Cisco WSA – Setup inicial e licenciamento

Publicado por

Cisco WSA – Setup inicial e licenciamento.

Boa noite, Pessoal.

Iniciando uma serie de post sobre WSA, onde irei abordar desde setup inicial até configurações de URL filter, criação de policy, customização de policy e autenticação externa.

Além de tópicos avançados como, HA e SSL decryption.

Vamos iniciar com o setup inicial e instalação de Licença. Iremos utilizar esse ambiente totalmente virtualizado no EVE.

LAB Devices:

WSA – coeus-10.0.0.233-S000V

PC Windows 7

Windows Server 2016

Router IOL 15.4T

Passo 1 – Abrir uma sessão telnet no WSA, utilizar o usuário: admin senha: ironport

Perceba que a ferramenta irá pegar um IP aleatório, no nosso Lab ele pegou um IP do server DHCP que é o Router. Vamos configurar outro IP manualmente, além de instalar as licenças.

Passo 2 – Configurando IP na Interface

Lembre-se, nesse caso iremos utilizar somente a interface management que servira para gerencia e trafego, veremos isso no setup wizard mais a frente.

Com o comando interfaceconfig iremos editar o IP configurado.

Please run System Setup Wizard at http://192.168.50.11:8080

ironport.example.com> interfaceconfig

Iremos escolher a opção EDIT, porem percebam que existem outras opções.

Currently configured interfaces:

  1. Management (192.168.50.11/24 on Management: ironport.example.com)

Choose the operation you want to perform:

– NEW – Create a new interface.

– EDIT – Modify an interface.

– DELETE – Remove an interface.

– DETAILS – Show details of an interface.

[]> edit

Iremos utilizar a interface 1 Management, conforme descrito a cima na opção existente.

Enter the number of the interface you wish to edit.

[]> 1

A ferramenta irá questionar sobre a configuração de IPv4, iremos pressionar o enter e seguir para configuração do novo IP, máscara e hostname. Assim como permitir os seguintes protocolos FTP, SSH, HTTP e HTTPS.

Would you like to configure an IPv4 address for this interface (y/n)? [Y]>

IPv4 Address (Ex: 192.168.1.2 ):

[192.168.50.11]> 192.168.50.200

Netmask (Ex: “24”, “255.255.255.0” or “0xffffff00”):

[0xffffff00]> 255.255.255.0

Would you like to configure an IPv6 address for this interface (y/n)? [N]>

Hostname:

[ironport.example.com]> WSA02.ciscoplus.local

Do you want to enable FTP on this interface? [N]>

Do you want to enable SSH on this interface? [Y]>

Which port do you want to use for SSH?

[22]>

Do you want to enable HTTP on this interface? [Y]>

Which port do you want to use for HTTP?

[8080]>

Do you want to enable HTTPS on this interface? [Y]>

Which port do you want to use for HTTPS?

[8443]>

Iremos também, permitir perguntas sobre o certificado e o redirect no acesso para https.

You have not entered an HTTPS certificate. To assure privacy, run

“certconfig” first. You may use the demo, but this will not be secure.

Do you really wish to use a demo certificate? [Y]>

Both HTTP and HTTPS are enabled for this interface, should HTTP requests

redirect to the secure service? [Y]>

Currently configured interfaces:

  1. Management (192.168.50.200/24 on Management: WSA02.ciscoplus.local)

Choose the operation you want to perform:

– NEW – Create a new interface.

– EDIT – Modify an interface.

– DELETE – Remove an interface.

– DETAILS – Show details of an interface.

[]>

Após o processo acima, iremos pressionar enter, realizar o commit da configuração realizada e salvar as configurações.

Please run System Setup Wizard at http://192.168.50.200:8080

ironport.example.com> commit

Warning: In order to process these changes, the proxy

process will restart after Commit. This will cause a brief

interruption in service. Additionally, the authentication

cache will be cleared, which might require some users to

authenticate again.

Warning: Processing of network configuration changes might

cause a brief interruption in network availability.

Please enter some comments describing your changes:

[]>

Changes committed: Sun Apr 07 00:34:49 2019 GMT

Please run System Setup Wizard at http://192.168.50.200:8080

ironport.example.com> saveconfig

Do you want to mask the passphrase? Files with masked passphrases cannot be

loaded using loadconfig command. [Y]>

Do you want the system to generate a name for the configuration file? [Y]>

The file S000V-4DF46A7EA12746458896-EA516B16C87A-20190407T003458.xml has been

saved in the configuration directory on machine “ironport.example.com”.

Please run System Setup Wizard at http://192.168.50.200:8080

ironport.example.com>

Passo 3 – Acessar a ferramenta via HTTP com nosso PC Teste.

Lembrando que o PC deve estar na mesma rede que a ferramenta ou em uma rede alcançável, no nosso LAB o PC está configurado como DHCP e foi atribuído um IP no mesmo range.

Perceba o teste de ping com sucesso.

Com um navegador, iremos acessar a ferramenta via HTTP conforme link: http://192.168.50.200:8080

Ao acessar o link acima uma mensagem de alerta irá aparecer, como um possível site não seguro, iremos clicar em “continue to this website” para seguir até a ferramenta.

Já com a pagina solicitando login e senha, iremos utilizar as mesmas credencias que utilizamos no início, usuário: admin senha: ironport

Passo 4 – Instalação de licença.

Para seguirmos com a configuração inicial, precisamos primeiro instalar as licenças, caso tente pular essa etapa irá deparar com essa mensagem.

Caso você já tenha uma licença, sugiro seguir para parte da instalação. Caso não, abaixo irei demonstrar como gerar uma trial no site da Cisco.

https://software.cisco.com > Traditional Licensing

Após acessar o caminho descrito acima, o site irá solicitar usuário e senha da Cisco (CCO).

Click na mensagem All Licenses for e siga para o portal principal.

Já no portal princil, click em Get Licenses > Demo and Evaluation > Security products > Cisco Email/Web/Content Security Virtual Demo license > Escolha a opção Web Security Appliance > Next

Na tela seguinte, escolha a opção mais completa do WSA com o AMP e click em Next.

Na tela seguinte, confirme os dados e click em submit.

Abaixo click em close e faça o download da licença gerada, extrair a mesma e abrir o arquivo xml com notepad.

Com arquivo aberto, iremos acessar o WSA via SSH, copiar o conteúdo do bloco de notas e colar no CLI.

Já na CLI do WSA com o comando loadlicense, escolha a opção paste via CLI, cole o conteúdo da licença, click Ctrl + D, aceite a EULA e no final digite yes.

Please run System Setup Wizard at http://192.168.50.200:8080

ironport.example.com> load

loadlicense, loadconfig

ironport.example.com> loadlicense

Warning: This VM image is misconfigured.

– The expected configuration for this virtual model is 1 CPU(s); It is

currently configured with 2 CPU(s).

– The expected configuration for this virtual model is 4096 MB of RAM; It is

currently configured with 8192 MB of RAM.

Configuring a VM image to non-recommended values is untested and unsupported.

For correct operation and performance of the virtual appliance, please

configure the VM image with the expected configuration.

  1. Paste via CLI
  2. Load from file

How would you like to load a license file?

[1]> 1

Paste the license file now.

Press CTRL-D on a blank line when done.

Passo 5 – System Setup Wizard

Acesse o WSA via HTTP, System administration > System Setup > System Setup Wizard.

Na tela System Setup, iremos configurar o nome corretamente do WSA, apontar o servidor DNS, configurar o Time Zone e clicar em Next.

Na próxima tela iremos clicar em next, lembrando que essas configurações se aplicam a nosso Lab.

Na próxima tela iremos conferir as informações e clicar em next, caso queira mudar o IP do WSA pode ser alterado aqui, no nosso Lab está correto vide configurado previamente via CLI.

Na próxima tela, next.

Conferimos se o gateway está correto, se sim next.

Na próxima tela verificamos as opções que o WSA pode trabalhar na rede, além da default, existe a possibilidade de utilizar em modo transparente, no nosso caso clicamos em next sem alterar a configuração.

Nessa próxima tela, iremos configurar uma senha nova, email para notificação e clicar em next.

Na próxima tela, iremos deixar tudo default e clicar em next, a global policy está como monitor, ou seja, nada será bloqueado nesse primeiro momento.

Na última tela, verificamos as informações se estão ok e clicamos em instalar.

Finalizamos as configurações iniciais, novamente iremos acessar o WSA e seguir até o System Setup, iremos deparar com a mensagem abaixo, informando que já existe uma configuração na ferramenta e com a opção de realizar o reset das configurações.

Passo 6 – Configurar o proxy no PC teste.

Como a ferramenta está default em monitor, o trafego não será bloqueado.

Click em Tools > Internet Options > Connections > Lan Settings

Desmarque a opção automática e configure o proxy server 192.168.50.200 com a porta 80.

Click em OK > OK e acesse uma pagina para teste.

Para verificar se o trafego está passando no WSA, acesse via CLI e com o comando tail e a opção 1 iremos verificar todo o trafego do PC teste.

No próximo post iremos realizar uma configuração de bloqueio URL Filter para alguns sites, policy global e custom.

Até a próxima!!!

3 comentários

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google

Você está comentando utilizando sua conta Google. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s

Este site utiliza o Akismet para reduzir spam. Saiba como seus dados em comentários são processados.