シスコシステムズ合同会社 2020/07 Cisco Cloud Email Security (CES) 初期セットアップガイド ~Office365との連携~
シスコシステムズ合同会社
2020/07
Cisco Cloud Email Security (CES)初期セットアップガイド~Office365との連携~
© 2020 Cisco and/or its affiliates. All rights reserved.
• 本ガイドは、Office365 Online Exchange利用ユーザにおける、Cisco Cloud Email Security初期セットアップ方法を解説しております。
◼内容に関する保証について• 本ガイドは、2020年3月現在の情報に基づいており、CESにおけるSMAv/ESAv のソフトウェアは
12.0/12.1をベースとしています。
• 本ガイドに記載されている仕様および製品に関する情報は、予告なしに変更されることがあります。
• シスコは、本ガイドに関して、その正確性又は完全性について一切の責任を負わないこととします。
• シスコは、本ガイドが十分な品質を有すること、特定の目的に対する適合性を有すること、又は第三者の知的財産権、プライバシー権等その他の一切の権利に対する侵害がないことを、明示にも黙示にも表明又は保証しません。
• 本ガイドはセットアップガイドであり、移行ガイドではありません。既存メールからの移行の場合には慎重かつ計画的な移行計画を立てて各種設定を実施頂きますようお願いします。
はじめに
© 2020 Cisco and/or its affiliates. All rights reserved.
Cloud
Talos Cisco
Appliance Virtual
Cisco Email Security Solutionセキュリティ多層防御により安全なメールの配送を提供
• オンプレミス版:Cisco Email Security Appliance/Virtual Appliance (ESA/ESAv)• クラウド版:Cloud Email Security(CES)
© 2020 Cisco and/or its affiliates. All rights reserved.
• クラウドサービス(hosted by Cisco)としてESAv/SMAvを提供(日本DC開設済み!)
• 利用ユーザ数に応じて複数のESAvをクラスタ構成で提供(Minimum 2台~)
• SMAv(Security Management Virtual Appliance)は管理装置(1台)
• Ciscoによるハードウェア・ソフトウェア・ネットワーク・仮想基盤の運用
CES(Cloud Email Security)
© 2020 Cisco and/or its affiliates. All rights reserved.
Office 365 との連携イメージCisco Email Security with Office 365
O365 Exchange オンライン
内部向けトラフィック
外部向けトラフィック
CES
外部ドメイン内部ドメイン(既存)
CESに転送Outbound Connectors SMTP Relay
mx1.xxxx.iphmx.com
mx2.xxxx.iphmx.com
SMTP Route
© 2020 Cisco and/or its affiliates. All rights reserved.© 2020 Cisco and/or its affiliates. All rights reserved.
受信/配信処理の理解
© 2020 Cisco and/or its affiliates. All rights reserved.
CES/ESAによる処理フロー
CES/ESA
受信処理
ワークキュー処理
各種セキュリティインスペクション
配信処理
大きく3つの処理プロセスに分かれる
© 2020 Cisco and/or its affiliates. All rights reserved.
CES/ESAへのメール受信時の処理フロー
SMTP接続に対してHAT(Host Access Table)が行うアクションは?
SMTPサーバからの接続を受信
ListenerでのHeaderやDomain追加処理
(Outbound)Bounce VerificationによるEnvelop送信アドレスのTag付け処理
(Inbound)Domain MapによるEnvelop受信アドレスの書き換え処理
(Inbound)RAT(Recipient Access Table)はそのSMTP接続を許可しているか?
Alias Tableに従ったEnvelop受信アドレスの書き換え処理
LDAP Queryによる受信アドレスの照合
SMTP call-ahead recipient validationの処理
(Inbound)SPFやSIDFメール認証による詐欺メールかどうかの確認
接続を許可し、メッセージをワークキュー処理へ
Accept or Continue
接続をドロップ
受信の拒否
メッセージのリレー
接続を拒否
Reject TCP Refuse
Relay
Yes
No, Reject
No
No
Yes
青が最低限設定が必要でかつ重要なポイント
© 2020 Cisco and/or its affiliates. All rights reserved.
CES/ESAからのメール配信時の処理フロー
(Outbound)メッセージの暗号化処理
SMTP Client Conversationの開始
メッセージがVirtual GWによって定義された特定のIPインタフェースに送信
配信IFの同時接続の最大数に基づいた配信制限の適用
Destination ControlsDomain毎の配信制限によりメッセージのドロップやバウンスが発生するか?
SMTP Route :ドメインベースのルーティング処理
Global Unsubscribe Listの適用
(Outbound)DomainKeyやDKIM署名ヘッダの付与
Bounce Profileのチェック
メッセージをクライアントへ配信メッセージをドロップ
メッセージのバウンス
Received: ヘッダの追加
No, Continue
Yes, BounceYes, Drop
Deliver
Drop Bounce
青が最低限設定が必要でかつ重要なポイント
© 2020 Cisco and/or its affiliates. All rights reserved.© 2020 Cisco and/or its affiliates. All rights reserved.
Outboundメール受信/配信設定
© 2020 Cisco and/or its affiliates. All rights reserved.
ステップ0:設定にあたって
[email protected]からWelcomeレターが届いていることを確認
登録されたお客様アドレス宛にCESのアドレス情報やMXレコード情報、アクセス情報等が記載された複数の
Welcomeメール送付される
© 2020 Cisco and/or its affiliates. All rights reserved.
前提理解:ListenerとHATの関係
Listener
IPインタフェース
物理/仮想インタフェース
HAT(Host Access Table)
送信者グループ
SBR(SenderBase Reputation)
メールフローポリシー
© 2020 Cisco and/or its affiliates. All rights reserved.
前提理解:Listenerとは
Listenerは各IPインターフェースに紐づいており、電子メールの処理方法および受け入れポート番号が定義以下の2つのタイプ
• パブリック:インターネットからのインバウンドメール着信用• プライベート : 社内ネットワークからのアウトバウンドメール着信用
• CESでは• IncomingMailリスナー → Public• OutgoingMailリスナー → Privateにデフォルト紐づいている
IF: Data 2Listener: Private(OutgoingMail)
IF: Data 1
Listener: Public(IncomingMail)Office365 CES社内GW インターネット
© 2020 Cisco and/or its affiliates. All rights reserved.
前提理解:HAT(Host Access Table)
HAT (Host Access Table)とは?メール受信する際にSMTP接続を試みて来た送信者(MTA)を、送信者グループ(SenderGroup)に分類し、送信者グループに割り当てるIPレピュテーションスコアやポリシーを関連付けるテーブル
Defaultでいくつかプリセット
各送信者グループに紐づけられたSendarBaseレピュテーションスコア
各送信者グループで処理される
フローポリシー
© 2020 Cisco and/or its affiliates. All rights reserved.
前提理解:Mail Flow Policyの各ふるまい
• Accept : 接続が許可された後、メールの許可がさらに受信者アクセス テーブル(RAT)などの設定によって制限される
• Reject : 接続は最初許可されるがクライアントに4XX, または5XXを返し、メール受付を拒否• TCP Refuse : TCPレベルでの接続拒否• Relay : 接続は許可され、すべての受信が許可、RATの制約を受けない• Continue : HATのマッピングは無視してHAT処理を継続
→これら基本アクセスルールと各種パラメータ(接続数やフロー数、各種セキュリティ設定(TLS/SPF/DKIM etc)の有無等)を組み合わせてMail Flow Policyが作成される
© 2020 Cisco and/or its affiliates. All rights reserved.
ステップ1:HAT > SenderGroup > RELAYLISTの設定
インタフェースData 2がプライベートリスナー(Outgoing)と紐づいておりOutgoingが持つHost Access Table(HAT)のSender Group “RELAYLIST”にOffice365ドメインを追加する。
© 2020 Cisco and/or its affiliates. All rights reserved.
ステップ1: HAT > SenderGroup > RELAYLISTの設定
• MailPolicies > HAT Overview• Sender Group (Listener)を”OutgoingMail“にセット
• デフォルトで設定されているRELAYLISTをクリック• Add Senderをクリック• Sender : .protection.outlook.com を入力
• Submitをクリック• Commit Changesをクリック
Office365のドメイン.protection.outlook.com
© 2020 Cisco and/or its affiliates. All rights reserved.
ステップ2:TLSの有効化
1で設定したSender Group: RELAYLISTに紐づくRELAYEDポリシーを編集する• MailPolicies > HAT Overview• Sender Group (Listener)が”OutgoingMail“となっていることを確認
• RELAYLISTに紐づいているMail Flow Policy: RELAYEDをクリック• Security Features > Encryption and Authentication• TLS : Preferred をチェック
• Submitをクリック• Commit Changesをクリック
© 2020 Cisco and/or its affiliates. All rights reserved.
ステップ3:Office365でのOutbound Connecter作成
注意:本設定は2019年11月時点での情報であり、手順についてはその後予定なく変更されている可能性があります。最新の情報はMicrosoft社のサイトをご参照ください。
1. Office 365 Admin Center (https://admin.microsoft.com)にログイン2. Admin Centersを展開3. Exchangeをクリック4. mail flow > connectorsへ移動5. [+]をクリックして新規のconnectorを作成
• From:Office365 を選択• To:Partner Organization を選択• Nextをクリック• Name:Outbound to Cisco CES を入力(任意)• Nextをクリック
Offce365設定
© 2020 Cisco and/or its affiliates. All rights reserved.
ステップ3:Office365でのOutbound Connecter作成
5. 続き• Only when I have a transport rule set up that redirects messages to this
connector を選択• Nextをクリック• Route email through these smart hosts を選択
• [+]をクリックし、Welcomeメールに記載されたOutbound送信先ドメイン(ob1.xxx)を入力
• Saveをクリック• Nextをクリック• Always use Transport Layer Security (TLS) to secure the connection
(recommended) を選択• Any digital certificate, including self-signed certificates を選択
• Nextをクリック• Confirm Your Settingsで設定内容を確認し、問題なければNextをクリック
Offce365設定
© 2020 Cisco and/or its affiliates. All rights reserved.
ステップ3:Office365でのOutbound Connecter作成
5. 続き• Validate this connectorで[+]をクリックし、通信確認用メールアドレスを
登録• Validateをクリックし、Validationを確認• 完了後、Closeをクリック
Offce365設定
設定イメージ
© 2020 Cisco and/or its affiliates. All rights reserved.
ステップ4:Office365オープンリレー保護設定Offce365設定
意図していないOffice365テナントからの通信がCESでリレーされないように、対象テナントからの送信にヘッダーを付与する
1. Exchange admin center (https://outlook.office365.com)にログイン2. Mail Flow > Rules をクリック3. [+]をクリックして新規ルールを作成
• Create a new rule を選択• Name:Outbound to Cisco CES を入力(任意)• “Apply this rule if …” で“The sender is located...” を選択
• “select sender location”のポップアップが表示されたら“Inside the organization” を選択
• OKを選択• More Options…をクリック
© 2020 Cisco and/or its affiliates. All rights reserved.
ステップ4:Office365オープンリレー保護設定Offce365設定
3. 続き• Add Condition をクリックして条件を追加
• The recipient… を選択• Is external/internal を選択• “select sender location”のポップアップが表示されたら“Outside
the organization” を選択• OKをクリック
• “*Do the following...” で“Redirect the message to...” を選択• the following connector を選択し、 “Outbound to Cisco CES”を
選択• OKをクリック
© 2020 Cisco and/or its affiliates. All rights reserved.
ステップ4:Office365オープンリレー保護設定Offce365設定
3. 続き• “*Do the following...”を選択し、アクションを挿入
• Modify the message properties... を選択• set the message header を選択• Set the message header: X-OUTBOUND-AUTH を入力• OKを選択• Set the value: mysecretkey を入力• OKを選択
• Saveをクリック
注:mysecretkeyは一例であり、各テナントで任意の秘密鍵をセットすること!
© 2020 Cisco and/or its affiliates. All rights reserved.
ステップ4:Office365オープンリレー保護設定Offce365設定
設定イメージ
© 2020 Cisco and/or its affiliates. All rights reserved.
ステップ4:Office365オープンリレー保護設定CES設定
CESのMessage Filter(CLI設定)で対象Office365テナントから送信されたメールのX-headerの値を検査し、許可する(かつヘッダーを削除する)よう設定※ヘッダーがないメールはドロップされる
• CES上のESAvにSSHでログインを実施※SSHアクセスのためには申請が必要。後述の手順を参照。• Filtersコマンドを実行し、“Cluster” modeを編集(リターンキー)• Newを選択し、以下をコピー&ペーストするoffice365_outbound: if sendergroup == "RELAYED" {if header("X-OUTBOUND-AUTH") == "^mysecretkey$" {strip-header("X-OUTBOUND-AUTH");} else {drop();}}
※Message FilterCLIで設定可能なContent Filter機能。GUI上の設定より柔軟な条件が設定でき、かつメッセージがワークキューに送信された後、各種エンジンでのインスペクション前に適用される点がポイント
注:mysecretkeyは一例であり、各テナントで任意の秘密鍵をセットすること!O365で設定したset the valueと同じ文字列を設定
© 2020 Cisco and/or its affiliates. All rights reserved.
ステップ4:Office365オープンリレー保護設定CES設定
• リターンキーを押して改行• “.” (ピリオド)を入力しMessage Filterの作成を終了• リターンキーを押してフィルタメニューを終了• Commitコマンドを実行して設定を保存
© 2020 Cisco and/or its affiliates. All rights reserved.
ステップ5:アウトバウンドメールのテスト
• Office365のメールアカウントを使って、外部メールアドレス宛にテストメールを送信
• SMAvにアクセスしてCESを経由してメールが送信されていることを確認(アクセス情報はWelcomeメールに記載)• Email > Message Tracking
• Envelop Sender : Containsを選択し 自社ドメインを入力• Searchをクリック
© 2020 Cisco and/or its affiliates. All rights reserved.
ステップ5:アウトバウンドメールのテスト
• ヘッダ挿入がない、マッチしない場合、以下のとおりメッセージをドロップ(Message Trackingより)
© 2020 Cisco and/or its affiliates. All rights reserved.
ステップ5:アウトバウンドメールのテスト
• 成功例(Message Trackingより)
© 2020 Cisco and/or its affiliates. All rights reserved.© 2020 Cisco and/or its affiliates. All rights reserved.
Inboundメール受信/配信設定
MX
© 2020 Cisco and/or its affiliates. All rights reserved.
ステップ1:Destination Controlsの設定CESからOffice365へのメールの配信において、Office365側で不必要にスロットリング機能(接続制限)が動作しないよう、CES側で配送先ドメインに対して自己スロットリング機能を有効化する
※Office365は仕様上、新規アドレスホストからの大量トラフィック受信時にスロットリングが動作
※本設定は、安定動作を確認後(一定期間トラフィックを流した後)に削除可能
© 2020 Cisco and/or its affiliates. All rights reserved.
ステップ1:Destination Controlsの設定Mail Policies > Destination Controls
• Mode:”Cluster: Hosted_Cluster” を選択• Add Destinationをクリック
• Destination:自社のドメインを入力(例:cisco.com)• Concurrent Connections : 10• Maximum Messages Per Connection : 20 • TLS Support : Preferred
• Submitをクリック• Commit Changesをクリック
© 2020 Cisco and/or its affiliates. All rights reserved.
ステップ2:Recipient Access Table(RAT)の設定RATに自社ドメインを登録し、自社ドメイン宛のメール通信のみをCESで受け入れるよう設定Mail Policies > Recipient Access Table(RAT)
• Overview for Listenerが“IncomingMail”となっていることを確認
• Add Recipientをクリック• Recipient Domain:自社のドメインを入力(例:cisco.com)• Action : Accept
• Submitをクリック• Commit Changesをクリック
© 2020 Cisco and/or its affiliates. All rights reserved.
ステップ3:SMTP Routeの設定CESから自社のOffice365ドメインにメール配送するためのSMTP Route設定
Network > SMTP Route• Add Routeをクリック
• Receiving Domain:自社のドメインを入力(例:cisco.com)• Destination Host : Office365のオリジナルMXレコード
(XXX.protection.outlook.com) ※IPアドレスでも可• Submitをクリック• Commit Changesをクリック
© 2020 Cisco and/or its affiliates. All rights reserved.
ステップ4:MXレコードの変更
Office365のMXレコード.protection.outlook.com
Cisco CESのMXレコード.iphmx.com
MXレコード変更後
Welcomeレターに記載されたMXレコード情報の登録(書き換え)を実施
※一般的に変更後、反映(利用可能となる)までに24時間程度必要
本番環境からの移行の場合、本設定変更により経路が切り替わるため注意。必要な設定をすべて完了した上で、慎重な切り替え作業を強く推奨。
© 2020 Cisco and/or its affiliates. All rights reserved.
参考:IP Allow Listの設定Offce365設定
O365側の仕様でCESのグローバルIPが弾かれる場合があるため、ホワイトリストに登録を推奨
1. Exchange admin center (https://outlook.office365.com)にログイン2. Protection > Connection Filter よりCES/ESAvのIPアドレスをAdd
© 2020 Cisco and/or its affiliates. All rights reserved.
ステップ5:インバウンドメールのテスト
• Office365以外のメールアカウントを使って、自社の任意のOffice365メールアドレスにテストメールを送信
• SMAvにアクセスしてCESを経由してメールが送信されていることを確認(アクセス情報はWelcomeメールに記載)• Email > Message Tracking
• Envelop Recipient : Containsを選択し 自社ドメインを入力• Searchをクリック
© 2020 Cisco and/or its affiliates. All rights reserved.© 2020 Cisco and/or its affiliates. All rights reserved.
セキュリティ設定のベストプラクティス
© 2020 Cisco and/or its affiliates. All rights reserved.
Mail Policies
40
• 各セキュリティポリシーの設定はMail Policiesで定義• Incoming用とOutgoing用の2つが存在
Inbound
利用ライセンスによって使用不可な機能あり
© 2020 Cisco and/or its affiliates. All rights reserved.
Mail Policies
41
• 各セキュリティポリシーの設定はMail Policiesで定義• Incoming用とOutgoing用の2つが存在
Outbound利用ライセンスによって使用不可な機能あり
© 2020 Cisco and/or its affiliates. All rights reserved.
CES/ESAのワークキュー処理フロー ※一部抜粋
Message Filterの適用
ワークキューでメッセージを受信
送信者アドレスがE/Uセーフリスト・ブラックリストDBに存在するか?
Cisco Anti-Spam Engine(CASE) : メッセージがスパムと識別されるか?
Anti-Virus Engine : ウィルスを持ったメッセージと識別されるか?
SMTP Client Conversationの開始
All other actions
メッセージを
バウンス
メッセージの隔離
Bounce Encrypt & Deliver
Quarantine
Drop
青が一般的なチューニングポイント
Advanced Malware Protection(AMP) : メッセージは脅威を含んだ添付ファイルを持つか?
Graymail Engine : グレーメールなメッセージと識別されるか?
Content Filterの適用
Outbreak Filterによるアウトブレイク脅威レベルのチェック
(Outbound)DLP Engine : DLP違反を検知したか?メッセージを
ドロップ
Bounce
Bounce
Bounce
Drop
Drop
Drop
Drop
Blacklist Action isdelete
Drop
Drop メッセージの
暗号化&配信
メッセージの
配信
Deliver
Encrypt & Deliver
Deliver
Quarantine
Quarantine
Quarantine
Quarantine
Quarantine
No
No, OR Yes and Action is deliver
No, Yes and message is repaired, OR Yes and message is sent as attachment
No, Yes and infected attachment is dropped, OR Unknown and appliance is not configured to quarantine unknown files
No, OR Yes and Action is deliver
All other actions Skip Outbreak
© 2020 Cisco and/or its affiliates. All rights reserved.
アンチスパム設定(CASE:Context Adaptive Scanning Engine)
43
Mail Policies > Incoming/Outgoing Mail Policies > 各ポリシーのAnti-Spam
ポリシーごとのAntiSpamの有効化/無効化
ポジティブスパム(スパムの可能性が高い)のアクション。CESはデフォルトでDrop設定
サスペクトスパム(スパムの可能性が疑われる)のアクション。CESはデフォルト件名に
[SUSPECTED SPAM]を付与して隔離する
スパムスコアをもとに、どの値までをポジティブ、サスペクトスパムと識別するかのしきい値の設定。誤検知の要因となるため、不用意な変更を行わないことを推奨。
© 2020 Cisco and/or its affiliates. All rights reserved.
アンチウイルス設定(Sophos/McAfee)
44
Mail Policies > Incoming/Outgoing Mail Policies > 各ポリシーのAnti-Virus
ポリシーごとのAntiVirusの有効化/無効化どのアンチウイルスソフトを利用するか(デフォルトは
Sophos。MaAfeeは追加ライセンス)
ウイルススキャンのみを行うか、修復も行うかを選択。また、ウイルス発見時に添付ファイル自体を削除する、スキャン結果をメールヘッダに記載する、などのオプションも設定可能。Scan Only推奨
スキャンの結果ごとにメールをどう扱うかを設定する項目。各結果ごとにアクション(メールをそのまま送信、添付ファイルにして送信、ドロップする、隔離する)を設定可能。また、オリジナルメッセージのアーカイブの有無、メールの件名に対する処理などを設定可。
© 2020 Cisco and/or its affiliates. All rights reserved.
Advanced Malware Protection設定
45
Mail Policies > Incoming/Outgoing Mail Policies > 各ポリシーのAMPポリシーごとのAMPの有効化/無効化
File Reputation:ファイルハッシュ値のレピュテーションチェックFile Analysis:AMP Threat GridによるSandbox解析
AMP検査後のX-Headerを挿入の有効/無効化
スキャン不可なメールをどう扱うかを設定する項目。各結果ごとにアクション(メールをそのまま送信、ドロップ、隔離する)を設定可能。また、オリジナルメッセージのアーカイブの有無、メールの件名に対する処理などを設定可。
File Reputationの結果、ファイルがMaliciousと判定された場合のアクション設定項目。デフォルトはメッセージごとドロップする
File Analysisに送信され、ファイルが解析中のアクション設定項目。デフォルトは解析結果が出るまでメッセージは隔離される
Mailbox Auto Remediation (MAR)のアクション設定項目
© 2020 Cisco and/or its affiliates. All rights reserved.
Content Filters ー Filterの作成
46
Mail Policies > Incoming/Outgoing Content Filters > Add Filter
フィルタ条件の設定(複数設定可能)
フィルタアクションの設定(複数設定可能)
© 2020 Cisco and/or its affiliates. All rights reserved.
Content Filters ー ポリシーにFilterを適用
47
Mail Policies > Incoming/Outgoing Mail Policies >各ポリシーのContent Filter
作成した(もしくは事前に用意されている)Filterの中で該当ポリシーで適
用したいFilterをチェック
© 2020 Cisco and/or its affiliates. All rights reserved.
Security Services
48
各セキュリティ機能のグローバル設定(サービス有効無効化、タイマーなど)の設定はSecurity Servicesで設定
© 2020 Cisco and/or its affiliates. All rights reserved.
CES ESA セキュリティ設定のベストプラクティス
CES ESAはデフォルトで最適なポリシールール設定が行われているが環境に応じてポリシーの追加や、各ポリシーの細かなチューニングが必要ベストプラクティス設定については、下記ガイドを参照
https://www.cisco.com/c/en/us/support/docs/security/cloud-email-security/210890-
Configuration-Best-Practices-for-CES-ESA.html
© 2020 Cisco and/or its affiliates. All rights reserved.
参考:設定に関するその他参考サイト
• Configuring Office 365 (Microsoft) with Cisco Cloud Email Security (CES)https://www.cisco.com/c/en/us/support/docs/security/cloud-email-security/214812-
configuring-office-365-microsoft-with.html
• How-to configure Azure AD and Office 365 mailbox settings for ESA※MAR:Mailbox Auto Remediationの設定例https://www.cisco.com/c/en/us/support/docs/security/email-security-appliance/211404-How-
to-configure-Azure-AD-and-Office-365.html
© 2020 Cisco and/or its affiliates. All rights reserved.
参考:各種セキュリティ機能のテスト方法
• Anti-Spamhttps://www.cisco.com/c/en/us/support/docs/security/email-security-appliance/117865-
qanda-esa-00.html
• Anti-Virushttps://www.cisco.com/c/en/us/support/docs/security/email-security-appliance/118175-
technote-esa-00.html
• AMPhttps://www.cisco.com/c/en/us/support/docs/security/email-security-appliance/118511-
technote-esa-00.html
• Outbreakhttps://www.cisco.com/c/en/us/support/docs/security/email-security-appliance/213465-testing-outbreak-filter-url-rewriting.html
© 2020 Cisco and/or its affiliates. All rights reserved.© 2020 Cisco and/or its affiliates. All rights reserved.
Appendix:CESでのCLIアクセス
© 2020 Cisco and/or its affiliates. All rights reserved.
CESにおけるCLI利用のためのSSH設定手順手順・(Public/Private Key 作成)・公開鍵を CES サービスチームに TAC 経由で連絡※PoC中の場合にはCES Activation Teamまたは担当のCiscoSEに依頼・直接 ESA に SSH 接続するわけではなく、Tunnel 用 SSH Proxy 経由での接続・鍵の更新や追加は同様に TAC ケースオープンにて適宜可能(鍵は最大10個まで)・以下非表示スライドにてターミナルソフト Putty でのアクセス手段をご紹介・本手順は鍵登録時に運用チームから連絡される内容を邦訳したものです。
Client
F
W
SSH TunnelClientSSH
Proxy
ESA
Session1
Session2
SSH to ESA
Username/Password
Publik Key AuthCESCustomer接続概要図
CLIアクセスはデフォルト不可で申請が必要!
© 2020 Cisco and/or its affiliates. All rights reserved.
SSH Proxy として fXX-ssh.ipmx.com を指定
© 2020 Cisco and/or its affiliates. All rights reserved.
Username は dh-user
Auto login 用ユーザ
© 2020 Cisco and/or its affiliates. All rights reserved.
Don‘t start a shell or command at all オプション
最初に貼るセッション(SSH Tunnel)内ではコマンド操作が不要なため
© 2020 Cisco and/or its affiliates. All rights reserved.
事前に作成した private key (.ppk) を参照
© 2020 Cisco and/or its affiliates. All rights reserved.
esa1.CUSTOMER.c3s2.iphmx.com
ESA インスタンスとポートを記載
© 2020 Cisco and/or its affiliates. All rights reserved.
Add をクリック
© 2020 Cisco and/or its affiliates. All rights reserved.
セッションに名前を付けて保存し、Open
トンネル用設定を保存しておくと便利Open をクリックして接続する
© 2020 Cisco and/or its affiliates. All rights reserved.
トンネルのコマンドプロンプト
鍵生成時のパスフレーズを聞かれているが、パスフレーズ無しで鍵を生成した場合は不要。ここではなにもしない
© 2020 Cisco and/or its affiliates. All rights reserved.
この状態で新しい Putty ウインドウを開く
このセッションではGUIアクセス用のUsername passwordが必要
© 2020 Cisco and/or its affiliates. All rights reserved.
【参考】 Mac からの接続例
iurikura ) ssh -v -N -L localhost:2200:esa1.CUSTOMER.c3s2.iphmx.com:22 -i
~/.ssh/id_rsa -p 22 [email protected]
Session 1 : SSH Tunnel(あらかじめ ppk ファイルは openssl にて変換しておく)
Sesson 2 : SSH To ESA(別ターミナルを開いて接続)
iurikura ) ssh [email protected] -p 2200
[email protected]'s password: XXXX(ENTER)
Last login: Wed Apr 5 12:31:48 2017 from 192.168.242.141
AsyncOS 10.0.0 for Cisco C300V build 203
Welcome to the Cisco C300V Email Security Virtual Appliance
NOTE: This session will expire if left idle for 30 minutes. Any uncommitted
configuration changes
will be lost. Commit the configuration changes as soon as they are made.
(Machine esa1.CUSTOMER.c3s2.iphmx.com)> exit