Sécurité - Cisco ASA 5500 CSC SSM - Configurer le trafic Web (HTTP) et File transfer (FTP) ccnp_cch
Sommaire - Analyse différée Introduction Paramètres d'analyse par défaut de Web et FTP Télécharger de grands fichiers - Analyse différée Détection et élimination de Spyware et Grayware - Détection de Spyware et Grayware Analyse Webmail Blocage de fichier Blocage d'URL - Blocage à partir de l'onglet Via Local List - Blocage à partir de l'onglet Via Pattern File (PhishTrap) Filtrage d'URL - Paramètres de filtrage - Règles de filtrage ccnp_cch
Paramètres d'analyse par défaut de Web et FTP Introduction Ce document décrit comment faire des mises à jour de configuration de trafic HTTP et FTP et comprend les section suivantes: Paramètres d'analyse par défaut de Web et FTP Télécharger de grands fichiers Détection et élimination de Spyware et Grayware Analyse Webmail Blocage de fichier Blocage d'URL Filtrage d'URL Paramètres d'analyse par défaut de Web et FTP Après installation, par défaut votre trazfic HTTP et FTP est analysé pour les virus, les vers et les chevaux de Troie. Le logiciel malveillant tel les Sypware et autres Grayware requièrent une modification de configuration avant qu'ils soient détectés. Le tableau suivant résume les paramètres de configuration web et transfert de fichier ainsi que les valeurs par défaut qui sont affectées après installation. Fonctionnalité Valeur par défaut Analyse de téléchargements de fichier Web (HTTP) Validé en utilisant la méthode d'analyse All Scannable Files. Analyse Webmail Configuré pour analyser le Webmail des si- tes Yahoo, AOL, MSN et Google. Analyse de transferts de fichiers FTP Gestion de fichier compressé Web (HTTP) pour téléchargement à partir du Web Configuré pour passer l'analyse de fichiers compressés sur une de ces conditions: Le nombre de fichiers compressés est supérieur à 200. La taille du fichier excède 30 Mo. Le nombre de couches de compression est supérieur à trois. Le rapport de compression de fichier est supérieur à 100. ccnp_cch
Télécharger de grand fichiers Fonctionnalité Valeur par défaut Gestion de grand fichier Web (HTTP) et FTP (n'analyse pas de fichier dont la taille est supérieure à une valeur spécifiée) Analyse différée de fichiers dont la taille est supérieure à une valeur spécifiée. Configuré pour passer l'analyse de fichiers dont la taille est supérieure à 50 Mo. Configuré pour validé l'analyse différée de fichiers de taille supérieure à 2 Mo. Téléchargements Web (HTTP) et transfert de fichiers (FTP) pour des fichiers dans lesquels du logiciel malveillant a été détec- té. Nettoyer le fichier téléchargé ou le fichier dans lequel le logiciel malveillant a été détecté. Si non nettoyable, effacer le fichier. lesquels du spyware ou du grayware a été détecté. Les fichiers sont effacés. Téléchargements Web (HTTP) dans les- quels du logiciel malveillant a été détec- Une notification en ligne est insérée dans le navigateur, statuant que Trend Micro InterScan four CSC SSM a analysé le fi-chier que vous tentez de transférer et a détecté un risque de sécurtié. Notification de transferts de fichier (FTP) Une réponse FTP a été reçue. Ces paramètres par défaut vous fournissent quelque protection pour votre trafic Web et HTTP après que vous ayez installé Trend Micro InterScan pour CSC SSM. Vous pouvez préférer utiliser l'analyse (Scan) en spécifiant des extensions de fichier au lieu de All Scannable Files pour la détection de logiciel malveillant. Avant de faire des mo- difications, revoyez l'aide en ligne pour plus d'information au sujet de ces sélections. Après installation, vous voudrez mettre à jour des paramètres de configuration addi- tionnels pour obtenir la protection maximum de votre trafic HTTP et FTP. Si vous avez acheté la Plus Licence, laquelle vous autorise à recevoir les fonctionnalités blocage d'URL, anti-phishing et le filtrage d'URL, vous devez configurer ces fonctionnalités additionnelles. Télécharger de grand fichiers Les onglets Target dans les fenêtres HTTP Scanning et FTP Scanning vous permettent de définir la taille du plus grand téléchargement que vous voulez analyser. Par exem- ple, vous pourriez spécifier que le téléchargement en-dessous de 20 Mo est analysé mais qu'un téléchargement supérieur à 20 Mo n'est pas analysé. De plus vous pouvez: Spécifier les grans téléchargements devant être exécutés sans analyse, ce qui peut introduire un risque de sécurité. Spécifier que les téléchargements plus grands que la limite spécifiée seront effacés ccnp_cch
Par défaut le logiciel CSC SSM spécifie que les fichiers plus petits que 50 Mo sont analysés et ceux égaux ou supérieurs à 50 Mo sont délivrés sans analyse au client demandeur. Analyse différée La ccnp_cch
Les graphes sont rafraîchis à des intervalles fréquents (toutes les 10 secondes) ce qui vous permet de voir rapidement l'activité récente. Pour plus d'information voir l'aide en ligne. Supervision des évènements de sécurité en temps réel Pour superviser les évènements de sécurité en temps réel, exécutez les étapes suivan- tes: Etape 1 Cliquez sur Live Security Events dans le panneau Monitoring. Etape 2 Cliquez sur View pour créer un rapport similaire à l'exemple suivant. ccnp_cch
Superviser les mises à jour du logiciel Ce rapport liste les évènements que le CSC SSM a détecté. La colonne Source affiche "Email" pour les protocoles SMTP et POP3. Les barres de défilement verticales et hori- zontales vous permettent de voir des informations supplémentaires. Les filtres en haut de l'écran vous permettent d'affiner votre recherche d'évènements particuliers. Pour plus d'informations, voir l'aide en ligne. Superviser les mises à jour du logiciel Pour superviser les mises à jour du logiciel, exécutez les étapes suivantes: Etape 1 Cliquez sur Software Updates dans le panneau Monitoring comme le montre la figure suivante. Le nom de composant, le numéro de version et la date et l'heure à laquelle le logiciel CSC SSM a été mis à jour sont affichés. ccnp_cch
Etape 2 Pour afficher la fenêtre Scheduled Update dans la console CSC SSM, dans la fenêtre Monitoring> Trend Micro Content Security> Software Updates de l'ADM , cliquez sur Configure Updates. La fenêtre Scheduled Updates vous permet de spécifier l'intervalle pour lequel le CSC SSM reçoit des mises à jour de composants du serveur Trend Micro ActiveUpdate qui peuvent être journalières, toutes les heures ou toutes les 15 minutes. Vous pouvez également mettre à jour des composants à la demande via la fenêtre Manual Update dans la console CSC SSM. Pour plus d'informations sur ces deux ty- pes de mises à jour voir l'aide en ligne. Supervision des ressources Pour superviser les ressources, exécutez les étapes suivantes: Etape 1 Cliquez sur Resource Graphs dans le panneau Monitoring. Vous pouvez super- viser deux types de ressources. L'utilisation CPU et mémoire. Si ces ressources sont utilisées quasiment à 100%, vous pouvez faire une des choses suivantes: Mettre à niveau avec l'ASA SSM-20 ( Si vous utilisez l'ASA SSM-10). Acheter une autre appliance de sécurité. Etape 2 Pour voir l'utilisation CPU ou mémoire, sélectionnez l'information et cliquez sur Show Graphs comme le montre la figure suivante. ccnp_cch
ccnp_cch