Introdução
Este documento fornece respostas a perguntas frequentes sobre o uso do acesso remoto pelo Suporte Técnico da Cisco em dispositivos de Segurança de Conteúdo da Cisco. Isso inclui o Cisco Email Security Appliance (ESA), o Cisco Web Security Appliance (WSA) e o Cisco Security Management Appliance (SMA).
Pré-requisitos
Componentes Utilizados
As informações neste documento são baseadas nos dispositivos Cisco Content Security que executam qualquer versão do AsyncOS.
O que é acesso remoto?
O acesso remoto é uma conexão Secure Shell (SSH) que é habilitada de um dispositivo Cisco Content Security para um host seguro na Cisco. Somente a Assistência ao cliente da Cisco pode acessar o dispositivo quando uma sessão remota estiver habilitada. O acesso remoto permite que o Suporte ao cliente da Cisco analise um dispositivo. O suporte acessa o dispositivo por meio de um túnel SSH criado por esse procedimento entre o dispositivo e o servidor upgrades.ironport.com.
Como funciona o acesso remoto
Quando uma conexão de acesso remoto é iniciada, o equipamento abre uma porta segura, aleatória e de alta origem por meio de uma conexão SSH no equipamento para a porta configurada/selecionada em um dos seguintes servidores Cisco Content Security:
IP Address |
Hostname |
Uso |
63.251.108.107 |
upgrades.ironport.com |
Todos os dispositivos de segurança de conteúdo |
63.251.108.107 |
c.tunnels.ironport.com |
Dispositivos C-Series (ESA) |
63.251.108.107 |
x.tunnels.ironport.com |
Dispositivos X-Series (ESA) |
63.251.108.107 |
m.tunnels.ironport.com |
Dispositivos M-Series (SMA) |
63.251.108.107 |
s.tunnels.ironport.com |
Dispositivos S-Series (WSA) |
É importante observar que um firewall do cliente pode precisar ser configurado para permitir conexões de saída com um dos servidores listados acima. Se a inspeção do protocolo SMTP estiver habilitada no firewall, o túnel não será estabelecido. As portas que a Cisco aceitará conexões do dispositivo para o acesso remoto são:
- 22
- 25 (Padrão)
- 53
- 80
- 443
- 4766
A conexão de acesso remoto é feita a um nome de host e não a um endereço IP codificado. Isso exige que o Servidor de Nome de Domínio (DNS) seja configurado no dispositivo para estabelecer a conexão de saída.
Em uma rede do cliente, alguns dispositivos de rede com reconhecimento de protocolo podem bloquear essa conexão devido à incompatibilidade de protocolo/porta. Alguns dispositivos com reconhecimento de SMTP (Simple Mail Transport Protocol) também podem interromper a conexão. Nos casos em que há dispositivos com reconhecimento de protocolo ou conexões de saída bloqueadas, o uso de uma porta diferente do padrão (25) pode ser exigido. O acesso à extremidade remota do túnel é restrito somente ao Suporte ao cliente da Cisco. Verifique se o firewall/rede está em busca de conexões de saída ao tentar estabelecer ou solucionar problemas de conexões de acesso remoto para o equipamento.
Observação: quando um engenheiro de suporte ao cliente da Cisco está conectado ao dispositivo via acesso remoto, o prompt do sistema no dispositivo mostra (SERVIÇO).
Como habilitar o acesso remoto
Observação: certifique-se de revisar o Guia do usuário do seu dispositivo e a versão do AsyncOS para obter instruções sobre como "Habilitar o acesso remoto para a equipe de suporte técnico da Cisco".
Observação: os anexos enviados por e-mail para attach@cisco.com podem não ser seguros durante o transporte. O Support Case Manager é a opção segura preferida da Cisco para carregar informações em seu caso. Para saber mais sobre as limitações de segurança e tamanho de outras opções de carregamento de arquivos: Uploads de arquivo do cliente para o Cisco Technical Assistance Center
Identifique uma porta que possa ser acessada a partir da Internet. O padrão é a porta 25, que funcionará na maioria dos ambientes porque o sistema também exige acesso geral por essa porta para enviar mensagens de e-mail. As conexões por essa porta são permitidas na maioria das configurações de firewall.
CLI
Para estabelecer uma conexão de acesso remoto via CLI, como um usuário Admin, siga estas etapas:
- Insira o comando techsupport
- Escolher TÚNEL
- Escolha Gerar ou Inserir uma string semente aleatória
- Especifique o número da porta para a conexão
- Responda "Y" para habilitar o acesso ao serviço
O acesso remoto será habilitado neste momento. O dispositivo agora trabalha para estabelecer a conexão segura com o bastião seguro host na Cisco. Forneça o número de série do dispositivo e a string de seed gerada para o engenheiro de TAC que apoia o seu caso.
GUI
Para estabelecer uma conexão de acesso remoto através da GUI, como um usuário Admin, conclua estas etapas:
- Navegue até Ajuda e suporte > Acesso remoto (para ESA, SMA), Suporte e ajuda > Acesso remoto (para WSA)
- Clique em Habilitar
- Escolha o método para a string de propagação
- Certifique-se de marcar a caixa de seleção Iniciar conexão via túnel seguro e especificar o número da porta para a conexão
- Clique em Submit
O acesso remoto será habilitado neste momento. O dispositivo agora trabalha para estabelecer a conexão segura com o bastião seguro host na Cisco. Forneça o número de série do dispositivo e a string de seed gerada para o engenheiro de TAC que apoia o seu caso.
Como desativar o acesso remoto
CLI
- Insira o comando techsupport
- Escolha DISABLE
- Responda "Y" quando solicitado "Tem certeza de que deseja desativar o acesso ao serviço?"
GUI
- Navegue até Ajuda e suporte > Acesso remoto (para ESA, SMA), Suporte e ajuda > Acesso remoto (para WSA).
- Clique em Disable (Desativar)
- A saída da GUI mostrará "Success — Remote Access has been disabled" (Êxito — O acesso remoto foi desativado)
Como testar a conectividade de acesso remoto
Use este exemplo para executar um teste inicial de conectividade do seu dispositivo com a Cisco:
example.run> > telnet upgrades.ironport.com 25
Trying 63.251.108.107...
Connected to 63.251.108.107.
Escape character is '^]'.
SSH-2.0-OpenSSH_6.2 CiscoTunnels1
A conectividade pode ser testada para qualquer uma das portas listadas acima: 22, 25, 53, 80, 443 ou 4766. Se a conectividade falhar, talvez seja necessário executar uma captura de pacotes para ver onde a conexão está falhando em seu dispositivo/rede.
Por que o acesso remoto não funciona no SMA?
O acesso remoto pode não ser habilitado em um SMA se o SMA for colocado na rede local sem acesso direto à Internet. Para esta instância, o acesso remoto pode ser habilitado em um ESA ou WSA, e o acesso SSH pode ser habilitado no SMA. Isso permite que o Suporte da Cisco se conecte primeiro através do acesso remoto ao ESA/WSA e depois do ESA/WSA ao SMA através do SSH. Isso exigirá conectividade entre o ESA/WSA e o SMA na porta 22.
Observação: certifique-se de revisar o Guia do usuário do seu dispositivo e a versão do AsyncOS para obter instruções sobre como "Habilitar o acesso remoto a dispositivos sem uma conexão direta com a Internet".
CLI
Para estabelecer uma conexão de acesso remoto via CLI, como um usuário Admin, siga estas etapas:
- Insira o comando techsupport
- Escolha SSHACCESS
- Escolha Gerar ou Inserir uma string semente aleatória
- Responda "Y" para habilitar o acesso ao serviço
O acesso remoto será habilitado neste momento. A saída CLI mostrará a string de seed. Forneça isso ao engenheiro de suporte ao cliente da Cisco. A saída da CLI também mostrará o status da conexão e os detalhes de acesso remoto, incluindo o número de série do equipamento. Forneça esse número de série ao engenheiro de suporte ao cliente.
GUI
Para estabelecer uma conexão de acesso remoto através da GUI, como um usuário Admin, conclua estas etapas:
- Navegue até Ajuda e suporte > Acesso remoto (para ESA, SMA), Suporte e ajuda > Acesso remoto (para WSA)
- Clique em Habilitar
- Escolha o método para a string de propagação
- NÃO marque a caixa de seleção Iniciar conexão via túnel seguro
- Clique em Submit
O acesso remoto será habilitado neste momento. A saída da GUI mostrará uma mensagem de êxito e a string de seed do equipamento. Forneça isso ao engenheiro de suporte ao cliente da Cisco. A saída da GUI também mostrará o status da conexão e os detalhes do acesso remoto, incluindo o número de série do equipamento. Forneça esse número de série ao engenheiro de suporte ao cliente.
Como desativar o acesso remoto quando ativado para SSHACCESS
Desabilitar o acesso remoto para SSHACCESS é a mesma etapa fornecida acima.
Troubleshooting
Se o equipamento não puder habilitar o acesso remoto e se conectar a upgrades.ironport.com por uma das portas listadas, você precisará executar uma captura de pacotes diretamente do equipamento para analisar o que está causando a falha da conexão de saída.
Observação: certifique-se de revisar o Guia do usuário do seu dispositivo e a versão do AsyncOS para obter instruções sobre como executar uma captura de pacote.
O engenheiro de suporte ao cliente da Cisco pode solicitar o arquivo .pcap para revisar e ajudar na solução de problemas.
Informações Relacionadas