Exemple de configuration de mise à niveau de l'image et de la signature d'IDS 4.1 vers IPS 5.0 et versions ultérieures (AIP-SSM, NM-IDS, IDSM-2)

Options de téléchargement

  • PDF     (148.2 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (100.2 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (93.5 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:12 octobre 2009
ID du document:88954

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

Ce document décrit comment mettre à niveau l'image et la signature du logiciel Cisco Intrusion Detection Sensor (IDS) de la version 4.1 vers Cisco Intrusion Prevention System (IPS) 5.0 et versions ultérieures.

Remarque : à partir des versions 5.x et ultérieures du logiciel, Cisco IPS remplace Cisco IDS, applicable jusqu'à la version 4.1.

Remarque : le capteur ne peut pas télécharger les mises à jour logicielles à partir de Cisco.com. Vous devez télécharger les mises à jour logicielles depuis Cisco.com sur votre serveur FTP, puis configurer le capteur afin de les télécharger à partir de votre serveur FTP.

Reportez-vous à la section Installation de l'image système AIP-SSM de Mise à niveau, rétrogradation et installation d'images système pour la procédure.

Référez-vous à Procédure de récupération de mot de passe pour les modules de services Cisco IDS Sensor et IDS (IDSM-1, IDSM-2) afin d'en savoir plus sur la récupération de l'appliance Cisco Secure IDS (anciennement NetRanger) et des modules pour les versions 3.x et 4.x.

Remarque : Le trafic utilisateur n'est pas affecté lors de la mise à niveau dans le paramètre inline et fail-open sur ASA - AIP-SSM.

Remarque : Reportez-vous à la section Mise à niveau du logiciel Cisco IPS de 5.1 à 6.x de Configuration du capteur du système de prévention des intrusions Cisco à l'aide de l'interface de ligne de commande 6.0 pour plus d'informations sur la procédure de mise à niveau du système IPS 5.1 vers la version 6.x.

Remarque : le capteur ne prend pas en charge les serveurs proxy pour les mises à jour automatiques. Les paramètres de proxy sont uniquement pour la fonction de corrélation globale.

Conditions préalables

Conditions requises

La version logicielle minimale requise pour la mise à niveau vers la version 5.0 est 4.1(1).

Components Used

Les informations de ce document sont basées sur le matériel IDS de la gamme Cisco 4200 qui exécute le logiciel version 4.1 (à mettre à niveau vers la version 5.0).

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Configuration

Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.

La mise à niveau de Cisco 4.1 vers 5.0 est disponible en téléchargement sur Cisco.com. Reportez-vous à Obtention du logiciel Cisco IPS pour connaître la procédure que vous utilisez pour accéder aux téléchargements du logiciel IPS sur Cisco.com.

Vous pouvez utiliser l'une des méthodes répertoriées ici afin d'effectuer la mise à niveau :

  • Après avoir téléchargé le fichier de mise à niveau 5.0, reportez-vous à la procédure Readme pour savoir comment installer le fichier de mise à niveau 5.0 avec la commande upgrade. Consultez la section Utiliser la commande de mise à niveau de ce document pour plus d'informations.

  • Si vous avez configuré Auto Update pour votre capteur, copiez le fichier de mise à niveau 5.0 dans le répertoire du serveur que votre capteur interroge pour obtenir des mises à jour. Consultez la section Utiliser la commande auto-upgrade de ce document pour plus d'informations.

  • Si vous installez une mise à niveau sur votre capteur et que celui-ci est inutilisable après son redémarrage, vous devez réinstaller votre capteur. Une mise à niveau d'un capteur à partir de n'importe quelle version de Cisco IDS antérieure à la version 4.1 nécessite également l'utilisation de la commande recover ou du CD de récupération/mise à niveau. Consultez la section Réimage du capteur de ce document pour plus d'informations.

Mettre à niveau le capteur

Ces sections expliquent comment utiliser la commande upgrade pour mettre à niveau le logiciel sur le capteur :

Aperçu

Vous pouvez mettre à niveau le capteur à l'aide de ces fichiers, qui ont tous l'extension .pkg :

  • Mises à jour des signatures, par exemple, IPS-sig-S150-minreq-5.0-1.pkg

  • Mises à jour du moteur de signature, par exemple, IPS-engine-E2-req-6.0-1.pkg

  • Mises à jour majeures, par exemple, IPS-K9-maj-6.0-1-pkg

  • Mises à jour mineures, par exemple, IPS-K9-min-5.1-1.pkg

  • Mises à jour du Service Pack, par exemple IPS-K9-sp-5.0-2.pkg

  • Mises à jour des partitions de récupération, par exemple, IPS-K9-r-1.1-a-5.0-1.pkg

  • Versions de correctifs, par exemple, IPS-K9-patch-6.0-1p1-E1.pkg

  • Mises à jour des partitions de récupération, par exemple, IPS-K9-r-1.1-a-6.0-1.pkg

Une mise à niveau du capteur modifie la version logicielle du capteur.

Commande et options de mise à niveau

Utilisez la commande auto-upgrade-option enabled dans le sous-mode de l'hôte de service afin de configurer les mises à niveau automatiques.

Ces options s'appliquent :

  • default : rétablit la valeur par défaut du système.

  • directory : répertoire dans lequel les fichiers de mise à niveau se trouvent sur le serveur de fichiers.

  • file-copy-protocol : protocole de copie de fichier utilisé pour télécharger des fichiers à partir du serveur de fichiers. Les valeurs valides sont ftp ou scp.

    Remarque : Si vous utilisez SCP, vous devez utiliser la commande ssh host-key pour ajouter le serveur à la liste des hôtes connus SSH afin que le capteur puisse communiquer avec lui via SSH. Reportez-vous à Ajout d'hôtes à la liste des hôtes connus pour la procédure.

  • ip-address : adresse IP du serveur de fichiers.

  • password : mot de passe utilisateur pour l'authentification sur le serveur de fichiers.

  • schedule-option : planifie les mises à niveau automatiques. La planification du calendrier démarre les mises à niveau à des heures spécifiques, sur des jours spécifiques. La planification périodique démarre les mises à niveau à intervalles réguliers spécifiques.

    • Calendar-schedule : configure les jours de la semaine et les heures de la journée où les mises à niveau automatiques sont effectuées.

      • days-of-week : jours de la semaine pendant lesquels les mises à niveau automatiques sont effectuées. Vous pouvez sélectionner plusieurs jours. Les valeurs valides sont les dimanches et samedis.

      • no : supprime un paramètre d'entrée ou de sélection.

      • times-of-day : heure à laquelle les mises à niveau automatiques commencent. Vous pouvez sélectionner plusieurs fois. La valeur valide est hh:mm[:ss].

    • schedule - Configure le temps nécessaire à la première mise à niveau automatique et le délai d'attente entre les mises à niveau automatiques.

      • interval : nombre d'heures à attendre entre les mises à niveau automatiques. Les valeurs valides sont comprises entre 0 et 8 760.

      • start-time : heure de début de la première mise à niveau automatique. La valeur valide est hh:mm[:ss].

  • user-name : nom d'utilisateur pour l'authentification sur le serveur de fichiers.

Pour connaître la procédure IDM de mise à niveau du capteur, reportez-vous à Mise à jour du capteur.

Utiliser la commande Upgrade

Vous recevez des erreurs SNMP si vous n'avez pas configuré les paramètres de communauté en lecture seule et de communauté en lecture-écriture avant la mise à niveau vers IPS 6.0. Si vous utilisez les fonctions set et/ou get, vous devez configurer les paramètres read-only-community et read-write-community avant de passer à IPS 6.0. Dans IPS 5.x, la communauté en lecture seule était définie sur public par défaut et la communauté en lecture-écriture sur private par défaut. Dans IPS 6.0, ces deux options n'ont pas de valeurs par défaut. Si vous n'avez pas utilisé SNMP get and set avec IPS 5.x, par exemple, enable-set-get a été défini sur false, alors il n'y a aucun problème à mettre à niveau vers IPS 6.0. Si vous avez utilisé SNMP get and sets avec IPS 5.x, par exemple, enable-set-get a été défini sur true, vous devez configurer les paramètres read-only-community et read-write-community sur des valeurs spécifiques ou la mise à niveau IPS 6.0 échoue.

Vous recevez le message d'erreur suivant : 

Error: execUpgradeSoftware : Notification Application "enable-set-get" value set to true, 
but "read-only-community" and/or "read-write-community" are set to null. Upgrade may not 
continue with null values in these fields.

Remarque : IPS 6.0 refuse par défaut les événements à haut risque. Il s'agit d'un changement par rapport à IPS 5.x. Afin de modifier la valeur par défaut, créez une substitution d'action d'événement pour l'action en ligne de refus de paquet et configurez-la pour qu'elle soit désactivée. Si l'administrateur n'est pas au courant de la communauté d'écriture en lecture, il doit essayer de désactiver complètement SNMP avant qu'une tentative de mise à niveau soit effectuée afin de supprimer ce message d'erreur.

Complétez ces étapes afin de mettre à niveau le capteur :

  1. Téléchargez le fichier de mise à jour principal (IPS-K9-maj-5.0-1-S149.rpm.pkg ) sur un serveur FTP, SCP, HTTP ou HTTPS accessible à partir de votre capteur.

    Reportez-vous à Obtention du logiciel Cisco IPS pour connaître la procédure à suivre pour localiser le logiciel sur Cisco.com.

    Remarque : Vous devez vous connecter à Cisco.com à l'aide d'un compte disposant de privilèges de cryptographie pour télécharger le fichier. Ne modifiez pas le nom du fichier. Vous devez conserver le nom de fichier d'origine pour que le capteur accepte la mise à jour.

    Remarque : Ne modifiez pas le nom du fichier. Vous devez conserver le nom de fichier d'origine pour que le capteur accepte la mise à jour.

  2. Connectez-vous à l'interface de ligne de commande à l'aide d'un compte disposant de privilèges d'administrateur.

  3. Passez en mode de configuration :

    sensor#configure terminal

  4. Mettre à niveau le capteur :

    sensor(config)#upgrade scp://
        
        
          @ 
         
           //upgrade/

    Exemple :

    Remarque : cette commande est sur deux lignes pour des raisons spatiales.

    sensor(config)#upgrade scp://tester@10.1.1.1//upgrade/
IPS-K9-maj-5.0-1-S149.rpm.pkg

    Remarque : Reportez-vous à Serveurs FTP et HTTP/HTTPS pris en charge pour obtenir la liste des serveurs FTP et HTTP/HTTPS pris en charge. Référez-vous à Ajout d'hôtes à la liste des hôtes connus SSH pour plus d'informations sur la façon d'ajouter le serveur SCP à la liste des hôtes connus SSH.

  5. Entrez le mot de passe lorsque vous y êtes invité :

    Enter password: ********
Re-enter password: ********

  6. Tapez yes pour terminer la mise à niveau.

    Remarque : Les mises à jour majeures, les mises à jour mineures et les Service Packs peuvent forcer le redémarrage des processus IPS ou même forcer le redémarrage du capteur pour terminer l'installation. Il y a donc une interruption de service pendant au moins deux minutes. Cependant, les mises à jour de signature ne nécessitent pas de redémarrage après la mise à jour. Référez-vous à Télécharger les mises à jour de signature (clients enregistrés uniquement) pour les dernières mises à jour.

  7. Vérifiez votre nouvelle version de capteur :

    sensor#show version

Application Partition:


Cisco Intrusion Prevention System, Version 5.0(1)S149.0


OS Version 2.4.26-IDS-smp-bigphys

Platform: ASA-SSM-20

Serial Number: 021

No license present

Sensor up-time is 5 days.

Using 490110976 out of 1984704512 bytes of available memory (24% usage)

system is using 17.3M out of 29.0M bytes of available disk space (59% usage)

application-data is using 37.7M out of 166.6M bytes of 
available disk space (24 usage)

boot is using 40.5M out of 68.5M bytes of available disk space (62% usage)


MainApp         2005_Mar_04_14.23 (Release)  2005-03-04T14:35:11-0600  Running

AnalysisEngine  2005_Mar_04_14.23 (Release)  2005-03-04T14:35:11-0600  Running

CLI             2005_Mar_04_14.23 (Release)  2005-03-04T14:35:11-0600


Upgrade History:


  IDS-K9-maj-5.0-1-   14:16:00 UTC Thu Mar 04 2004


Recovery Partition Version 1.1 - 5.0(1)S149


sensor#

    Remarque : pour IPS 5.x, vous recevez un message indiquant que la mise à niveau est de type inconnu. Vous pouvez ignorer ce message.

    Remarque : le système d'exploitation est réactualisé et tous les fichiers qui ont été placés sur le capteur via le compte de service sont supprimés.

Référez-vous à Mise à jour du capteur pour plus d'informations sur la procédure IDM pour la mise à niveau du capteur.

Configuration des mises à niveau automatiques

Mises à niveau automatiques

Vous pouvez configurer le capteur pour rechercher automatiquement de nouveaux fichiers de mise à niveau dans votre répertoire de mise à niveau. Par exemple, plusieurs capteurs peuvent pointer vers le même répertoire de serveur FTP distant avec des calendriers de mise à jour différents, par exemple toutes les 24 heures, ou lundi, mercredi et vendredi à 23 h.

Vous spécifiez ces informations afin de planifier des mises à niveau automatiques :

  • Adresse IP du serveur

  • Chemin du répertoire sur le serveur de fichiers où le capteur recherche les fichiers de mise à niveau

  • Protocole de copie de fichier (SCP ou FTP)

  • Nom d'utilisateur et mot de passe

  • Calendrier de mise à niveau

Vous devez télécharger la mise à niveau logicielle à partir de Cisco.com et la copier dans le répertoire de mise à niveau avant que le capteur puisse interroger les mises à niveau automatiques.

Remarque : Si vous utilisez la mise à niveau automatique avec AIM-IPS et d'autres appliances ou modules IPS, assurez-vous de placer le fichier de mise à niveau 6.0(1), IPS-K9-6.0-1-E1.pkg, et le fichier de mise à niveau AIM-IPS, IPS-AIM-K9-6.0-4-E1.pkg, sur le serveur de mise à jour automatique. doit être téléchargé et installé automatiquement. Si vous mettez seulement le fichier de mise à niveau 6.0(1), IPS-K9-6.0-1-E1.pkg, sur le serveur de mise à jour automatique, AIM-IPS télécharge et tente de l'installer, ce qui est le fichier incorrect pour AIM-IPS.

Référez-vous à Mise à jour automatique du capteur pour plus d'informations sur la procédure IDM pour la mise à niveau automatique du capteur.

Utiliser la commande auto-upgrade

Reportez-vous à la section Commande et options de mise à niveau de ce document pour obtenir les commandes auto-update.

Complétez ces étapes afin de planifier des mises à niveau automatiques :

  1. Connectez-vous à l'interface de ligne de commande avec un compte disposant de privilèges d'administrateur.

  2. Configurez le capteur afin de rechercher automatiquement de nouvelles mises à niveau dans votre répertoire de mise à niveau.

    sensor#configure terminal
sensor(config)#service host
sensor(config-hos)#auto-upgrade-option enabled

  3. Spécifier la planification :

    • Pour la planification du calendrier, qui démarre les mises à niveau à des heures spécifiques sur des jours spécifiques : 

      sensor(config-hos-ena)#schedule-option calendar-schedule
sensor(config-hos-ena-cal#days-of-week sunday
sensor(config-hos-ena-cal#times-of-day 12:00:00

    • Pour la planification périodique, qui démarre les mises à niveau à des intervalles périodiques spécifiques :

      sensor(config-hos-ena)#schedule-option periodic-schedule
sensor(config-hos-ena-per)#interval 24
sensor(config-hos-ena-per)#start-time 13:00:00

  4. Spécifiez l'adresse IP du serveur de fichiers :

    sensor(config-hos-ena-per)#exit
sensor(config-hos-ena)#ip-address 10.1.1.1

  5. Spécifiez le répertoire dans lequel se trouvent les fichiers de mise à niveau sur le serveur de fichiers :

    sensor(config-hos-ena)#directory /tftpboot/update/5.0_dummy_updates

  6. Spécifiez le nom d'utilisateur pour l'authentification sur le serveur de fichiers :

    sensor(config-hos-ena)#user-name tester

  7. Spécifiez le mot de passe de l'utilisateur :

    sensor(config-hos-ena)#password

Enter password[]: ******
Re-enter password: ******

  8. Spécifiez le protocole du serveur de fichiers : 

    sensor(config-hos-ena)#file-copy-protocol ftp

    Remarque : Si vous utilisez SCP, vous devez utiliser la commande ssh host-key afin d'ajouter le serveur à la liste des hôtes connus SSH afin que le capteur puisse communiquer avec lui via SSH. Reportez-vous à Ajout d'hôtes à la liste des hôtes connus pour la procédure.

  9. Vérifiez les paramètres :

    sensor(config-hos-ena)#show settings

   enabled

   -----------------------------------------------

      schedule-option

      -----------------------------------------------

         periodic-schedule

         -----------------------------------------------

            start-time: 13:00:00

            interval: 24 hours

         -----------------------------------------------

      -----------------------------------------------

      ip-address: 10.1.1.1

      directory: /tftpboot/update/5.0_dummy_updates

      user-name: tester

      password: <hidden>

      file-copy-protocol: ftp default: scp

   -----------------------------------------------

sensor(config-hos-ena)#

  10. Quitter le sous-mode de mise à niveau automatique :

    sensor(config-hos-ena)#exit
sensor(config-hos)#exit

Apply Changes:?[yes]:

  11. Appuyez sur Entrée pour appliquer les modifications ou tapez no afin de les ignorer.

Réimage du capteur

Vous pouvez réinstaller votre capteur de la manière suivante :

Informations connexes

Historique de révision

Révision Date de publication Commentaires
1.0
12-Oct-2009
Première publication

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco

Ce document s’applique à ces produits