Este documento describe cómo actualizar la imagen y la firma del software Cisco Intrusion Detection Sensor (IDS) de la versión 4.1 a Cisco Intrusion Prevention System (IPS) 5.0 y posteriores.
Nota: Desde la versión de software 5.x y posteriores, Cisco IPS reemplaza a Cisco IDS, que es aplicable hasta la versión 4.1.
Nota: El sensor no puede descargar actualizaciones de software de Cisco.com. Debe descargar las actualizaciones de software de Cisco.com a su servidor FTP y, a continuación, configurar el sensor para descargarlas del servidor FTP.
Refiérase a la sección Instalación de la Imagen del Sistema AIP-SSM de Actualización, Desactualización e Instalación de Imágenes del Sistema para el procedimiento.
Consulte Procedimiento de Recuperación de Contraseña para Cisco IDS Sensor y IDS Services Modules (IDSM-1, IDSM-2) para obtener más información sobre cómo recuperar el dispositivo Cisco Secure IDS (antes NetRanger) y los módulos para las versiones 3.x y 4.x.
Nota: El tráfico de usuario no se ve afectado durante la actualización en la configuración en línea y de fallo-apertura en ASA - AIP-SSM.
Nota: Refiérase a la sección Actualización del Cisco IPS Software de 5.1 a 6.x de Configuración del Cisco Intrusion Prevention System Sensor Usando la Interfaz de Línea de Comandos 6.0 para obtener más información sobre el procedimiento para actualizar IPS 5.1 a la versión 6.x.
Nota: El sensor no admite servidores proxy para las actualizaciones automáticas. La configuración de proxy es sólo para la función Correlación global.
La versión mínima requerida de software para actualizar a 5.0 es 4.1(1).
La información en este documento se basa en el hardware IDS de la serie Cisco 4200 que ejecuta la versión de software 4.1 (para actualizar a la versión 5.0).
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.
En esta sección encontrará la información para configurar las funciones descritas en este documento.
La actualización de Cisco 4.1 a 5.0 está disponible como descarga de Cisco.com. Consulte Obtención de Cisco IPS Software para ver el procedimiento que utiliza para acceder a las descargas de IPS Software en Cisco.com.
Puede utilizar cualquiera de los métodos enumerados aquí para realizar la actualización:
Después de descargar el archivo de actualización 5.0, consulte el archivo Léame para ver el procedimiento sobre cómo instalar el archivo de actualización 5.0 con el comando upgrade. Consulte la sección Uso del Comando Upgrade de este documento para obtener más información.
Si ha configurado la actualización automática para el sensor, copie el archivo de actualización 5.0 en el directorio del servidor que sondeará Sensor para obtener actualizaciones. Consulte la sección Uso del Comando auto-upgrade de este documento para obtener más información.
Si instala una actualización en el sensor y el sensor no se puede utilizar después de que se reinicie, debe recrear la imagen del sensor. Una actualización de un Sensor desde cualquier versión de Cisco IDS anterior a 4.1 también requiere que utilice el comando recovery o el CD de recuperación/actualización. Consulte la sección Recreación de imágenes del sensor de este documento para obtener más información.
Estas secciones explican cómo utilizar el comando upgrade para actualizar el software en el Sensor:
Puede actualizar el Sensor con estos archivos, todos los cuales tienen la extensión .pkg:
Actualizaciones de firmas, por ejemplo, IPS-sig-S150-minreq-5.0-1.pkg
Actualizaciones del motor de firmas, por ejemplo, IPS-engine-E2-req-6.0-1.pkg
Actualizaciones principales, por ejemplo, IPS-K9-SB-6.0-1-pkg
Actualizaciones menores, por ejemplo, IPS-K9-min-5.1-1.pkg
Actualizaciones de Service Pack, por ejemplo, IPS-K9-sp-5.0-2.pkg
Actualizaciones de la partición de recuperación, por ejemplo, IPS-K9-r-1.1-a-5.0-1.pkg
Versiones de parches, por ejemplo, IPS-K9-patch-6.0-1p1-E1.pkg
Actualizaciones de la partición de recuperación, por ejemplo, IPS-K9-r-1.1-a-6.0-1.pkg
Una actualización del sensor cambia la versión de software del sensor.
Utilice el comando auto-upgrade-option enabled en el submodo de host de servicio para configurar las actualizaciones automáticas.
Estas opciones se aplican:
default: devuelve el valor al valor predeterminado del sistema.
directorio: directorio donde se encuentran los archivos de actualización en el servidor de archivos.
file-copy-protocol: protocolo de copia de archivos utilizado para descargar archivos del servidor de archivos. Los valores válidos son ftp o scp.
Nota: Si utiliza SCP, debe utilizar el comando ssh host-key para agregar el servidor a la lista de hosts conocidos de SSH para que el Sensor pueda comunicarse con él a través de SSH. Consulte Adición de Hosts a la Lista de Hosts Conocidos para ver el procedimiento.
ip-address: dirección IP del servidor de archivos.
password: contraseña de usuario para la autenticación en el servidor de archivos.
opción de programación: planifica las actualizaciones automáticas. La programación del calendario inicia las actualizaciones a horas específicas en días específicos. La programación periódica inicia las actualizaciones a intervalos periódicos específicos.
calendario-programación: configura los días de la semana y las horas del día en que se realizan las actualizaciones automáticas.
días de la semana: días de la semana en los que se realizan actualizaciones automáticas. Puede seleccionar varios días. De domingo a sábado son los valores válidos.
no: elimina una configuración de entrada o selección.
horas del día: horas del día en que comienzan las actualizaciones automáticas. Puede seleccionar varias veces. El valor válido es hh:mm[:ss].
programación periódica: configura la hora en que debe realizarse la primera actualización automática y el tiempo que debe esperarse entre las actualizaciones automáticas.
intervalo: el número de horas de espera entre las actualizaciones automáticas. Los valores válidos son de 0 a 8760.
start-time: la hora del día para iniciar la primera actualización automática. El valor válido es hh:mm[:ss].
nombre de usuario: nombre de usuario para la autenticación en el servidor de archivos.
Para ver el procedimiento IDM para actualizar el sensor, consulte Actualización del sensor.
Recibe errores SNMP si no tiene los parámetros de comunidad de sólo lectura y comunidad de lectura y escritura configurados antes de actualizar a IPS 6.0. Si está utilizando set y/o get de SNMP, debe configurar los parámetros read-only-community y read-write-community antes de actualizar a IPS 6.0. En IPS 5.x, la comunidad de sólo lectura se estableció en público de forma predeterminada y la comunidad de lectura y escritura se estableció en privado de forma predeterminada. En IPS 6.0 estas dos opciones no tienen valores predeterminados. Si no usó los y los conjuntos SNMP con IPS 5.x, por ejemplo, enable-set-get se configuró en false, entonces no hay problema para actualizar a IPS 6.0. Si utilizó SNMP gets y conjuntos con IPS 5.x, por ejemplo, enable-set-get se estableció en true, debe configurar los parámetros read-only-community y read-write-community a valores específicos o la actualización IPS 6.0 falla.
Recibe este mensaje de error:
Error: execUpgradeSoftware : Notification Application "enable-set-get" value set to true, but "read-only-community" and/or "read-write-community" are set to null. Upgrade may not continue with null values in these fields.
Nota: IPS 6.0 niega los eventos de alto riesgo de forma predeterminada. Esto supone un cambio con respecto a IPS 5.x. Para cambiar el valor predeterminado, cree una acción de evento invalida para la acción de denegación en línea del paquete y configúrelo para ser inhabilitado. Si el administrador no conoce la comunidad de lectura y escritura, debe intentar inhabilitar SNMP completamente antes de realizar un intento de actualización para quitar este mensaje de error.
Complete estos pasos para actualizar el Sensor:
Descargue el archivo de actualización principal (IPS-K9-SB-5.0-1-S149.rpm.pkg) a un servidor FTP, SCP, HTTP o HTTPS al que se pueda acceder desde el sensor.
Consulte Obtención de Cisco IPS Software para ver el procedimiento sobre cómo localizar el software en Cisco.com.
Nota: Debe iniciar sesión en Cisco.com utilizando una cuenta con privilegios criptográficos para descargar el archivo. No cambie el nombre del archivo. Debe conservar el nombre de archivo original para que el Sensor acepte la actualización.
Nota: No cambie el nombre de archivo. Debe conservar el nombre de archivo original para que el sensor acepte la actualización.
Inicie sesión en la CLI mediante una cuenta con privilegios de administrador.
Ingrese en el modo de configuración:
sensor#configure terminal
Actualice el sensor:
sensor(config)#upgrade scp://@ //upgrade/
Ejemplo:
Nota: Este comando se encuentra en dos líneas debido a razones espaciales.
sensor(config)#upgrade scp://tester@10.1.1.1//upgrade/ IPS-K9-maj-5.0-1-S149.rpm.pkg
Nota: Refiérase a Servidores FTP y HTTP/HTTPS Soportados para ver una lista de servidores FTP y HTTP/HTTPS soportados. Refiérase a Adición de Hosts a la Lista de Hosts Conocidos de SSH para obtener más información sobre cómo agregar el servidor SCP a la lista de hosts conocidos de SSH.
Introduzca la contraseña cuando se le solicite:
Enter password: ******** Re-enter password: ********
Escriba yes para completar la actualización.
Nota: Las actualizaciones importantes, las actualizaciones menores y los paquetes de servicio podrían forzar un reinicio de los procesos IPS o incluso forzar un reinicio del sensor para completar la instalación. Por lo tanto, hay una interrupción del servicio por al menos dos minutos. Sin embargo, las actualizaciones de firma no requieren un reinicio después de que se haya realizado la actualización. Consulte Descargar actualizaciones de firmas (sólo clientes registrados) para ver las últimas actualizaciones.
Verifique su nueva versión del sensor:
sensor#show version Application Partition: Cisco Intrusion Prevention System, Version 5.0(1)S149.0 OS Version 2.4.26-IDS-smp-bigphys Platform: ASA-SSM-20 Serial Number: 021 No license present Sensor up-time is 5 days. Using 490110976 out of 1984704512 bytes of available memory (24% usage) system is using 17.3M out of 29.0M bytes of available disk space (59% usage) application-data is using 37.7M out of 166.6M bytes of available disk space (24 usage) boot is using 40.5M out of 68.5M bytes of available disk space (62% usage) MainApp 2005_Mar_04_14.23 (Release) 2005-03-04T14:35:11-0600 Running AnalysisEngine 2005_Mar_04_14.23 (Release) 2005-03-04T14:35:11-0600 Running CLI 2005_Mar_04_14.23 (Release) 2005-03-04T14:35:11-0600 Upgrade History: IDS-K9-maj-5.0-1- 14:16:00 UTC Thu Mar 04 2004 Recovery Partition Version 1.1 - 5.0(1)S149 sensor#
Nota: Para IPS 5.x, recibe un mensaje que indica que la actualización es de tipo desconocido. Puede ignorar este mensaje.
Nota: Se vuelve a crear imágenes del sistema operativo y se eliminan todos los archivos que se han colocado en el sensor a través de la cuenta de servicio.
Consulte Actualización del Sensor para obtener más información sobre el procedimiento IDM para la actualización del sensor.
Puede configurar el sensor para buscar automáticamente nuevos archivos de actualización en el directorio de actualización. Por ejemplo, varios sensores pueden señalar al mismo directorio de servidor FTP remoto con diferentes programaciones de actualización, como cada 24 horas, o lunes, miércoles y viernes a las 11:00 pm.
Especifique esta información para programar actualizaciones automáticas:
Dirección IP del servidor
Ruta del directorio en el servidor de archivos donde el sensor verifica los archivos de actualización
Protocolo de copia de archivos (SCP o FTP)
Nombre de usuario y contraseña
Programación de actualización
Debe descargar la actualización de software de Cisco.com y copiarla en el directorio de actualización antes de que el sensor pueda sondear si hay actualizaciones automáticas.
Nota: Si utiliza la actualización automática con AIM-IPS y otros dispositivos o módulos IPS, asegúrese de colocar tanto el archivo de actualización 6.0(1), IPS-K9-6.0-1-E1.pkg, como el archivo de actualización AIM-IPS, IPS-AIM-K9-6.0-4-E1.pkg, en el servidor de actualización automática para que el archivo AIM-IPS pueda detectar correctamente qué debe descargarse e instalarse automáticamente. Si sólo coloca el archivo de actualización 6.0(1), IPS-K9-6.0-1-E1.pkg, en el servidor de actualización automática, AIM-IPS descarga e intenta instalarlo, que es el archivo incorrecto para AIM-IPS.
Refiérase a Actualización Automática del Sensor para obtener más información sobre el procedimiento IDM para la actualización automática del sensor.
Vea la sección Comando y Opciones de Upgrade de este documento para los comandos auto-update.
Complete estos pasos para programar actualizaciones automáticas:
Inicie sesión en la CLI con una cuenta que tenga privilegios de administrador.
Configure el sensor para buscar automáticamente nuevas actualizaciones en su directorio de actualización.
sensor#configure terminal sensor(config)#service host sensor(config-hos)#auto-upgrade-option enabled
Especifique la programación:
Para la programación del calendario, que inicia las actualizaciones a horas específicas en días específicos:
sensor(config-hos-ena)#schedule-option calendar-schedule sensor(config-hos-ena-cal#days-of-week sunday sensor(config-hos-ena-cal#times-of-day 12:00:00
Para la programación periódica, que inicia las actualizaciones a intervalos periódicos específicos:
sensor(config-hos-ena)#schedule-option periodic-schedule sensor(config-hos-ena-per)#interval 24 sensor(config-hos-ena-per)#start-time 13:00:00
Especifique la dirección IP del servidor de archivos:
sensor(config-hos-ena-per)#exit sensor(config-hos-ena)#ip-address 10.1.1.1
Especifique el directorio donde se encuentran los archivos de actualización en el servidor de archivos:
sensor(config-hos-ena)#directory /tftpboot/update/5.0_dummy_updates
Especifique el nombre de usuario para la autenticación en el servidor de archivos:
sensor(config-hos-ena)#user-name tester
Especifique la contraseña del usuario:
sensor(config-hos-ena)#password Enter password[]: ****** Re-enter password: ******
Especifique el protocolo del servidor de archivos:
sensor(config-hos-ena)#file-copy-protocol ftp
Nota: Si utiliza SCP, debe utilizar el comando ssh host-key para agregar el servidor a la lista de hosts conocidos de SSH para que el Sensor pueda comunicarse con él a través de SSH. Consulte Adición de Hosts a la Lista de Hosts Conocidos para ver el procedimiento.
Verifique los parámetros:
sensor(config-hos-ena)#show settings enabled ----------------------------------------------- schedule-option ----------------------------------------------- periodic-schedule ----------------------------------------------- start-time: 13:00:00 interval: 24 hours ----------------------------------------------- ----------------------------------------------- ip-address: 10.1.1.1 directory: /tftpboot/update/5.0_dummy_updates user-name: tester password: <hidden> file-copy-protocol: ftp default: scp ----------------------------------------------- sensor(config-hos-ena)#
Salir del submodo de actualización automática:
sensor(config-hos-ena)#exit sensor(config-hos)#exit Apply Changes:?[yes]:
Presione Enter para aplicar los cambios o escriba no para descartarlos.
Puede recrear la imagen del sensor de las siguientes maneras:
Para dispositivos IDS con una unidad de CD-ROM, utilice el CD de recuperación/actualización.
Refiérase a la sección Uso del CD de Recuperación/Upgrade de Actualización, Desactualización e Instalación de Imágenes del Sistema para el procedimiento.
Para todos los sensores, utilice el comando recovery.
Refiérase a la sección Recuperación de la Partición de Aplicación de Actualización, Desactualización e Instalación de Imágenes del Sistema para el procedimiento.
Para el IDS-4215, IPS-4240 e IPS 4255, utilice ROMMON para restaurar la imagen del sistema.
Consulte las secciones Instalación de la Imagen del Sistema IDS-4215 e Instalación de la Imagen del Sistema IPS-4240 e IPS-4255 de Actualización, Desactualización e Instalación de Imágenes del Sistema para conocer los procedimientos.
Para NM-CIDS, use el cargador de inicialización.
Refiérase a la sección Instalación de la Imagen del Sistema NM-CIDS de Actualización, Desactualización e Instalación de Imágenes del Sistema para el procedimiento.
Para IDSM-2, recrear la partición de la aplicación de la partición de mantenimiento.
Refiérase a la sección Instalación de la Imagen del Sistema IDSM-2 de Actualización, Desactualización e Instalación de Imágenes del Sistema para el procedimiento.
Para AIP-SSM, recrear la imagen del ASA usando el módulo hw-module 1 recovery [configure | boot].
Refiérase a la sección Instalación de la Imagen del Sistema AIP-SSM de Actualización, Desactualización e Instalación de Imágenes del Sistema para el procedimiento.