Segurança : Cisco Email Security Appliance

Como posso eu automatizar ou passar pelo processo de script backup de arquivo de configuração?

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback

Introdução

Este documento descreve conceitos básicos e compreender associada com a criação passa pelo processo de script para que um host externo execute e para recuperar atualizações contra Cisco envie por correio eletrónico a ferramenta de segurança (ESA).

Contribuído por Andrew Wurster e por Robert Sherwin, engenheiros de TAC da Cisco.

Nota: Este artigo é um proof-of-concept e desde que como um exemplo base. Quando estas etapas forem testadas com sucesso, este artigo é primeiramente para a demonstração e os propósitos de ilustração. Os scripts personalizados são fora do espaço e do supportability de Cisco. A assistência técnica de Cisco não escreverá, atualizará, ou pesquisará defeitos scripts externos do costume a qualquer hora.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

  • Passar pelo processo de script do OS e programação da tarefa
  • Configuração e procedimentos do keypair SSH

Como posso eu automatizar ou passar pelo processo de script backup de arquivo de configuração?

O arquivo de configuração é gerado dinamicamente ao usar o saveconfig ou o mailconfig do CLI, ou as opções alternativas associadas com o GUI (a administração do sistema > arquivo de configuração). Para ter um backup eficaz que possa ser carregado e aplicado a um ESA, é o melhor “desmascara” as senhas. Isto permite que o dispositivo coloque um formulário picado das senhas para as contas administrativas locais no arquivo de configuração. Por este motivo, nós não podemos simplesmente copiar “um arquivo liso da configuração sendo executado” do dispositivo. Este método permite-nos a primeiramente alcança o dispositivo, emite um comando construir dinamicamente a configuração atual, e salvar ou envie uma cópia deste arquivo em algum lugar remotamente, sem nenhuma intervenção de usuário. Uma vez que isto é realizado, nós podemos então repetir ou programar esta tarefa ocorrer numa base regular.

A rapidamente e automaticamente arquivos de configuração de backup com as senhas desmascaradas:

  1. Gere um keypair SSH para usar-se, e verifique que você pode alcançar seu dispositivo através do SSH sem ter que manualmente incorporar uma senha.  
  2. Crie o script para entrar ao dispositivo, salvar a configuração, e copie-a (ou a envie).  

Nota: A lógica similar pode ser aplicada em todo o linguagem de script do OS tal como o VB ou o grupo passa pelo processo de script para Windows.

Salvar a configuração a um host especificado usando o saveconfig

#! /bin/bash
#
# Simple script to save the ESA config, then copy locally via SCP.
#
# $HOSTNAME can be either FQDN or IP address.
HOSTNAME=[FQDN OR IP ADDRESS]
# $USERNAME assumes that you have preconfigured SSH key from this host to your ESA.
USERNAME=admin
FILENAME=`ssh $USERNAME@$HOSTNAME "saveconfig yes" | grep xml | sed -e 's/\/
configuration\///g' | sed 's/\.$//g' | tr -d "\""`
scp $USERNAME@$HOSTNAME:/configuration/$FILENAME .

Uma vez que você faz o script exexcutable, você deve ver similar ao seguinte:

jsmith@linux_server:~$ ./esa_backup 
C000V-564D1A718795ACFED603-1A77BAD60A5A-20140902T222913.xml 100% 158KB 157.9KB/
s 00:00

jsmith@linux_server:~$ ls -la
total 1196
drwx------ 10 jsmith jsmith 40960 Sep 2 22:29 .
drwxr-xr-x 13 root root 4096 Aug 13 22:22 ..
-rw-rw---- 1 jsmith jsmith 161642 Sep 2 22:29 C000V-564D1A718795ACFED603-
1A77BAD60A5A-20140902T222913.xml

Executando o comando ls - o la alista os índices do diretório em seu sistema local ou host. Você deve verificar o nome de arquivo, o timestamp, e o tamanho do arquivo total XML.

Enviando por correio eletrónico a configuração a um endereço email usando o mailconfig

#! /bin/bash
#
# Simple script to email the ESA config to pre-specified email address.
#
# $HOSTNAME can be either FQDN or IP address.
HOSTNAME=[FQDN OR IP ADDRESS]
# $USERNAME assumes that you have preconfigured SSH key from this host to your ESA.
USERNAME=admin
# $MAILDEST is preconfigured email address
MAILDEST=backups@example.com
ssh $USERNAME@$HOSTNAME 'mailconfig $MAILDEST yes'

Programe sua tarefa ser executado numa base regular (UNIX/Linux)

Use o cron (UNIX/Linux) para retroceder fora regularmente o trabalho. Cron é conduzido por um arquivo do crontab (tabela do cron), um arquivo de configuração que especifique comandos shell ser executado periodicamente em uma programação dada. Os arquivos do crontab são armazenados onde as lista de trabalhos e de outras instruções ao demónio do cron são mantidas.  

O arquivo de configuração do cron UNIX/Linux segue tipicamente este formato:

minuto (0-59), hora (0-23, 0 = meia-noite), dia (1-31), mês (1-12), dia útil (0-6, 0 = domingo), comando

 
Assim uma entrada do bom exemplo para executar este script que cada dia em 2:00 AM olharia como:

00 02 * * * /home/jsmith/esa_backup

Como posso eu automatizar ou passar pelo processo de script backup de arquivo de configuração de um sistema Windows?

Com o seguinte procedimento, você pode backup o arquivo de configuração regularmente de um sistema Windows.

  1. Instale a massa de vidraceiro do terminal emulator.
  2. Crie um arquivo de texto nomeado “send_config” com o comando do mailconfig e o endereço email válido.  (Para a simplicidade, o coloque sob C:\)
    mailconfig example@example.com
  3. Crie um arquivo de texto nomeado “send_config_batch” com o seguinte comando da massa de vidraceiro.  (Para a simplicidade, igualmente o coloque sob C:\)
    C:\putty.exe -ssh hostname -l admin -pw password -m C:\send_config.txt
    exit

    Nota: Seja certo mudar o hostname ao FQDN ou ao endereço IP de Um ou Mais Servidores Cisco ICM NT de seu ESA, e a senha a sua senha real para a conta admin.

Programe sua tarefa ser executado numa base regular (Windows)

Usando a tarefa Scheulder, ou uma ferramenta similar da programação em Windows, encontre e adicionar o “send_config_batch” às tarefas programadas de Windows.

O arquivo de configuração ESA será enviado ao endereço especificado no arquivo de texto do “send_config” como especificado.

Nota: Este artigo é um proof-of-concept e desde que como um exemplo base. Quando estas etapas forem testadas com sucesso, este artigo é primeiramente para a demonstração e os propósitos de ilustração. Os scripts personalizados são fora do espaço e do supportability de Cisco. A assistência técnica de Cisco não escreverá, atualizará, ou pesquisará defeitos scripts externos do costume a qualquer hora.

Informações Relacionadas


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 118372