ESA Centralisation Policy, Virus, and Outbreak Quarantine (PVO) kan niet worden ingeschakeld

Inleiding

Dit document beschrijft een probleem dat is opgetreden wanneer het Centralisatiebeleid, het virus en de uitbraakquarantaine (PVO) niet kunnen worden ingeschakeld op de Cisco Email Security Applicatie (ESA) omdat de knop Enable (Inschakelen) grijs is en een oplossing voor het probleem biedt.

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

• Hoe PVO in te schakelen op de Security Management-applicatie (SMA).
• Hoe de PVO Service toe te voegen aan elke beheerde ESA.
• Hoe de migratie van PVO te configureren.

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

• SMA versie 8.1 en hoger
• ESA versie 8.0 en hoger

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Achtergrondinformatie

Berichten die door bepaalde filters, beleidslijnen en scanbewerkingen op een ESA worden verwerkt, kunnen in quarantaine worden geplaatst om ze tijdelijk vast te houden voor verdere actie. In sommige gevallen lijkt het erop dat het VVB niet op de ESA kan worden ingeschakeld, hoewel het op de SMA correct was geconfigureerd en de Migratiewizard werd gebruikt. De knop om deze functie op de ESA in te schakelen is meestal nog grijs omdat de ESA niet in staat is om verbinding te maken met de SMA op poort 7025.

Probleem

Op de ESA, is de Enable knop grijs.

De SMA toont de dienst niet actief en vereiste actie

Oplossing

Er zijn verschillende scenario's, die hier worden beschreven.

Scenario 1

Voer in de SMA de statusopdracht op de CLI uit om er zeker van te zijn dat het apparaat zich in een online toestand bevindt. Als de SMA offline is, kan de PVO niet worden ingeschakeld op de ESA omdat de verbinding mislukt.

sma.example.com> status

Enter "status detail" for more information.

Status as of:                  Mon Jul 21 11:57:38 2014 GMT
Up since:                      Mon Jul 21 11:07:04 2014 GMT (50m 34s)
Last counter reset:            Never
System status:                 Offline
Oldest Message:                No Messages

Als de SMA offline is, voer dan de cpq_luisteraar de cpq_luisteraar online te zetten.

sma.example.com> resume

Receiving resumed for euq_listener, cpq_listener.

Scenario 2

Nadat u de Migratiewizard op de SMA gebruikt, is het belangrijk om de wijzigingen vast te leggen. De toets [Enable...] op de ESA blijft grijs als u geen wijzigingen doorvoert.

1. Log in op de SMA en ESA met de Administrator-account, niet op de Operator (of andere accounttypen) of de setup kan worden uitgevoerd, maar de toets [Enable...] wordt aan de ESA-zijde grijs weergegeven.
   
   
2. Kies op de SMA Management-applicatie > Gecentraliseerde services > Beleid, Virus en Outbreak Quarantines.
   
   
3. Klik op Start de wizard Migratie en kies een migratiemethode.
   
   
4. Verstuur en voer uw wijzigingen in.
   
   

Scenario 3

Als de ESA is geconfigureerd met een standaardleveringsinterface via de opdracht deliveryConfig en als die standaardinterface geen verbinding met de SMA heeft omdat hij zich in een ander subnet bevindt of omdat er geen route is, kan de PVO niet op de ESA worden ingeschakeld.

Hier is een ESA met standaard leveringsinterface geconfigureerd voor interface In:

mx.example.com> deliveryconfig

Default interface to deliver mail: In

Hier is een ESA connectiviteitstest van interface In naar SMA Port 7025:

mx.example.com> telnet

Please select which interface you want to telnet from.
1. Auto
2. In (192.168.1.1/24: mx.example.com)
3. Management (10.172.12.18/24: mgmt.example.com)
[1]> 2

Enter the remote hostname or IP address.
[]> 10.172.12.17

Enter the remote port.
[25]> 7025

Trying 10.172.12.17...
telnet: connect to address 10.172.12.17: Operation timed out
telnet: Unable to connect to remote host

Om dit probleem op te lossen moet u de standaardinstelling van de interface naar Auto configureren, waarbij de ESA automatisch de juiste interface gebruikt.

mx.example.com> deliveryconfig

Default interface to deliver mail: In

Choose the operation you want to perform:
- SETUP - Configure mail delivery.
[]> setup

Choose the default interface to deliver mail.
1. Auto
2. In (192.168.1.1/24: mx.example.com)
3. Management (10.172.12.18/24: mgmt.example.com)
[1]> 1

Scenario 4

De verbindingen met de gecentraliseerde quarantaine zijn Transport Layer Security (TLS) - standaard versleuteld. Als u het e-maillogbestand op de ESA bekijkt en zoekt naar Delivery Connection ID’s (DCID’s) naar Port 7025 op de SMA, ziet u mogelijk mislukte TLS-fouten zoals dit:

Mon Apr 7 15:48:42 2014 Info: New SMTP DCID 3385734 interface 172.16.0.179
address 172.16.0.94 port 7025
Mon Apr 7 15:48:42 2014 Info: DCID 3385734 TLS failed: verify error: no certificate
from server
Mon Apr 7 15:48:42 2014 Info: DCID 3385734 TLS was required but could not be
successfully negotiated

Wanneer je een test uitvoert op de ESA CLI, zie je hetzelfde.

mx.example.com> tlsverify

Enter the TLS domain to verify against:
[]> the.cpq.host

Enter the destination host to connect to.  Append the port (example.com:26) if you are not
connecting on port 25:
[the.cpq.host]> 10.172.12.18:7025

Connecting to 10.172.12.18 on port 7025.
Connected to 10.172.12.18 from interface 10.172.12.17.
Checking TLS connection.
TLS connection established: protocol TLSv1, cipher ADH-CAMELLIA256-SHA.
Verifying peer certificate.
Certificate verification failed: no certificate from server.
TLS connection to 10.172.12.18 failed: verify error.
TLS was required but could not be successfully negotiated.

Failed to connect to [10.172.12.18].
TLS verification completed.

Op basis hiervan zorgt het ADH-CAMELLIA256-SHA-algoritme dat wordt gebruikt om met de SMA te onderhandelen ervoor dat de SMA geen peer certificate kan geven. Verder onderzoek onthult dat alle ADH-algoritmen anonieme authenticatie gebruiken, wat geen peer certificaat oplevert. De oplossing hier is om anonieme algoritmen te elimineren. Wijzig de vertreklijst van het algoritme in HIGH:MEDIUM:ALL:-ANULL:-SSLv2.

mx.example.com> sslconfig

sslconfig settings:
  GUI HTTPS method:  sslv3tlsv1
  GUI HTTPS ciphers: RC4-SHA:RC4-MD5:ALL
  Inbound SMTP method:  sslv3tlsv1
  Inbound SMTP ciphers: RC4-SHA:RC4-MD5:ALL
  Outbound SMTP method:  sslv3tlsv1
  Outbound SMTP ciphers: RC4-SHA:RC4-MD5:ALL

Choose the operation you want to perform:
- GUI - Edit GUI HTTPS ssl settings.
- INBOUND - Edit Inbound SMTP ssl settings.
- OUTBOUND - Edit Outbound SMTP ssl settings.
- VERIFY - Verify and show ssl cipher list.
[]> OUTBOUND

Enter the outbound SMTP ssl method you want to use.
1. SSL v2.
2. SSL v3 
3. TLS v1 
4. SSL v2 and v3
5. SSL v3 and TLS v1
6. SSL v2, v3 and TLS v1
[5]> 

Enter the outbound SMTP ssl cipher you want to use.
[RC4-SHA:RC4-MD5:ALL]> HIGH:MEDIUM:ALL:-aNULL:-SSLv2

sslconfig settings:
  GUI HTTPS method:  sslv3tlsv1
  GUI HTTPS ciphers: RC4-SHA:RC4-MD5:ALL
  Inbound SMTP method:  sslv3tlsv1
  Inbound SMTP ciphers: RC4-SHA:RC4-MD5:ALL
  Outbound SMTP method:  sslv3tlsv1
  Outbound SMTP ciphers: HIGH:MEDIUM:ALL:-aNULL:-SSLv2

Choose the operation you want to perform:
- GUI - Edit GUI HTTPS ssl settings.
- INBOUND - Edit Inbound SMTP ssl settings.
- OUTBOUND - Edit Outbound SMTP ssl settings.
- VERIFY - Verify and show ssl cipher list.
[]> 

mx.example.com> commit

Tip: Ook add-SSLv2 omdat dit ook onveilige algoritmen zijn.

Scenario 5

Het VVB kan niet worden ingeschakeld en toont dit soort foutmelding.

Unable to proceed with Centralized Policy, Virus and Outbreak Quarantines 
configuration as host1 and host2 in Cluster have content filters / DLP actions 
available at a level different from the cluster Level.

De foutmelding kan aangeven dat een van de hosts geen DLP-functiesleutel heeft toegepast en DLP is uitgeschakeld. De oplossing is om de ontbrekende functiesleutel toe te voegen en DLP-instellingen toe te passen die identiek zijn aan die op de host waarop de functiesleutel is toegepast. Deze eigenschap zeer belangrijke inconsistentie zou het zelfde effect met de Filters van de Uitbraak, Sophos Antivirus, en andere eigenschapsleutels kunnen hebben.

Scenario 6

De knop Enable voor de PVO wordt grijs weergegeven als er in een clusterconfiguratie een machine- of groepsconfiguratie is voor inhoud, berichtfilters, DLP- en DMARC-instellingen. Om dit probleem op te lossen, moeten alle bericht- en inhoudsfilters worden verplaatst van machine- of groepsniveau naar clusterniveau, evenals DLP en DMARC instellingen. U kunt ook de machine met configuratie op machineniveau volledig uit het cluster verwijderen. Voer de CLI-opdracht clusterconfiguratie > removemachine in en sluit zich dan weer aan bij het cluster om de clusterconfiguratie te erven.

Gerelateerde informatie

• Probleemoplossing voor levering van en aan PVO-quarantaine op SMA
• Eisen voor de PVO-migratiewizard wanneer ESA geclusterd is
• Technische ondersteuning en documentatie – Cisco Systems