Diriger le trafic de l'ASA Sécurité - Cisco ASA 5500 - Diriger le trafic de l'ASA vers le CSC-SSM ccnp_cch

Sommaire ● Introduction ● Page d'accueil du CSC-SSM - Prérequis - Composants utilisés ● Rappels ● Configuration - Diagramme du flux ASA -- CSC-SSM - Configuration initiale du CSC-SSM - Comment configurer l'ASA pour dériver le trafic vers le CSC-SSM - Schéma du réseau - Configuration de l'ASA ● Page d'accueil du CSC-SSM - Configuration du CSC-SSM ● Configuration de SMTP - Configuration Trend Micro SMTP ● Configuration HTTP - Analyse - Blocage de fichier - Blocage d'URL - Filtrage d'URL ● Configuration FTP - Configuration Trend Micro FTP ● Vérification ● Résolution de problèmes ccnp_cch

Introduction Ce document fournit un exemple de configuration sur comment transmettre le trafic réseau de l'Adaptive Security Appliance Cisco 5500 vers le module CS-SSM (Content Security and Control - Security Services Module) Le CSC-SSM fournit la protection contre les virus, spyware, spam et d'autres trafics non désirés. Cela est accompli en analysant les trafics FTP, HTTP, POP3 et SMTP qui sont redirigés vers le module par l'appliance de sécurité. Dans le but de forcer l'ASA à rediriger le trafic vers le CSC-SSM, vous avez besoin d'une "Modular Policy Frame- work". Note: Le CSC-SSM peut analyser les trafics FTP, HTTP, POP3 et SMTP uniquement quand le port destination du paquet qui demande la connexion est un port connu pour le protocole spécifié. Le CSC-SSM peut analyser uniquement ces connexions:  Connexions FTP ouvertes sur le port 21  Connexions HTTP ouvertes sur le port 80  Connexions POP3 ouvertes sur le port 110  Connexions SMTP ouvertes sur le port 25 Prérequis Assurez-vous d'avoir les prérequis suivants avant de tenter cette configuration  Connaissance de base sur comment configurer l'ASA Cisco série 5500 opérant avec un logiciel version 7.x ou suivantes.  Le module CSC-SSM a été installé Composants utilisés Les informations présentées dans ce document sont basées sur les versions logicielles et matérielles suivantes:  ASA 5520 avec logiciel version 7.x ou suivantes  Module CSC-SSM avec un logiciel version 6.1 Rappels Le CSC-SSM maintient un fichier qui contient des profils de signature de contenu sus- pect mis à jour régulièrement à partir d'un serveur Trend Micro. Le CSC-SSM analyse le trafic qu'il reçoit de l'appliance de sécurité, le compare au contenu des profils obte- nus de Trend Micro. Il achemine ensuite le contenu validé vers l'appliance de sécurité pour le routage ou bloque ce contenu et rapporte qu'un contenu est suspect. ccnp_cch

Par défaut le CSC-SSM est livré avec une licence de base qui fournit ces fonctionnali- tés:  Détecte et prend des actions sur les virus et le logiciels malveillants dans le trafic réseau.  Bloque les fichiers compressés ou de grande taille qui excèdent les paramètres spécifiés.  Analyse et retire les logiciels espions et les logiciels malveillants. Additionnellement, si celui-ci est équipé de Licence Plus, il peut réaliser ces tâches:  Réduire le spam et protéger contre l'usurpation d'identité dans votre trafic SMTP et POP3.  Créer des filtres de contenu qui vous permettent d'autoriser ou d'interdire le trafic e-mail qui contient des mots-clés ou des phrases.  Filtrer/ Bloquer des URLs que vous ne voulez pas accessibles aux utilisateurs ou les URLs qui sont connues pour avoir des buts cachés ou malveillants. Note: Le CSC-SSM peut analyser le transfert de fichier FTP uniquement quand l'ins- pection FTP est validée sur l'ASA. Par défaut l'inspection FTP est validée. Note: Le CSC-SSM ne peut pas supporter le "stateful failover" car le CSC-SSM ne maintient pas d'information de connexion et par conséquent ne peut pas fournir l'in- formation requise à l'unité de secours pour le "Stateful failover". La connexion que le CSC-SSM est en train d'analyser est effacée quand l'appliance de sécurité dans laquel- le se trouve le CSC-SSM est défaillante. Quand l'appliance de sécurité de secours de- vient active, elle achemine le trafic analysé vers le CSC-SSM et les connexions sont effacées. Configuration Dans un réseau dans lequel l'appliance de sécurité adaptive est déployée avec le CSC-SSM, cous configurez l'appliance de sécurité adaptive pour transmettre vers le CSC-SSM uniquement les types de trafic que vous voulez analyser. ccnp_cch

ccnp_cch Diagramme du flux ASA -- CSC-SSM Ce schéma montre le flux de trafic entre l'ASA et le CSC-SSM. ASA Main System Request Sent Request Forwarded Modular Service Policy Reply Forwarded Reply Sent Modular Service Policy CSC-SSM Module Dans cet exemple, les clients peuvent être des utilisateurs qui accèdent au site web, téléchargent des fichiers à partir d'un serveur FTP ou récupèrent du courrier à partir d'un serveur POP3. Dans cette configuration voici comment le trafic s'écoule: 1. Le client initie une requête. 2. L'appliance de sécurité adaptive reçoit la requête et l'achemine vers Internet. 3. Quand le contenu de la requête est récupéré, l'appliance de sécurité adaptive dé- termine si des politiques de service définissent ce contenu comme un de ceux qui doivent être redirigés vers le CSC-SSM pour analyse et le faire si cela est approprié. 4. Le CSC-SSM reçoit le contenu de l'appliance de sécurité adaptive, l'analyse et le compare avec les derniers filtres de contenu Trend Micro mis à jour. 5. Si le contenu est suspect, le CSC-SSM bloque le contenu et rapporte l'évènement. Si le contenu n'est pas suspect, le CSC-SSM achemine le contenu demandé en re- tour vers l'appliance de sécurité adaptive pour le routage. ccnp_cch

ccnp_cch Configuration initiale du CSC-SSM Dans la configuration initiale, plusieurs paramètres ont besoin d'être configurés. As- surez-vous d'avoir rassemblé les informations requises pour ces paramètres avant de commencer. Comme première étape pour configurer le CSC-SSM, lancer l'SDM Cisco. Par défaut vous pouvez accéder au CSC-SSM au travers de l'adresse IP d'administration de l'ASA à https://192.168.1.1. Vous devez vous assurer que votre PC et l'interface d'adminis- tration de l'ASA sont dans le même réseau. Alternativement vous pouvez télécharger l'ASDM Launcher pour les accès suivants. Configurez ces paramètres avec l'ASDM. 1. Une fois dans la fenêtre principale de l'ASDM, choisissez Configuration> Trend Micro Content Security> Wizard Setup et cliquez sur Launch Setup Wizard. 2. Activation key La première étape pour obtenir la clé d'activation est d'identifier la PAK (Product Activation Key) livrée avec le produit. Elle contient un code barre et onze caractères hexadécimaux. Par exemple une PAK peut être 120106C7D4A. Utilisez la PAK pour enregistrer le CSC-SSM à la page web Product License Regis- tration. Après votre enregistrement, vous recevrez vos clés d'activation par e-mail. ccnp_cch

3. Paramètres du port IP d'administration Spécifiez l'adresse IP, le masque et l'adresse de passerelle IP pour l'interface d'ad- ministration du CSC. Adresse Serveur DNS : Adresse IP du serveur DNS primaire. ccnp_cch

4. Hostname et nom de domaine du CSC-SSM : Spécifiez un nom de host et un nom de domaine pour le CSC-SSM. Incoming domain : Nom de domaine utilisé pour le serveur mail local comme nom de domaine e-mail entrant. Note: Les politiques anti-spam sont appliquées au trafic e-mail qui entre dans ce domaine. Notification settings: Adresse e-mail de l'administrateur et adresse IP du serveur mail et port devant être utilisés pour les notifications. ccnp_cch

5. Paramètres d'accès d'administration des hosts : Entrez l'adresse IP et le masque pour chaque sous-réseau et host qui doivent avoir un accès d'administration au CSC-SSM. Note: Par défaut, tous les réseaux ont un accès d'administration au CSC−SSM. Pour des raisons de sécurité, Cisco recommande de restreindre l'accès à des sous-réseaux ou des hosts d'administration spécifiques. ccnp_cch

6. Nouveau mot de passe pour le CSC-SSM: Changez le mot de passe par défaut, cisco, par un nouveau mot de passe pour l'accès d'administration. ccnp_cch

7. A l'étape 6 du CSC Setup Wizard, spécifiez le type de trafic à analyser. L'appliance de sécurité adaptive redirige les paquets vers le CSC-SSM après l'appli- cation des politiques de pare-feu et avant que les paquets sortent sur l'interface de sortie. Par exemple les paquets qui sont bloqués par une liste d'accès ne seront pas acheminés vers le CSC-SSM. Configurer les politiques de service pour spécifier quel trafic l'appliance de sécurité adaptive doit rediriger vers le CSC-SSM. Le CSC-SSM peut analyser le trafic HTTP, POP3, FTP et SMTP transmis sur les ports prédéfinis pour ces protocoles. Pour simplifier le processus de configuration initial, cette procédure crée une politi- que de service global qui redirige le trafic pour les protocoles supportés vers le CSC-SSM en entrée et en sortie. Comme l'analyse de tout le trafic qui passe à tra- vers l'appliance de sécurité adaptive peut réduire les performances de l'appliance de sécurité adaptive et du CSC-SSM, vous pourrez réviser cette politique plus tard. Par exemple il n'est pas nécessaire d'analyser tout le trafic qui vient de votre réseau interne car il vient d'une source de confiance. Si vous affinez les politiques de ser- vice pour que CSC-SSM analyse uniquement le trafic de sources non-sécurisées, vous pouvez atteindre vos objectifs de sécurité et de maximiser les performance de l'appliance de sécurité adaptive et du CSC-SSM. Exécutez ces étapes pour créer une politique de service globale qui identifie le trafic à analyser. ccnp_cch

ccnp_cch a. Cliquez sur Add pour ajouter un nouveau type de trafic. b. Choisissez Global dans la liste déroulante Interface. c. Laissez les champs Source et Destination fixés à Any. d. Dans la zone Service cliquez sur le bouton radio (…). Dans la boîte de dialogue choisissez un service prédéfini ou cliquez sur Add pour définir un nouveau service. e. Dans la zone If CSC card fails choisissez si l'appliance de sécurité doit permettre ou refuser le trafic sélectionné si le CSC-SSM est indisponible. f. Cliquez sur OK pour retourner à la fenêtre Trafic Selection for CSC Scan. g. Cliquez sur Next. 8. A cette étape du CSC Setup Wizard revoir les paramètres de configuration entrés pour le CSC-SSM. Si ces paramètres vous satisfont, cliquez sur Finish. L'ASDM montre un message qui indique que l'équipement CSC est maintenant actif. Par défaut le CSC-SSM est configuré pour réaliser de l'analyse de contenu de sécurité validé par la licence que vous avez achetée et qui peut inclure de l'anti-virus, de l'anti-spam, de l'anti-phising et du filtrage de contenu. Il est également configuré pour recevoir les mises à jour périodiques du serveur Trend Micro. Si cela est inclus dans la licence que vous avez acheté, vous pouvez personnaliser les paramètres pour le blocage et le filtrage d'URL comme également les paramètres FTP et e-mail. ccnp_cch

Comment configurer l'ASA pour dériver le trafic vers le CSC-SSM Pour forcer l'ASA à rediriger le trafic vers le CSC-SSM, vous avez besoin d'utiliser la Modular Policy Framework. Exécutez ces étapes pour accomplir l'identification et la redirection du trafic vers le CSC-SSM. 1. Créez une liste d'accès qui correspond au trafic que vous voulez faire analyser par le CSC-SSM et pour rediriger le trafic vers le CSC-SSM avec la commande access-list extended. hostname(config)#access−list acl−name extended {deny | permit} protocol src_ip mask 2. Créez une "class map" pour identifier le trafic qui doit être redirigé vers le CSC-SSM avec la commande class-map. hostname(config)#class−map class_map_name 3. Une fois que vous êtes dabs le mode de configuration class-map, utilisez la com- mande match access-list pour identifier le trafic avec la liste d'accès qui a été définie précédemment. hostname(config−cmap)#match access−list acl−name hostname(config−cmap)#exit 4. Créez une "policy map" pour transmettre le trafic vers le CSC-SSM avec la com- mande policy-map. hostname(config)#policy−map policy_map_name 5. Quand vous êtes en mode de configuration policy-map, utilisez la commande class pour spécifier la class-map précédemment crée et qui identifie le trafic à analyser. hostname(config−pmap)#class class_map_name 6. Quand vous êtes en mode de configuration policy map class, vous pouvez confi- gurer ceci:  Si vous voulez appliquer une limite par client pour les connexions simultanées que l'appliance de sécurité adaptive redirige vers le CSC-SSM, utilisez la com- mande set connection comme suit: hostname(config−pmap−c)#set connection per−client−max n Avec n pour le nombre de connexions simultanées que l'appliance de sécurité adaptive autorise pour chaque client. Cette commande évite qu'un seul client monopolise les services du CSC-SSM ou tout serveur protégé par le SSM ce qui inclut la prévention des attaques DoS sur les serveurs HTTP, FTP, POP3 ou SMTP que le CSC-SSM protège. ccnp_cch

 Utilisez la commande csc pour contrôler comment l'ASA gère le trafic quand le CSC-SSM est indisponible. hostname(config−pmap−c)#csc {fail−close | fail−open} avec fail-close qui spécifie que l'ASA doit bloquer le trafic si le CSC-SSM est défaillant et au contraire fail-open spécifie que l'ASA doit autoriser le trafic si le CSC-SSM est défaillant. Note: Ceci s'applique au trafic sélectionné par la class map uniquement. L'au- tre trafic non transmis vers le CSC-SSM n'est pas affecté par une défaillance du CSC-SSM. 7. En dernier appliquez la policy map de manière globale ou à une interface spécifi- que avec la commande service-policy. hostname(config−pmap−c)#service−policy policy_map_name [global | interface interface_ID avec interface_ID qui est le nom affecté à l'interface avec la commande nameif. Note: Une seule politique globale est autorisée. Vous pouvez outrepasser la poli- tique globale sur une interface avec l'application de politique de service sur cette interface. Vous pouvez appliquer qu'une seule policy map à chaque interface. Schéma du réseau Serveur Mail 192.168.5.2/24 192.168.5.0/24 outside inside Internet Serveur FTP 192.168.5.3/24 ASA 8.0 avec CSC-SSM 6.0 Serveur Web 192.168.5.4/24 Ce schéma de réseau illustre ceci:  Connexion HTTP avec des réseaux externes  Connexion FTP à partir de clients internes à l'appliance de sécurité vers des réseaux externes à l'appliance de sécurité.  Clients POP3 à partir de clients internes à l'appliance de sécurité vers des serveurs externes à l'appliance de sécurité.  Connexions SMTP entrantes vers le serveur mail interne. ccnp_cch

ccnp_cch Configuration de l'ASA ASA 5520 ciscoasa(config)#show running−config : Saved : ASA Version 8.0(2) ! hostname ciscoasa domain−name Security.lab.com enable password 2kxsYuz/BehvglCF encrypted no names dns−guard interface GigabitEthernet0/0 speed 100 duplex full nameif outside security−level 0 ip address 172.30.21.222 255.255.255.0 interface GigabitEthernet0/1 description INSIDE nameif inside security−level 100 ip address 192.168.5.1 255.255.255.0 !−−− Partie supprimée access−list csc−acl remark Exclude CSC module traffic from being scanned access−list csc−acl deny ip host 10.89.130.241 any !−−− Pour améliorer les performances de l'ASA et du Module CSC. !−−− tout trafic issu du Module CSC est exclu de l'analyse. access−list csc−acl remark Scan Web & Mail traffic access−list csc−acl permit tcp any any eq www access−list csc−acl permit tcp any any eq smtp access−list csc−acl permit tcp any any eq pop3 !−−− Tout trafic Entrant et Sortant pour les services WEB et Mail !--- est analysé. access−list csc−acl−ftp permit tcp any any eq ftp !−−− Tout trafic Entrant et Sortant pour le service FTP est !--- analysé. ccnp_cch

Page d'accueil du CSC-SSM class−map csc−class match access−list csc−acl ! class−map csc−ftp−class match access−list csc−acl−ftp policy−map global_policy class csc−class csc fail−open class csc−ftp−class class inspection_default !−−− Inspection du trafic FTP. inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp inspect icmp inspect http service−policy global_policy global !−−− Partie supprimée Page d'accueil du CSC-SSM Initialisation du CSC Trend Micro Interscan pour Cisco CSC-SSM fournit la protection pour le trafic de la majorité des protocoles de réseau tels que SMTP, HTTP, FTP et POP3 pour s'assurer que les employés n'introduisent pas de manière accidentelle des virus dans leurs com- ptes mail personnels. Choisissez Configuration> Trend Micro Content Security pour ouvrir le CSC-SSM. ccnp_cch

ccnp_cch A partir du menu de configuration, choisissez ces options de configuration:  CSC Setup - Lance le Setup Wizard pour installer et configurer le CSC-SSM.  Web - Configure l'analyse Web, le blocage de fichiers, le filtrage d'URL et le blocage d'URL.  Mail - Configure l'analyse, le filtrage de contenu et le blocage de spam pour le trafic SMTP entrant et sortant et le courrier POP3.  File Transfer - Configure l'analyse de fichier et le blocage.  Updates - Planifie les mises à jour pour les composants d'analyse de contenu de sécurité comme par exemple les signatures de virus, le moteur d'analyse, etc… Les options Web, Mail, File Transfer et Mises à jour sont décrites en détail dans ces chapitres:  Configurer le courrier SMTP et le trafic mail POP3.  Web et transfert de fichiers. Configuration Web (HTTP) et trafic de transfert de fichiers (FTP)  Mises à jour : Gestion des mises à jour et logs des requêtes. Cet exemple montre comment configurer un CSC-SSM pour analyser les messages SMTP entrants vers le réseau interne. Les messages SMTP entrants sont redirigés vers le CSC-SSM pou analyse. Dans cet exemple, tout le trafic venant de l'extérieur pour accéder au serveur mail interne (192.168.5.2/24) pour les services SMTP sont redirigés vers le CSC-SSM. access−list csc_inbound extended permit tcp any host 192.168.5.2 eq smtp Ces paramètres par défaut vous donnent des protections pour votre trafic e-mail après avoir installé Trend Micro Interscan pour Cisco CSC-SSM. ccnp_cch

Configuration SMTP ccnp_cch Configuration SMTP Trend Micro En utilisant l'ASDM, exécutez ces étapes pour configurer le CSC-SSM pour qu'il ana- lyse les messages SMTP entrants. 1. Choisissez Configuration> Trend Micro Content Security> Mail dans l'ASDM et cliquez sur Configure Incoming Scan pour afficher la fenêtre SMTP Incoming Message Scan/Target. 2. La fenêtre vous dirige vers le prompt Trend Micro Interscan pour Cisco CSC-SSM. Entrez le mot de passe CSC-SSM. ccnp_cch

3. La fenêtre SMTP Incoming Message Scan a trois vues:  Target  Action  Notification Vous pouvez passer d'une vue à une autre si vous cliquez sur l'onglet approprié pour l'information que vous voulez. Le nom de l'onglet actif apparaît en texte foncé; utilisez ces trois onglets pour configurer l'analyse de virus pour le trafic SMTP en- trant. Cliquez sur Target pour vous permettre de définir la portée de l'activité sur laquel- le cela influe. L'analyse du trafic SMTP entrant est validé par défaut. ccnp_cch

4. Dans la section Default Scanning, All scannable files est sélectionné par défaut. L'analyse est faite sans tenir compte des noms d'extension de fichiers. 5. Configurez le compressed file handling SMTP pour le courrier entrant. ccnp_cch

Configurez pour ne pas exécuter l'analyse de fichiers compressés quand une de ces conditions est vraie :  Le nombre de fichiers compressés est supérieur à 200.  La taille de fichiers décompressés excède 20 Moctets.  Le nombre de niveau de décompression est supérieur à trois.  Le rapport de compression ou de décompression est supérieur à 100.  Les fichiers compressés dépassent les critères d'analyse spécifiés. Modifiez les paramètres par défaut pour le nombre de fichiers décompressés à 300 et la taille de fichier décompressé à 30 Moctets. 6. Dans la section Scan for Spyware/Grayware de ces fenêtres montrées à l'étape 5, choisissez le type de grayware que vous voulez détecter avec Trend Micro Interscan pour Cisco CSC-SSM. Voir l'aide en ligne pour une description de chaque type de grayware listé. Cliquez sur Save pour valider la nouvelle configuration. ccnp_cch

7. Cliquez sur l'onglet Action lequel vous permet de définir l'action à prendre quand une menace est détectée. Les exemples d'actions sont nettoyer (clean) ou effacer (delete). Ces valeurs sont les actions par défaut prises pour les mails entrants:  Dans la section For Messages with Virus/Malware Detection Nettoyer le messa- ge ou l'attachement dans lequel le "malware" a été détecté et si le message ou l'attachement n'est pas nettoyable, l'effacer.  For Spyware/Grayware Detections. Ce sont les fichiers à délivrer si dans les messages SMTP des spyware ou des grayware sont détectés. Cliquez sur Save pour valider la configuration. ccnp_cch

8. Cliquez sur l'onglet Notification lequel vous permet de composer un message de notification pour définir qui est notifié de l'évènement ou de l'action. Si vous êtes satisfait de la configuration de notification par défaut, aucune autre ac- tion n'est requise. Par contre vous pouvez revoir les options de notification et décider si vous voulez changer les valeurs par défaut. Par exemple, vous pouvez transmettre une notification à l'administrateur quand un risque de sécurité a été détecté dans un message e-mail. Pour SMTP vous pouvez notifier l'émetteur ou le receveur. Cochez les cases Administrator et Recipient pour les notifications e-mail. Vous pou- vez personnaliser le texte par défaut du message de notification avec un contenu plus approprié pour votre organisation tel que le montre l'aperçu de la figure suivante: ccnp_cch

9. Dans la section Inline Notifications de la fenêtre, choisissez une des options listées, aucune ou les deux. Dans cet exemple, choisissez Risk free message et entrez votre propre message dans le champ. ccnp_cch

Cliquez sur Save pour valider la nouvelle configuration. Configuration HTTP Analyse Après l'installation, par défaut votre trafic HTTP et FTP est analysé pour les virus, les vers, les chevaux de Troie. Les "Malware" tels que le Spyware et le Grayware requièrent une modification de configuration avant qu'ils soient détectés. Ces paramètres par défaut vous donnent une protection pour le trafic Web et FTP après l'installation de Trend Micro Interscan pour Cisco CSC-SSM. Vous pouvez chan- ger ces paramètres. Par exemple vous préférez utiliser l'analyse (Scan) avec les options d'extensions de fichier particulières au lieu de l'option All Scannable Files pour la dé- tection de malware. Avant de faire ces modifications consultez l'aide en ligne pour des informations sur ces sélections. Après l'installation il est possible que vous vouliez mettre à jour des paramètres de configuration supplémentaires afin d'obtenir le maximum de protection pour votre tra- fic Web et FTP. Si vous avez acheté la License Plus, qui vous autorise à utiliser le blo- cage d'URL, l'anti-phising et la fonctionnalité de filtrage d'URL, vous devez configurer ces fonctionnalités additionnelles. Exécutez ces étapes pour configurer le CSC-SSM avec l'ASDM pour l'analyse de mes- sage HTTP. 1. Cliquez sur Web(HTTP) dans la page Trend Micro et la fenêtre Web Message Scan a quatre vues: ccnp_cch

ccnp_cch  Target  Webmail Scanning  Action  Notification Cliquez sur l'onglet approprié pour l'information que vous voulez pour passer d'une vue à une autre. Le nom de l'onglet actif apparaît en texte foncé; les noms d'onglets inactifs apparaissent en texte noir. Utilisez tous les onglets pour configurer l'analyse de virus sur le trafic Web. Cliquez sur Target pour vous permettre de définir la portée de l'activité sur laquelle cela influe.  L'analyse de message HTTP est validée par défaut.  Validée avec l'utilisation de All Scannable Files comme méthode d'analyse.  Gestion de fichier Web (HTTP) compressé pour le téléchargement à partir de Web Configure pour ne pas exécuter l'analyse de fichier compressé quand une de ces conditions est vraie:  Le nombre de fichiers compressés est supérieur à 200.  La taille de fichiers décompressés excède 30 Moctets.  Le nombre de niveau de compression est supérieur à trois.  Le rapport de compression ou de décompression est supérieur à 100. Pour Webmail scanning configurez l'analyse de sites Webmail Yahoo, AOL, MSN et Google. ccnp_cch

2. Large File handling Les onglets Target dans les fenêtres HTTP Scanning et FTP Scanning vous permet- tent de définir la taille du plus grand téléchargement que vous voulez analyser. Par exemple, vous pouvez spécifier qu'un téléchargement inférieur à 20 Moctets est analysé mais un téléchargement supérieur à 20 Moctets ne sera pas analysé. De plus vous pouvez :  Spécifier de grand téléchargement pouvant être exécutés sans analyse ce qui peut introduire un risque de sécurité.  Spécifier que les téléchargement supérieurs à une certaine limite seront effacés. Par défaut, le logiciel du CSC-SSM spécifie que les fichiers inférieurs à 50 Moctets sont analysés. Modifiez la valeur à 75 Moctets. Les fichiers de 75 Moctets et supé- rieurs seront délivrés au client sans analyse. Analyse en différé La fonctionnalité analyse en différé n'est pas validée par défaut. Quand elle est validée cette fonctionnalité vous permet de débuter le téléchargement de données sans l'ana- lyse complète du téléchargement. L'analyse différée vous permet de commencer à voir les données sans un long délai pendant que la totalité de l'information est analysée. ccnp_cch

Note: Quand l'analyse différée est validée, la partie non analysée de l'information peut introduire un risque de sécurité. Note: Le trafic qui passe par HTTPS ne peut pas être analysé pour les virus ou les autres menaces par le logiciel du CSC-SSM. Si l'analyse différée n'est pas validée, le contenu entier du téléchargement doit être analysé avant d'être affiché. Quelques clients logiciel peuvent s'arrêter à cause du temps requis pour collecter assez de paquets pour obtenir la totalité des fichiers pour l'analyse. Scan for Spyware and Grayware Le Grayware est un logiciel qui peut être légal, non voulu ou malicieux. Contrairement aux menaces telles que les virus, les vers et les chevaux de Troie, le grayware n'infecte pas, ne réplique pas ou ne détruit pas les données mais peut récupérer vos données privées. Les types de grayware comprennent les spyware, adware et les outils d'accès distants. La détection de spyware ou de grayware n'est pas validée par défaut. Vous devez con- figurer cette fonctionnalité dans cette fenêtre pour détecter les spyware et d'autres formes de spyware et autre grayware dans votre trafic Web et trafic de transfert de fichier. Cliquez sur Save pour mettre à jour votre configuration. ccnp_cch

3. Vous pouvez passer à l'onglet Scanning Webmail pour analyser les sites Webmail pour Yahoo, AOL, MSN et Google. Note: Si vous choisissez d'analyser uniquement le Webmail, l'analyse est restreinte aux sites spécifiés dans l'onglet Webmail Scanning de la fenêtre Web(HTTP)> Scan- ning> HTTP. L'autre trafic HTTP n'est pas analysé. Les sites configurés sont ana- lysés jusqu'à ce que vous les retiriez quand vous cliquez sur l'icône Trashcan. Dans le champ Name entrez le nom exact di site web, un mot-clé URL et une chaîne pour définir e site Webmail. Note: Les attachements des messages gérés sur le Webmail sont analysés. Cliquez sur Save pour mettre à jour votre configuration. 4. Vous pouvez passer à l'onglet Action pour la configuration de Virus/Malware De- tection et Spyware/Grayware Detections.  Les téléchargements Web(HTTP) pour les fichiers dans lesquels des virus/mal- ware sont détectés: Nettoyer (Clean) le fichier téléchargé dans lequel le malware a été détecté. Si non nettoyable, effacer le fichier.  Les téléchargements Web(HTTP) et les transferts de fichier (FTP) pour les fichiers dans lesquels du spyware ou du grayware est détecté: Effacer les fichiers. 5. Les téléchargements Web(HTTP) quand du malware est détecté, une notification qui stipule que Trend Micro Interscan pour CSC-SSM a analysé le fichier que vous tentez de transférer et a détecté un risque de sécurité est insérée dans le navigateur. ccnp_cch

ccnp_cch Blocage de fichier Dans le menu déroulant de gauche, cliquez sur File Blocking. Cette fonctionnalité est validée par défaut, toutefois vous devez spécifier les types de fichiers que vous voulez bloquer. Le blocage de fichier vous aide à renforcer les politi- ques de votre organisation pour l'utilisation d'Internet et d'autres ressources numéri- ques pendant la période de travail. Par exemple votre société n'autorise pas le télé- chargement de musique à cause des problèmes de légalité et de productivité des sala- riés.  Dans l'onglet Target de la fenêtre File Blocking, cochez la case Executable pour bloquer les .exe.  Vous pouvez spécifier des types de fichiers additionnels par nom d'extension de fichier. Cochez la case Block specified file extensions pour valider cette fonction- nalité.  Ensuite entrez les types de fichiers additionnels dans le champ File extensions to block et cliquez sur Add. Dans cet exemple les fichiers .mpg sont bloqués. Cliquez sur Save pour mettre à jour votre configuration. ccnp_cch

Cochez la case Administrator Notification pour transmettre les messages par défaut dans la boîte texte. Cliquez sur l'onglet Notification pour le message d'alerte. Blocage d'URL Cette section décrit la fonctionnalité blocage d'URL et inclut ces thèmes:  Blocage à partir de l'onglet Via Local List  Blocage à partir de l'onglet Via Pattern File (Phish Trap) Note: Cette fonctionnalité requiert Plus License. La fonctionnalité blocage d'URL vous aide à empêcher l'accès prohibé à des sites web. Par exemple il est possible que vous voulez bloquer certains sites car les politiques de votre organisation interdisent l'accès à des services d'achat en ligne ou à des sites offensants. Vous pouvez également bloquer des sites qui sont connus pour la fraude ou l'usurpa- tion d'identité. L'usurpation d'identité est une technique utilisée par des criminels qui transmettent des messages e-mail qui semblent venir d'organisations légales et qui vous demandent de révéler des informations privées comme un numéro de compte bancaire. L'image suivante montre un exemple de message e-mail utilisé pour l'usur- pation d'identité. ccnp_cch

Par défaut le blocage d'URL est validé Par défaut le blocage d'URL est validé. Seuls les sites présents dans le fichier Trend Micro Phish dans sont bloqués jusqu'à ce que vous spécifiez de nouveaux sites à bloquer. Blocage à partir de l'onglet Via Local List Exécutez ces étapes pour configurer le blocage d'URL à partir de l'onglet Via Local List. 1. Choisissez Configuration> Trend Micro Content Security> Web dans ASDM et cliquez sur Configure URL Blocking pour afficher la fenêtre URL Blocking. 2. Dans l'onglet Via Local List de la fenêtre URL Blocking, entrez l'URL que vous vou- lez bloquer dans le champ Match. Vous pouvez spécifier le nom exact du site web, un mot-clé URL ou une chaîne. 3. Cliquez sur Block après chaque entrée pour déplacer l'URL vers la Block List. Cliquez sur Do Not Block pour ajouter une entrée à Block List Exceptions pour spécifier cette entrée comme une exception. Les entrées restent bloquées ou des exceptions jusqu'à ce que vous les retiriez. Note: Vous pouvez également importer une liste de blocage ou d'exception. Le fi- chier importé doit être dans un format particulier. Voir l'aide en ligne pour les ins- tructions. ccnp_cch

ccnp_cch Blocage à partir de l'onglet Via Pattern File (PhishTrap) Exécutez ces étapes pour configurer la fonctionnalité de filtrage d'URL: 1. Choisissez Configuration> Trend Micro Content Security> Web dans ASDM et cliquez sur Configure URL Blocking pour afficher la fenêtre URL Blocking. 2. Cliquez sur l'onglet Via Pattern File (PhishTrap) . 3. Par défaut le fichier Trend Micro PhishTrap pattern détecte et bloque les sites con- nus pour usurpation d'identité, les sites de spyware, les sites générateurs de virus qui sont des sites associés à des types d'attaques connus et des sites connus pour leur malveillance. Utilisez les champs Submit the Potential Phishing URL to Trend- Labs pour soumettre des sites dont vous pensez qu'ils devraient être ajoutés au fichier PhishTrap pattern. Les TrendLabs évaluent ce site et peuvent l'ajouter au fichier si une telle action est nécessaire. 4. Cliquez sur l'onglet Notification pour revoir le text par défaut du message qui ap- paraît dans le navigateur quand une tentative d'accès est faite sur un site qui est bloqué. L'aide en ligne donne un exemple. Sélectionnez et redéfinissez le pour per- sonnaliser le message par défaut. 5. Cliquez sur Save pour mettre à jour votre configuration. Filtrage d'URL Il y a deux thèmes importants dans cette section:  Paramètres de filtrage  Règles de filtrage Les URLs définies dans les fenêtres URL Blocking décrites précédemment sont soit toujours autorisées ou toujours interdites. Le fonctionnalité de filtrage d'URL vous per- met de filtrer les URLs par catégories, de planifier l'accès pour certaines périodes, de définir un temps d'allocation ou d'interdire durant les heures de travail. Note: Cette fonctionnalité requiert Plus License. Il y a six catégories de filtrage d'URLs:  Interdit par la société  Non lié au travail  Sujets de recherche  Fonction commerciale  Défini par le client  Autres Par défaut les sites "interdit par la société" sont bloqués pendant les heures de travail et pendant les temps d'allocation. ccnp_cch

ccnp_cch Paramètres de filtrage Exécutez ces étapes pour configurer la fonctionnalité de filtrage d'URL: 1. Choisissez Configuration> Trend Micro Content Security> Web dans ASDM et cliquez sur Configure URL Filtering Settings pour afficher la fenêtre URL Filte- ring Settings. 2. Cliquez sur l'onglet URL Categories, examinez les sous-catégories listées et les classifications par défaut affectées à chaque catégorie pour voir si les affectations sont appropriées à votre organisation. Par exemple Illegal Drugs est une sous-ca- tégorie de "Company-prohibited". Si votre organisation est une société de service financier, il est possible que vous vouliez laisser cette catégorie classée comme "company-prohibited". Cochez la case Illegal Drugs pour valider le filtrage de sites liés aux drogues. Si votre organisation est une agence de gouvernementale contre le trafic de drogue, vous devez reclasser la sous-catégorie Illegal Drugs dans la catégorie "Business function". Voir l'aide en ligne pour plus d'information sur la reclassification. 3. Après avoir revu et redéfini la classification des sous-catégories, cochez les sous- catégories associées pour valider toutes les sous-catégories pour lesquelles vous voulez effectuer un filtrage. 4. S'il ya des sites que vous ne voulez pas filtrer dans certaines sous-catégories, cliquez sur l'onglet URL Filtering Exceptions. 5. Entrez les URLs que vous voulez exclure du filtrage dans le champ Match. Vous pouvez spécifier le nom exact du site web, une URL mot-clé et une chaîne. 6. Cliquez sur Add après chaque entrée pour déplacer l'URL vers la liste Do Not Filter the Following Sites. Les entrées restent des exceptions jusqu'à ce que vous les retiriez. Note: Vous pouvez également importer une liste d'exceptions. Le fichier importé doit être dans un format particulier. Voir l'aide en ligne pour les instructions. 7. Cliquez sur l'onglet Schedule pour définir les jours de la semaine et les heures du jour qui doivent être considérés comme temps de travail. Le temps non désigné comme temps de travail est automatiquement désigné comme temps d'allocation. 8. Cliquez sur Save pour mettre à jour votre configuration. 9. Cliquez sur l'onglet Reclassify URL pour soumettre les URLs suspectes aux Trend Labs pour évaluation. ccnp_cch

Règles de filtrage Après avoir affecté les sous-catégories d'URL aux catégories correctes pour votre or- ganisation, définissez les exceptions (s'il y en a) et créez la planification du temps de travail et d'allocation, affecter les règles de filtrage qui déterminent quand une catégo- rie est filtrée. Exécutez ces étapes pour affecter les règles de filtrage d'URL: 1. Choisissez Configuration> Trend Micro Content Security> Web dans ASDM et cliquez sur Configure URL Filtering Rules pour afficher la fenêtre URL Filtering Rules. 2. Pour chacune des six catégories principales, spécifiez si les URLs dans la catégorie sont bloquées et si cela est le cas durant le temps de travail, le temps d'allocation ou les deux. Voir l'aide en ligne pour plus d'information. 3. Cliquez sur Save pour mettre à jour votre configuration. Note: Pour que le filtrage d'URL fonctionne correctement, le module CSC-SSM doit être capable de transmettre des requêtes HTTP vers le service Trend Micro. Si un proxy HTTP est requis; choisissez Update> Proxy Settings pour configurer les para- mètres de proxy. Le composant de filtrage URL ne supporte pas le proxy SOCKS4. Configuration FTP Configuration FTP Trend Micro Après installation, par défaut votre trafic FTP est analysé pour les virus, les vers et les chevaux de Troie. Le malware tel que le spyware et le grayware requiert une modifica- tion de la configuration avant qu'ils soient détectés. L'analyse de transfert de fichier (FTP) utilise la méthode la méthode d'analyse All San- nable Files pour les transferts de fichiers. ccnp_cch

Exécutez ces étapes dans la page File Blocking pour le trafic FTP. ccnp_cch

Vérification ccnp_cch Exécutez ces étapes dans la page File Blocking pour le trafic FTP. Vérification Utilisez cette section pour confirmer que votre configuration fonctionne correctement.  show module - Pour vérifier l'état du module CSC-SSM ciscoasa# show module Mod Card Type Model Serial No. −−− −−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−− −−−−−−−−−−−−−−−−−− −−−−−−−−−−− 0 ASA 5520 Adaptive Security Appliance ASA5520 JMX090000B7 1 ASA 5500 Series Security Services Module−20 ASA−SSM−20 JAF10333331 Mod MAC Address Range Hw Version Fw Version Sw Version −−− −−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−− −−−−−−−−−−−− −−−−−−−−−−−− −−−−−−−−−−−−−−− 0 0014.c482.5151 to 0014.c482.5155 1.1 1.0(10)0 8.0(2) 1 000b.fcf8.012c to 000b.fcf8.012c 1.0 1.0(10)0 Trend Micro InterScan Mod SSM Application Name Status SSM Application Version −−− −−−−−−−−−−−−−−−−−−−−−−−−−−−−−− −−−−−−−−−−−−−−−− −−−−−−−−−−−−−−−−−−−−−−−−−− 1 Trend Micro InterScan Security Up Version 6.0 Mod Status Data Plane Status Compatibility −−− −−−−−−−−−−−−−−−−−− −−−−−−−−−−−−−−−−−−−−− −−−−−−−−−−−−− 0 Up Sys Not Applicable 1 Up Up ccnp_cch

 show module 1 details - Utilisez le mot-clé details pour afficher des informations supplémentaires pour le SSM: ciscoasa# show module 1 details Getting details from the Service Module, please wait... ASA 5500 Series Security Services Module−20 Model: ASA−SSM−20 Hardware version: 1.0 Serial Number: JAF10333331 Firmware version: 1.0(10)0 Software version: Trend Micro InterScan Security Module Version 6.0 App. name: Trend Micro InterScan Security Module App. version: Version 6.0 Data plane Status: Up Status: Up HTTP Service: Up Mail Service: Up FTP Service: Up Activated: Yes Mgmt IP addr: 172.30.21.235 Mgmt web port: 8443  show module slot_num recover - Détermine s'il y a une configuration de récupéra- tion pour le SSM. Si une configuration de récupération existe pour le SSM, l'ASA l'af- fiche. ciscoasa#show module 1 recover Module 1 recover parameters. . . Boot Recovery Image: Yes Image URL: tftp://10.21.18.1/ids−oldimg Port IP Address: 172.30.21.10 Port Mask: 255.255.255.0 Gateway IP Address: 172.30.21.254 Résolution de problèmes Commandes pour résolution de problèmes  debug module−boot - Affiche les messages de debug pour le processus de boot du module SSM. ccnp_cch