キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

IPS SHA-2への移行に伴うソフトウェアアップグレードの必要性について

本記事は以下のField Noticeを元に作成されています。

本記事の内容とField Noticeの間で表現の違いなどによる齟齬があった場合はField Noticeの内容が正しいものとなります。

Field Notice: FN - 64080 - IPS Sensors - Software Upgrade Required in Order to Enable SHA-2 Support For IPS Signature Updates

http://www.cisco.com/c/en/us/support/docs/field-notices/640/fn64080.html

 

 

IPSシグネチャの自動アップデートにおいて、使用アルゴリズムをSHA-1からSHA-2へ移行いたします。

つきましては、SHA-2サポートを有効にするために、ソフトウェアアップグレードを実行して頂く必要がございます。

 

<影響のある製品>

IPS 6.2

IPS 7.0

IPS 7.1

IPS 7.3

 

上記バージョンで自動アップデートの設定を行っている場合に影響を受けます。

 

Cisco Security Manager(CSM)を使用して自動シグネチャアップデートを行っているお客様については、ご使用中のSHA-1 Contact URL certificateSHA-2 Contact URL certificateに変更する際に同じContact URLを使用していただく必要があるかもしれません。

 

<期日>

2016212日まで

 

<内容>

Cisco IPSではシグネチャアップグレードを継続的に行うことでお客様のネットワークを最新の脅威から防いでいます。

この度、シグネチャを提供するシスコのサーバーがSHA-2を採用することとなったため、その互換性を維持するためにソフトウェアアップグレードが必要となります。

自動シグネチャアップグレードを設定しているお客様はご使用のIPSソフトウェアを2016212日までに以下のバージョンへアップグレードしていただく必要がございます。

 

IPS 7.1(11)E4 または それ以降

IPS 7.3(4)E4 または それ以降

 

また、この変更による影響はシスコサーバーからのダウンロードに限られます。

したがって、シスコサーバーではなくリモートのサーバーをご利用のお客様は継続してアップグレードを受け取ることが可能です。

また、シグネチャアップデートパッケージをWebブラウザを利用してダウンロードされているお客様も影響を受けません。

 

<想定される問題>

2016212日までに7.1(11)E4 または 7.3(4)E4へとソフトウェアアップグレードを行わなかった場合は自動シグネチャアップデートを受け取ることができなくなり、セキュリティの脅威に対し脆弱になる可能性があります。

 

<対策>

IPS6.2またはIPS 7.0をご使用のお客様へ

CSMWebブラウザを用いてシグネチャアップロードパッケージを手動でダウンロードしてください。

SHA-2認証の導入が始まると、シスコサーバーから該当のIPSへの自動アップデートは利用できなくなります。

 

IPS 7.1をご使用のお客様へ

バージョン7.1(11)E4 またはそれ以降のバージョンへアップグレードしてください。

 

IPS 7.3をご使用のお客様へ

バージョン7.3(4)E4 またはそれ以降のバージョンへアップグレードしてください。

 

 

以下のいずれかの方法でアップグレードを行ってください。

 

方法1 CLIを利用したアップグレード

方法2 IPS Device Manager(IDM)/ IPS Manager Express(IME)を利用したアップグレード

 

 

<<方法1 CLIを利用したアップグレード>>

手順1. 適当なパッケージファイル(IPS-4510-K9-7.1-11-E4.pkg)をローカルサーバへダウンロー 

手順2. 管理者特権レベルのアカウントへのログイン

手順3. "configure terminal"コマンドを入力

手順4. 以下のコマンドを入力してセンサーをアップグレード

sensor(config)#upgrade [URL]/IPS-4510-K9-7.1-11-E4.pkg

[URL]はパッケージが置かれている場所となります。例:ftp://username@ip-address//directoryなど。

SCP, FTP, HTTP, HTTPSもご利用できます。

 

手順5. パスワードを入力

手順6. "yes"を入力しアップグレードを完了する。センサーが再起動し変更が適用されます。

 

センサーにアップグレードバージョンが正しくインストールされたかを確かめたい場合には、CLIでログインし、"show version"コマンドを入力してください。

出力画面上で、バージョンが7.1(11)E4(または7.3(4)E4)であることをご確認いただけます。

また、更新履歴にIPS-4510-K9-7.1-11-E4.pkgが表示されます。

 

注意:  IPS 7.1(11)E4へアップグレードするためには以下のバージョンを実行している必要があります。

    IPS 42XXSSM シリーズをご使用の場合: IPS 6.0(6) 以降のバージョン

    IPS 43XXASA 5500-X IPS SSP シリーズをご使用の場合: IPS 7.1(3)E4 以降のバージョン

    IPS 45XXシリーズをご使用の場合: IPS 7.1(4)E4 以降のバージョン

    ASA 5585-X IPS SSP シリーズをご使用の場合: IPS 7.1(1)E4 以降のバージョン

 

 

<<方法2 IPS Device Manager(IDM)/ IPS Manager Express(IME)を利用したアップグレード>>

手順1. Configure > Sensor Management > Update Sensorの順に選択

手順2. 必要に応じて適切なパッケージの保存場所と転送方法を選択。

 

IDM/IMEを実行しているシステムからアップグレードパッケージをインストールする場合は以下のキャプチャ画像のように"Update is located on this client"を選択し、適切なローカルパスを参照してください。

 

 http://www.cisco.com/c/dam/en/us/support/docs/field-notices/640/fn64080_nzdqiz.png

手順3. "Update Sensor"をクリックしてアップデートをIPSに適用してください。

 

 

注意: バージョン7.1(11)E4 7.3(4)E4では、シスコからの自動シグネチャアップデートの受信をサポートするために、IPSDNSサーバやHTTP proxyの設定がされている必要があります。

バージョンアップ後に設定のご確認をお願いいたします。

 

 

 

上記の内容について質問がございましたら、Cisco Technical Assistance Center(TAC)にお問い合わせください。

バージョン履歴
改訂番号
1/1
最終更新:
‎01-21-2016 01:49 AM
更新者:
 
ラベル(1)