Introducción
Este documento proporciona respuestas a las preguntas más frecuentes sobre el uso del acceso remoto por parte del Soporte Técnico de Cisco en los dispositivos de Seguridad de Contenido de Cisco. Esto incluye Cisco Email Security Appliance (ESA), Cisco Web Security Appliance (WSA) y Cisco Security Management Appliance (SMA).
Prerequisites
Componentes Utilizados
La información de este documento se basa en los dispositivos de seguridad de contenido de Cisco que ejecutan cualquier versión de AsyncOS.
¿Qué es el acceso remoto?
El acceso remoto es una conexión de Secure Shell (SSH) que se habilita desde un dispositivo de seguridad de contenido de Cisco a un host seguro en Cisco. Solo Cisco Customer Assistance puede acceder al dispositivo una vez que se ha activado una sesión remota. El acceso remoto permite al servicio de atención al cliente de Cisco analizar un dispositivo. El soporte accede al dispositivo a través de un túnel SSH que este procedimiento crea entre el dispositivo y el servidor upgrades.ironport.com.
Cómo funciona el acceso remoto
Cuando se inicia una conexión de acceso remoto, el dispositivo abre un puerto seguro, aleatorio y de origen alto a través de una conexión SSH en el dispositivo al puerto configurado/seleccionado de uno de los siguientes servidores de Cisco Content Security:
| IP Address |
Hostname |
Uso |
| 63.251.108.107 |
upgrades.ironport.com |
Todos los dispositivos de seguridad de contenido |
| 63.251.108.107 |
c.tunnels.ironport.com |
Dispositivos de la serie C (ESA) |
| 63.251.108.107 |
x.tunnels.ironport.com |
Dispositivos de la serie X (ESA) |
| 63.251.108.107 |
m.tunnels.ironport.com |
Dispositivos de la serie M (SMA) |
| 63.251.108.107 |
s.tunnels.ironport.com |
Dispositivos de la serie S (WSA) |
Es importante tener en cuenta que es posible que sea necesario configurar un firewall del cliente para permitir conexiones salientes a uno de los servidores mencionados anteriormente. Si el firewall tiene activada la inspección del protocolo SMTP, el túnel no se establecerá. Los puertos que Cisco aceptará conexiones del dispositivo para el acceso remoto son:
- 22
- 25 (Default)
- 53
- 80
- 443
- 4766
La conexión de acceso remoto se realiza a un nombre de host y no a una dirección IP codificada de forma rígida. Esto requiere que el servidor de nombres de dominio (DNS) se configure en el dispositivo para establecer la conexión saliente.
En una red de cliente, algunos dispositivos de red con reconocimiento de protocolos pueden bloquear esta conexión debido a la discordancia entre protocolo y puerto. Algunos dispositivos compatibles con el protocolo simple de transporte de correo (SMTP) también pueden interrumpir la conexión. En los casos en los que haya dispositivos con reconocimiento de protocolos o conexiones salientes bloqueadas, puede ser necesario el uso de un puerto distinto del predeterminado (25). El acceso al extremo remoto del túnel está restringido únicamente a la atención al cliente de Cisco. Asegúrese de revisar el firewall/red en busca de conexiones salientes cuando intente establecer o solucionar problemas de conexiones de acceso remoto para su dispositivo.
Nota: cuando un ingeniero de atención al cliente de Cisco se conecta al dispositivo a través del acceso remoto, se muestra el mensaje del sistema en el dispositivo (SERVICIO).
Cómo activar el acceso remoto
Nota: no olvide consultar la guía del usuario de su dispositivo y la versión de AsyncOS para obtener instrucciones sobre la habilitación del acceso remoto para el personal de asistencia técnica de Cisco.
Nota: es posible que los archivos adjuntos enviados por correo electrónico a attach@cisco.com no sean seguros durante el envío. Support Case Manager es la opción segura preferida de Cisco para cargar información en su caso. Para obtener más información sobre las limitaciones de seguridad y tamaño de otras opciones de carga de archivos: Cargas de archivos del cliente en el Centro de asistencia técnica de Cisco
Identifique un puerto al que se pueda acceder desde Internet. El valor predeterminado es el puerto 25, que funcionará en la mayoría de los entornos porque el sistema también requiere acceso general a través de ese puerto para enviar mensajes de correo electrónico. Las conexiones a través de este puerto están permitidas en la mayoría de las configuraciones de firewall.
CLI
Para establecer una conexión de acceso remoto a través de la CLI, como usuario administrador, siga estos pasos:
- Ingrese el comando techsupport
- Elija TUNNEL
- Elija Generar o Introducir una cadena de inicialización aleatoria
- Especifique el número de puerto para la conexión
- Responda "Y" para habilitar el acceso al servicio
El acceso remoto se activará en este momento. El dispositivo ahora trabaja para establecer la conexión segura con el host seguro del bastión en Cisco. Proporcione el número de serie del dispositivo y la cadena de inicialización que se genera al ingeniero del TAC que apoya su caso.
GUI
Para establecer una conexión de acceso remoto a través de la GUI, como usuario administrador, siga estos pasos:
- Vaya a Help and Support > Remote Access (for ESA, SMA), Support and Help > Remote Access (for WSA)
- Haga clic en Enable
- Elija el método para la cadena de inicialización
- Asegúrese de marcar la casilla de verificación Iniciar conexión a través de un túnel seguro y especifique el número de puerto para la conexión
- Haga clic en Submit (Enviar)
El acceso remoto se activará en este momento. El dispositivo ahora trabaja para establecer la conexión segura con el host seguro del bastión en Cisco. Proporcione el número de serie del dispositivo y la cadena de inicialización que se genera al ingeniero del TAC que apoya su caso.
Cómo deshabilitar el acceso remoto
CLI
- Ingrese el comando techsupport
- Elija DISABLE.
- Responda "Y" cuando se le pregunte "¿Está seguro de que desea desactivar el acceso al servicio?"
GUI
- Vaya a Help and Support > Remote Access (para ESA, SMA), Support and Help > Remote Access (para WSA).
- Haga clic en Desactivar
- El resultado de la GUI mostrará "Success — Remote Access has been disabled"
Cómo probar la conectividad de acceso remoto
Utilice este ejemplo para realizar una prueba inicial de conectividad desde su dispositivo a Cisco:
example.run> > telnet upgrades.ironport.com 25
Trying 63.251.108.107...
Connected to 63.251.108.107.
Escape character is '^]'.
SSH-2.0-OpenSSH_6.2 CiscoTunnels1
La conectividad se puede probar para cualquiera de los puertos enumerados anteriormente: 22, 25, 53, 80, 443 o 4766. Si la conectividad falla, puede que necesite ejecutar una captura de paquetes para ver dónde falla la conexión de su dispositivo/red.
¿Por qué el acceso remoto no funciona en el SMA?
Es posible que el acceso remoto no se habilite en un SMA si el SMA se coloca en la red local sin acceso directo a Internet. Por ejemplo, el acceso remoto se puede habilitar en un ESA o WSA, y el acceso SSH se puede habilitar en el SMA. Esto permite al Soporte de Cisco conectarse primero a través del acceso remoto al ESA/WSA y luego desde el ESA/WSA al SMA a través de SSH. Esto requerirá conectividad entre el ESA/WSA y el SMA en el puerto 22.
Nota: no olvide consultar la guía del usuario del dispositivo y la versión de AsyncOS para obtener instrucciones sobre cómo activar el acceso remoto a dispositivos sin conexión directa a Internet.
CLI
Para establecer una conexión de acceso remoto a través de la CLI, como usuario administrador, siga estos pasos:
- Ingrese el comando techsupport
- Elija SHACCESS
- Elija Generar o Introducir una cadena de inicialización aleatoria
- Responda "Y" para habilitar el acceso al servicio
El acceso remoto se activará en este momento. El resultado de CLI mostrará la cadena de inicialización. Proporcione esto al ingeniero de soporte técnico de Cisco. El resultado de CLI también mostrará el estado de la conexión y los detalles de acceso remoto, incluido el número de serie del dispositivo. Proporcione este número de serie al ingeniero de atención al cliente.
GUI
Para establecer una conexión de acceso remoto a través de la GUI, como usuario administrador, siga estos pasos:
- Vaya a Help and Support > Remote Access (for ESA, SMA), Support and Help > Remote Access (for WSA)
- Haga clic en Enable
- Elija el método para la cadena de inicialización
- NO marque la casilla de verificación Iniciar conexión mediante túnel seguro
- Haga clic en Submit (Enviar)
El acceso remoto se activará en este momento. El resultado de la GUI le mostrará un mensaje de éxito y la cadena de inicialización del dispositivo. Proporcione esto al ingeniero de soporte técnico de Cisco. La salida de la GUI también mostrará el estado de la conexión y los detalles del acceso remoto, incluido el número de serie del dispositivo. Proporcione este número de serie al ingeniero de atención al cliente.
Cómo deshabilitar el acceso remoto cuando está habilitado para SHACCESS
La desactivación del acceso remoto para SHACCESS se realiza en los mismos pasos que se proporcionaron anteriormente.
Resolución de problemas
Si el dispositivo no puede habilitar el acceso remoto y conectarse a upgrades.ironport.com a través de uno de los puertos enumerados, deberá ejecutar una captura de paquetes directamente desde el dispositivo para revisar qué está causando el error en la conexión saliente.
Nota: Asegúrese de revisar la guía del usuario de su dispositivo y la versión de AsyncOS para obtener instrucciones sobre cómo ejecutar una captura de paquetes.
El ingeniero de soporte al cliente de Cisco puede solicitar que se le proporcione el archivo .pcap para revisar y ayudar con la solución de problemas.
Información Relacionada
Comentarios