Configurar níveis de segurança no perfil de criptografia ESA CRES

Introduction

Este documento descreve a configuração dos perfis do Cisco Registered Envelope Service Encryption (CRES) no Email Security Appliance (ESA) com enfoque nos diferentes níveis de segurança permitidos.

Prerequisites

Requirements

A Cisco recomenda que você tenha conhecimento destes tópicos:

• configuração básica de ESA
• Criptografia baseada na configuração do filtro de conteúdo
• Cisco Registered Envelope Service

Componentes Utilizados

Este documento não se restringe a versões de software e hardware específicas.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Informações de Apoio

A criação do perfil CRES é uma tarefa central para a ativação e utilização do serviço de criptografia através do ESA. Antes da criação de vários perfis, certifique-se de que você tenha conta completa provisionada para um ESA com a criação de uma conta CRES.

Pode haver mais de um perfil e cada perfil pode ser configurado com um nível de segurança diferente. Isso permite que a rede mantenha diferentes níveis de segurança por domínio, usuário ou grupo.

Configurar

Você pode ativar e configurar um perfil de criptografia com o comando CLI encryptionconfig ou por meio de Serviços de segurança > Criptografia de e-mail Cisco IronPort na GUI.

Configuração da GUI

No ESA, navegue até Security Services > Cisco IronPort Email Encryption > Add Encryption Profile.

Uma tela com as Configurações do perfil de criptografia é exibida. O nome do perfil e o restante da configuração podem ser personalizados e dependem das marcas de identificação ou dos métodos da organização.

A configuração que define o nível de segurança por perfil é Envelope Settings (Configurações de envelope), como mostrado na imagem:

Note: Sugere-se que o nome do perfil contenha: "Alto", "Baixo", etc., para corresponder ao nível de segurança configurado ou ao nome do grupo ao qual o perfil está associado para identificação rápida na criação de filtros de conteúdo e verificação.

Os três níveis de segurança permitidos pela ESA são:

• Alta segurança: O destinatário deve sempre inserir uma senha para abrir mensagens criptografadas.
• Segurança média: O destinatário não precisa inserir credenciais para abrir a mensagem criptografada se as credenciais do destinatário estiverem em cache.
• Nenhuma senha necessária: Este é o nível mais baixo de segurança de mensagens criptografadas. O destinatário não precisa inserir uma senha para abrir a mensagem criptografada. Você ainda pode habilitar os recursos de confirmações de leitura, Resposta segura e Encaminhamento de mensagens seguras para envelopes que não são protegidos por senha.

Você pode configurar o nível de segurança diferente nesses objetos:

Segurança de mensagem de envelopes:

• Alta segurança
•   Segurança média
•   Nenhuma senha necessária

Link do logotipo: Para permitir que os usuários abram o URL da sua organização, clique no logotipo da sua empresa, você pode adicionar um link para o logotipo. Escolha uma destas opções:

• Sem link. Um link ativo não é adicionado ao envelope da mensagem.
• URL do link personalizado. Insira a URL para adicionar um link ao vivo para o envelope de mensagem.

Recebimentos de leitura: Se você habilitar essa opção, o remetente receberá uma confirmação quando os destinatários abrirem o envelope seguro. Esta é uma seleção opcional.

Avançado:

Tempo limite da fila de criptografia: Insira o tempo (em segundos) durante o qual uma mensagem pode estar na fila de criptografia antes de expirar. Quando uma mensagem expira, o dispositivo devolve a mensagem e envia uma notificação ao remetente.

Algoritmo de Criptografia:

• ARC4. O ARC4 é a escolha mais comum, pois fornece criptografia forte com atrasos mínimos de descriptografia para os destinatários da mensagem.
• AES. O AES fornece criptografia mais forte, mas também leva mais tempo para descriptografar, e apresenta atrasos para os destinatários. O AES é normalmente usado em aplicativos governamentais e bancários.

Descriptografia do anexo da mensagem: Ative ou desative o miniaplicativo de descriptografia. Depois de habilitar essa opção, ela faz com que o anexo da mensagem seja aberto no ambiente do navegador. Depois de desabilitar essa opção, ela faz com que os anexos da mensagem sejam descriptografados no servidor de chaves. Por padrão, o miniaplicativo Java está desativado no envelope.

Note: Os navegadores mais usados desabilitaram o miniaplicativo Java por motivos de segurança.

Depois que os perfis de criptografia forem criados. Assegure-se de provisioná-lo, como mostrado na imagem:

Cada um desses perfis deve ser associado por meio de um filtro de conteúdo para ser aplicado.

Caution: Se o perfil não for chamado por um filtro de conteúdo, as configurações de criptografia não poderão ser aplicadas.

No ESA, navegue para Políticas de e-mail > Filtros de conteúdo de saída > Adicionar um filtro

Depois que a condição de usuários, assunto, grupo, remetente etc. tiver sido configurada dentro do filtro, defina o nível de criptografia para o filtro de saída, como mostrado na imagem:

Caution: Todos os filtros de conteúdo devem ser associados às políticas de envio de e-mail para que funcionem corretamente.

Note: Você pode configurar vários perfis de criptografia para um serviço de chave hospedada. Se a sua empresa tiver várias marcas, isso permitirá que você faça referência a diferentes logotipos armazenados no servidor-chave para os envelopes PXE.

Configuração da CLI

A partir do comando ESA CLI digite encryptionconfig:

ESA.com> encryptionconfig

IronPort Email Encryption: Enabled

Choose the operation you want to perform:
- SETUP - Enable/Disable IronPort Email Encryption
- PROFILES - Configure email encryption profiles
- PROVISION - Provision with the Cisco Registered Envelope Service

[]> profiles

Proxy: Not Configured

Profile Name         Key Service            Proxied     Provision Status    
------------         -----------            -------     ----------------    
HIGH-CRES              Hosted Service         No          Not Provisioned    
Choose the operation you want to perform:
- NEW - Create a new encryption profile
- EDIT - Edit an existing encryption profile
- DELETE - Delete an encryption profile
- PRINT - Print all configuration profiles
- CLEAR - Clear all configuration profiles
- PROXY - Configure a key server proxy
[]> new

1. Cisco Registered Envelope Service
2. IronPort Encryption Appliance (in network)
Choose a key service:
[1]> 

Enter a name for this encryption profile:
[]> HIGH

Current Cisco Registered Key Service URL: https://res.cisco.com
Do you wish to alter the Cisco Registered Envelope Service URL? [N]> N

1. ARC4
2. AES-192
3. AES-256
Please enter the encryption algorithm to use when encrypting envelopes:
[1]> 

1. Use envelope service URL with HTTP (Recommended). Improves performance for opening envelopes.
2. Use the envelope service URL with HTTPS.
3. Specify a separate URL for payload transport.
Configure the Payload Transport URL
[1]> 

1. High Security (Recipient must enter a passphrase to open the encrypted message, even if credentials are cached ("Remember Me" selected).)
2. Medium Security (No passphrase entry required if recipient credentials are cached ("Remember Me" selected).)
3. No Passphrase Required (The recipient does not need a passphrase to open the encrypted message.)
Please enter the envelope security level:
[1]> 

Would you like to enable read receipts? [Y]> 

Would you like to enable "Secure Reply All"? [N]> y

Would you like to enable "Secure Forward"? [N]> y

Enter a URL to serve as a link for the envelope logo image (may be blank):
[]> 

Would you like envelopes to be displayed in a language other than English ? [N]> 

Enter the maximum number of seconds for which a message could remain queued waiting to be encrypted. Delays could be caused by key server outages or resource limitations:
[14400]> 

Enter the subject to use for failure notifications:
[[ENCRYPTION FAILURE]]> 

Please enter file name of the envelope attached to the encryption notification:
[securedoc_${date}T${time}.html]> 


A Cisco Registered Envelope Service profile "HIGH" was added.

   1. Commit this configuration change before continuing.
   2. Return to the encryptionconfig menu and select PROVISION to complete
the configuration.

Proxy: Not Configured

Profile Name         Key Service            Proxied     Provision Status    
------------         -----------            -------     ----------------    
HIGH-CRES            Hosted Service         No          Not Provisioned     
LOW-CRES             Hosted Service         No          Not Provisioned   

Choose the operation you want to perform:
- SETUP - Enable/Disable IronPort Email Encryption
- PROFILES - Configure email encryption profiles
- PROVISION - Provision with the Cisco Registered Envelope Service

[]> provision

Verificar

Use esta seção para confirmar se a sua configuração funciona corretamente.

Verificação da GUI

No ESA, navegue até Security Services > Cisco IronPort Email Encryption, como mostrado na imagem:

Note: Verifique se a criptografia está habilitada e se o perfil configurado está provisionado. Conforme mostrado na imagem.

Verificação da CLI

No CLI, digite encryptconfig e digite o comando profiles.

ESA.com> encryptionconfig

IronPort Email Encryption: Enabled

Choose the operation you want to perform:
- SETUP - Enable/Disable IronPort Email Encryption
- PROFILES - Configure email encryption profiles
- PROVISION - Provision with the Cisco Registered Envelope Service
[]> profiles

Proxy: Not Configured

Profile Name         Key Service            Proxied     Provision Status    
------------         -----------            -------     ----------------    
CRES_HIGH             Hosted Service         No          Provisioned     

Note: Verifique se a criptografia está habilitada e se o perfil configurado está provisionado. Conforme mostrado na imagem.

Troubleshoot

Esta seção disponibiliza informações para a solução de problemas de configuração.

No ESA, navegue até System Administration > feature keys

Verifique se a chave do recurso está aplicada e ativa. A chave: Criptografia de e-mail IronPort deve estar ativa.

Do ESA, navegue até Security Services > Cisco IronPort Email Encryption

Verifique se o serviço de criptografia está ativado corretamente.

Verifique se o perfil de criptografia não está no status Não provisionado, como mostrado na imagem:

Verifique a última atualização do mecanismo, como mostrado na imagem:

Nos detalhes do Rastreamento de mensagem, verifique se um erro é exibido.

Erros mais comuns:

5.x.3 - Temporary PXE Encryption failure

Solução: O serviço está indisponível ou inacessível no momento. Verifique problemas de conectividade e de rede.

5.x.3 - PXE Encryption failure. (Message could not be encrypted due to a system configuration issue. Please contact your administrator

Solução: Este erro está associado a:

• Problemas de licença. Verifique as chaves de recurso
• O perfil usado não foi provisionado. Identificar a partir da mensagem que rastreia o perfil configurado no filtro e no provisionamento de conteúdo
• Não há nenhum perfil associado a um filtro de conteúdo. Às vezes, os perfis de criptografia são excluídos, modificados com nomes diferentes, etc. E o filtro de conteúdo configurado não consegue localizar o perfil associado

5.x.3 - PXE Encryption failure. (Error 30 - The message has an invalid "From" address.)

5.x.3 - PXE Encryption failure. (Error 102 - The message has an invalid "To" address.) 

Solução: Regularmente, esse problema é causado pelo preenchimento automático do cliente de e-mail do remetente interno (por exemplo, Outlook) do endereço de e-mail do destinatário, que contém um endereço inválido de "De"/"Para".

Geralmente, isso é causado por aspas em torno do endereço de e-mail ou outros caracteres ilegais no endereço de e-mail.

Informações Relacionadas

• Guia de administração do CRES
• Guia do usuário final
• Suporte Técnico e Documentação - Cisco Systems