De updates van Sophos anti-virus op Cisco security applicatie zijn anders dan die beschikbaar zijn op de Sophos website

Inleiding

Dit document beschrijft waarom de updates van Sophos Anti-Virus op het Cisco-beveiligingsapparaat anders zijn dan de updates die op de Sophos-website beschikbaar zijn.

Voorwaarden

Cisco raadt kennis van de volgende onderwerpen aan:

• Cisco e-mail security applicatie (ESA)
• Alle versies van AsyncOS

Achtergrond

Er zijn twee soorten updates: updates voor de Sophos Anti-Virus engine en updates voor de Sophos virus identiteitsbestanden (Integrated Development Environment (IDE) bestanden).

De Sophos Anti-virus engine is volledig geïntegreerd in het AsyncOS besturingssysteem. Sophos genereert ongeveer elke maand een nieuwe versie van hun anti-virusscanapparaat. De nieuwe versie bevat zowel de huidige virusdefinities als eventuele codewijzigingen die nodig zijn om nieuwe virustypen te herkennen en bekende problemen op te lossen. Wanneer er extra virussen worden ontdekt, geeft Sophos identiteitsbestanden van virussen uit, de zogenaamde IDE-bestanden. Deze werken met motoren die minder dan 90 dagen oud zijn.

Softwareupdates worden automatisch beheerd door Cisco AsyncOS in de C-Series applicatie. Aangezien Sophos nieuwe versies van hun motor vrijgeeft, kwalificeert Cisco hen door een proces van de kwaliteitsborging (QA), en plaatst hen dan op de de updateservers van Cisco zodat uw apparaat van de Serie C hen automatisch zal downloaden en bijwerken. Aangezien IDE-virusdefinitiebestanden worden vrijgegeven, worden deze automatisch door de service verplaatst en binnen enkele minuten na de release van Sophos op de Cisco-updateservers geplaatst.

Sophos IDE virus handtekeningen zijn geldig en werken met de vorige motorversies. Alle huidige IDE’s worden geladen en werken terwijl de motorversie in Cisco C-Series wordt uitgevoerd.

Configureren

Soms kunnen de bestanden op de Cisco ESA niet synchroon lijken te zijn met de bestanden die rechtstreeks bij Sophos beschikbaar zijn. Dit kan nog verder worden gecompliceerd door het tijdszoneverschil tussen Sophos en de meeste Noord-Amerikaanse klanten. De website van Sophos wordt beheerd door het hoofdkantoor van Sophos nabij Oxford in het Verenigd Koninkrijk. De berichten op de site zijn gedateerd met de lokale tijdzone, GMT. Het is een beetje verwarrend om Sophos IDE-bestanden te correleren. Niet alleen zorgt het grote tijdsverschil ervoor dat de datums een dag uit elkaar lijken, Cisco gebruikt een ander nummeringsschema voor de IDE-bestanden. U kunt proberen deze bestanden te matchen door de Sophos IDE site te controleren om te zien wanneer een IDE is uitgebracht, evenals hoeveel anderen die dag en de dag ervoor zijn uitgebracht, maar omdat Cisco vaak incrementele wijzigingen die niet op deze site zijn gepost zal oppikken, is dit niet de meest efficiënte methode. Cisco onderzoekt de website van Sophos om de 10 minuten. De standaardinstelling voor een apparaat is dat u elke vijf minuten een vraag stelt naar de Cisco-downloadsite. In het slechtste geval is er een vertraging van 15 minuten.

Het nummeringsschema voor de IDE-bestanden is de datum. Bijvoorbeeld, "Sophos IDE Rules 2004121402 Tue Dec 14 06:27:14 2004" correleert met de derde update (begin tellen vanaf nul) op 14 december, hier gepubliceerd.

Cisco raadt aan de standaardinstelling van 15 minuten in te stellen voor het automatische updateinterval van Sophos. Controleer of u continue updates van Cisco krijgt met de webgebaseerde GUI op de pagina Security Services->Anti-Virus. Deze informatie is ook beschikbaar met de opdracht antivirusstatus CLI, bijvoorbeeld:

mail3.example.com> antivirusstatus
    SAV Engine Version        4.03
    IDE Serial                2006031503
    Last Engine Update        Tue Mar 14 01:01:49 2006
    Last IDE Update           Thu Mar 16 06:33:50 2006
    Last Update Attempt       Thu Mar 16 09:18:51 2006
    Last Update Success       Thu Mar 16 06:33:50 2006

Als uw updates niet succesvol zijn (u ontvangt een waarschuwingsbericht als dit gebeurt), kunt u een handmatige update proberen met behulp van de knop Nu bijwerken in de GUI, of de opdracht antivirusupdate CLI. De status van de update wordt weergegeven in het antivirus log bestand. Voorbeeld:

smtp.example.com> tailCurrently configured logs:
1. "antivirus" Module: thirdparty Format: Anti-Virus
2. "avarchive" Module: mail Format: Anti-Virus Archive
3. "bounces" Module: bounces Format: Bounces
4. "brightmail" Module: thirdparty Format: Symantec Brightmail Anti-Spam
5. "cli_logs" Module: system Format: CLI Audit Logs
6. "error_logs" Module: mail Format: IronPort Text
7. "ftpd_logs" Module: ftpd Format: IronPort Text
8. "gui_logs" Module: gui Format: IronPort Text
9. "mail_logs" Module: mail Format: IronPort Text
10. "rptd_logs" Module: rptd Format: IronPort Text
11. "sntpd_logs" Module: sntpd Format: IronPort Text
12. "status" Module: mail Format: Status Logs
13. "system_logs" Module: system Format: IronPort Text
Enter the number of the log you wish to tail.
[]> 1Press Ctrl-C to stop.
Thu Mar 16 09:08:50 2006 Info: Current IDE serial=2006031503. No update needed.
Thu Mar 16 09:13:50 2006 Info: Checking for Sophos Update
Thu Mar 16 09:13:50 2006 Info: Current SAV engine ver=4.03. No engine update needed
Thu Mar 16 09:13:50 2006 Info: Current IDE serial=2006031503. No update needed.
Thu Mar 16 09:18:50 2006 Info: Checking for Sophos Update
Thu Mar 16 09:18:50 2006 Info: Current SAV engine ver=4.03. No engine update needed
Thu Mar 16 09:18:50 2006 Info: Current IDE serial=2006031503. No update needed.
Thu Mar 16 09:23:50 2006 Info: Checking for Sophos Update
Thu Mar 16 09:23:50 2006 Info: Current SAV engine ver=4.03. No engine update needed
Thu Mar 16 09:23:50 2006 Info: Current IDE serial=2006031503. No update needed.
 ^C
smtp.example.com>