Downloads, atualizações ou upgrades do Content Security Appliance usando um host estático

Introdução

Este documento descreve o(s) endereço(s) IP e os hosts necessários para configurar seu dispositivo Cisco Content Security para uso com um host estático para downloads, atualizações e upgrades.  Essas configurações devem ser usadas para hardware ou dispositivo virtual Cisco Email Security (ESA), dispositivo de segurança da Web (WSA) ou dispositivo de gerenciamento de segurança (SMA).

Downloads, atualizações ou upgrades do Content Security Appliance usando um host estático

A Cisco oferece hosts estáticos para clientes que têm requisitos rigorosos de firewall ou proxy. É importante observar que, se você configurar seu equipamento para usar os hosts estáticos para downloads e atualizações, os mesmos hosts estáticos para downloads e atualizações também devem ser permitidos no firewall e no proxy na rede.

Aqui estão os nomes de host estáticos, os endereços IP e as portas envolvidas nos processos de download, atualização e atualização:

• downloads-static.ironport.com
  • 208.90.58.105 (porta 80)
• updates-static.ironport.com
  • 208.90.58.25 (porta 80)
  • 184.94.240.106 (porta 80)

Configuração de atualização de serviço via GUI

Conclua estas etapas para alterar a configuração de download, atualização ou atualização no AsyncOS a partir da GUI:

1. Navegue até a página de configuração das definições de atualização
   1. WSA: Administração do sistema > Configurações de atualização
   2. ESA: Serviços de segurança > Atualizações de serviço
   3. SMA: Administração do sistema > Configurações de atualização
2. Clique em Editar configurações de atualização....
3. Na seção Update Servers (images), selecione "Local Update Servers (local dos arquivos de imagem de atualização)".
4. Para o campo URL base, digite http://downloads-static.ironport.com e para o campo Porta, defina para a porta 80.
5. Deixe os campos Authentication (optional) vazios.
6. (*) ESA apenas - Para o campo Host (definições de antivírus McAfee, atualizações de mecanismo PXE, definições de antivírus Sophos, regras antisspam IronPort, regras de filtros de detecção, atualizações DLP, regras de fuso horário e cliente de registro (usado para buscar certificados para filtragem de URL), insira updates-static.ironport.com.  (A porta 80 é opcional.)
7. Deixe a seção Update Servers (list) e os campos definidos como Cisco IronPort Update Servers padrão.
8. Verifique se a Interface está selecionada conforme necessário para comunicação externa, se for necessário para se comunicar através de uma interface específica.  A configuração padrão será definida como Seleção automática.
9. Verifique e atualize os servidores proxy configurados, se necessário.
10. Clique em Submit.
11. No canto superior direito, clique em Confirmar alterações.
12. Finalmente, clique em Commit Changes novamente para confirmar todas as alterações de configuração.

Continue na seção Verificação deste documento.

Configuração da configuração de atualização através do CLI

As mesmas alterações podem ser aplicadas via CLI no dispositivo.  Conclua estas etapas para alterar a configuração de download, atualização ou atualização no AsyncOS a partir da CLI:

1. Execute o comando CLI updateconfig.
2. Digite no comando SETUP.
3. A primeira seção apresentada para configuração é "Atualizações de chave de recurso".  Use '2. Use o próprio servidor' e digite http://downloads-static.ironport.com:80/.
4. (*) ESA apenas - A segunda seção apresentada para configuração é "Serviço (imagens)". Use '2. Use o próprio servidor ' e digite updates-static.ironport.com.
5. Todos os outros prompts de configuração podem ser deixados definidos como padrão.
6. Verifique se a Interface está selecionada conforme necessário para comunicação externa, se for necessário para se comunicar através de uma interface específica.  A configuração padrão será definida como Auto.
7. Verifique e atualize o servidor proxy configurado, se necessário.
8. Pressione Return para voltar ao prompt principal da CLI.
9. Execute o comando CLI COMMIT para salvar todas as alterações de configuração.

Continue na seção Verificação deste documento.

Verificação

Atualizações 

Para a verificação de atualizações no equipamento, é melhor validar a partir da CLI.

Na CLI:

1. Execute updatenow.
   1. (*) ESA apenas - você pode executar updatenow force para que todos os serviços e conjuntos de regras sejam atualizados.
2. Execute tail updater_logs.

Preste muita atenção às seguintes linhas "http://updates-static.ironport.com/..."  Isso deve sinalizar a comunicação e o download com o servidor do atualizador estático.

Exemplo, de um ESA que atualiza o Cisco Antispam Engine (CASE) e as regras associadas:

Wed Aug 2 09:22:05 2017 Info: case was signalled to start a new update
Wed Aug 2 09:22:05 2017 Info: case processing files from the server manifest
Wed Aug 2 09:22:05 2017 Info: case started downloading files
Wed Aug 2 09:22:05 2017 Info: case waiting on download lock
Wed Aug 2 09:22:05 2017 Info: case acquired download lock
Wed Aug 2 09:22:05 2017 Info: case beginning download of remote file "http://updates-static.ironport.com/case/2.0/case/default/1480513074538790"
Wed Aug 2 09:22:07 2017 Info: case released download lock
Wed Aug 2 09:22:07 2017 Info: case successfully downloaded file "case/2.0/case/default/1480513074538790"
Wed Aug 2 09:22:07 2017 Info: case waiting on download lock
Wed Aug 2 09:22:07 2017 Info: case acquired download lock
Wed Aug 2 09:22:07 2017 Info: case beginning download of remote file "http://updates-static.ironport.com/case/2.0/case_rules/default/1501673364679194"
Wed Aug 2 09:22:10 2017 Info: case released download lock
<<<SNIP FOR BREVITY>>>

Você estará pronto enquanto o serviço estiver se comunicando, fazendo download e, em seguida, atualizando com êxito.

Quando a atualização do serviço for concluída, os logs do atualizador mostrarão:

Wed Aug 2 09:22:50 2017 Info: case started applying files
Wed Aug 2 09:23:04 2017 Info: case cleaning up base dir [bindir]
Wed Aug 2 09:23:04 2017 Info: case verifying applied files
Wed Aug 2 09:23:04 2017 Info: case updating the client manifest
Wed Aug 2 09:23:04 2017 Info: case update completed
Wed Aug 2 09:23:04 2017 Info: case waiting for new updates

Atualizações

Para verificar se a comunicação de atualização foi bem-sucedida e foi concluída, navegue até a página Atualização do sistema e clique em Atualizações disponíveis. Se a lista de versões disponíveis for exibida, sua configuração estará concluída.

Na CLI, você pode simplesmente executar o comando upgrade.  Escolha a opção download para exibir o manifesto de atualização, se houver atualizações disponíveis.

myesa.local> upgrade


Choose the operation you want to perform:
- DOWNLOADINSTALL - Downloads and installs the upgrade image (needs reboot).
- DOWNLOAD - Downloads the upgrade image.
[]> download

Upgrades available.
1. AsyncOS 9.6.0 build 051 upgrade For Email, 2015-09-02 this release is for General Deployment
2. AsyncOS 9.7.0 build 125 upgrade For Email, 2015-10-15. This release is for General Deployment
3. AsyncOS 9.7.1 build 066 upgrade For Email, 2016-02-16. This release is for General Deployment.
4. cisco-sa-20150625-ironport SSH Keys Vulnerability Fix
[4]>

Troubleshooting

Atualizações

O equipamento envia alertas de notificação quando as atualizações falham. Aqui está um exemplo da notificação de e-mail mais comumente recebida:

The updater has been unable to communicate with the update server for at least 1h.

Last message occurred 4 times between Tue Mar 1 18:02:01 2016 and Tue Mar 1 18:32:03 2016.

Version: 9.7.1-066
Serial Number: 888869DFCCCC-3##CV##
Timestamp: 01 Mar 2016 18:52:01 -0500

Você vai querer testar a comunicação do equipamento com o servidor de atualização especificado.  Neste caso, estamos preocupados with downloads-static.ironport.com.  Usando o telnet, o dispositivo deve ter comunicação aberta pela porta 80:

myesa.local> telnet downloads-static.ironport.com 80

Trying 208.90.58.105...
Connected to downloads-static.ironport.com.
Escape character is '^]'.

Da mesma forma, o mesmo deve ser visto para updates-static.ironport.com:

> telnet updates-static.ironport.com 80

Trying 208.90.58.25...
Connected to origin-updates.ironport.com.
Escape character is '^]'.

Se o seu equipamento tiver várias interfaces, talvez você queira executar o telnet a partir da CLI e especificar a interface, para validar se a interface apropriada está selecionada:

> telnet

Please select which interface you want to telnet from.
1. Auto
2. Management (172.18.249.120/24: myesa.local)
[1]>

Enter the remote hostname or IP address.
[]> downloads-static.ironport.com

Enter the remote port.
[25]> 80

Trying 208.90.58.105...
Connected to downloads-static.ironport.com.
Escape character is '^]'.

Atualizações

Ao tentar atualizar, você poderá ver a seguinte resposta:

No available upgrades. If the image has already been downloaded it has been de-provisioned from the upgrade server. Delete the downloaded image, if any and run upgrade.

Examine a versão do AsyncOS que está sendo executada no equipamento e também as Notas de versão da versão do AsyncOS para a qual você está atualizando.  É possível que não haja um caminho de atualização da versão que você está executando para a versão para a qual você está tentando atualizar.

Se estiver atualizando para uma versão AsyncOS de Hot Patch (HP), Early Deployment (ED) ou Limited Deployment (LD), talvez seja necessário abrir um caso de suporte para solicitar que o provisionamento adequado seja concluído, para que seu dispositivo veja o caminho de atualização conforme necessário.

Informações Relacionadas

• Cisco Email Security Appliance - Notas de versão
• Cisco Web Security Appliance - Notas de versão
• Cisco Security Management Appliance - Notas de versão
• Suporte Técnico e Documentação - Cisco Systems