Ce document décrit comment mettre à niveau l'image et la signature du logiciel Cisco Intrusion Detection Sensor (IDS) de la version 4.1 vers Cisco Intrusion Prevention System (IPS) 5.0 et versions ultérieures.
Remarque : à partir des versions 5.x et ultérieures du logiciel, Cisco IPS remplace Cisco IDS, applicable jusqu'à la version 4.1.
Remarque : le capteur ne peut pas télécharger les mises à jour logicielles à partir de Cisco.com. Vous devez télécharger les mises à jour logicielles depuis Cisco.com sur votre serveur FTP, puis configurer le capteur afin de les télécharger à partir de votre serveur FTP.
Reportez-vous à la section Installation de l'image système AIP-SSM de Mise à niveau, rétrogradation et installation d'images système pour la procédure.
Référez-vous à Procédure de récupération de mot de passe pour les modules de services Cisco IDS Sensor et IDS (IDSM-1, IDSM-2) afin d'en savoir plus sur la récupération de l'appliance Cisco Secure IDS (anciennement NetRanger) et des modules pour les versions 3.x et 4.x.
Remarque : Le trafic utilisateur n'est pas affecté lors de la mise à niveau dans le paramètre inline et fail-open sur ASA - AIP-SSM.
Remarque : Reportez-vous à la section Mise à niveau du logiciel Cisco IPS de 5.1 à 6.x de Configuration du capteur du système de prévention des intrusions Cisco à l'aide de l'interface de ligne de commande 6.0 pour plus d'informations sur la procédure de mise à niveau du système IPS 5.1 vers la version 6.x.
Remarque : le capteur ne prend pas en charge les serveurs proxy pour les mises à jour automatiques. Les paramètres de proxy sont uniquement pour la fonction de corrélation globale.
La version logicielle minimale requise pour la mise à niveau vers la version 5.0 est 4.1(1).
Les informations de ce document sont basées sur le matériel IDS de la gamme Cisco 4200 qui exécute le logiciel version 4.1 (à mettre à niveau vers la version 5.0).
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.
Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.
La mise à niveau de Cisco 4.1 vers 5.0 est disponible en téléchargement sur Cisco.com. Reportez-vous à Obtention du logiciel Cisco IPS pour connaître la procédure que vous utilisez pour accéder aux téléchargements du logiciel IPS sur Cisco.com.
Vous pouvez utiliser l'une des méthodes répertoriées ici afin d'effectuer la mise à niveau :
Après avoir téléchargé le fichier de mise à niveau 5.0, reportez-vous à la procédure Readme pour savoir comment installer le fichier de mise à niveau 5.0 avec la commande upgrade. Consultez la section Utiliser la commande de mise à niveau de ce document pour plus d'informations.
Si vous avez configuré Auto Update pour votre capteur, copiez le fichier de mise à niveau 5.0 dans le répertoire du serveur que votre capteur interroge pour obtenir des mises à jour. Consultez la section Utiliser la commande auto-upgrade de ce document pour plus d'informations.
Si vous installez une mise à niveau sur votre capteur et que celui-ci est inutilisable après son redémarrage, vous devez réinstaller votre capteur. Une mise à niveau d'un capteur à partir de n'importe quelle version de Cisco IDS antérieure à la version 4.1 nécessite également l'utilisation de la commande recover ou du CD de récupération/mise à niveau. Consultez la section Réimage du capteur de ce document pour plus d'informations.
Ces sections expliquent comment utiliser la commande upgrade pour mettre à niveau le logiciel sur le capteur :
Vous pouvez mettre à niveau le capteur à l'aide de ces fichiers, qui ont tous l'extension .pkg :
Mises à jour des signatures, par exemple, IPS-sig-S150-minreq-5.0-1.pkg
Mises à jour du moteur de signature, par exemple, IPS-engine-E2-req-6.0-1.pkg
Mises à jour majeures, par exemple, IPS-K9-maj-6.0-1-pkg
Mises à jour mineures, par exemple, IPS-K9-min-5.1-1.pkg
Mises à jour du Service Pack, par exemple IPS-K9-sp-5.0-2.pkg
Mises à jour des partitions de récupération, par exemple, IPS-K9-r-1.1-a-5.0-1.pkg
Versions de correctifs, par exemple, IPS-K9-patch-6.0-1p1-E1.pkg
Mises à jour des partitions de récupération, par exemple, IPS-K9-r-1.1-a-6.0-1.pkg
Une mise à niveau du capteur modifie la version logicielle du capteur.
Utilisez la commande auto-upgrade-option enabled dans le sous-mode de l'hôte de service afin de configurer les mises à niveau automatiques.
Ces options s'appliquent :
default : rétablit la valeur par défaut du système.
directory : répertoire dans lequel les fichiers de mise à niveau se trouvent sur le serveur de fichiers.
file-copy-protocol : protocole de copie de fichier utilisé pour télécharger des fichiers à partir du serveur de fichiers. Les valeurs valides sont ftp ou scp.
Remarque : Si vous utilisez SCP, vous devez utiliser la commande ssh host-key pour ajouter le serveur à la liste des hôtes connus SSH afin que le capteur puisse communiquer avec lui via SSH. Reportez-vous à Ajout d'hôtes à la liste des hôtes connus pour la procédure.
ip-address : adresse IP du serveur de fichiers.
password : mot de passe utilisateur pour l'authentification sur le serveur de fichiers.
schedule-option : planifie les mises à niveau automatiques. La planification du calendrier démarre les mises à niveau à des heures spécifiques, sur des jours spécifiques. La planification périodique démarre les mises à niveau à intervalles réguliers spécifiques.
Calendar-schedule : configure les jours de la semaine et les heures de la journée où les mises à niveau automatiques sont effectuées.
days-of-week : jours de la semaine pendant lesquels les mises à niveau automatiques sont effectuées. Vous pouvez sélectionner plusieurs jours. Les valeurs valides sont les dimanches et samedis.
no : supprime un paramètre d'entrée ou de sélection.
times-of-day : heure à laquelle les mises à niveau automatiques commencent. Vous pouvez sélectionner plusieurs fois. La valeur valide est hh:mm[:ss].
schedule - Configure le temps nécessaire à la première mise à niveau automatique et le délai d'attente entre les mises à niveau automatiques.
interval : nombre d'heures à attendre entre les mises à niveau automatiques. Les valeurs valides sont comprises entre 0 et 8 760.
start-time : heure de début de la première mise à niveau automatique. La valeur valide est hh:mm[:ss].
user-name : nom d'utilisateur pour l'authentification sur le serveur de fichiers.
Pour connaître la procédure IDM de mise à niveau du capteur, reportez-vous à Mise à jour du capteur.
Vous recevez des erreurs SNMP si vous n'avez pas configuré les paramètres de communauté en lecture seule et de communauté en lecture-écriture avant la mise à niveau vers IPS 6.0. Si vous utilisez les fonctions set et/ou get, vous devez configurer les paramètres read-only-community et read-write-community avant de passer à IPS 6.0. Dans IPS 5.x, la communauté en lecture seule était définie sur public par défaut et la communauté en lecture-écriture sur private par défaut. Dans IPS 6.0, ces deux options n'ont pas de valeurs par défaut. Si vous n'avez pas utilisé SNMP get and set avec IPS 5.x, par exemple, enable-set-get a été défini sur false, alors il n'y a aucun problème à mettre à niveau vers IPS 6.0. Si vous avez utilisé SNMP get and sets avec IPS 5.x, par exemple, enable-set-get a été défini sur true, vous devez configurer les paramètres read-only-community et read-write-community sur des valeurs spécifiques ou la mise à niveau IPS 6.0 échoue.
Vous recevez le message d'erreur suivant :
Error: execUpgradeSoftware : Notification Application "enable-set-get" value set to true, but "read-only-community" and/or "read-write-community" are set to null. Upgrade may not continue with null values in these fields.
Remarque : IPS 6.0 refuse par défaut les événements à haut risque. Il s'agit d'un changement par rapport à IPS 5.x. Afin de modifier la valeur par défaut, créez une substitution d'action d'événement pour l'action en ligne de refus de paquet et configurez-la pour qu'elle soit désactivée. Si l'administrateur n'est pas au courant de la communauté d'écriture en lecture, il doit essayer de désactiver complètement SNMP avant qu'une tentative de mise à niveau soit effectuée afin de supprimer ce message d'erreur.
Complétez ces étapes afin de mettre à niveau le capteur :
Téléchargez le fichier de mise à jour principal (IPS-K9-maj-5.0-1-S149.rpm.pkg ) sur un serveur FTP, SCP, HTTP ou HTTPS accessible à partir de votre capteur.
Reportez-vous à Obtention du logiciel Cisco IPS pour connaître la procédure à suivre pour localiser le logiciel sur Cisco.com.
Remarque : Vous devez vous connecter à Cisco.com à l'aide d'un compte disposant de privilèges de cryptographie pour télécharger le fichier. Ne modifiez pas le nom du fichier. Vous devez conserver le nom de fichier d'origine pour que le capteur accepte la mise à jour.
Remarque : Ne modifiez pas le nom du fichier. Vous devez conserver le nom de fichier d'origine pour que le capteur accepte la mise à jour.
Connectez-vous à l'interface de ligne de commande à l'aide d'un compte disposant de privilèges d'administrateur.
Passez en mode de configuration :
sensor#configure terminal
Mettre à niveau le capteur :
sensor(config)#upgrade scp://@ //upgrade/
Exemple :
Remarque : cette commande est sur deux lignes pour des raisons spatiales.
sensor(config)#upgrade scp://tester@10.1.1.1//upgrade/ IPS-K9-maj-5.0-1-S149.rpm.pkg
Remarque : Reportez-vous à Serveurs FTP et HTTP/HTTPS pris en charge pour obtenir la liste des serveurs FTP et HTTP/HTTPS pris en charge. Référez-vous à Ajout d'hôtes à la liste des hôtes connus SSH pour plus d'informations sur la façon d'ajouter le serveur SCP à la liste des hôtes connus SSH.
Entrez le mot de passe lorsque vous y êtes invité :
Enter password: ******** Re-enter password: ********
Tapez yes pour terminer la mise à niveau.
Remarque : Les mises à jour majeures, les mises à jour mineures et les Service Packs peuvent forcer le redémarrage des processus IPS ou même forcer le redémarrage du capteur pour terminer l'installation. Il y a donc une interruption de service pendant au moins deux minutes. Cependant, les mises à jour de signature ne nécessitent pas de redémarrage après la mise à jour. Référez-vous à Télécharger les mises à jour de signature (clients enregistrés uniquement) pour les dernières mises à jour.
Vérifiez votre nouvelle version de capteur :
sensor#show version Application Partition: Cisco Intrusion Prevention System, Version 5.0(1)S149.0 OS Version 2.4.26-IDS-smp-bigphys Platform: ASA-SSM-20 Serial Number: 021 No license present Sensor up-time is 5 days. Using 490110976 out of 1984704512 bytes of available memory (24% usage) system is using 17.3M out of 29.0M bytes of available disk space (59% usage) application-data is using 37.7M out of 166.6M bytes of available disk space (24 usage) boot is using 40.5M out of 68.5M bytes of available disk space (62% usage) MainApp 2005_Mar_04_14.23 (Release) 2005-03-04T14:35:11-0600 Running AnalysisEngine 2005_Mar_04_14.23 (Release) 2005-03-04T14:35:11-0600 Running CLI 2005_Mar_04_14.23 (Release) 2005-03-04T14:35:11-0600 Upgrade History: IDS-K9-maj-5.0-1- 14:16:00 UTC Thu Mar 04 2004 Recovery Partition Version 1.1 - 5.0(1)S149 sensor#
Remarque : pour IPS 5.x, vous recevez un message indiquant que la mise à niveau est de type inconnu. Vous pouvez ignorer ce message.
Remarque : le système d'exploitation est réactualisé et tous les fichiers qui ont été placés sur le capteur via le compte de service sont supprimés.
Référez-vous à Mise à jour du capteur pour plus d'informations sur la procédure IDM pour la mise à niveau du capteur.
Vous pouvez configurer le capteur pour rechercher automatiquement de nouveaux fichiers de mise à niveau dans votre répertoire de mise à niveau. Par exemple, plusieurs capteurs peuvent pointer vers le même répertoire de serveur FTP distant avec des calendriers de mise à jour différents, par exemple toutes les 24 heures, ou lundi, mercredi et vendredi à 23 h.
Vous spécifiez ces informations afin de planifier des mises à niveau automatiques :
Adresse IP du serveur
Chemin du répertoire sur le serveur de fichiers où le capteur recherche les fichiers de mise à niveau
Protocole de copie de fichier (SCP ou FTP)
Nom d'utilisateur et mot de passe
Calendrier de mise à niveau
Vous devez télécharger la mise à niveau logicielle à partir de Cisco.com et la copier dans le répertoire de mise à niveau avant que le capteur puisse interroger les mises à niveau automatiques.
Remarque : Si vous utilisez la mise à niveau automatique avec AIM-IPS et d'autres appliances ou modules IPS, assurez-vous de placer le fichier de mise à niveau 6.0(1), IPS-K9-6.0-1-E1.pkg, et le fichier de mise à niveau AIM-IPS, IPS-AIM-K9-6.0-4-E1.pkg, sur le serveur de mise à jour automatique. doit être téléchargé et installé automatiquement. Si vous mettez seulement le fichier de mise à niveau 6.0(1), IPS-K9-6.0-1-E1.pkg, sur le serveur de mise à jour automatique, AIM-IPS télécharge et tente de l'installer, ce qui est le fichier incorrect pour AIM-IPS.
Référez-vous à Mise à jour automatique du capteur pour plus d'informations sur la procédure IDM pour la mise à niveau automatique du capteur.
Reportez-vous à la section Commande et options de mise à niveau de ce document pour obtenir les commandes auto-update.
Complétez ces étapes afin de planifier des mises à niveau automatiques :
Connectez-vous à l'interface de ligne de commande avec un compte disposant de privilèges d'administrateur.
Configurez le capteur afin de rechercher automatiquement de nouvelles mises à niveau dans votre répertoire de mise à niveau.
sensor#configure terminal sensor(config)#service host sensor(config-hos)#auto-upgrade-option enabled
Spécifier la planification :
Pour la planification du calendrier, qui démarre les mises à niveau à des heures spécifiques sur des jours spécifiques :
sensor(config-hos-ena)#schedule-option calendar-schedule sensor(config-hos-ena-cal#days-of-week sunday sensor(config-hos-ena-cal#times-of-day 12:00:00
Pour la planification périodique, qui démarre les mises à niveau à des intervalles périodiques spécifiques :
sensor(config-hos-ena)#schedule-option periodic-schedule sensor(config-hos-ena-per)#interval 24 sensor(config-hos-ena-per)#start-time 13:00:00
Spécifiez l'adresse IP du serveur de fichiers :
sensor(config-hos-ena-per)#exit sensor(config-hos-ena)#ip-address 10.1.1.1
Spécifiez le répertoire dans lequel se trouvent les fichiers de mise à niveau sur le serveur de fichiers :
sensor(config-hos-ena)#directory /tftpboot/update/5.0_dummy_updates
Spécifiez le nom d'utilisateur pour l'authentification sur le serveur de fichiers :
sensor(config-hos-ena)#user-name tester
Spécifiez le mot de passe de l'utilisateur :
sensor(config-hos-ena)#password Enter password[]: ****** Re-enter password: ******
Spécifiez le protocole du serveur de fichiers :
sensor(config-hos-ena)#file-copy-protocol ftp
Remarque : Si vous utilisez SCP, vous devez utiliser la commande ssh host-key afin d'ajouter le serveur à la liste des hôtes connus SSH afin que le capteur puisse communiquer avec lui via SSH. Reportez-vous à Ajout d'hôtes à la liste des hôtes connus pour la procédure.
Vérifiez les paramètres :
sensor(config-hos-ena)#show settings enabled ----------------------------------------------- schedule-option ----------------------------------------------- periodic-schedule ----------------------------------------------- start-time: 13:00:00 interval: 24 hours ----------------------------------------------- ----------------------------------------------- ip-address: 10.1.1.1 directory: /tftpboot/update/5.0_dummy_updates user-name: tester password: <hidden> file-copy-protocol: ftp default: scp ----------------------------------------------- sensor(config-hos-ena)#
Quitter le sous-mode de mise à niveau automatique :
sensor(config-hos-ena)#exit sensor(config-hos)#exit Apply Changes:?[yes]:
Appuyez sur Entrée pour appliquer les modifications ou tapez no afin de les ignorer.
Vous pouvez réinstaller votre capteur de la manière suivante :
Pour les appareils IDS équipés d'un lecteur de CD-ROM, utilisez le CD de récupération/mise à niveau.
Reportez-vous à la section Utilisation du CD de récupération/mise à niveau de Mise à niveau, rétrogradation et installation d'images système pour la procédure.
Pour tous les capteurs, utilisez la commande recover.
Reportez-vous à la section Récupération de la partition d'application de Mise à niveau, rétrogradation et installation d'images système pour la procédure.
Pour les systèmes IDS-4215, IPS-4240 et IPS 4255, utilisez ROMMON pour restaurer l'image système.
Reportez-vous aux sections Installation de l'image système IDS-4215 et Installation des images système IPS-4240 et IPS-4255 de Mise à niveau, rétrogradation et installation d'images système pour les procédures.
Pour NM-CIDS, utilisez le chargeur de démarrage.
Reportez-vous à la section Installation de l'image système NM-CIDS de Mise à niveau, rétrogradation et installation d'images système pour la procédure.
Pour IDSM-2, réinstallez la partition d'application à partir de la partition de maintenance.
Reportez-vous à la section Installation de l'image système IDSM-2 de la Mise à niveau, rétrogradation et installation des images système pour la procédure.
Pour AIP-SSM, réinstallez l'ASA à l'aide du module hw-module module 1 recover [configure | boot].
Reportez-vous à la section Installation de l'image système AIP-SSM de Mise à niveau, rétrogradation et installation d'images système pour la procédure.
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
12-Oct-2009 |
Première publication |