Seguridad : Sistema de prevención de intrusiones (IPS) de Cisco

Proceso de la nueva imagen IPS para los módulos en un ejemplo de configuración del par de fallas ASA

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios

Introducción

Este documento describe el proceso requerido recrear imagen un módulo del Sistema de prevención de intrusiones (IPS) del soporte físico o del software en un par de fallas adaptante del dispositivo de seguridad (ASA). Este proceso se puede aplicar a las 5500 y 5500-X Series de Cisco ASA de dispositivos del Firewall. Los ejemplos de configuración en este documento están para una configuración de failover activa/espera. Un proceso similar se puede seguir en un active/una configuración activa; sin embargo, usted debe asegurarse de que no haya contextos activos que se ejecutan antes de que se realice una recarga.

Contribuido por las pulas de Todd, ingeniero de Cisco TAC.

Prerrequisitos

Requisitos

Cisco recomienda que tenga conocimiento sobre estos temas:

  • Uso del comando line interface(cli) para las actualizaciones del software IPS
  • Uso del CLI para la configuración de failover ASA

Componentes Utilizados

La información en este documento se basa en el módulo de Servicios de seguridad (SS), el procesador de los Servicios de seguridad (SSP), y los módulos IPS del software en las 5500 y 5500-X Series ASA de dispositivos del Firewall.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Antecedentes

En ciertas situaciones, puede ser que sea necesario recrear imagen un hardware o el módulo de software IPS en un despliegue del par de fallas ASA. Por ejemplo, la degradación de la versión 7.1(7) para liberar 7.0(8) requiere una nueva imagen, pues no hay opción formal del downgrade para el sistema operativo IPS. Estos pasos se utilizan para minimizar la ocasión de una interrupción de la red o de una Conmutación por falla falsa durante una nueva imagen.

  1. Complete el proceso de la nueva imagen en el módulo ips en el ASA espera.
  2. Haga el ASA espera el ASA activo.
  3. Complete el proceso de la nueva imagen en el nuevo recurso seguro ASA (active anterior).
  4. Restablezca el nuevo recurso seguro ASA al estado activo, si está deseado.

Nota: En las situaciones poco comunes donde están ambos módulos en un estado fallido, el primer módulo trajo en línea hace el ASA apropiarse del estado de la Conmutación por falla. Por ejemplo, el ASA primario tiene el estado activo y tiene un módulo del niño en un estado inactivo. El IPS en el ASA espera está también en un estado inactivo. El IPS entonces se recomienza en el ASA espera. Con el IPS en un estado fallido en el active primario ASA, el proceso de la Conmutación por falla considera el recurso seguro más deseable, y lo fuerza para llegar a ser activo.

Configurar

Pasos iniciales

  1. Sostenga la Configuración actual de ejecución. de ambos sensores a un servidor externo por medio del CLI (por ejemplo: copie la configuración actual ftp://cisco123:cisco123@10.10.10.10/ips1-backup).
  2. Coloque el archivo de imagen del sistema IPS en un servidor TFTP del externo (por ejemplo: IPS-SSM_40-K9-sys-1.1-a-7.0-8-E4.img).

Nueva imagen el IPS en el recurso seguro actual ASA (5500 Series ASA solamente)

  1. Conecte con el CLI del ASA espera vía la consola, Telnet, o el Secure Shell (SSH).
  2. Ingrese el comando show failover para verificar que el ASA es la unidad en espera.
  3. Ingrese el módulo 1 del módulo del hw recuperan el comando configure en el ASA y configuran las configuraciones apropiadas IP/TFTP.
  4. Ingrese el módulo 1 del módulo del hw recuperan el comando boot en el ASA para transferir la imagen y recomenzar el módulo ips.
  5. Ingrese los detalles del módulo show 1 ordenan en el ASA para monitorear el estatus de la recuperación.
  6. Una vez que está completado, ingrese el comando 1 de la sesión en el ASA para conectar con el módulo ips.
  7. En el IPS, ingrese el comando setup y configure a la máscara de subred/Gateway/ACL IP.
  8. Con la parte posterior del módulo ips en la red, restablezca el configuraton anterior vía el CLI (por ejemplo: copie la configuración actual de ftp://cisco123:cisco123@10.10.10.10/ips1-backup).
  9. Para verificar que la configuración corriente IPS sea actualizada, ingrese el comando show config.
  10. Reinstale la licencia de la firma y actualice las definiciones de la firma como sea necesario.
  11. En el ASA espera, ingrese el comando failover active para hacer el active de la unidad en espera.

Nueva imagen el IPS en el nuevo recurso seguro ASA (5500 Series ASA solamente)

  1. Conecte con el CLI del nuevo recurso seguro ASA vía la consola, Telnet, o SSH.
  2. Ingrese el comando show failover para verificar que el ASA es la nueva unidad en espera.
  3. Ingrese el módulo 1 del módulo del hw recuperan el comando configure en el ASA y configuran las configuraciones apropiadas IP/TFTP.
  4. Ingrese el módulo 1 del módulo del hw recuperan el comando boot en el ASA para transferir la imagen y recomenzar el módulo ips.
  5. Ingrese los detalles del módulo show 1 ordenan en el ASA para monitorear el estatus de la recuperación.
  6. Una vez que está completado, ingrese el comando 1 de la sesión en el ASA para conectar con el módulo ips.
  7. En el IPS, ingrese el comando setup y configure a la máscara de subred/Gateway/ACL IP.
  8. Con la parte posterior del módulo ips en la red, restablezca la configuración previa vía el CLI (por ejemplo: copie la configuración actual de ftp://cisco123:cisco123@10.10.10.10/ips1-backup).
  9. Para verificar que la configuración corriente IPS sea actualizada, ingrese el comando show config.
  10. Reinstale la licencia de la firma y actualice las definiciones de la firma como sea necesario.
  11. Si está deseado, ingrese el comando failover active en la nueva unidad en espera para restablecerla al estado activo.

Nueva imagen el IPS en el recurso seguro actual ASA (5500-X Series ASA solamente)

  1. Conecte con el CLI del ASA espera vía la consola, Telnet, o SSH.
  2. Ingrese el comando show failover para verificar que el ASA es la unidad en espera.
  3. Ingrese el módulo IPS del SW-módulo recuperan el comando configure en el ASA y configuran las configuraciones apropiadas IP/TFTP.
  4. Ingrese el módulo IPS del SW-módulo recuperan el comando boot en el ASA para transferir la imagen y recomenzar el módulo ips.
  5. Ingrese los detalles IPS del módulo show ordenan en el ASA para monitorear el estatus de la recuperación.
  6. Una vez que está completado, ingrese el comando IPS de la sesión en el ASA para conectar con el módulo ips.
  7. En el IPS, ingrese el comando setup y configure a la máscara de subred/Gateway/ACL IP.
  8. Con la parte posterior del módulo ips en la red, restablezca los config anteriores vía el CLI (por ejemplo: copie la configuración actual de ftp://cisco123:cisco123@10.10.10.10/ips1-backup).
  9. Para verificar que la configuración corriente IPS sea actualizada, ingrese el comando show config.
  10. Reinstale la licencia de la firma y actualice las definiciones de la firma como sea necesario.
  11. En el ASA espera, ingrese el comando failover active para hacer el active de la unidad en espera.

Nueva imagen el IPS en el nuevo recurso seguro ASA (5500-X Series ASA solamente)

  1. Conecte con el CLI del nuevo recurso seguro ASA vía la consola, Telnet, o SSH.
  2. Ingrese el comando show failover para verificar que el ASA es la nueva unidad en espera.
  3. Ingrese el módulo IPS del SW-módulo recuperan el comando configure en el ASA y configuran las configuraciones apropiadas IP/TFTP.
  4. Ingrese el módulo IPS del SW-módulo recuperan el comando boot en el ASA para transferir la imagen y recomenzar el módulo ips.
  5. Ingrese los detalles IPS del módulo show ordenan en el ASA para monitorear el estatus de la recuperación.
  6. Una vez que está completado, ingrese el comando IPS de la sesión en el ASA para conectar con el módulo ips.
  7. En el IPS, ingrese a la máscara de subred/Gateway/ACL IP del comando setup y de la configuración.
  8. Con la parte posterior del módulo ips en la red, restablezca la configuración previa vía el CLI (por ejemplo: copie la configuración actual de ftp://cisco123:cisco123@10.10.10.10/ips1-backup).
  9. Para verificar que la configuración corriente IPS sea actualizada, ingrese el comando show config.
  10. Reinstale la licencia de la firma y actualice las definiciones de la firma como sea necesario.
  11. Si está deseado, ingrese el comando failover active en la nueva unidad en espera para restablecerla al estado activo.

Nota: Use la Command Lookup Tool (clientes registrados solamente) para obtener más información sobre los comandos usados en esta sección.

Verificación

Use esta sección para confirmar que su configuración funciona correctamente.

La herramienta del Output Interpreter (clientes registrados solamente) apoya los ciertos comandos show. Utilice la herramienta del Output Interpreter para ver una análisis de la salida del comando show.

  • Conmutación por falla de la demostración - Cuando está ingresado en el ASA, el comando show failover visualiza el estado de fallla actual, interconecta el estado, y las versiones del sistema operativo.
  • muestre el historial de la Conmutación por falla - El comando history de la Conmutación por falla de la demostración visualiza una lista de eventos de falla con impresión horaria en el ASA.
  • detalles del módulo show 1 - El comando de los detalles del módulo show 1 se utiliza en las 5500 Series ASA para visualizar el sistema operativo, las configuraciones de red, y el estado del control/del canal de datos del módulo ips.
  • detalles IPS del módulo show - El comando de los detalles IPS del módulo show se utiliza en las 5500-X Series ASA para visualizar el sistema operativo, las configuraciones de red, y el estado del control/del canal de datos del módulo ips.

Troubleshooting

En esta sección encontrará información que puede utilizar para solucionar problemas de configuración.

  • debug module-boot []level- Los mensajes del debug de las visualizaciones se relacionaron con el proceso de arranque del módulo ips.
  • no debug module-boot []level- Debug de las neutralizaciones.

La herramienta del Output Interpreter (clientes registrados solamente) apoya los ciertos comandos show. Utilice la herramienta del Output Interpreter para ver una análisis de la salida del comando show.

Nota: Consulte Información Importante sobre Comandos de Debug antes de usar un comando debug.

Información Relacionada



Document ID: 116155