Segurança : Sistema de prevenção de intrusões da Cisco

Processo da nova imagem IPS para os módulos em um exemplo de configuração do par de failover ASA

15 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback

Introdução

Este documento descreve o processo exigido à nova imagem um módulo do Intrusion Prevention System (IPS) do hardware ou do software em um par de failover adaptável da ferramenta de segurança (ASA). Este processo pode ser aplicado ao 5500 e 5500-X Series de Cisco ASA de dispositivos do Firewall. Os exemplos de configuração neste documento são para configuração de failover ativa/à espera. Um processo similar pode ser seguido em um active/configuração ativa; contudo, você deve assegurar-se de que não haja nenhum contexto ativo que é executado antes que um reload esteja executado.

Contribuído por Pula de Todd, engenheiro de TAC da Cisco.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

  • Uso do comando line interface(cli) para elevações de software IPS
  • Uso do CLI para a configuração de failover ASA

Componentes Utilizados

A informação neste documento é baseada no módulo de Serviços de segurança (SS), no processador de Serviços de segurança (SSP), e nos módulos ips de software no 5500 e 5500-X Series ASA de dispositivos do Firewall.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Informações de Apoio

Em determinadas situações, pôde ser necessário à nova imagem um o hardware ou o módulo de software IPS em um desenvolvimento do par de failover ASA. Por exemplo, degradar da liberação 7.1(7) para liberar 7.0(8) exige uma nova imagem, porque não há nenhuma opção formal do downgrade para o sistema operacional IPS. Estas etapas são usadas para minimizar a possibilidade de uma parada de rede ou de um Failover falso durante uma nova imagem.

  1. Termine o processo da nova imagem no módulo ips no ASA à espera.
  2. Faça ao ASA à espera o ASA ativo.
  3. Termine o processo da nova imagem no apoio novo ASA (active anterior).
  4. Restaure o apoio novo ASA ao estado ativo, se desejado.

Nota: Nas situações raras onde ambos os módulos estão em um estado falho, o primeiro módulo trouxe em linha faz com que o ASA cancele o estado do Failover. Por exemplo, o ASA preliminar tem o estado ativo e tem um módulo da criança em um estado inativo. O IPS no ASA à espera está igualmente em um estado inativo. O IPS é reiniciado então no ASA à espera. Com o IPS em um estado falho no active preliminar ASA, o processo do Failover considera o apoio mais desejável, e força-o para tornar-se ativo.

Configurar

Etapas inicial

  1. Suporte a configuração em execução atualmente de ambos os sensores a um servidor interno por meio do CLI (por exemplo: copie o config. atual ftp://cisco123:cisco123@10.10.10.10/ips1-backup).
  2. Posicione o arquivo de imagem do sistema IPS sobre um servidor TFTP externo (por exemplo: IPS-SSM_40-K9-sys-1.1-a-7.0-8-E4.img).

Nova imagem o IPS no apoio atual ASA (5500 Series ASA somente)

  1. Conecte ao CLI do ASA à espera através do console, do telnet, ou do Shell Seguro (ssh).
  2. Inscreva o comando show failover a fim verificar que o ASA é a unidade em standby.
  3. Entre no módulo 1 do módulo HW recuperam o comando configure no ASA e configuram os ajustes apropriados IP/TFTP.
  4. Entre no módulo 1 do módulo HW recuperam o comando boot no ASA a fim transferir a imagem e reiniciar o módulo ips.
  5. Incorpore os detalhes do módulo show 1 comandam no ASA a fim monitorar o estado da recuperação.
  6. Uma vez que terminado, inscreva o comando 1 da sessão no ASA a fim conectar ao módulo ips.
  7. No IPS, inscreva o comando setup e configurar a máscara de sub-rede IP/Gateway/ACL.
  8. Com o módulo ips para trás na rede, restaure o configuraton precedente através do CLI (por exemplo: copie o config. atual de ftp://cisco123:cisco123@10.10.10.10/ips1-backup).
  9. A fim verificar que a configuração running IPS está atualizada, inscreva o comando show config.
  10. Reinstale a licença da assinatura e promova as definições da assinatura como necessário.
  11. No ASA à espera, inscreva o comando failover ative a fim fazer o active da unidade em standby.

Nova imagem o IPS no apoio novo ASA (5500 Series ASA somente)

  1. Conecte ao CLI do apoio novo ASA através do console, do telnet, ou do SSH.
  2. Inscreva o comando show failover a fim verificar que o ASA é a unidade em standby nova.
  3. Entre no módulo 1 do módulo HW recuperam o comando configure no ASA e configuram os ajustes apropriados IP/TFTP.
  4. Entre no módulo 1 do módulo HW recuperam o comando boot no ASA a fim transferir a imagem e reiniciar o módulo ips.
  5. Incorpore os detalhes do módulo show 1 comandam no ASA a fim monitorar o estado da recuperação.
  6. Uma vez que terminado, inscreva o comando 1 da sessão no ASA a fim conectar ao módulo ips.
  7. No IPS, inscreva o comando setup e configurar a máscara de sub-rede IP/Gateway/ACL.
  8. Com o módulo ips para trás na rede, restaure a configuração precedente através do CLI (por exemplo: copie o config. atual de ftp://cisco123:cisco123@10.10.10.10/ips1-backup).
  9. A fim verificar que a configuração running IPS está atualizada, inscreva o comando show config.
  10. Reinstale a licença da assinatura e promova as definições da assinatura como necessário.
  11. Se desejado, inscreva o comando failover ative na unidade em standby nova a fim restaurá-la ao estado ativo.

Nova imagem o IPS no apoio atual ASA (5500-X Series ASA somente)

  1. Conecte ao CLI do ASA à espera através do console, do telnet, ou do SSH.
  2. Inscreva o comando show failover a fim verificar que o ASA é a unidade em standby.
  3. Entre no módulo IP do SW-módulo recuperam o comando configure no ASA e configuram os ajustes apropriados IP/TFTP.
  4. Entre no módulo IP do SW-módulo recuperam o comando boot no ASA a fim transferir a imagem e reiniciar o módulo ips.
  5. Incorpore os detalhes do módulo show IP comandam no ASA a fim monitorar o estado da recuperação.
  6. Uma vez que terminado, incorpore a sessão IP comandam no ASA a fim conectar ao módulo ips.
  7. No IPS, inscreva o comando setup e configurar a máscara de sub-rede IP/Gateway/ACL.
  8. Com o módulo ips para trás na rede, restaure a configuração precedente através do CLI (por exemplo: copie o config. atual de ftp://cisco123:cisco123@10.10.10.10/ips1-backup).
  9. A fim verificar que a configuração running IPS está atualizada, inscreva o comando show config.
  10. Reinstale a licença da assinatura e promova as definições da assinatura como necessário.
  11. No ASA à espera, inscreva o comando failover ative a fim fazer o active da unidade em standby.

Nova imagem o IPS no apoio novo ASA (5500-X Series ASA somente)

  1. Conecte ao CLI do apoio novo ASA através do console, do telnet, ou do SSH.
  2. Inscreva o comando show failover a fim verificar que o ASA é a unidade em standby nova.
  3. Entre no módulo IP do SW-módulo recuperam o comando configure no ASA e configuram os ajustes apropriados IP/TFTP.
  4. Entre no módulo IP do SW-módulo recuperam o comando boot no ASA a fim transferir a imagem e reiniciar o módulo ips.
  5. Incorpore os detalhes do módulo show IP comandam no ASA a fim monitorar o estado da recuperação.
  6. Uma vez que terminado, incorpore a sessão IP comandam no ASA a fim conectar ao módulo ips.
  7. No IPS, inscreva o comando setup e configurar a máscara de sub-rede IP/Gateway/ACL.
  8. Com o módulo ips para trás na rede, restaure a configuração precedente através do CLI (por exemplo: copie o config. atual de ftp://cisco123:cisco123@10.10.10.10/ips1-backup).
  9. A fim verificar que a configuração running IPS está atualizada, inscreva o comando show config.
  10. Reinstale a licença da assinatura e promova as definições da assinatura como necessário.
  11. Se desejado, inscreva o comando failover ative na unidade em standby nova a fim restaurá-la ao estado ativo.

Nota: Use a Command Lookup Tool ( somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Verificar

Use esta seção para confirmar se a sua configuração funciona corretamente.

A ferramenta Output Interpreter (clientes registrados somente) apoia determinados comandos de exibição. Use a ferramenta Output Interpreter a fim ver análises do emissor de comando de execução.

  • Failover da mostra - Quando entrado no ASA, o comando show failover indica o status de comutação atual, conecta o estado, e as versões do sistema operacional.
  • mostre a história do Failover - O comando history do Failover da mostra indica uma lista de eventos timestamped do Failover no ASA.
  • detalhes do módulo show 1 - O comando dos detalhes do módulo show 1 é usado no 5500 Series ASA a fim indicar o sistema operacional, configurações de rede, e o estado do controle/canal de dados do módulo ips.
  • detalhes do módulo show IP - O comando dos detalhes do módulo show IP é usado no 5500-X Series ASA a fim indicar o sistema operacional, configurações de rede, e o estado do controle/canal de dados do módulo ips.

Troubleshooting

Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.

  • debug module-boot [level] - Os indicadores debugam as mensagens relativas ao processo de boot do módulo ips.
  • no debug module-boot [level] - As inutilizações debugam.

A ferramenta Output Interpreter (clientes registrados somente) apoia determinados comandos de exibição. Use a ferramenta Output Interpreter a fim ver análises do emissor de comando de execução.

Nota: Consulte Informações Importantes sobre Comandos de Depuração antes de usar comandos debug.

Informações Relacionadas



Document ID: 116155