Segurança : Sensores Cisco IPS 4200

Promova a imagem e os ID de assinatura 4.1 ao IPS 5.0 e (AIP-SSM, NM-IDS, IDSM-2) ao exemplo de configuração mais atrasado

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Tradução Manual (8 Junho 2009) | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Este documento descreve como promover a imagem e a assinatura para o software do sensor da intrusion detection de Cisco (IDS) da versão 4.1 ao Sistema de prevenção de intrusões da Cisco (IPS) 5.0 e mais atrasado.

Nota: Da versão de software 5.x e mais tarde, o ips Cisco substitui o Cisco IDS, que é aplicável até a versão 4.1.

Nota:  O sensor não pode transferir atualizações de software do cisco.com. Você deve transferir as atualizações de software do cisco.com a seu servidor FTP, e configura então o sensor a fim transferi-las de seu servidor FTP.

Consulte a seção Instalando a Imagem de Sistema do AIP-SSM de Fazendo Upgrades e Downgrades e Instalando Imagens de Sistema para saber como proceder.

Consulte o Procedimento de Recuperação de Senhas para o Cisco IDS Sensor e os IDS Services Modules (IDSM-1, IDSM-2) para obter mais informações sobre como recuperar o Cisco Secure IDS (antigo NetRanger) Appliance e os módulos das versões 3.x e 4.x.

Nota: O tráfego de usuário não obtém afetado durante a elevação no ajuste inline e falha-aberto no ASA - AIP-SSM.

Nota: Refira o software de melhoramento do ips Cisco de 5.1 à seção 6.x de configurar o sensor de Sistema de prevenção de intrusões da Cisco usando a interface da linha de comando 6.0 para obter mais informações sobre do procedimento para promover o IPS 5.1 à versão 6.x.

Nota: O sensor não apoia servidores proxy para auto atualizações. Os ajustes do proxy são para a característica global da correlação somente.

Pré-requisitos

Requisitos

A versão mínima do software necessária para o upgrade para a versão 5.0 é a 4.1(1).

Componentes Utilizados

As informações deste documento são baseadas no hardware Cisco 4200 Series IDS com a versão 4.1 do software (para upgrade para a versão 5.0).

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Configurar

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

A elevação de Cisco 4.1 a 5.0 está disponível como uma transferência do cisco.com. Refira a obtenção do software do ips Cisco para o procedimento que você se usa para alcançar downloads do software IPS no cisco.com.

Você pode usar qualquer um dos métodos relacionados aqui para executar a atualização:

  • Depois que você transfere o arquivo de 5.0 elevações, refira o README para o procedimento em como instalar o arquivo de 5.0 elevações com o comando upgrade. Consulte a seção Uso do Comando Upgrade deste documento para obter mais informações.

  • Se você configurou a atualização automática para seu sensor, copie o arquivo de upgrade para a versão 5.0 para o diretório no servidor em que seu sensor procura as atualizações. Consulte a seção Uso do Comando Auto-Upgrade deste documento para obter mais informações.

  • Se você instalar uma atualização em seu sensor e não for possível utilizá-lo após a reinicialização, será necessário reaplicar a imagem no sensor. Um upgrade de um sensor de qualquer versão de Cisco IDS anterior à 4.1 também necessita que você use o comando recover no CD de recuperação/atualização. Consulte a seção Reaplicação da Imagem no Sensor deste documento para obter mais informações.

Upgrade do Sensor

Estas seções explicam como usar o comando upgrade para atualizar o software no sensor:

Visão geral

Você pode fazer o upgrade do sensor com os seguintes arquivos, todos eles com a extensão .pkg:

  • Atualizações de assinatura, por exemplo, IPS-sig-S150-minreq-5.0-1.pkg

  • Atualizações do Engine de assinatura, por exemplo, IPS-engine-E2-req-6.0-1.pkg

  • Atualizações importantes, por exemplo, IPS-K9-maj-6.0-1-pkg

  • Atualizações secundárias, por exemplo, IPS-K9-min-5.1-1.pkg

  • Atualizações de Service Packs, por exemplo, IPS-K9-sp-5.0-2.pkg

  • Atualizações de partição de recuperação, por exemplo, IPS-K9-r-1.1-a-5.0-1.pkg

  • Liberações da correção de programa, por exemplo, IPS-K9-patch-6.0-1p1-E1.pkg

  • Atualizações da separação da recuperação, por exemplo, IPS-K9-r-1.1-a-6.0-1.pkg

O upgrade do sensor altera a versão do software do sensor.

Comando e Opções de Upgrade

Use o comando enabled da auto-elevação-opção no submode do host do serviço a fim configurar elevações automáticas.

As seguintes opções se aplicam:

  • default — Define o valor de volta para a configuração padrão do sistema.

  • directory — Diretório em que os arquivos de upgrade estão localizados no servidor de arquivos.

  • file-copy-protocol — Protocolo de cópia de arquivos usado para baixar arquivos do servidor de arquivos. Os valores válidos são ftp ou scp.

    Nota: Se você usa o SCP, você deve usar o comando da chave Host do ssh adicionar o server aos anfitriões conhecidos SSH alista assim que o sensor pode comunicar-se com ele com o SSH. Consulte Adicionando Hosts à Lista de Hosts Conhecidos para saber como proceder.

  • ip-address — O endereço IP do servidor de arquivos.

  • password — Senha de usuário para autenticação no servidor de arquivos.

  • schedule-option — Agenda quando os upgrades automáticos ocorrem. O agendamento de calendário inicia os upgrades em horários e dias específicos. O agendamento periódico inicia os upgrades em intervalos periódicos específicos.

    • calendar-schedule — Configura os dias da semana e as horas do dia em que os upgrades automáticos são executados.

      • days-of-week — Dias da semana em que os upgrades automáticos são executados. É possível selecionar vários dias. Domingo a sábado são valores válidos.

      • no — Remove uma entrada ou configuração de seleção.

      • times-of-day — As horas do dia em que as atualizações automáticas são iniciadas. É possível selecionar vários horários. O valor válido é HH: milímetro [: ss].

    • periodic-schedule — Configura a hora em que a primeira atualização automática deve ocorrer e o tempo decorrido entre upgrades automáticos sucessivos.

      • interval — O número de horas decorridas entre upgrades automáticos. Os valores válidos são de 0 a 8760.

      • start-time — A hora do dia em que o primeiro upgrade automático é iniciado. O valor válido é HH: milímetro [: ss].

  • user-name — O nome de usuário para autenticação no servidor de arquivos.

Para o procedimento IDM para promover o sensor, refira a atualização do sensor.

Uso do Comando Upgrade

Você recebe erros de SNMP se você não tem os parâmetros da comunidade de somente leitura e da comunidade de leitura/gravação configurados antes de promover a IPS 6.0. Se você está usando o grupo SNMP e/ou obtém características, você deve configurar os parâmetros da comunidade de somente leitura e da comunidade de leitura/gravação antes que você promova a IPS 6.0. Em IPS 5.x, a comunidade de somente leitura foi ajustada ao público à revelia, e a comunidade de leitura/gravação foi ajustada a privado à revelia. Em IPS 6.0 estas duas opções não têm valores padrão. Se você não se usou o SNMP obtém e ajusta-se com IPS 5.x, por exemplo, o permitir-grupo-GET foi ajustado a falso, a seguir não há nenhum problema a promover a IPS 6.0. Se você se usou o SNMP obtém e ajusta-se com IPS 5.x, por exemplo, o permitir-grupo-GET foi ajustado para retificar, você deve configurar a comunidade de somente leitura e os parâmetros da comunidade de leitura/gravação aos valores específicos ou à elevação IPS 6.0 falham.

Você recebe este Mensagem de Erro:

Error: execUpgradeSoftware : Notification Application "enable-set-get" value set to true, 
but "read-only-community" and/or "read-write-community" are set to null. Upgrade may not 
continue with null values in these fields.

Nota: O IPS 6.0 nega eventos do alto risco à revelia. Esta é uma mudança de IPS 5.x. A fim mudar o padrão, crie uma ultrapassagem da ação do evento para o pacote da negação ação inline e configurar-la a ser desabilitada. Se o administrador não está ciente da comunidade de leitura/gravação então devem tentar desabilitar completamente o SNMP antes que uma tentativa de promover esteja feita a fim remover este Mensagem de Erro.

Conclua estas etapas para fazer o upgrade do sensor:

  1. Baixe o arquivo de atualização importante (IPS-K9-maj-5.0-1-S149.rpm.pkg ) para um servidor FTP, SCP, HTTP ou HTTPS que possa ser acessado pelo seu sensor.

    Consulte Obtendo o Cisco IPS Software para saber como encontrar software no site Cisco.com.

    Nota: Você deve entrar ao cisco.com usando uma conta com privilégios criptograficamente a fim transferir o arquivo. Não altere o nome do arquivo. Você deve preservar o nome de arquivo original para que o sensor aceite a atualização.

    Nota: Não mude o nome de arquivo. Você deve preservar o nome de arquivo original para que o sensor aceite a atualização.

  2. Faça logon na CLI usando uma conta com privilégios de administrador.

  3. Entre no modo de configuração:

    sensor#configure terminal
    
  4. Faça o upgrade do sensor:

    sensor(config)#upgrade scp://<username>@<server IP>//upgrade/<file name>
    

    Exemplo:

    Nota: Este comando está em duas linhas devido às razões espaciais.

    sensor(config)#upgrade scp://tester@10.1.1.1//upgrade/
    IPS-K9-maj-5.0-1-S149.rpm.pkg
    

    Nota: Consulte server apoiados FTP e HTTP/HTTPS para uma lista de server apoiados FTP e HTTP/HTTPS. Refira adicionar anfitriões aos anfitriões conhecidos SSH alistam para obter mais informações sobre de como adicionar o server SCP à lista conhecida SSH dos anfitriões.

  5. Insira a senha quando avisado:

    Enter password: ********
    Re-enter password: ********
  6. Digite yes para concluir o upgrade.

    Nota: As atualizações principais, as atualizações menores, e os pacotes de serviços puderam forçar um reinício dos processos IPS ou mesmo forçar uma repartição do sensor para terminar a instalação. Assim, há uma interrupção dos serviços por pelo menos dois minutos. No entanto, as atualizações de assinatura não necessitam de reinicialização após a conclusão. Consulte Download de Atualizações de Assinatura (somente clientes registrados) para obter as atualizações mais recentes.

  7. Verifique a nova versão do seu sensor:

    sensor#show version
    
    Application Partition:
    
    
    Cisco Intrusion Prevention System, Version 5.0(1)S149.0
    
    
    OS Version 2.4.26-IDS-smp-bigphys
    
    Platform: ASA-SSM-20
    
    Serial Number: 021
    
    No license present
    
    Sensor up-time is 5 days.
    
    Using 490110976 out of 1984704512 bytes of available memory (24% usage)
    
    system is using 17.3M out of 29.0M bytes of available disk space (59% usage)
    
    application-data is using 37.7M out of 166.6M bytes of 
    available disk space (24 usage)
    
    boot is using 40.5M out of 68.5M bytes of available disk space (62% usage)
    
    
    MainApp         2005_Mar_04_14.23 (Release)  2005-03-04T14:35:11-0600  Running
    
    AnalysisEngine  2005_Mar_04_14.23 (Release)  2005-03-04T14:35:11-0600  Running
    
    CLI             2005_Mar_04_14.23 (Release)  2005-03-04T14:35:11-0600
    
    
    Upgrade History:
    
    
      IDS-K9-maj-5.0-1-   14:16:00 UTC Thu Mar 04 2004
    
    
    Recovery Partition Version 1.1 - 5.0(1)S149
    
    
    sensor#

    Nota:  Para IPS 5.x, você recebe uma mensagem que indique que a elevação é de tipo desconhecido. Você pode ignorar esta mensagem.

    Nota: O sistema operacional reimaged e todos os arquivos que foram colocados no sensor com a conta de serviço são removidos.

Refira a atualização do sensor para obter mais informações sobre do procedimento IDM para a elevação do sensor.

Configurando elevações automáticas

Elevações automáticas

Você pode configurar o sensor para procurar automaticamente arquivos novos da elevação em seu diretório da elevação. Por exemplo, diversos sensores podem apontar ao mesmo diretório remoto do servidor FTP com programações diferentes da atualização, tais como cada 24 horas, ou segunda-feira, quarta-feira, e sexta-feira em 11:00 pm.

Você especifica esta informação a fim programar elevações automáticas:

  • Endereço IP do servidor

  • O trajeto do diretório no servidor de arquivo onde o sensor verifica para ver se há a elevação arquiva

  • Protocolo da cópia de arquivo (SCP ou FTP)

  • Nome de usuário e senha

  • Programação da elevação

Você deve transferir o upgrade de software do cisco.com e copiá-lo ao diretório da elevação antes que o sensor possa votar para elevações automáticas.

Nota: Se você usa a elevação automática com AIM-IPS e outros dispositivos ou módulos IPS, certifique-se que você põe ambo o 6.0(1) arquivo da elevação, IPS-K9-6.0-1-E1.pkg, e o arquivo da elevação AIM-IPS, IPS-AIM-K9-6.0-4-E1.pkg, sobre o server automático da atualização de modo que AIM-IPS possa corretamente detectar que arquivo precisa de ser transferido e instalado automaticamente. Se você põe somente 6.0(1) o arquivo da elevação, IPS-K9-6.0-1-E1.pkg, sobre o server automático da atualização, transferências AIM-IPS e tentativas para o instalar, que é o arquivo incorreto para AIM-IPS.

Refira a atualização do sensor automaticamente para obter mais informações sobre do procedimento IDM para a elevação automática do sensor.

Uso do Comando Auto-Upgrade

Consulte a seção Comando e Opções de Upgrade deste documento para obter os comandos de auto-update.

Conclua estes passos para agendar upgrades automáticos:

  1. Entre ao CLI com uma conta que tenha privilégios do administrado.

  2. Configurar o sensor a fim procurar automaticamente elevações novas em seu diretório da elevação.

    sensor#configure terminal
    sensor(config)#service host
    sensor(config-hos)#auto-upgrade-option enabled
    
  3. Especifique o agendamento:

    • Para o agendamento de calendário, o qual inicia os upgrades em horas e dias específicos:

      sensor(config-hos-ena)#schedule-option calendar-schedule
      sensor(config-hos-ena-cal#days-of-week sunday
      sensor(config-hos-ena-cal#times-of-day 12:00:00
      
    • Para o agendamento periódico, o qual inicia os upgrades em intervalos periódicos específicos:

      sensor(config-hos-ena)#schedule-option periodic-schedule
      sensor(config-hos-ena-per)#interval 24
      sensor(config-hos-ena-per)#start-time 13:00:00
      
  4. Especifique o endereço IP do servidor de arquivos:

    sensor(config-hos-ena-per)#exit
    sensor(config-hos-ena)#ip-address 10.1.1.1
    
  5. Especifique o diretório em que os arquivos de upgrade estão localizados no servidor de arquivos:

    sensor(config-hos-ena)#directory /tftpboot/update/5.0_dummy_updates
    
  6. Especifique o nome de usuário para autenticação no servidor de arquivos:

    sensor(config-hos-ena)#user-name tester
    
  7. Especifique a senha do usuário:

    sensor(config-hos-ena)#password
    
    Enter password[]: ******
    Re-enter password: ******
    
  8. Especifique o protocolo do servidor de arquivos:

    sensor(config-hos-ena)#file-copy-protocol ftp
    

    Nota: Se você usa o SCP, você deve usar o comando da chave Host do ssh a fim adicionar o server aos anfitriões conhecidos SSH alista assim que o sensor pode comunicar-se com ele com o SSH. Consulte Adicionando Hosts à Lista de Hosts Conhecidos para saber como proceder.

  9. Verifique as configurações:

    sensor(config-hos-ena)#show settings
    
       enabled
    
       -----------------------------------------------
    
          schedule-option
    
          -----------------------------------------------
    
             periodic-schedule
    
             -----------------------------------------------
    
                start-time: 13:00:00
    
                interval: 24 hours
    
             -----------------------------------------------
    
          -----------------------------------------------
    
          ip-address: 10.1.1.1
    
          directory: /tftpboot/update/5.0_dummy_updates
    
          user-name: tester
    
          password: <hidden>
    
          file-copy-protocol: ftp default: scp
    
       -----------------------------------------------
    
    sensor(config-hos-ena)#
  10. Saia do submodo de upgrade automático:

    sensor(config-hos-ena)#exit
    sensor(config-hos)#exit
    
    Apply Changes:?[yes]:
    
  11. A imprensa entra a fim aplicar as mudanças ou datilografá-las nenhum a fim rejeitá-las.

Reaplicação da Imagem no Sensor

Você pode reaplicar a imagem no sensor destas formas:


Informações Relacionadas


Document ID: 88954