Introduction
Ce document décrit le processus pour les clients Bêta, et les appliances pré-provisionnées utilisées pour les tests, qui ont besoin de mettre à niveau les versions AsyncOS et d'obtenir des mises à jour pour ESA et SMA exécutant les tests Bêta et pré-version. Ce document concerne directement l'appliance de sécurité de la messagerie électronique (ESA) et l'appliance de gestion de la sécurité (SMA) Cisco. Gardez à l'esprit que les serveurs intermédiaires ne doivent pas être utilisés par les clients de production standard pour la production ESA ou SMA. Les versions de système d'exploitation intermédiaire, les règles de services et les moteurs de services varient en fonction de la production.
Avant de commencer, n'oubliez pas que les licences de production ne pourront pas être mises à niveau vers les versions Stage car elles ne pourront pas passer la vérification et l'authentification de la licence. Un VLAN de production a une valeur de signature écrite lors de la génération de la licence, qui correspondra au service de licence de production. Les licences de transfert ont une signature distincte écrite uniquement pour le service de licence de transfert.
Conditions préalables
Exigences
- L'administrateur a reçu une communication préalable concernant l'installation ou les mises à niveau du système d'exploitation bêta (version précommerciale).
- Les clients participant à la version bêta et aux tests de préversion ont terminé une application bêta et ont lu et accepté un accord de non-divulgation avant le début de la version bêta.
Composants utilisés
Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Configurer la sécurité de la messagerie Cisco et la gestion de la sécurité pour les mises à jour intermédiaires
Remarque : les clients ne doivent utiliser les URL du serveur de mise à jour intermédiaire que s'ils ont obtenu l'accès au pré-provisionnement via Cisco pour une utilisation bêta (pré-version du système d'exploitation) uniquement. Si aucune licence valide n'est appliquée pour l'utilisation bêta, votre appliance ne recevra pas de mises à jour des serveurs de mise à jour intermédiaire. Ces instructions ne doivent être utilisées que pour les clients Bêta ou par les administrateurs qui participent aux tests Bêta.
Afin de recevoir des mises à jour et mises à niveau intermédiaires :
Connexion à l'interface utilisateur graphique
- Choisissez Security Services > Services Updates > Edit Update Settings...
- Vérifiez que tous les services sont configurés pour utiliser les serveurs de mise à jour Cisco IronPort
Connexion à l'interface de ligne de commande
- Exécutez la commande updateconfig
- Exécutez la sous-commande masquée dynamichost
- Entrez l'une des commandes suivantes :
- Pour le matériel ESA/SMA : stage-update-manifests.ironport.com:443
- Pour ESA/SMA virtuel : stage-stg-updates.ironport.com:443
- Appuyez sur Entrée jusqu'à ce que vous reveniez à l'invite principale
- Entrez Commit afin d'enregistrer toutes les modifications
Vérifier
La vérification peut être vue dans updater_logs avec la communication réussie pour l'URL de l'étape appropriée. Dans l'interface de ligne de commande de l'appliance, entrez grep stage_updater_logs :
esa.local> updatenow force
Success - Force update for all components requested
esa.local > grep stage updater_logs
Wed Mar 16 18:16:17 2016 Info: internal_cert beginning download of remote file "http://stage-updates.ironport.com/internal_cert/1.0.0/internal_ca.pem/default/100101"
Wed Mar 16 18:16:17 2016 Info: content_scanner beginning download of remote file "http://stage-updates.ironport.com/content_scanner/1.1/content_scanner/default/1132001"
Wed Mar 16 18:16:17 2016 Info: enrollment_client beginning download of remote file "http://stage-updates.ironport.com/enrollment_client/1.0/enrollment_client/default/102057"
Wed Mar 16 18:16:18 2016 Info: support_request beginning download of remote file "http://stage-updates.ironport.com/support_request/1.0/support_request/default/100002"
Wed Mar 16 18:16:18 2016 Info: timezones beginning download of remote file "http://stage-updates.ironport.com/timezones/2.0/zoneinfo/default/2015100"
Wed Mar 16 18:26:19 2016 Info: repeng beginning download of remote file "http://stage-updates.ironport.com/repeng/1.2/repeng_tools/default/1392120079"
En cas d'erreurs de communication inattendues, entrez dig <stage URL> afin de vérifier Domain Name Server (DNS).
Exemple :
esa.local > dig stage-updates.ironport.com
; <<>> DiG 9.8.4-P2 <<>> stage-updates.ironport.com A
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 52577
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;stage-updates.ironport.com. IN A
;; ANSWER SECTION:
stage-updates.ironport.com. 275 IN A 208.90.58.21
;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Tue Mar 22 14:31:10 2016
;; MSG SIZE rcvd: 60
Vérifiez que l'appliance peut établir une connexion Telnet sur le port 80, exécutez la commande telnet <URL de la phase> 80.
Exemple :
esa.local > telnet stage-updates.ironport.com 80
Trying 208.90.58.21...
Connected to origin-stage-updates.ironport.com.
Escape character is '^]'.
Rétablir
Pour revenir aux serveurs de mise à jour de production standard, procédez comme suit :
- Entrez la commande updateconfig
- Entrez la sous-commande masquée dynamichost
- Entrez l'une des commandes suivantes :
- Pour le matériel ESA/SMA : update-manifests.ironport.com:443
- Pour ESA/SMA virtuel : update-manifests.sco.cisco.com:443
- Appuyez sur Entrée jusqu'à ce que vous reveniez à l'invite principale
- Exécutez la commande Commit afin d'enregistrer toutes les modifications
Remarque : les appliances matérielles (C1x0, C3x0, C6x0 et X10x0) doivent UTILISER UNIQUEMENT les URL d'hôte dynamiques de stage-update-manifests.ironport.com:443 ou update-manifests.ironport.com:443. Si une configuration de cluster est à la fois avec ESA et vESA, updateconfig doit être configurée au niveau de la machine et confirmer que dynamic host est alors défini en conséquence.
Filtrage des URL
AsyncOS 13.0 et versions antérieures
Si le filtrage d'URL est configuré et utilisé sur l'appliance, une fois qu'une appliance a été redirigée pour utiliser l'URL de transfert pour les mises à jour, l'appliance doit également être configurée pour utiliser le serveur de transfert pour le filtrage d'URL :
- Accès à l'appliance via la CLI
- Saisissez la commande websecurityadvancedconfig
- Parcourez la configuration et modifiez la valeur de l'option Entrez le nom d'hôte du service de sécurité Web sur v2.beta.sds.cisco.com
- Modifier la valeur de l'option Entrez la valeur par défaut de 50 à 5 pour le seuil des demandes en attente
- Accepter les valeurs par défaut pour toutes les autres options
- Appuyez sur Entrée jusqu'à ce que vous reveniez à l'invite principale
- Exécutez la commande Commit afin d'enregistrer toutes les modifications
Rétablir
Pour revenir au service de sécurité Web de production, procédez comme suit :
- Accès à l'appliance via CLI
- Entrez la commande websecurityadvanced config
- Parcourez la configuration et modifiez la valeur de l'option Entrez le nom d'hôte du service de sécurité Web sur v2.sds.cisco.com
- Accepter les valeurs par défaut pour toutes les autres options
- Appuyez sur Entrée jusqu'à ce que vous reveniez à l'invite principale
- Exécutez la commande Commit afin d'enregistrer toutes les modifications
AsyncOS 13.5 et versions ultérieures (utilisant les services Cisco Talos)
À partir de la version 13.5 d'AsyncOS pour la sécurité de la messagerie, l'analyse des URL du cloud (CUA) a été introduite et a modifié les options websecurityadvanced config. L'analyse des URL étant désormais effectuée dans le cloud Talos, le nom d'hôte des services de sécurité Web n'est plus nécessaire. Il a été remplacé par la commande talosconfig. Cette option n'est disponible que sur la ligne de commande de l'ESA.
esa.local> talosconfig
Choose the operation you want to perform:
- SETUP - Configure beaker streamline configuration settings
[]> setup
Configured server is: stage_server
Choose the server for streamline service configuration:
1. Stage Server
2. Production Server
[]> 1
Si vous exécutez une licence Stage, vous devez être dirigé vers les services Stage Server for Talos.
Vous pouvez exécuter talosupdate et talosstatus pour demander une mise à jour et l'état actuel de tous les services pilotés par Talos.
Exemple :
Pour plus d'informations, consultez le Guide de l'utilisateur d'AsyncOS 13.5 pour les dispositifs de sécurité de la messagerie Cisco.
Paramètres de pare-feu pour accéder aux services Cisco Talos
Vous devez ouvrir le port HTTPS (Out) 443 sur le pare-feu pour les noms d'hôte ou adresses IP suivants (reportez-vous au tableau ci-dessous) pour connecter votre passerelle de messagerie aux services Cisco Talos.
Nom de l'hôte |
IPv4 |
IPv6 |
grpc.talos.cisco.com |
146.112.62.0/24 |
2a04:e4c7:ffff::/48 |
email-sender-ip-rep-grpc.talos.cisco.com |
146.112.63.0/24 |
2a04:e4c7:fffe::/48 |
serviceconfig.talos.cisco.com |
146.112.255.0/24 |
- |
|
146.112.59.0/24 |
- |
Suivi des interactions Web
La fonctionnalité de suivi des interactions Web fournit des informations sur les utilisateurs finaux qui ont cliqué sur des URL réécrites et sur l'action (autorisée, bloquée ou inconnue) associée à chaque clic utilisateur.
Selon vos besoins, vous pouvez activer le suivi des interactions Web sur l'une des pages de paramètres globaux :
- Filtres contre les attaques. Suivre les utilisateurs finaux qui ont cliqué sur des URL réécrites par les filtres contre les attaques
- Filtrage des URL. Suivre les utilisateurs finaux qui ont cliqué sur des URL réécrites par des stratégies (à l'aide de filtres de contenu et de messages)
Si le suivi des interactions Web est configuré et utilisé, une fois qu'une appliance a été redirigée pour utiliser l'URL de transfert pour les mises à jour, l'appliance devra également être configurée pour utiliser le serveur de l'agrégation de transfert :
- Accès à l'appliance via la CLI
- Entrez la commande aggregatorconfig
- Utilisez la commande EDIT et entrez la valeur suivante : stage.aggregator.sco.cisco.com
- Appuyez sur Entrée jusqu'à ce que vous reveniez à l'invite principale
- Exécutez Commit afin d'enregistrer toutes les modifications
Si l'agrégateur n'est pas configuré pour la préparation, vous verrez des alertes similaires toutes les 30 minutes via des alertes par e-mail d'administration :
Unable to retrieve Web Interaction Tracking information from the Cisco Aggregator Server. Details: Internal Server Error.
Ou, en exécutant la commande displayalerts sur l'interface de ligne de commande :
20 Apr 2020 08:52:52 -0600 Unable to connect to the Cisco Aggregator Server.
Details: No valid SSL certificate was sent.
Rétablir
Afin de revenir au serveur d'agrégation de production standard, complétez ces étapes :
- Accès à l'appliance via CLI
- Entrez la commande aggregatorconfig
- Utilisez la commande EDIT et entrez cette valeur : aggregator.cisco.com
- Appuyez sur Entrée jusqu'à ce que vous reveniez à l'invite principale
- Exécutez la commande Commit afin d'enregistrer toutes les modifications
Dépannage
Les commandes de dépannage sont répertoriées dans la section « Vérifier » de ce document.
Si les informations suivantes s'affichent lors de l'exécution de la commande upgrade :
Failure downloading upgrade list.
Vérifiez que vous avez modifié l'hôte dynamique. Si le problème persiste, demandez et confirmez que votre ESA ou SMA a été correctement provisionné pour les tests bêta ou de pré-version.
Informations connexes