Introducción
En este documento se describe cuándo un dispositivo de seguridad de correo electrónico virtual (vESA) no descarga ni aplica actualizaciones para el motor antispam de Cisco (CASE) o Sophos y/o el antivirus de McAfee, aunque el dispositivo virtual tenga la licencia correcta.
Prerequisites
Requirements
Cisco recomienda que tenga conocimiento sobre estos temas:
- Dispositivo de seguridad de correo electrónico (ESA)
- vESA, dispositivo de seguridad web virtual (vWSA), dispositivo de gestión de seguridad virtual (vSMA)
- AsyncOS
Componentes Utilizados
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
- vESA, que ejecuta AsyncOS 8.0.0 y versiones posteriores
- vWSA, que ejecuta AsyncOS 7.7.5 y versiones posteriores
- vSMA, que ejecuta AsyncOS 9.0.0 y versiones posteriores
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). If your network is live, make sure that you understand the potential impact of any command.
vESA no puede descargar ni aplicar actualizaciones para antispam o antivirus
Cuando actualiza el antispam o el antivirus, los procesos no pueden alcanzar y actualizar el motor de servicio o los conjuntos de reglas, incluso si ingresa el comando update force.
Uno de estos comandos podría haberse ingresado directamente desde la CLI en vESA:
> antispamupdate ironport
> antispamupdate ironport force
> antivirusupdate force
> updatenow force
Cuando ejecuta tail_updater_logs, los errores observados son similares a estos:
Mon Oct 21 17:48:43 2013 Info: Dynamic manifest fetch failure: Received invalid update manifest response
Esto indica que la URL del host dinámico asociada con la configuración de actualización no puede alcanzar el manifiesto del actualizador correcto correctamente. La dirección URL del host dinámico se establece dentro del comando updateconfig. El subcomando, dynamic host, es un comando oculto dentro de updateconfig, como se resalta aquí:
myesa.local> updateconfig
Service (images): Update URL:
------------------------------------------------------------------------------
Feature Key updates http://downloads.ironport.com/asyncos
McAfee Anti-Virus definitions Cisco IronPort Servers
RSA DLP Engine Updates Cisco IronPort Servers
PXE Engine Updates Cisco IronPort Servers
Sophos Anti-Virus definitions Cisco IronPort Servers
IronPort Anti-Spam rules Cisco IronPort Servers
Intelligent Multi-Scan rules Cisco IronPort Servers
Outbreak Filters rules Cisco IronPort Servers
Timezone rules Cisco IronPort Servers
Cisco IronPort AsyncOS upgrades Cisco IronPort Servers
IMS Secondary Service rules Cisco IronPort Servers
Service (list): Update URL:
------------------------------------------------------------------------------
McAfee Anti-Virus definitions Cisco IronPort Servers
RSA DLP Engine Updates Cisco IronPort Servers
PXE Engine Updates Cisco IronPort Servers
Sophos Anti-Virus definitions Cisco IronPort Servers
IronPort Anti-Spam rules Cisco IronPort Servers
Intelligent Multi-Scan rules Cisco IronPort Servers
Outbreak Filters rules Cisco IronPort Servers
Timezone rules Cisco IronPort Servers
Service (list): Update URL:
------------------------------------------------------------------------------
Cisco IronPort AsyncOS upgrades Cisco IronPort Servers
Update interval: 5m
Proxy server: not enabled
HTTPS Proxy server: not enabled
Choose the operation you want to perform:
- SETUP - Edit update configuration.
[]> dynamichost
Enter new manifest hostname : port
[update-manifests.sco.cisco.com:443]>
Configure el dispositivo para que utilice la URL de host dinámico correcta
Existen dos URL de host dinámico diferentes que se utilizan para los clientes en función de cómo se asocien a través de Cisco:
- update-manifests.sco.cisco.com:443
- Uso: cliente vESA, vWSA, vSMA
- stage-stg-updates.ironport.com:443
- Uso: dispositivos de hardware y virtuales beta fáciles de usar
Nota: Los dispositivos de hardware (C1x0, C3x0, C6x0 y X10x0) SÓLO deben utilizar la URL de host dinámico de update-manifests.ironport.com:443. Si hay una configuración de clúster con ESA y vESA, updateconfig se debe configurar en el nivel de máquina y luego confirmar que dynamic host se establezca en consecuencia.
Nota: los clientes solo deben utilizar las URL del servidor de actualización provisional si han obtenido acceso al preaprovisionamiento a través de Cisco solo para uso beta. Si no tiene una licencia válida aplicada para el uso beta, su dispositivo no recibirá actualizaciones de los servidores de actualización provisional.
Como continuación de updateconfig y el subcomando dynamic host, ingrese la URL del host dinámico según sea necesario, regrese al prompt principal de CLI y realice los cambios:
Enter new manifest hostname : port
[update-manifests.sco.cisco.com:443]> stage-stg-updates.ironport.com:443
[]> <<<HIT RETURN TO GO BACK TO THE MAIN CLI PROMPT>>>
myesa.local> commit
Verificación
Para verificar que el dispositivo ahora llega a la URL de host dinámico adecuada y que las actualizaciones son exitosas, complete estos pasos:
- Aumente los updater_logs a debug.
Currently configured logs:> logconfig
Log Name Log Type Retrieval Interval
---------------------------------------------------------------------------------
1. antispam Anti-Spam Logs Manual Download None
[SNIP FOR BREVITY]
28. updater_logs Updater Logs Manual Download None
29. upgrade_logs Upgrade Logs Manual Download None
Choose the operation you want to perform:
- NEW - Create a new log.
- EDIT - Modify a log subscription.
- DELETE - Remove a log subscription.
- SETUP - General settings.
- LOGHEADERS - Configure headers to log.
- HOSTKEYCONFIG - Configure SSH host keys.
[]> edit
Enter the number of the log you wish to edit.
[]> 28 [NOTE, log # will be different on a per/appliance basis]
Please enter the name for the log:
[updater_logs]>
Log level:
1. Critical
2. Warning
3. Information
4. Debug
5. Trace
[3]> 4
[SNIP FOR BREVITY]
myesa_2.local> commit
- Ejecute una actualización forzada en el antispam (antispamupdate force) o en el antivirus (antivirusupdate force).
myesa.local> antivirusupdate force
Sophos Anti-Virus updates:
Requesting forced update of Sophos Anti-Virus.
- Por último, tail_updater_logs y asegúrese de que el dispositivo es capaz de alcanzar el host dinámico como se indica:
Mon Oct 21 18:19:12 2013 Debug: Acquiring dynamic manifest from stage-stg-updates.ironport.com:443
Troubleshoot
Complete estos pasos para resolver cualquier problema:
- Asegúrese de que se utiliza el updateconfig predeterminado. Si el vESA o el host se encuentran detrás de un firewall, asegúrese de que las actualizaciones con un servidor estático están en uso.
- Asegúrese de que puede hacer telnet a la URL del host dinámico como se eligió:
> telnet
Please select which interface you want to telnet from.
1. Auto
2. Management (172.16.6.165/24: myesa_2.local)
3. new_data (192.168.1.10/24: myesa.local_data1)
[1]>
Enter the remote hostname or IP address.
[]> stage-stg-updates.ironport.com
Enter the remote port.
[25]> 443
Trying 208.90.58.24...
Connected to stage-stg-updates.ironport.com.
Escape character is '^]'.
^] ["CTRL + ]"]
telnet> quit
Connection closed.
Información Relacionada
Comentarios