized Policy Quarantine
  Fri Sep 13 15:08:02 2013 Info: Message done DCID 12345 MID 23456 to RID [0] (centralized policy quarantine)
  Fri Sep 13 15:08:07 2013 Info: DCID 12345 close
  
  

• U kunt deze gebeurtenissen vinden door grep te gebruiken om naar de poort te zoeken, bijvoorbeeld: grep "port 7025" mail_logs

ESA 'Enable' toets uitgeschakeld

Wanneer u probeert om PVO op de ESA in te schakelen, kunt u vinden dat de 'Enable' knop grijs is, ondanks dat alle vereiste configuratie is voltooid. Wanneer de ESA de PVO-pagina weergeeft, communiceert het met de SMA over poort 7025 om te verifiëren dat de configuratie gereed is om ingeschakeld te worden.  Als deze communicatie mislukt, wordt de knop 'Inschakelen' uitgeschakeld.  U kunt dit oplossen net als elke ESA -> SMA poort 7025 communicatie door te grepen voor "poort 7025" op de ESA. Raadpleeg de TechNote in Verwante informatie voor meer informatie.

Gerelateerde informatie

• Eisen voor de PVO-migratiewizard wanneer ESA geclusterd is
• ESA Centralisation Policy, Virus, and Outbreak Quarantine (PVO) kan niet worden ingeschakeld