IOS IPS auto-update 設定方法(CSCtw75750回避)

ドキュメント

2012/04/27 - 08:52
4月 26th, 2012
User Badges:
  • Cisco Employee,

IOS IPS auto-update 設定方法


IOS IPS auto-update は設定が少し複雑です。

また、以下の不具合もあり本設定方法は以下の不具合の回避も含めてた形となっております。

---

BugID: CSCtw75750

Headline: IOS IPS: Auto-update Unable to Load IPS Signature File from cisco.com.

URL:

http://tools.cisco.com/Support/BugToolKit/search/getBugDetails.do?method=fetchBugDetails&bugId=CSCtw75750


!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

! 本手順では基本的に # の後が実行していただくコマンドとなります。

! 証明書のセクションのみ ------ BEGIN CERTIFICATE----- から quit まで

! のコピー & ペーストという形でのコマンド実行がございます。

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!


! ルータでシスコIDとパスワードを指定する為パスワードを

! ルータ上で暗号化する必要がございます。

! 以下のコマンドを実施した際に、ルータ上のパスワードは

! 暗号化されます。

! このコマンドはパスワードを暗号化する際に使用されるキー

! となります。auto update 用のパスワードそのものではございません。


# conf t

# password encryption aes

# key config-key password-encrypt

New key: XXXXX        <---- 暗号化する際に使用するkey を指定

Confirm key:XXXXX        <---- 上と同じものを再度入力


! 以下は弊社サーバに https で通信をする際シスコのサイトを信頼して

! 通信をする為にに事前に設定証明書するものとなります。

! configure terminal からコマンドを順々に実行していき

! ------ BEGIN CERTIFICATE----- から quit まで

! をコピーしてルータのコンソールに貼り付けてください。

! 最後に yes にて設定を許可してください。


# crypto pki trustpoint root

# enrollment terminal

# revocation-check none

# crypto ca authen root


Enter the base 64 encoded CA certificate.                     <---- こちらはルータの出力となります。

End with a blank line or the word "quit" on a line by itself  <---- こちらはルータの出力となります。


-----BEGIN CERTIFICATE-----

MIIDAjCCAmsCEH3Z/gfPqB63EHln+6eJNMYwDQYJKoZIhvcNAQEFBQAwgcExCzAJ

BgNVBAYTAlVTMRcwFQYDVQQKEw5WZXJpU2lnbiwgSW5jLjE8MDoGA1UECxMzQ2xh

c3MgMyBQdWJsaWMgUHJpbWFyeSBDZXJ0aWZpY2F0aW9uIEF1dGhvcml0eSAtIEcy

MTowOAYDVQQLEzEoYykgMTk5OCBWZXJpU2lnbiwgSW5jLiAtIEZvciBhdXRob3Jp

emVkIHVzZSBvbmx5MR8wHQYDVQQLExZWZXJpU2lnbiBUcnVzdCBOZXR3b3JrMB4X

DTk4MDUxODAwMDAwMFoXDTI4MDgwMTIzNTk1OVowgcExCzAJBgNVBAYTAlVTMRcw

FQYDVQQKEw5WZXJpU2lnbiwgSW5jLjE8MDoGA1UECxMzQ2xhc3MgMyBQdWJsaWMg

UHJpbWFyeSBDZXJ0aWZpY2F0aW9uIEF1dGhvcml0eSAtIEcyMTowOAYDVQQLEzEo

YykgMTk5OCBWZXJpU2lnbiwgSW5jLiAtIEZvciBhdXRob3JpemVkIHVzZSBvbmx5

MR8wHQYDVQQLExZWZXJpU2lnbiBUcnVzdCBOZXR3b3JrMIGfMA0GCSqGSIb3DQEB

AQUAA4GNADCBiQKBgQDMXtERXVxp0KvTuWpMmR9ZmDCOFoUgRm1HP9SFIIThbbP4

pO0M8RcPO/mn+SXXwc+EY/J8Y8+iR/LGWzOOZEAEaMGAuWQcRXfH2G71lSk8UOg0

13gfqLptQ5GVj0VXXn7F+8qkBOvqlzdUMG+7AUcyM83cV5tkaWH4mx0ciU9cZwID

AQABMA0GCSqGSIb3DQEBBQUAA4GBAFFNzb5cy5gZnBWyATl4Lk0PZ3BwmcYQWpSk

U01UbSuvDV1Ai2TT1+7eVmGSX6bEHRBhNtMsJzzoKQm5EWR0zLVznxxIqbxhAe7i

F6YM40AIOw7n60RzKprxaZLvcRTDOaxxp5EJb+RxBrO6WVcmeQD2+A2iMzAo1KpY

oJ2daZH9

-----END CERTIFICATE-----

quit


Certificate has the following attributes:                                                             <---- こちらはルータの出力となります。

       Fingerprint MD5: A2339B4C 747873D4 6CE7C1F3 8DCB5CE9                 <---- こちらはルータの出力となります。

      Fingerprint SHA1: 85371CA6 E550143D CE280347 1BDE3A09 E8F8770F  <---- こちらはルータの出力となります。


% Do you accept this certificate? [yes/no]: yes


! auto-update の設定をします。

! 以下の設定では毎日 AM 4時30分に新規 signature がないか

! cisco サイトへ確認を実施します。

! 新規 signature がある場合にはダウンロードを実施し適用します。


#ip ips auto-update

# occur-at weekly 0-6 30 4

# cisco

# username <cisco.com 用のアカウントID> password <cisco.com 用のパスワード>

# exit


! 以下の ida-client コマンドは CSCtw75750 回避策として設定しております。

! 回避策は状況に応じて変更されることがございますので暫定の処置として

! ご認識頂けますようお願い申し上げます。

! 暫定処置が正常に動作しない場合には不具合の修正をお待ちいただく場合が

! ございます。あらかじめご了承いただけますようお願い申し上げます。


# ida-client server url https://www.cisco.com/cgi-bin/front.x/ida/locator/locator.pl

# exit


! 設定確認の為、以下のコマンドにてご確認をお願いいたします。


# show ip ips auto


!#sho ip ips auto-update

!IPS Auto Update Configuration

!  URL               : Direct Download from Cisco.com

!  Username          : XXXXX

!  Encrypted password: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

!  Auto Update Intervals

!    minutes (0-59)           : 22

!    hours (0-23)             : 8

!    days of month (1-31)     :

!    days of week: (0-6)      : 0-6

!    Next scheduled load time : to be scheduled in 8 hours 9 minutes <---- Next scheduled があれば設定は成功です。


設定は以上となります。

Loading.

アクション

このドキュメントについて

Related Content