¿Cuáles son algunas soluciones / soluciones para UTM / IDP en Junos 12.1X44-D10.4 para dispositivos de la serie SRX?


7

Los últimos cursos de JNCIP / JNCIE-SEC usan 12.1X44-D10.4 como la versión recomendada de Junos. Configuré una evaluación de 30 días en el dispositivo SRX de mi casa para estudiar JIPS, basado en 12.1. En este punto, supongo que mi problema es que las licencias de prueba para 12.1X44-D10.4 podrían ser equivalentes a 12.2, 12.3 o totalmente incompatibles. Esto es lo que estoy intentando ahora:

netops> request security idp security-package download full-update    
Will be processed in async mode. Check the status using the status checking CLI

root> request security idp security-package download status         
In progress:SignatureUpdate_tmp.xml.gz                          100 % 2034681 Bytes/ 2034681 Bytes

root> request security idp security-package download status    
Done;File applications.xml.gz is corrupt - MD5 hash match failed

Como la licencia se instaló correctamente (pero no las firmas de IDP), también iba a solicitar manualmente una descarga con los parámetros de URL adecuados (mencionados en KB19502 )

No he tenido suerte en Juniper.net, pero aquí están mis próximos pasos planeados:

  • Olfatea el tráfico / descubre qué versión está intentando descargar
  • Solicitar manualmente una descarga, por ejemplo. https://services.netscreen.com/cgi-bin/index.cgi?device=jsrx650&feature=idp&os=10.3&detector=10.4.160100823&from=1817&to=1805&type=update
  • Hable con mi representante de Juniper esta semana (y sí, estoy agregando soporte en este dispositivo). Editar: abrió un ticket de Atención al cliente con Juniper, ya que es un dispositivo nuevo. Seguirá con resolución.
  • Estoy leyendo los documentos técnicos / documentación para ver si hay pasos adicionales que podrían causar que esto falle, pero he intentado con los sospechosos habituales, como la resolución de nombres, la hora del sistema / NTP, etc., etc.

Editar: la degradación a 12.1R5.5 no solucionó el problema, y ​​todavía obtengo un error / la coincidencia hash md5 falló. Esto no parece deberse a la falta de almacenamiento, lo que podría causar errores extraños como este.


¿Alguna respuesta te ayudó? Si es así, debe aceptar la respuesta para que la pregunta no siga apareciendo para siempre, buscando una respuesta. Alternativamente, puede proporcionar y aceptar su propia respuesta.
Ron Maupin

Respuestas:


4

Al parecer, esta fue una solución fácil (también probé 12.1R6.5 y 12.1X44-D11.5, sin éxito).

Primero, miré la versión de la firma DB que está intentando descargar (2263):

 netops> request security idp security-package download check-server    
 Successfully retrieved from(https://services.netscreen.com/cgi-bin/index.cgi).
 Version info:2263(Detector=12.6.160130325, Templates=2263)

Entonces, decidí que esto es posiblemente una suma de verificación md5 realmente mala (según lo que Junos espera), y descargué la versión anterior, 2262:

 netops> request security idp security-package download version full-update 2262    
 Will be processed in async mode. Check the status using the status checking CLI

¡Funcionó! Tuve que hacer algo similar en Netscreen, pero ha pasado un tiempo. Desactivé las actualizaciones automáticas y puedo volver a estudiar.

 netops> request security idp security-package download status    
 Done;Successfully downloaded from(https://services.netscreen.com/cgi-bin/index.cgi).
 Version info:2262(Tue May 14 16:27:00 2013 UTC, Detector=12.6.160130325)

Ahora que la descarga ha finalizado, todo se está instalando correctamente:

 netops> request security idp security-package install          
 Will be processed in async mode. Check the status using the status checking CLI

 netops> request security idp security-package install status 
 In progress:performing DB update...

 netops> request security idp security-package install status    
 In progress:performing DB update for an xml (groups.xml)

 netops> request security idp security-package install status
 In progress:performing DB update for an xml (applications.xml)

 etc.

 netops> request security idp security-package install status    
 Done;Attack DB update : successful - [UpdateNumber=2262,ExportDate=Tue May 14 16:27:00   2013 UTC,Detector=12.6.160130325]
 Updating control-plane with new detector : successful
 Updating data-plane with new attack or detector : not performed
  due to no active policy configured.

Estoy pensando que esto es un error en SRX110H-VA, una combinación de versión de hardware / software o actualizaciones de firmas incorrectas en services.netscreen.com. Estoy bastante seguro de que podría mirar a través del XML y descubrir dónde está el md5sum malo (y arreglarlo a mano), pero lo seguiré una vez que tenga noticias de Juniper.

Edición más reciente: también tuve que descargar manualmente la plantilla de política de Juniper, extraerla gzip -d templates.xml.gzy colocarla /var/db/idpd/sec-download/sub-download/. Una vez hecho eso, pude instalarlo. El problema aquí es que el request security idp security-package install policy-templatescomando no toma una 'versión', como los otros comandos idp. Esto siempre será un problema cuando la política de IDP principal tenga errores md5, aunque espero que esto no sea frecuente en Juniper.

 netops> request security idp security-package install policy-templates 
 Will be processed in async mode. Check the status using the status checking CLI

 netops> request security idp security-package install status              
 Done;policy-templates has been successfully updated into internal repository
 (=>/var/db/scripts/commit/templates.xsl)! 
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.