المقدمة
يوضح هذا المستند كيفية إجراء تحديثات الوضع في Cisco Identity Services Engine® (ISE).
المتطلبات الأساسية
المتطلبات
cisco يوصي أن يتلقى أنت معرفة على Posture تدفق.
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات المكونات المادية والبرامج التالية.
- Cisco Identity Services Engine 3.2 والإصدارات الأحدث.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات أساسية
تتضمن تحديثات الوضع مجموعة من التحققات والقواعد ومخططات الدعم المحددة مسبقا لمكافحة الفيروسات وبرامج مكافحة التجسس لكل من أنظمة التشغيل Windows و MacOS، ومعلومات أنظمة التشغيل التي تدعمها Cisco.
عند نشر Cisco ISE على شبكتك لأول مرة، يمكنك تنزيل تحديثات الوضع من الويب. عادة ما تستغرق هذه العملية حوالي 20 دقيقة. بعد التنزيل الأولي، يمكنك تكوين Cisco ISE للتحقق من التحديثات التزايدية وتنزيلها بشكل تلقائي.
يقوم Cisco ISE بإنشاء سياسات الوضع الافتراضي والمتطلبات والمعالجة مرة واحدة فقط أثناء تحديثات الوضع الأولي. إذا قمت بحذفها، فإن Cisco ISE لا يقوم بإنشائها مرة أخرى أثناء التحديثات اليدوية أو المجدولة التالية.
هناك نوعان من تحديثات الوضع التي يمكنك تنفيذها:
- تحديثات الوضع عبر الإنترنت.
- تحديثات الوضع دون اتصال.
تحديثات الوضع عبر الإنترنت
يسترجع Web Posture Update/ Online Posture Update آخر تحديثات الوضع من Cisco cloud أو مستودعات الخادم. وهذا يتضمن تنزيل أحدث السياسات والتعريفات والتواقيع مباشرة من خوادم Cisco. يحتاج ISE إلى الاتصال بخوادم سحابة Cisco أو تحديث المستودعات لاسترداد أحدث تعريفات الوضع والسياسات والملفات الأخرى المقترنة.
ماذا يحدث أثناء تحديثات الوضع عبر الإنترنت أو الويب؟
يقوم محرك خدمات الهوية (ISE) بالوصول إلى موقع Cisco على الويب إما من خلال وكيل أو اتصال إنترنت مباشر باستخدام HTTP، وإنشاء اتصال مع www.cisco.com. أثناء هذه العملية، يتم تبادل الترحيب بالجهاز العميل والخادم، حيث يقوم الخادم بتوفير شهادته للتحقق من شرعيته وتأكيد الثقة من جانب العميل. بعد اكتمال عملية ترحيب العميل والخادم، يتم تبادل مفاتيح العميل، ويقوم الخادم بتهيئة تحديثات الوضع. فيما يلي التقاط الحزمة الذي يوضح الاتصال بين خادم ISE و Cisco.com أثناء تحديثات Online Posture (وضعية الإنترنت).

- أثناء "مرحبا بالخادم"، يرسل Cisco.com هذه الشهادات إلى العميل لتأكيد الثقة من جانب العميل.
Certificates Length: 5083
Certificates (5083 bytes)
Certificate Length: 1940
Certificate: 3082079030820678a0030201020210400191d1f3c7ec4ea73b301be3e06a90300d06092a… (id-at-commonName=www.cisco.com,id-at-organizationName=Cisco Systems Inc.,id-at-localityName=San Jose,id-at-stateOrProvinceName=California,id-at-count
Certificate Length: 1754
Certificate: 308206d6308204bea003020102021040016efb0a205cfaebe18f71d73abb78300d06092a… (id-at-commonName=HydrantID Server CA O1,id-at-organizationalUnitName=HydrantID Trusted Certificate Service,id-at-organizationName=IdenTrust,id-at-cou
Certificate Length: 1380
Certificate: 3082056030820348a00302010202100a0142800000014523c844b500000002300d06092a… (id-at-commonName=IdenTrust Commercial Root CA 1,id-at-organizationName=IdenTrust,id-at-countryName=US)
- في واجهة المستخدم الرسومية ISE، من المهم التأكد من تمكين شهادة الخادم IDENtrust الجذر التجاري CA 1 والثقة لمصادقة خدمات Cisco لإنشاء اتصال مع Cisco.com. وبشكل افتراضي، يتم تضمين هذه الشهادة في ISE ويتم التحقق من الثقة لمصادقة خدمات Cisco"، ولكن يتم ينصح بالتحقق.
- تحقق من حالة الشهادة والاستخدام الموثوق به من خلال الانتقال إلى واجهة المستخدم الرسومية (ISE) > الإدارة > الشهادات > الشهادات الموثوق بها. التصفية حسب الاسم IdenTrust Commercial Root CA 1، حدد الشهادة، ثم قم بتحريرها للتحقق من إستخدام الضمان، كما هو موضح في لقطة الشاشة هذه:

- يمكن أن تتضمن تحديثات الوضع سياسات جديدة أو منقحة للوضع، وتعريفات جديدة لمكافحة الفيروسات/البرامج المضادة للفيروسات، ومعايير أخرى ذات صلة بالأمان لتقييمات الوضع.
- تتطلب هذه الطريقة اتصال إنترنت نشطا ويتم تنفيذها عادة عند تكوين نظام ISE لاستخدام المستودعات المستندة إلى السحابة لتحديثات الوضع.
متى تستخدمه
يتم إستخدام تحديثات الوضع عبر الإنترنت عندما تريد التأكد من أن سياسات الوضع وتعريفات الأمان والمعايير محدثة مع أحدث الإصدارات المتاحة التي توفرها Cisco.
المنافذ المستخدمة لتحديث الوضع عبر الإنترنت
لضمان أن نظام ISE يمكن أن يصل بنجاح إلى خوادم سحابة Cisco لتنزيل تحديثات الوضع، يجب أن تكون هذه المنافذ مفتوحة في جدار الحماية لديك وسمحت بالاتصال الصادر من ISE إلى الإنترنت:
- HTTPS (TCP 443):
- المنفذ الأساسي ل ISE للوصول إلى خوادم سحابة Cisco وتنزيل التحديثات عبر اتصال آمن (TLS/SSL).
- هذا هو المنفذ الأكثر أهمية لعملية تحديث الوضع المستند إلى الويب.
- DNS (UDP 53):
- يجب أن يكون ISE قادرا على إجراء عمليات بحث DNS لحل أسماء المضيف لخوادم التحديث.
- تأكد من إمكانية وصول نظام ISE إلى خوادم DNS وحل أسماء المجالات.
- NTP (UDP 123):
- يستخدم ISE بروتوكول وقت الشبكة (NTP) لمزامنة الوقت. وهذا مهم لضمان ختم عملية التحديث بشكل صحيح في الوقت وأن نظام ISE يعمل في منطقة زمنية متزامنة.
- وفي العديد من الحالات، يلزم أيضا الوصول إلى خوادم NTP عبر بروتوكول UDP 123.
إجراء إجراء إجراء تحديثات الوضع عبر الإنترنت
- سجل الدخول إلى GUI -> الإدارة -> النظام -> الإعدادات -> الوضع -> التحديثات.

2. حدد الأسلوب كموقع ويب لتحديثات الوضع عبر الإنترنت، انقر فوق تحديث الآن.

3. بمجرد بدء تحديثات الوضع، سيتم تغيير الحالة إلى تحديث.

4. يمكن التحقق من حالة تحديثات الوضع من معلومات التحديث وفقا للقطة الشاشة هذه:

تكوين الوكيل لتحديثات الوضع عبر الإنترنت
في بيئة مقيدة حيث لا يمكن الوصول إلى عنوان URL الخاص بحقل تحديث الوضع، في هذه الحالة يكون تكوين وكيل الحالة مطلوبا. ارجع إلى تكوين وكيل في ISE.
- انتقل إلى الإدارة -> النظام -> الإعدادات -> الوكيل.

2. قم بتكوين تفاصيل الوكيل، انقر فوق حفظ.

3. يتم إحضار تفاصيل الوكيل تلقائيا من قبل ISE عند إجراء تحديثات الوضع عبر الإنترنت.
تحديثات الوضع دون اتصال
يسمح لك تحديث الوضع دون اتصال بتحميل ملفات تحديث الوضع يدويا (في شكل .zip أو تنسيق ملف آخر مدعوم) إلى ISE.
ماذا يحدث عند إجراء تحديث للوضع دون اتصال؟
- يمكنك تحميل ملفات الوضع المحدثة يدويا.
- يقوم ISE بمعالجة هذه الملفات وتطبيقها، والتي يمكن أن تتضمن سياسات محدثة، وتعريفات لمكافحة الفيروسات، وتقييمات الوضع، من بين أنواع أخرى من الملفات.
- لا يتطلب التحديث دون اتصال بالإنترنت ويتم إستخدامه عادة في البيئات ذات الأمان الصارم أو سياسات الشبكة التي تمنع الوصول المباشر إلى الخوادم الخارجية.
متى تستخدمه
غالبا ما يتم إستخدام هذه الطريقة في البيئات التي يتم فيها عزل النظام عن الإنترنت أو عندما يكون لديك ملفات تحديث غير متصلة معينة مقدمة من Cisco أو فريق الأمان الخاص بك.
المنافذ المستخدمة لتحديثات الوضع دون اتصال
للاتصال العام بخادم ISE (أثناء عملية التحديث)، في العديد من الحالات، تكون هذه المنافذ ذات صلة:
- الوصول إلى الإدارة (المنافذ 22 و 443):
- بروتوكول SSH (بروتوكول TCP 22): إذا كنت تستخدم SSH للوصول إلى نظام ISE لاستكشاف الأخطاء وإصلاحها أو التحميل اليدوي.
- HTTPS (TCP 443): إذا كنت تستخدم واجهة المستخدم الرسومية (واجهة الويب) لتحميل التحديث.
- نقل الملفات (SFTP أو SCP):
- إذا كنت بحاجة إلى تحميل الملفات يدويا إلى ISE عبر SFTP أو SCP، فتأكد من أن المنافذ المقابلة (عادة المنفذ 22 ل SSH/SFTP) مفتوحة على نظام ISE.
- الوصول إلى الشبكة المحلية:
- تأكد من أن النظام الذي تقوم من خلاله بتحميل التحديث (على سبيل المثال، محطة عمل الإدارة أو الخادم) يمكن أن يتصل ب ISE عبر المنافذ الضرورية للوصول إلى الإدارة، ولكن مرة أخرى، لا تتطلب تحديثات الوضع دون اتصال أي منافذ خارجية نظرا لأنه يتم توفير الملفات يدويا.
أين يمكن العثور على ملفات لتحديثات الوضع دون اتصال؟
- انتقل إلى عنوان URL: https://www.cisco.com/web/secure/spa/posture-offline.html ، انقر فوق تنزيل ويتم تنزيل الملف posture-offline.zip إلى النظام المحلي الخاص بك.

تتضمن ملفات تحديث الوضع دون اتصال
- تعريفات مكافحة الفيروسات (التوقيعات).
- سياسات وقواعد الوضع.
- تقييمات الأمان وملفات التكوين الأخرى لتقييم الوضع.
إجراء إجراء إجراء تحديثات الوضع دون اتصال
- سجل الدخول إلى ISE GUI -> الإدارة -> النظام -> الإعدادات -> الوضع -> التحديثات.

2. حدد الخيار غير المتصل، واستعرض المجلد posture-offline.zip الذي تم تنزيله إلى نظامك المحلي وحدد هذا المجلد. انقر فوق تحديث الآن.

3. بمجرد بدء تحديثات الوضع، سيتم تغيير الحالة إلى تحديث.


4. يمكن التحقق من حالة تحديثات الوضع من معلومات التحديث وفقا للقطة الشاشة هذه:

التحقق
قم بتسجيل الدخول إلى واجهة المستخدم الرسومية (GUI) الخاصة بعقدة الإدارة الأساسية -> العمليات -> أستكشاف الأخطاء وإصلاحها -> سجلات التنزيل -> سجلات تصحيح الأخطاء -> سجلات التطبيقات -> isc-psc.log ، انقر ise-psc.log ويتم تنزيل السجل إلى نظامك المحلي. افتح الملف الذي تم تنزيله من خلال Notepad أو محرر النصوص، وقم بتصفية تنزيل Opswat. يجب أن تكون قادرا على العثور على المعلومات المتعلقة بتحديثات الوضع التي يتم إجراؤها في النشر.
يمكنك أيضا كتابة السجلات عن طريق تسجيل الدخول إلى CLI لعقدة الإدارة الأساسية باستخدام الأمر show logging application ise-psc.log tail.
تم بدء تنزيل Opswat، مشيرا إلى تحديثات الوضع:
2025-03-13 13:58:07،246 معلومات [admin-http-pool5][]] cisco.cpm.posture.download.DownloadManager -::admin::- بدء تنزيل Opswat
2025-03-13 13:58:07،251 معلومات [admin-http-pool5][[]] cisco.cpm.posture.download.DownloadManager -::admin:- URI ملف التنزيل دون اتصال : /opt/CSCOcpm/temp/cp/update/5c064701-a1ee-4a09-a190-3bf83c190af6/osgroupsV2.tar.gz
2025-03-13 13:58:07،251 معلومات [admin-http-pool5][[]] cisco.cpm.posture.download.DownloadManager -::admin:- URI ملف التنزيل دون اتصال : /opt/CSCOcpm/temp/cp/update/5c064701-a1ee-4a09-a190-3bf83c190af6/osgroups.tar.gz
2025-03-13 13:58:07،251 معلومات [admin-http-pool5][[]
تم تنزيل تنزيل Opswat المكتملة، بالرجوع إلى تحديثات الوضع بنجاح.
2025-03-13 14:24:50،796 معلومات [pool-25534-thread-1][]] mnt.dbms.datadirect.impl.DatadirectServiceImpl -::- تنفيذ GetStatus - datadirectSettings
2025-03-13 14:24:50،803 معلومات [admin-http-pool5][]] cisco.cpm.posture.download.DownloadManager -::admin::- تم تنزيل Opswat
2025-03-13 14:24:50،827 INFO [admin-http-pool5][]] mnt.dbms.datadirect.impl.DatadirectServiceImpl -::admin::- تنفيذ getStatus - datadirectSettings
استكشاف الأخطاء وإصلاحها
السيناريو
فشلت تحديثات الوضع عبر الإنترنت مع حدوث الخطأ "يتعذر الوصول إلى العنوان البعيد". الرجاء التأكد من تكوين موجز ويب تحديث UR وعنوان الوكيل ومنفذ الوكيل بشكل صحيح.
نموذج الخطأ:

الحل
1. سجل الدخول إلى واجهة سطر الأوامر (CLI) الخاصة ب ISE، تحقق من أن ISE يمكن الوصول إليه إلى cisco.com باستخدام الأمر "ping cisco.com".
isehostname/admin#ping cisco.com
إختبار الاتصال على موقع الويب cisco.com (72. 163. 4. 161) 56(84) بايت من البيانات.
64 بايت من 72.163.4.161: icmp_seq=1 ttl=235 time=238 مللي ثانية
64 بايت من 72.163.4.161: icmp_seq=2 ttl=235 time=238 مللي ثانية
64 بايت من 72.163.4.161: icmp_seq=3 ttl=235 time=239 مللي ثانية
64 بايت من 72.163.4.161: icmp_seq=4 ttl=235 time=238 مللي ثانية
— cisco.com إحصائيات إختبار الاتصال —
4 حزم يتم إرسالها و 4 حزم يتم إستلامها و 0٪ فقدان حزم ووقت 3004 مللي ثانية
rtt min/avg/max/mdev = 238.180/238.424/238.766/0.410 مللي ثانية
2. انتقل إلى الإدارة -> النظام -> الإعدادات ->تم تكوين الوكيل باستخدام المنافذ المناسبة.

3. تحقق مما إذا كان قد تم السماح بمنافذ TCP 443 و UDP 53 و UDP 123 على جميع التنقلات إلى الإنترنت.
العيوب المعروفة لمسائل تحديث الوضع
معرف تصحيح الأخطاء من Cisco 01523
المرجع