Cisco Security Agent FAQ

Anuncio
Cisco Security Agent FAQ
Preguntas
Introducción
¿Dónde puedo encontrar la documentación de CSA y la información sobre soporte a productos?
¿Dónde puedo descargar las últimas versiones y correcciones para el CSA?
¿Dónde puedo encontrar la información sobre los bug que existen para el CSA?
¿Qué versiones de Linux hacen un soporte de agente 4.5?
¿Qué Versiones de Solaris hacen un soporte de agente 4.5?
¿Qué versiones de Microsoft Windows hacen un soporte de agente 4.5?
¿Además del inglés, qué lenguajes el CSA 4.5 soporta?
¿Cuál es el ancho de banda de la red que el CSA admite la versión 4.5?
En un sistema Unix, un Access Control List del archivo (FACL) niega el escribir del link simbólico, pero no del archivo de destino
del link simbólico. ¿Qué protección se aplica con una escritura a la blanco vía el link simbólico?
¿Cómo 4.5 el agente GUI trabaja con los servicios de terminal?
¿Cómo consigo la información del estado del usuario?
El gusano de la red heurístico acciona a veces los falsos positivos. ¿Cómo hace la Dirección del sistema 4.5 esto?
¿Está el ordenar de regla, o la manera de la cual se procesan las reglas, lo mismo en la versión 4.5 que en la versión 4.0x?
Creé una regla del Control de acceso a la red para bloquear Network Basic Input/Output System (NetBios), 137-139 de los puertos.
Pero, tráfico todavía pasajero. ¿Qué he hecho mal?
¿Cómo configuro una instalación silenciosa a un agente sin la interacción del usuario o la intervención?
El CSA no soporta el Network Interface Cards dual (NIC) con el teaming habilitado. ¿Hay una solución alternativa?
¿Cómo inhabilito las cuñas individuales en el CSA para UNIX?
¿Cómo desinstalo el CSA en UNIX?
¿Cómo inhabilito las cuñas en el CSA en Microsoft Windows?
¿Por qué no puede el CSA comunicar con el CSA MC?
¿Se puede el CSA o el CSA MC instalar en un sistema operativo Windows 64-bit?
¿Puede el CSA 6.0.1 soportar los sistemas operativos de Windows 2008/Windows 7?
¿Se puede la aplicación host CSA 5.x instalar en una imagen de Symantec Ghost?
Reinstalé el agente en el exacto la misma máquina pero no se registra. ¿Por qué ocurre esto?
¿Por qué todos los agentes CSA aparecen como dispositivos del padre y no mientras que los niños después de que agregue el centro
de administración CSA a MARTE?
¿Es posible configurar la versión 4.0 del Cisco Security Agent (CSA) para permitir que el usuario del instalar pare los processses del
agente CSA?
Información Relacionada
Introducción
Este documento contiene preguntas frecuentes (FAQ) sobre Cisco Security Agent (CSA). Refiera a la sección del CiscoWorks Management
Center para Cisco Security Agents (CSA MC) de las preguntas frecuentes de la Solución CiscoWorks VPN/Security Management para el centro
de administración CSA (MC) FAQ.
Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.
Q. ¿Dónde puedo encontrar la documentación de CSA y la información sobre soporte a productos?
A. Refiera al soporte de productos del Cisco Security Agent.
Q. ¿Dónde puedo descargar las últimas versiones y correcciones para el CSA?
A. Refiera a la descarga del software - Hotfixes para el Cisco Security Agent (clientes registrados solamente).
Q. ¿Dónde puedo encontrar la información sobre los bug que existen para el CSA?
A. Usted puede encontrar los detalles en estos bug en el juego de herramientas del bug Cisco (clientes registrados solamente).
Q. ¿Qué versiones de Linux hacen un soporte de agente 4.5?
A. El CSA 4.5 soporta el 3.0 WS de Linux de la empresa de RedHat, ES, o COMO solamente.
Q. ¿Qué Versiones de Solaris hacen un soporte de agente 4.5?
A. Los requisitos para Solaris no han cambiado para la versión 4.5:
Edición 64-bit del Solaris 8 12/02, o más adelante, con las bibliotecas de SUNWlibCx instaladas
Sistemas del procesador solos, duales, y del patio del UltraSPARC
Refiera a los Release Note para el centro de administración para los Ciscos Security Agent 4.5 para más información.
Q. ¿Qué versiones de Microsoft Windows hacen un soporte de agente 4.5?
A. El CSA 4.5 soporta estas versiones:
Windows NT Service Pack 6a solamente
Nota: Las versiones anteriores del Service Pack tienen no más soporte.
Paquetes de servicios 0, 1, y 2 de Windows XP
Paquetes de servicios 0, 1 de Windows 2000 Professional, del servidor, o del Advanced Server, 2,3, y 4
Servidor estándar de Windows 2003, empresa, red, o Service Pack 0 de la edición de la Pequeña empresa
Q. ¿Además del inglés, qué lenguajes el CSA 4.5 soporta?
A. Usted puede instalar el CSA en una máquina que se localice para alemán, francés, y el japonés. La interfaz de usuario CSA (UI),
la guía de la ayuda, y los eventos aparecen en estos lenguajes.
Q. ¿Cuál es el ancho de banda de la red que el CSA admite la versión 4.5?
A. Una encuesta del agente puede costar 2KB – 3KB, si no hay cambios. Un evento de agente puede costar 3KB – 10KB para una
carga media del evento. Una descarga de la regla del agente puede costar 50KB – 100KB, que depende de los tamaños del conjunto
de la regla.
Las descargas de la regla del agente son cacheable. Como tal, el uso apropiado de los motores del caché proporciona un entorno en el
cual no haya efecto sobre el uso del ancho de banda. En tal caso, solamente una descarga del agente necesita ocurrir para el resto de
los agentes detrás del motor del caché.
Cuando usted ha habilitado el mensaje de la indirecta, el MC envía los paquetes del User Datagram Protocol (UDP) a los agentes.
Esta acción afecta solamente al uso del ancho de banda si el Network Address Translation (NAT) no ha ocurrido para el
direccionamiento. El MC detecta los hosts que se traducen con el NAT, y no hace alusión estos hosts.
No se espera que el coste de interrogación y de los eventos aumente perceptiblemente de la versión 4.5. Pero, para el margen justo,
dóblelos.
En un entorno en el cual el uso del ancho de banda sea alto, los intervalos de sondeo pueden salvar el ancho de banda si usted lo
configura para solamente una vez al día o tan.
Q. En un sistema Unix, un Access Control List del archivo (FACL) niega el escribir del link simbólico, pero no del
archivo de destino del link simbólico. ¿Qué protección se aplica con una escritura a la blanco vía el link simbólico?
A. El comportamiento está actuando la depende del sistema. Por ejemplo, en el Solaris 8, una escritura a un archivo vía un link
simbólico abre el archivo de link para escribir. Así, FACL la regla niega la escritura. En Linux 2.4, un similar escribe abre el link
simbólico para leer solamente. Así, no hay activador FACL de la regla.
Q. ¿Cómo 4.5 el agente GUI trabaja con los servicios de terminal?
A. Todos los usuarios de servicios de terminal ven un agente GUI y el popups del agente.
Si los usuarios múltiples han abierto una sesión vía los servicios de terminal al mismo tiempo, cada las actualizaciones del agente de
usuario GUI dinámicamente con las respuestas del usuario. Por ejemplo, asuma que un usuario de servicios de terminal abre una
sesión como admin1, y otro usuario de servicios de terminal abre una sesión a la misma máquina que admin2. Sea cual sea pregunta
ese admin1 contestado también aparezca en el registro de acontecimientos y el agente GUI de admin2 inmediatamente. Estos
usuarios comparten el mismo agente GUI y ven lo que ven los otros usuarios de servicio de terminal para los eventos reales. Pero,
popups de la interrogación y los mensajes emergentes sea visible solamente al usuario que accionó la interrogación y no a todos los
usuarios de servicio de terminal.
Nota: Si usted tiene dos sesiones del servicio de terminal que utilicen exactamente las mismas credenciales del login, ambos los
tratan usuarios como usuarios separados. Ambos casos refieren al agente en común GUI. Pero, aunque estos usuarios han abierto una
sesión con los servicios de terminal como el exacto al mismo usuario, sólo la persona que acciona el popups ve el popups. Por
ejemplo, Joe abrió una sesión como admin1 y ve el popup de la interrogación que una regla accionó. Pero Mike, que también abrió
una sesión como admin1, no ve el popup de la interrogación.
Q. ¿Cómo consigo la información del estado del usuario?
A. Usted puede utilizar la interfaz de programación de la aplicación Win32 (API) para conseguir la información del usuario del
sistema operativo.
Q. El gusano de la red heurístico acciona a veces los falsos positivos. ¿Cómo hace la Dirección del sistema 4.5 esto?
A. El sistema 4.5 substituye el gusano de la red heurístico por un módulo de la regla del utilizador configurable. Usted puede
configurar este módulo de la regla del gusano para visualizar un popup de la interrogación, un recto niega, o una permit.
Nota: Estas opciones son similares a otros tipos configurables de la regla.
Q. ¿Está el ordenar de regla, o la manera de la cual se procesan las reglas, lo mismo en la versión 4.5 que en la
versión 4.0x?
A. La precedencia de la regla ha cambiado en la versión 4.5 debido a la introducción de la opción del terminal. Antes de 4.5, la
interrogación (el valor por defecto permite) tenía una precedencia más alta que la precedencia de la interrogación (el valor por
defecto niega).
La versión 4.5 invierte esta precedencia. La interrogación (el valor por defecto niega) tiene precedencia más alta que la interrogación
(el valor por defecto permite). Por lo tanto, los conjuntos de la regla que emigran en la versión 4.5 pueden funcionar diferentemente
que en las versiones anteriores.
Q. Creé una regla del Control de acceso a la red para bloquear Network Basic Input/Output System (NetBios), 137139 de los puertos. Pero, tráfico todavía pasajero. ¿Qué he hecho mal?
A. Usted necesita crear dos reglas para bloquear el broadcast de NetBIOS:
1. Niegue cualquier conexión para TCP/137-139 y el protocolo UDP (UDP)/137-139 como servidor.
2. Niegue cualquier conexión para TCP/137-139 y UDP/137-139 como cliente.
Nota: Si su CSA recibió esas reglas después de que la máquina iniciada, estas reglas bloquee los puertos del NetBios. Esto es porque
los puertos del NetBios se abren en el tiempo del inicio y siguen siendo abiertos. Después de la reinicialización de la máquina, el
agente que las reglas que niegan la conexión de los puertos del NetBios están en efecto, y esto bloquea los puertos. Esto es una
limitación de Microsoft Windows.
Q. ¿Cómo configuro una instalación silenciosa a un agente sin la interacción del usuario o la intervención?
A. Extraiga el kit del agente en un directorio local, y ejecute el setup.exe de la línea de comando con un Switch.
La sintaxis es la siguiente:
[extracted directory]:\setup.exe /s --autolevel=n --noreboot=1
Nota: n es el nivel deseado de la automatización. También, observe la rociada doble (--).
Hay soporte para estos niveles:
0 — Ninguna automatización; modo estándar. Éste es el nivel predeterminado.
1 — Ningunas confirmaciones. La configuración no indica al usuario para ninguna confirmación y toma las acciones
predeterminadas.
2 — Ningunas advertencias. La configuración no surge los mensajes de advertencia y procede silenciosamente.
3 — Ningunos errores. La configuración no surge los mensajes de error y aborta silenciosamente cuando ocurre un error.
Si usted no quisiera que la máquina reiniciara, usted necesita agregar el Switch del noreboot. Si no, las reinicializaciones de la
máquina. El usuario final ve que un popup que dice el CSA está instalando.
Q. El CSA no soporta el Network Interface Cards dual (NIC) con el teaming habilitado. ¿Hay una solución
alternativa?
A. El Teaming es una característica de la red avanzada con la cual es difícil para que el CSA trabaje porque la característica inserta
una cuña de la red entre el nivel NIC y la pila de TCP/IP. El Teaming crea los NIC virtuales y puede hacer el Equilibrio de carga, que
puede o no puede utilizar el NIC en el cual la cuña está instalada.
Inhabilite la característica del teaming y instale el CSA, sin el netshim, para hacer que la característica trabaja. Después de que todo
trabaje correctamente, habilite la característica del teaming.
Q. ¿Cómo inhabilito las cuñas individuales en el CSA para UNIX?
A. Utilice esta configuración:
Net shim:
cd /opt/CSCOcsa/drv
./r.csanet net shim
File shim:
./r.csafile file shim
etc.
Q. ¿Cómo desinstalo el CSA en UNIX?
A. Complete estos pasos:
1.
2.
3.
4.
5.
6.
Ingrese en el modo del único usuario.
Inicie sesión como raíz.
Mueva el csamanager del archivo a csamanager.old.
Reinicie la máquina.
Inicie sesión como raíz.
Publique el comando pkgrm CSCOcsa.
Q. ¿Cómo inhabilito las cuñas en el CSA en Microsoft Windows?
A. Complete estos pasos:
1. Publique el comando regedit de un comando prompt.
Nota: Esté seguro de salvar su registro y de apoyarlo apropiadamente antes de que usted realice cualquier cambio.
2. Navegue al HKLM \ al SISTEMA \ al CurrentControlSet \ a los servicios \. Usted ve varias entradas que se relacionen con el
CSA:
csafile - File Interceptor
csafilter - HTTP interceptor
csahook - System call interpreter
csanet - Network traffic interceptor
csreg - Registry interceptor
csatdi - Network application interceptor
3. Resalte la cuña que usted quiere inhabilitar, y busque una clave llamada permiso. Si no existe esta clave, cree un nuevo valor y
nómbrelo para habilitar.
4. Fije el valor de la clave del permiso a partir de la 1 a 0. Esta configuración inhabilita la cuña.
5. Reinicie la máquina.
Q. ¿Por qué no puede el CSA comunicar con el CSA MC?
A. La máquina CSA debe entrar en contacto la máquina CSA MC vía el Domain Name System (DNS) o el Windows Internet
Naming Service (TRIUNFOS). La máquina CSA debe poder resolver el nombre del host CSA MC.
Complete estos pasos si el CSA no puede comunicar con el CSA MC:
1. Utilice el nslookup para resolver el nombre del host.
a. Consiga el nombre exacto del MC del CSA. Verifique que el CSA pueda resolver el nombre del host. También,
verifique si los sufijos DNS se configuran para el adaptador de red.
b. Si este paso falla, haga ping vía la dirección IP, y agregue una entrada en el archivo etc/de los hosts.
2. Elija el mantenimiento > la información sobre la licencia para verificar esta información sobre la licencia:
¿Usted tiene bastantes licencias?
¿Puede usted verificar las licencias que usted utiliza?
¿Cuánto el escritorio y las máquinas servidor sus licencias cubren?
Usted puede también marcar el archivo de csalog.txt a partir del uno de los agentes que no puede para buscar para los errores.
Aquí tiene un ejemplo:
(indicate license problems) [2003-09-02 16:51:56.131]
[PID=672] [Csamanager]: Registration failed without message Error
?code=2035'.
3. Determine si los puertos 5401 y 443 se permiten entre el CSA y el MC. El puerto 5402 está para el profiler. Utilice la utilidad
iccping para hacer ping el MC en ese puerto.
4. Marque el tiempo en las máquinas.
Q. ¿Se puede el CSA o el CSA MC instalar en un sistema operativo Windows 64-bit?
A. No ahora. Refiera al área del soporte de productos del Cisco Security Agent para la información de servicio técnico más reciente
en el CSA.
Q. ¿Puede el CSA 6.0.1 soportar los sistemas operativos de Windows 2008/Windows 7?
A. No El CSA 6.0.2 puede comenzar a proporcionar el soporte para los sistemas operativos de Windows 2008/Windows 7 (32 el bit
y 64 mordidos).
Q. ¿Se puede la aplicación host CSA 5.x instalar en una imagen de Symantec Ghost?
A. Sí, pero, una vez que la imagen está instalada en el PC, usted debe cambiar la dirección IP y el nombre de host antes de que usted
conecte el PC con la red.
Q. Reinstalé el agente en el exacto la misma máquina pero no se registra. ¿Por qué ocurre esto?
A. Una vez que usted desinstala a su agente CSA, el nombre de host de su máquina permanece en la página del host del CSA MC por
lo menos una hora antes de que se marca como inactivo. Si usted necesita instalar al agente CSA otra vez, usted necesita borrar el
nombre de host de la página del host en el CSA MC antes de que usted pueda reinstalar. Si usted no espera, el agente CSA no puede
registrarse al CSA MC y usted ve = el mensaje de error 2037 (del registro de retraso en la retransmisión
de datos) en el archivo del csalog. Éste es para prevenir un ataque donde alguien intenta registrar a los agentes no autorizados
una y otra vez.
Q. ¿Por qué todos los agentes CSA aparecen como dispositivos del padre y no mientras que los niños después de
que agregue el centro de administración CSA a MARTE?
A. Se espera este comportamiento. Porque cada agente se considera un dispositivo de informe separado, cada agente CSA individual
aparece como padre y no como niño.
Q. ¿Es posible configurar la versión 4.0 del Cisco Security Agent (CSA) para permitir que el usuario del instalar
pare los processses del agente CSA?
A. Sí. Refiérase a cómo configurar la versión 4.0 del Cisco Security Agent (CSA) para permitir el usuario del instalar pare los
processses del agente CSA para la información sobre cómo configurar la versión 4.0 del Cisco Security Agent (CSA) para permitir
que el usuario del instalar pare los processses del agente CSA.
Información Relacionada
Q&A
© 1992-2015 Cisco Systems Inc. Todos los Derechos Reservados.
Fecha de Generación del PDF: 18 Octubre 2015
http://www.cisco.com/cisco/web/support/LA/102/1029/1029784_csa-faq.html
Descargar