このドキュメントでは、Cisco Intrusion Detection Sensor(IDS)ソフトウェアのイメージとシグニチャをバージョン4.1からCisco Intrusion Prevention System(IPS)5.0以降にアップグレードする方法について説明します。
注:ソフトウェアバージョン5.x以降では、Cisco IPSがCisco IDSに取って代わり、バージョン4.1まで適用されます。
注: センサーはCisco.comからソフトウェアアップデートをダウンロードできません。ソフトウェアアップデートをCisco.comからFTPサーバにダウンロードし、FTPサーバからダウンロードするようにセンサーを設定する必要があります。
手順については、『システムイメージのアップグレード、ダウンロード、およびインストール』の「AIP-SSMシステムイメージのインストール」セクションを参照してください。
Cisco Secure IDS(旧NetRanger)アプライアンスおよびバージョン3.xおよび4.x用モジュールの回復方法の詳細については、『Cisco IDSセンサーおよびIDSサービスモジュール(IDSM-1、IDSM-2)のパスワード回復手順』を参照してください。
注:ユーザトラフィックは、ASA - AIP-SSMのインラインおよびフェールオープン設定でアップグレード中は影響を受けません。
注:IPS 5.1をバージョン6.xにアップグレードする手順の詳細については、『コマンドラインインターフェイス6.0を使用したCisco Intrusion Prevention System Sensorの設定』の「Cisco IPSソフトウェアの5.1から6.xへのアップグレード」セクションを参照してください。
注:センサーは、自動更新用のプロキシサーバをサポートしていません。プロキシ設定は、グローバル相関機能にのみ適用されます。
5.0にアップグレードするために必要な最低限のソフトウェアバージョンは4.1(1)です。
このドキュメントの情報は、ソフトウェアバージョン4.1(バージョン5.0にアップグレードされる)が稼働するCisco 4200シリーズIDSハードウェアに基づいています。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。
ドキュメント表記の詳細については、『シスコ テクニカル ティップスの表記法』を参照してください。
このセクションでは、このドキュメントで説明する機能を設定するために必要な情報を提供しています。
Cisco 4.1から5.0へのアップグレードは、Cisco.comからダウンロードできます。Cisco.comのIPSソフトウェアのダウンロードにアクセスする手順については、『Cisco IPSソフトウェアの入手』を参照してください。
アップグレードを実行するには、次のいずれかの方法を使用できます。
5.0アップグレードファイルをダウンロードした後、upgradeコマンドを使用して5.0アップグレードファイルをインストールする手順については、Readmeを参照してください。詳細は、このドキュメントの「アップグレードコマンドの使用」セクションを参照してください。
センサーの自動更新を設定した場合は、センサーが更新をポーリングするサーバー上のディレクトリに5.0アップグレードファイルをコピーします。詳細は、このドキュメントの「auto-upgradeコマンドの使用」セクションを参照してください。
Sensorにアップグレードをインストールし、リブート後にSensorが使用できない場合は、Sensorのイメージを変更する必要があります。4.1より前のCisco IDSバージョンからセンサーをアップグレードする場合は、recoverコマンドまたはrecovery/upgrade CDを使用する必要があります。詳細は、このドキュメントの「センサーの再イメージ」セクションを参照してください。
次の項では、upgradeコマンドを使用してセンサーのソフトウェアをアップグレードする方法を説明します。
次のファイルを使用してSensorをアップグレードできます。これらはすべて拡張子が.pkgです。
シグニチャのアップデート(IPS-sig-S150-minreq-5.0-1.pkgなど)
シグニチャエンジンのアップデート(IPS-engine-E2-req-6.0-1.pkgなど)
メジャーアップデート(IPS-K9-maj-6.0-1-pkgなど)
マイナーアップデート(IPS-K9-min-5.1-1.pkgなど)
サービスパックのアップデート(IPS-K9-sp-5.0-2.pkgなど)
リカバリパーティションのアップデート(IPS-K9-r-1.1-a-5.0-1.pkgなど)
パッチリリース(IPS-K9-patch-6.0-1p1-E1.pkgなど)
リカバリパーティションのアップデート(IPS-K9-r-1.1-a-6.0-1.pkgなど)
センサーのアップグレードにより、センサーのソフトウェアバージョンが変更されます。
自動アップグレードを設定するには、サービスホストサブモードでauto-upgrade-option enabledコマンドを使用します。
これらのオプションによって、次の設定が割り当てられます。
default:値をシステムのデフォルト設定に戻します。
directory:アップグレードファイルがファイルサーバ上にあるディレクトリ。
file-copy-protocol:ファイルサーバからファイルをダウンロードするために使用されるファイルコピープロトコル。有効な値はftpまたはscp。
注:SCPを使用する場合は、ssh host-keyコマンドを使用してサーバをSSHの既知のホストリストに追加する必要があり、これによりセンサーはSSHを介してサーバと通信できます。手順については、「既知のホストリストへのホストの追加」を参照してください。
ip-address:ファイルサーバのIPアドレス。
password:ファイルサーバでの認証用のユーザパスワード。
schedule-option:自動アップグレードが発生した時点でスケジュールします。カレンダーのスケジューリングは、特定の日に特定の時刻にアップグレードを開始します。定期スケジューリングは、特定の定期間隔でアップグレードを開始します。
calendar-schedule:自動アップグレードが実行される曜日と時刻を設定します。
days-of-week:自動アップグレードが実行される曜日。複数日を選択できます。有効な値は、日曜日から土曜日です。
no:エントリまたは選択設定を削除します。
times-of-day:自動アップグレードが開始される時刻。複数回選択できます。有効な値はhh:mm[:ss]です。
periodic-schedule:最初の自動アップグレードが発生する時間、および自動アップグレードの待ち時間を設定します。
interval:自動アップグレードを待機する時間。有効な値は0 ~ 8760です。
start-time:最初の自動アップグレードを開始する時刻。有効な値はhh:mm[:ss]です。
user-name:ファイルサーバでの認証用のユーザ名。
センサーをアップグレードするIDMの手順については、「センサーのアップデート」を参照してください。
IPS 6.0にアップグレードする前にread-only-communityおよびread-write-communityパラメータが設定されていない場合、SNMPエラーが発生します。SNMPの設定やget機能を使用している場合は、IPS 6.0にアップグレードする前にまた、read-only-communityはデフォルトでpublicに設定され、read-write-communityはデフォルトでprivateに設定されています。IPS 6.0では、これらの2つのオプションにはデフォルト値はありません。IPS 5.xでSNMP getとsetを使用しなかった場合は、enable-set-getをfalseに設定し、IPS 6.0にアップグレードしても問題ありません。たとえば、SNMP getを使用して、enable-set-getをtrueに設定したした場合のみ-communityおよびread-write-communityパラメータを特定の値に設定するか、IPS 6.0のアップグレードが失敗します。
次のエラー メッセージが表示されます。
Error: execUpgradeSoftware : Notification Application "enable-set-get" value set to true, but "read-only-community" and/or "read-write-community" are set to null. Upgrade may not continue with null values in these fields.
注:IPS 6.0では、デフォルトで高リスクイベントが拒否されます。これはIPS 5.xからの変更です。デフォルトを変更するには、deny packet inlineアクションのイベントアクションオーバーライドを作成し、それをディセーブルに設定します。管理者がread write(RW;読み取りと書き込み)コミュニティを認識していない場合は、このエラーメッセージを削除するためにアップグレードを試行する前に、SNMPを完全に無効にするようにしてください。
センサーをアップグレードするには、次の手順を実行します。
センサーからアクセス可能なFTP、SCP、HTTP、またはHTTPSサーバにメジャーアップデートファイル(IPS-K9-maj-5.0-1-S149.rpm.pkg)をダウンロードします。
Cisco.comでソフトウェアを検索する方法については、『Cisco IPSソフトウェアの取得』を参照してください。
注:ファイルをダウンロードするには、暗号化権限を持つアカウントを使用してCisco.comにログインする必要があります。ファイル名は変更しないでください。更新を受け入れるには、センサーの元のファイル名を保持する必要があります。
注:ファイル名は変更しないでください。更新を受け入れるには、センサーの元のファイル名を保持する必要があります。
管理者権限を持つアカウントを使用してCLIにログインします。
次の設定モードを入力します。
sensor#configure terminal
センサーをアップグレードします。
sensor(config)#upgrade scp://@ //upgrade/
例:
注:このコマンドは、スペースの制約により2行で記述されています。
sensor(config)#upgrade scp://tester@10.1.1.1//upgrade/ IPS-K9-maj-5.0-1-S149.rpm.pkg
注:サポートされているFTPおよびHTTP/HTTPSサーバのリストについては、「サポートされているFTPおよびHTTP/HTTPSサーバ」を参照してください。SCPサーバをSSH既知のホストリストに追加する方法の詳細は、『SSH既知のホストリストへのホストの追加』を参照してください。
プロンプトが表示されたら、パスワードを入力します。
Enter password: ******** Re-enter password: ********
yesと入力し、アップグレードを完了します。
注:メジャーアップデート、マイナーアップデート、およびサービスパックは、IPSプロセスの再起動を強制するか、センサーを強制的に再起動してインストールを完了させます。したがって、少なくとも2分間はサービスが中断されます。ただし、更新が完了した後にシグニチャを更新する必要はありません。最新の更新に関してはDownload Signature Updates(登録ユーザ専用)を参照してください。
新しいセンサーのバージョンを確認します。
sensor#show version Application Partition: Cisco Intrusion Prevention System, Version 5.0(1)S149.0 OS Version 2.4.26-IDS-smp-bigphys Platform: ASA-SSM-20 Serial Number: 021 No license present Sensor up-time is 5 days. Using 490110976 out of 1984704512 bytes of available memory (24% usage) system is using 17.3M out of 29.0M bytes of available disk space (59% usage) application-data is using 37.7M out of 166.6M bytes of available disk space (24 usage) boot is using 40.5M out of 68.5M bytes of available disk space (62% usage) MainApp 2005_Mar_04_14.23 (Release) 2005-03-04T14:35:11-0600 Running AnalysisEngine 2005_Mar_04_14.23 (Release) 2005-03-04T14:35:11-0600 Running CLI 2005_Mar_04_14.23 (Release) 2005-03-04T14:35:11-0600 Upgrade History: IDS-K9-maj-5.0-1- 14:16:00 UTC Thu Mar 04 2004 Recovery Partition Version 1.1 - 5.0(1)S149 sensor#
注: IPS 5.xでは、アップグレードのタイプが不明であることを示すメッセージが表示されます。このメッセージは無視できます。
注:オペレーティングシステムが再イメージ化され、サービスアカウントを介してセンサーに配置されたすべてのファイルが削除されます。
センサーのアップグレードに関するIDM手順の詳細については、「センサーの更新」を参照してください。
アップグレードディレクトリで新しいアップグレードファイルを自動的に検索するようにセンサーを設定できます。たとえば、複数のセンサーが、同じリモートFTPサーバディレクトリを指し示し、24時間ごと、または月、水、金曜日の午後11時など、異なる更新スケジュールを設定できます。
自動アップグレードをスケジュールするには、次の情報を指定します。
サーバ IP アドレス
センサーがアップグレードファイルをチェックするファイルサーバ上のディレクトリのパス
ファイルコピープロトコル(SCPまたはFTP)
ユーザ名とパスワード
アップグレードスケジュール
センサーが自動アップグレードをポーリングする前に、Cisco.comからソフトウェアアップグレードをダウンロードし、アップグレードディレクトリにコピーする必要があります。
注:AIM-IPSおよびその他のIPSアプライアンスまたはモジュールで自動アップグレードを使用する場合は、6.0(1)アップグレードファイル、IPS-K9-6.0-1-E1.pkg、およびAIM-IPSアップグレードファイル、IPS-AIM-K9-6.0-4-E1.pkgのの両方を自動更新サーバにににしますIPSは、自動的にダウンロードしてインストールする必要があるファイルを正しく検出できます。6.0(1)アップグレードファイルIPS-K9-6.0-1-E1.pkgだけを自動更新サーバに置くと、AIM-IPSがダウンロードしてインストールを試みます。これはAIM-IPSの正しくないファイルです。
センサーの自動アップグレードのIDM手順の詳細については、「センサーの自動更新」を参照してください。
auto-updateコマンドについては、このドキュメントの「アップグレードコマンドとオプション」セクションを参照してください。
自動アップグレードをスケジュールするには、次の手順を実行します。
管理者権限を持つアカウントで CLI にログインします。
アップグレードディレクトリで新しいアップグレードを自動的に検索するようにセンサーを設定します。
sensor#configure terminal sensor(config)#service host sensor(config-hos)#auto-upgrade-option enabled
スケジュールを指定します。
カレンダーのスケジューリングでは、特定の日に特定の時刻にアップグレードを開始します。
sensor(config-hos-ena)#schedule-option calendar-schedule sensor(config-hos-ena-cal#days-of-week sunday sensor(config-hos-ena-cal#times-of-day 12:00:00
定期的なスケジューリングの場合、特定の定期的な間隔でアップグレードを開始します。
sensor(config-hos-ena)#schedule-option periodic-schedule sensor(config-hos-ena-per)#interval 24 sensor(config-hos-ena-per)#start-time 13:00:00
ファイルサーバのIPアドレスを指定します。
sensor(config-hos-ena-per)#exit sensor(config-hos-ena)#ip-address 10.1.1.1
アップグレードファイルがファイルサーバ上にあるディレクトリを指定します。
sensor(config-hos-ena)#directory /tftpboot/update/5.0_dummy_updates
ファイルサーバでの認証のユーザ名を指定します。
sensor(config-hos-ena)#user-name tester
ユーザのパスワードを指定します。
sensor(config-hos-ena)#password Enter password[]: ****** Re-enter password: ******
ファイルサーバプロトコルを指定します。
sensor(config-hos-ena)#file-copy-protocol ftp
注:SCPを使用する場合は、ssh host-keyコマンドを使用してサーバをSSHの既知のホストリストに追加し、センサーがSSHを介してサーバと通信できるようにする必要があります。手順については、「既知のホストリストへのホストの追加」を参照してください。
設定を確認します。
sensor(config-hos-ena)#show settings enabled ----------------------------------------------- schedule-option ----------------------------------------------- periodic-schedule ----------------------------------------------- start-time: 13:00:00 interval: 24 hours ----------------------------------------------- ----------------------------------------------- ip-address: 10.1.1.1 directory: /tftpboot/update/5.0_dummy_updates user-name: tester password: <hidden> file-copy-protocol: ftp default: scp ----------------------------------------------- sensor(config-hos-ena)#
自動アップグレードサブモードを終了します。
sensor(config-hos-ena)#exit sensor(config-hos)#exit Apply Changes:?[yes]:
変更を適用するにはEnterキーを押し、変更を破棄するにはnoと入力します。
センサーのイメージを変更するには、次の方法があります。
CD-ROMドライブを搭載したIDSアプライアンスの場合は、リカバリ/アップグレードCDを使用します。
手順については、『システムイメージのアップグレード、ダウンロード、およびインストール』の「Recovery/Upgrade CDの使用」セクションを参照してください。
すべてのセンサーで、recoverコマンドを使用します。
手順については、『システムイメージのアップグレード、ダウンロード、およびインストール』の「アプリケーションパーティションの回復」セクションを参照してください。
IDS-4215、IPS-4240、およびIPS 4255では、ROMMONを使用してシステムイメージを復元します。
手順については、『システムイメージのアップグレード、ダウンロード、およびインストール』の「IDS-4215システムイメージのインストール」および「IPS-4240およびIPS-4255システムイメージのインストール」セクションを参照してください。
NM-CIDSの場合は、ブートローダを使用します。
手順については、『システムイメージのアップグレード、ダウンロード、およびインストール』の「NM-CIDSシステムイメージのインストール」セクションを参照してください。
IDSM-2の場合、アプリケーションパーティションをメンテナンスパーティションから再イメージ化します。
手順については、『システムイメージのアップグレード、ダウンロード、およびインストール』の「IDSM-2システムイメージのインストール」セクションを参照してください。
AIP-SSMの場合は、hw-module module 1 recoverを使用してASAから再イメージします(configure | boot]コマンドを発行します。
手順については、『システムイメージのアップグレード、ダウンロード、およびインストール』の「AIP-SSMシステムイメージのインストール」セクションを参照してください。
改定 | 発行日 | コメント |
---|---|---|
1.0 |
12-Oct-2009 |
初版 |