IOS IPS auto-update 設定方法
IOS IPS auto-update は設定が少し複雑です。
また、以下の不具合もあり本設定方法は以下の不具合の回避も含めてた形となっております。
---
BugID: CSCtw75750
Headline: IOS IPS: Auto-update Unable to Load IPS Signature File from cisco.com.
URL:
http://tools.cisco.com/Support/BugToolKit/search/getBugDetails.do?method=fetchBugDetails&bugId=CSCtw75750
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
! 本手順では基本的に # の後が実行していただくコマンドとなります。
! 証明書のセクションのみ ------ BEGIN CERTIFICATE----- から quit まで
! のコピー & ペーストという形でのコマンド実行がございます。
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
! ルータでシスコIDとパスワードを指定する為パスワードを
! ルータ上で暗号化する必要がございます。
! 以下のコマンドを実施した際に、ルータ上のパスワードは
! 暗号化されます。
! このコマンドはパスワードを暗号化する際に使用されるキー
! となります。auto update 用のパスワードそのものではございません。
# conf t
# password encryption aes
# key config-key password-encrypt
New key: XXXXX <---- 暗号化する際に使用するkey を指定
Confirm key:XXXXX <---- 上と同じものを再度入力
! 以下は弊社サーバに https で通信をする際シスコのサイトを信頼して
! 通信をする為にに事前に設定証明書するものとなります。
! configure terminal からコマンドを順々に実行していき
! ------ BEGIN CERTIFICATE----- から quit まで
! をコピーしてルータのコンソールに貼り付けてください。
! 最後に yes にて設定を許可してください。
# crypto pki trustpoint root
# enrollment terminal
# revocation-check none
# crypto ca authen root
Enter the base 64 encoded CA certificate. <---- こちらはルータの出力となります。
End with a blank line or the word "quit" on a line by itself <---- こちらはルータの出力となります。
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
quit
Certificate has the following attributes: <---- こちらはルータの出力となります。
Fingerprint MD5: A2339B4C 747873D4 6CE7C1F3 8DCB5CE9 <---- こちらはルータの出力となります。
Fingerprint SHA1: 85371CA6 E550143D CE280347 1BDE3A09 E8F8770F <---- こちらはルータの出力となります。
% Do you accept this certificate? [yes/no]: yes
! auto-update の設定をします。
! 以下の設定では毎日 AM 4時30分に新規 signature がないか
! cisco サイトへ確認を実施します。
! 新規 signature がある場合にはダウンロードを実施し適用します。
#ip ips auto-update
# occur-at weekly 0-6 30 4
# cisco
# username <cisco.com 用のアカウントID> password <cisco.com 用のパスワード>
# exit
! 以下の ida-client コマンドは CSCtw75750 回避策として設定しております。
! 回避策は状況に応じて変更されることがございますので暫定の処置として
! ご認識頂けますようお願い申し上げます。
! 暫定処置が正常に動作しない場合には不具合の修正をお待ちいただく場合が
! ございます。あらかじめご了承いただけますようお願い申し上げます。
# ida-client server url https://www.cisco.com/cgi-bin/front.x/ida/locator/locator.pl
# exit
! 設定確認の為、以下のコマンドにてご確認をお願いいたします。
# show ip ips auto
!#sho ip ips auto-update
!IPS Auto Update Configuration
! URL : Direct Download from Cisco.com
! Username : XXXXX
! Encrypted password: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
! Auto Update Intervals
! minutes (0-59) : 22
! hours (0-23) : 8
! days of month (1-31) :
! days of week: (0-6) : 0-6
! Next scheduled load time : to be scheduled in 8 hours 9 minutes <---- Next scheduled があれば設定は成功です。
設定は以上となります。