Sécurité : Système de protection contre les intrusions Cisco

Les IPS réimagent le processus pour des modules dans un exemple de configuration de paires de Basculement ASA

17 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires

Introduction

Ce document décrit le processus exigé pour réimager un module de Système de prévention d'intrusion (IPS) de matériel ou de logiciel dans une paire de Basculement de l'appliance de sécurité adaptable (ASA). Ce processus peut être appliqué à Cisco ASA 5500 et gamme 5500-X des appliances de Pare-feu. Les exemples de configuration dans ce document sont pour une configuration de basculement actif/veille. Un processus semblable peut être suivi en active/configuration active ; cependant, vous devez s'assurer qu'il n'y a aucun contexte actif s'exécutant avant qu'une recharge soit exécutée.

Contribué par le Pula de Todd, ingénieur TAC Cisco.

Conditions préalables

Conditions requises

Cisco vous recommande de prendre connaissance des rubriques suivantes :

  • Utilisation de l'interface de ligne de commande (CLI) pour des mises à niveau de logiciel IPS
  • Utilisation du CLI pour la configuration de Basculement ASA

Composants utilisés

Les informations dans ce document sont basées sur le module de Services de sécurité (SSM), le processeur de Services de sécurité (SSP), et les modules IPS de logiciel sur l'ASA 5500 et la gamme 5500-X d'appliances de Pare-feu.

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Informations générales

Dans certaines situations, il pourrait être nécessaire de réimager un matériel ou le module logiciel IPS dans un déploiement de paires de Basculement ASA. Par exemple, la déclassification de la version 7.1(7) pour relâcher 7.0(8) exige un réimager, car il n'y a aucune option formelle de downgrade pour le système d'exploitation IPS. Ces étapes sont utilisées pour réduire la possibilité d'une panne de réseau ou d'un Basculement faux pendant un réimager.

  1. Complétez le processus de réimager sur le module IPS en état d'alerte ASA.
  2. Faites au standby ASA l'ASA active.
  3. Complétez le processus de réimager en nouvel état d'alerte ASA (ancien active).
  4. Restaurez le nouveau standby ASA sur l'état active, si désiré.

Remarque: Dans des situations rares où les deux modules sont dans un état défaillant, le premier module a mis en ligne fait acquérir l'ASA l'état de Basculement. Par exemple, l'ASA primaire a l'état active et a un module d'enfant dans un état d'indisponibilité. L'IPS en état d'alerte ASA est également dans un état d'indisponibilité. L'IPS est alors redémarré en état d'alerte ASA. Avec l'IPS dans un état défaillant sur l'active primaire ASA, le procédé de Basculement considère le standby plus desirable, et le force pour devenir actif.

Configurez

Mesures initiales

  1. Sauvegardez la configuration en cours d'exécution des deux capteurs à un serveur externe au moyen du CLI (par exemple : courant-config ftp://cisco123:cisco123@10.10.10.10/ips1-backup) de copie.
  2. Placez le fichier d'image de système IPS sur un serveur externe TFTP (par exemple : IPS-SSM_40-K9-sys-1.1-a-7.0-8-E4.img).

Réimagez l'IPS en état d'alerte en cours ASA (gamme ASA 5500 seulement)

  1. Connectez au CLI du standby ASA par l'intermédiaire de la console, du telnet, ou du Protocole Secure Shell (SSH).
  2. Sélectionnez la commande de Basculement d'exposition afin de vérifier que l'ASA est l'équipement de réserve.
  3. Écrivez le module 1 de hw-module récupèrent configurent la commande sur l'ASA et configurent les configurations appropriées IP/TFTP.
  4. Écrivez le module 1 de hw-module récupèrent la commande de démarrage sur l'ASA afin de transférer l'image et redémarrer le module IPS.
  5. Écrivez les détails du show module 1 commandent sur l'ASA afin de surveiller l'état de reprise.
  6. Une fois que terminé, sélectionnez la commande de la session 1 sur l'ASA afin de se connecter au module IPS.
  7. Sur l'IPS, sélectionnez la commande setup et configurez le masque de sous-réseau IP/Gateway/ACL.
  8. Avec le dos de module IPS sur le réseau, restaurez le configuraton précédent par l'intermédiaire du CLI (par exemple : courant-config de ftp://cisco123:cisco123@10.10.10.10/ips1-backup de copie).
  9. Afin de vérifier que la configuration en cours IPS est mise à jour, sélectionnez la commande de show config.
  10. Réinstallez le permis de signature et améliorez les définitions de signature au besoin.
  11. En état d'alerte ASA, sélectionnez la commande active de Basculement afin de faire l'active d'équipement de réserve.

Réimagez l'IPS en nouvel état d'alerte ASA (gamme ASA 5500 seulement)

  1. Connectez au CLI du nouveau standby ASA par l'intermédiaire de la console, du telnet, ou du SSH.
  2. Sélectionnez la commande de Basculement d'exposition afin de vérifier que l'ASA est le nouvel équipement de réserve.
  3. Écrivez le module 1 de hw-module récupèrent configurent la commande sur l'ASA et configurent les configurations appropriées IP/TFTP.
  4. Écrivez le module 1 de hw-module récupèrent la commande de démarrage sur l'ASA afin de transférer l'image et redémarrer le module IPS.
  5. Écrivez les détails du show module 1 commandent sur l'ASA afin de surveiller l'état de reprise.
  6. Une fois que terminé, sélectionnez la commande de la session 1 sur l'ASA afin de se connecter au module IPS.
  7. Sur l'IPS, sélectionnez la commande setup et configurez le masque de sous-réseau IP/Gateway/ACL.
  8. Avec le dos de module IPS sur le réseau, restaurez la configuration précédente par l'intermédiaire du CLI (par exemple : courant-config de ftp://cisco123:cisco123@10.10.10.10/ips1-backup de copie).
  9. Afin de vérifier que la configuration en cours IPS est mise à jour, sélectionnez la commande de show config.
  10. Réinstallez le permis de signature et améliorez les définitions de signature au besoin.
  11. Si désiré, sélectionnez la commande active de Basculement sur le nouvel équipement de réserve afin de le restaurer sur l'état active.

Réimagez l'IPS en état d'alerte en cours ASA (la gamme 5500-X ASA seulement)

  1. Connectez au CLI du standby ASA par l'intermédiaire de la console, du telnet, ou du SSH.
  2. Sélectionnez la commande de Basculement d'exposition afin de vérifier que l'ASA est l'équipement de réserve.
  3. Écrivez le module IPS de SW-module récupèrent configurent la commande sur l'ASA et configurent les configurations appropriées IP/TFTP.
  4. Écrivez le module IPS de SW-module récupèrent la commande de démarrage sur l'ASA afin de transférer l'image et redémarrer le module IPS.
  5. Écrivez les détails IPS de show module commandent sur l'ASA afin de surveiller l'état de reprise.
  6. Une fois que terminé, sélectionnez la commande IPS de session sur l'ASA afin de se connecter au module IPS.
  7. Sur l'IPS, sélectionnez la commande setup et configurez le masque de sous-réseau IP/Gateway/ACL.
  8. Avec le dos de module IPS sur le réseau, restaurez le config précédent par l'intermédiaire du CLI (par exemple : courant-config de ftp://cisco123:cisco123@10.10.10.10/ips1-backup de copie).
  9. Afin de vérifier que la configuration en cours IPS est mise à jour, sélectionnez la commande de show config.
  10. Réinstallez le permis de signature et améliorez les définitions de signature au besoin.
  11. En état d'alerte ASA, sélectionnez la commande active de Basculement afin de faire l'active d'équipement de réserve.

Réimagez l'IPS en nouvel état d'alerte ASA (la gamme 5500-X ASA seulement)

  1. Connectez au CLI du nouveau standby ASA par l'intermédiaire de la console, du telnet, ou du SSH.
  2. Sélectionnez la commande de Basculement d'exposition afin de vérifier que l'ASA est le nouvel équipement de réserve.
  3. Écrivez le module IPS de SW-module récupèrent configurent la commande sur l'ASA et configurent les configurations appropriées IP/TFTP.
  4. Écrivez le module IPS de SW-module récupèrent la commande de démarrage sur l'ASA afin de transférer l'image et redémarrer le module IPS.
  5. Écrivez les détails IPS de show module commandent sur l'ASA afin de surveiller l'état de reprise.
  6. Une fois que terminé, sélectionnez la commande IPS de session sur l'ASA afin de se connecter au module IPS.
  7. Sur l'IPS, sélectionnez la commande setup et configurez le masque de sous-réseau IP/Gateway/ACL.
  8. Avec le dos de module IPS sur le réseau, restaurez la configuration précédente par l'intermédiaire du CLI (par exemple : courant-config de ftp://cisco123:cisco123@10.10.10.10/ips1-backup de copie).
  9. Afin de vérifier que la configuration en cours IPS est mise à jour, sélectionnez la commande de show config.
  10. Réinstallez le permis de signature et améliorez les définitions de signature au besoin.
  11. Si désiré, sélectionnez la commande active de Basculement sur le nouvel équipement de réserve afin de le restaurer sur l'état active.

Remarque: Utilisez l'Outil de recherche de commande (clients enregistrés seulement) pour obtenir plus d'informations sur les commandes utilisées dans cette section.

Vérifiez

Référez-vous à cette section pour vous assurer du bon fonctionnement de votre configuration.

L'Output Interpreter Tool (clients enregistrés seulement) prend en charge certaines commandes show. Utilisez l'Output Interpreter Tool afin de visualiser des analyses de sortie de commande show.

  • Basculement d'exposition - Une fois entrée sur l'ASA, la commande de Basculement d'exposition affiche l'état en cours de Basculement, relie l'état, et les versions du système d'exploitation.
  • affichez l'historique de Basculement - La commande d'historique de Basculement d'exposition affiche une liste d'événements horodatés de Basculement sur l'ASA.
  • détails du show module 1 - La commande de détails du show module 1 est utilisée sur la gamme ASA 5500 afin d'afficher le système d'exploitation, les paramètres réseau, et l'état de canal de contrôle/données du module IPS.
  • détails IPS de show module - La commande de détails IPS de show module est utilisée sur la gamme 5500-X ASA afin d'afficher le système d'exploitation, les paramètres réseau, et l'état de canal de contrôle/données du module IPS.

Dépannez

Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.

  • debug module-boot [de niveau] - les messages de débogage d'affichages ont associé au processus de démarrage de module IPS.
  • no debug module-boot [de niveau] - les débronchements mettent au point.

L'Output Interpreter Tool (clients enregistrés seulement) prend en charge certaines commandes show. Utilisez l'Output Interpreter Tool afin de visualiser des analyses de sortie de commande show.

Remarque: Référez-vous aux informations importantes sur les commandes de débogage avant d'utiliser les commandes de débogage.

Informations connexes


Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Document ID: 116155