이미지 및 서명 IDS 4.1을(를) IPS 5.0 이상(AIP-SSM, NM-IDS, IDSM-2) 컨피그레이션 예시

소개

이 문서에서는 Cisco IDS(Intrusion Detection Sensor) 소프트웨어의 이미지 및 서명을 버전 4.1에서 Cisco IPS(Intrusion Prevention System) 5.0 이상으로 업그레이드하는 방법에 대해 설명합니다.

참고: Cisco IPS는 소프트웨어 버전 5.x 이상에서 버전 4.1까지 적용되는 Cisco IDS를 대체합니다.

참고:  센서가 Cisco.com에서 소프트웨어 업데이트를 다운로드할 수 없습니다. Cisco.com에서 FTP 서버로 소프트웨어 업데이트를 다운로드한 다음 FTP 서버에서 다운로드하려면 센서를 구성해야 합니다.

절차는 Upgrading, Downgrading and Installing System Images의 Installing the AIP-SSM System Image 섹션을 참조하십시오.

Cisco Secure IDS(이전의 NetRanger) 어플라이언스 및 버전 3.x 및 4.x용 모듈을 복구하는 방법에 대한 자세한 내용은 Cisco IDS Sensor 및 IDS Services Module(IDSM-1, IDSM-2)의 비밀번호 복구 절차를 참조하십시오.

참고: 사용자 트래픽은 ASA - AIP-SSM의 인라인 및 fail-open 설정에서 업그레이드하는 동안 영향을 받지 않습니다.

참고: IPS 5.1을 버전 6.x로 업그레이드하는 절차에 대한 자세한 내용은 명령줄 인터페이스 6.0을 사용하여 Cisco Intrusion Prevention System Sensor 구성의 5.1에서 6.x로 Cisco IPS 소프트웨어 업그레이드 섹션을 참조하십시오.

참고: 센서가 자동 업데이트에 프록시 서버를 지원하지 않습니다. 프록시 설정은 전역 상관관계 기능에만 적용됩니다.

사전 요구 사항

요구 사항

5.0으로 업그레이드하기 위해 필요한 최소 소프트웨어 버전은 4.1(1)입니다.

사용되는 구성 요소

이 문서의 정보는 소프트웨어 버전 4.1(버전 5.0으로 업그레이드)을 실행하는 Cisco 4200 Series IDS 하드웨어를 기반으로 합니다.

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.

표기 규칙

문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 규칙을 참조하십시오.

구성

이 섹션에는 이 문서에서 설명하는 기능을 구성하기 위한 정보가 표시됩니다.

Cisco 4.1에서 5.0으로 업그레이드하는 것은 Cisco.com에서 다운로드할 수 있습니다. Cisco.com에서 IPS 소프트웨어 다운로드에 액세스하는 데 사용하는 절차는 Cisco IPS 소프트웨어 가져오기를 참조하십시오.

업그레이드를 수행하기 위해 여기에 나열된 방법 중 하나를 사용할 수 있습니다.

• 5.0 업그레이드 파일을 다운로드한 후 upgrade 명령을 사용하여 5.0 업그레이드 파일을 설치하는 방법에 대한 절차는 Readme를 참조하십시오. 자세한 내용은 이 문서의 업그레이드 명령 사용 섹션을 참조하십시오.

• 센서에 대한 자동 업데이트를 구성한 경우, 5.0 업그레이드 파일을 센서에서 업데이트를 위해 폴링하는 서버의 디렉토리에 복사합니다. 자세한 내용은 이 문서의 자동 업그레이드 명령 사용 섹션을 참조하십시오.

• 센서에 업그레이드를 설치하고 센서가 재부팅된 후 사용할 수 없는 경우 센서를 다시 이미지화해야 합니다. 4.1 이전 버전의 Cisco IDS에서 센서를 업그레이드하려면 recover 명령 또는 복구/업그레이드 CD를 사용해야 합니다. 자세한 내용은 이 문서의 센서 이미지 재지정 섹션을 참조하십시오.

센서 업그레이드

다음 섹션에서는 upgrade 명령을 사용하여 센서에서 소프트웨어를 업그레이드하는 방법에 대해 설명합니다.

• 개요

• 업그레이드 명령 및 옵션

• 업그레이드 명령 사용

개요

다음 파일을 사용하여 센서를 업그레이드할 수 있습니다. 모두 확장명이 .pkg입니다.

• 서명 업데이트(예: IPS-sig-S150-minreq-5.0-1.pkg)

• 시그니처 엔진 업데이트(예: IPS-engine-E2-req-6.0-1.pkg)

• 주요 업데이트(예: IPS-K9-maj-6.0-1-pkg)

• 간단한 업데이트(예: IPS-K9-min-5.1-1.pkg)

• 서비스 팩 업데이트(예: IPS-K9-sp-5.0-2.pkg)

• 복구 파티션 업데이트(예: IPS-K9-r-1.1-a-5.0-1.pkg)

• 패치 릴리스(예: IPS-K9-patch-6.0-1p1-E1.pkg)

• 복구 파티션 업데이트(예: IPS-K9-r-1.1-a-6.0-1.pkg)

센서 업그레이드가 센서의 소프트웨어 버전을 변경합니다.

업그레이드 명령 및 옵션

자동 업그레이드를 구성하려면 서비스 호스트 하위 모드에서 auto-upgrade-option enabled 명령을 사용합니다.

다음 옵션이 적용됩니다.

• default(기본값) - 값을 시스템 기본 설정으로 다시 설정합니다.

• directory—업그레이드 파일이 파일 서버에 있는 디렉토리

• file-copy-protocol—파일 서버에서 파일을 다운로드하는 데 사용되는 파일 복사 프로토콜입니다. 유효한 값은 ftp 또는 scp입니다.

  참고: SCP를 사용하는 경우 센서가 SSH를 통해 통신할 수 있도록 SSH 알려진 호스트 목록에 서버를 추가하려면 ssh host-key 명령을 사용해야 합니다. 절차는 알려진 호스트 목록에 호스트 추가를 참조하십시오.

• ip-address - 파일 서버의 IP 주소입니다.

• password - 파일 서버에서 인증을 위한 사용자 비밀번호입니다.

• schedule-option—자동 업그레이드가 발생할 때 예약합니다. 일정 예약은 특정 날짜에 업그레이드를 시작합니다. 정기적인 스케줄링은 특정 주기적 간격으로 업그레이드를 시작합니다.

  • calendar-schedule—자동 업그레이드가 수행되는 요일과 시간을 구성합니다.

    • days-of-week—자동 업그레이드가 수행되는 요일입니다. 여러 일을 선택할 수 있습니다. 일요일부터 토요일까지 유효한 값입니다.

    • no - 항목 또는 선택 설정을 제거합니다.

    • time-of-day—자동 업그레이드가 시작되는 날짜의 시간입니다. 여러 번 선택할 수 있습니다. 유효한 값은 hh:mm[:ss]입니다.

  • periodic-schedule—첫 번째 자동 업그레이드가 필요한 시간과 자동 업그레이드 사이에 대기하는 시간을 구성합니다.

    • interval(간격) - 자동 업그레이드 사이의 대기 시간 수입니다. 유효한 값은 0~8760입니다.

    • start-time—첫 번째 자동 업그레이드를 시작할 시간입니다. 유효한 값은 hh:mm[:ss]입니다.

• user-name—파일 서버에서 인증을 위한 사용자 이름입니다.

센서 업그레이드를 위한 IDM 절차는 센서 업데이트를 참조하십시오.

업그레이드 명령 사용

IPS 6.0으로 업그레이드하기 전에 읽기 전용 커뮤니티 및 읽기-쓰기 커뮤니티 매개 변수가 구성되지 않은 경우 SNMP 오류를 받습니다. SNMP 집합 및/또는 가져오기 기능을 사용하는 경우 IPS 6.0으로 업그레이드하기 전에 읽기 전용 커뮤니티 및 읽기-쓰기 커뮤니티 매개 변수를 구성해야 합니다. IPS 5.x에서 읽기 전용 커뮤니티는 public으로 설정되고 write-를- 읽기로 설정했습니다.-community는 기본적으로 private으로 설정되었습니다. IPS 6.0에서는 이 두 옵션에 기본값이 없습니다. IPS 5.x와 함께 SNMP get 및 집합을 사용하지 않은 경우(예: enable-set-get이 false로 설정된 경우) IPS 6.0으로 업그레이드하는 데 문제가 없습니다. SNMP를 사용하여 IPS 5.x를 가져오고 설정한 경우, 예를 들어 enable-set-get이 true로 설정된 경우 읽기 전용 커뮤니티 및 읽기-쓰기 매개변수를 특정 값 또는 IPS 6.에 구성해야 합니다. 0 업그레이드가 실패합니다.

다음 오류 메시지가 표시됩니다.

Error: execUpgradeSoftware : Notification Application "enable-set-get" value set to true, 
but "read-only-community" and/or "read-write-community" are set to null. Upgrade may not 
continue with null values in these fields.

참고: IPS 6.0은 기본적으로 고위험 이벤트를 거부합니다. 이는 IPS 5.x의 변화입니다. 기본값을 변경하려면 deny packet inline action에 대한 이벤트 작업 재지정을 생성하고 비활성화되도록 구성합니다. 관리자가 읽기 쓰기 커뮤니티를 인식하지 못하는 경우 이 오류 메시지를 제거하기 위해 업그레이드를 시도하기 전에 SNMP를 완전히 비활성화해야 합니다.

센서를 업그레이드하려면 다음 단계를 완료하십시오.

1. 센서에서 액세스할 수 있는 FTP, SCP, HTTP 또는 HTTPS 서버에 주요 업데이트 파일(IPS-K9-maj-5.0-1-S149.rpm.pkg )을 다운로드합니다.

   Cisco.com에서 소프트웨어를 찾는 방법에 대한 절차는 Cisco IPS 소프트웨어 가져오기를 참조하십시오.

   참고: 파일을 다운로드하려면 암호화 권한이 있는 계정을 사용하여 Cisco.com에 로그인해야 합니다. 파일 이름을 변경하지 마십시오. 업데이트를 수락하려면 센서의 원래 파일 이름을 유지해야 합니다.

   참고: 파일 이름을 변경하지 마십시오. 업데이트를 수락하려면 센서의 원래 파일 이름을 유지해야 합니다.

2. 관리자 권한이 있는 계정을 사용하여 CLI에 로그인합니다.

3. 구성 모드를 시작합니다.

   sensor#configure terminal
   

4. 센서를 업그레이드합니다.

   sensor(config)#upgrade scp://
           
           
             @ 
            
              //upgrade/ 
              
             
           
   

   예:

   참고: 이 명령은 공간 이유로 인해 두 행에 있습니다.

   sensor(config)#upgrade scp://tester@10.1.1.1//upgrade/
   IPS-K9-maj-5.0-1-S149.rpm.pkg
   

   참고: 지원되는 FTP 및 HTTP/HTTPS 서버 목록은 지원되는 FTP 및 HTTP/HTTPS 서버를 참조하십시오. SSH 알려진 호스트 목록에 SCP 서버를 추가하는 방법에 대한 자세한 내용은 SSH 알려진 호스트 목록에 호스트 추가를 참조하십시오.

5. 다음과 같은 메시지가 표시되면 비밀번호를 입력합니다.

   Enter password: ********
   Re-enter password: ********

6. yes를 입력하여 업그레이드를 완료합니다.

   참고: 주 업데이트, 부 업데이트 및 서비스 팩은 IPS 프로세스를 다시 시작하거나 센서가 재부팅되어 설치를 완료할 수도 있습니다. 따라서 최소 2분 동안 서비스가 중단됩니다. 그러나 업데이트가 완료된 후에는 시그니처 업데이트를 재부팅할 필요가 없습니다. 최신 업데이트는 서명 업데이트 다운로드(등록된 고객만 해당)를 참조하십시오.

7. 새 센서 버전 확인:

   sensor#show version
   
   Application Partition:
   
   
   Cisco Intrusion Prevention System, Version 5.0(1)S149.0
   
   
   OS Version 2.4.26-IDS-smp-bigphys
   
   Platform: ASA-SSM-20
   
   Serial Number: 021
   
   No license present
   
   Sensor up-time is 5 days.
   
   Using 490110976 out of 1984704512 bytes of available memory (24% usage)
   
   system is using 17.3M out of 29.0M bytes of available disk space (59% usage)
   
   application-data is using 37.7M out of 166.6M bytes of 
   available disk space (24 usage)
   
   boot is using 40.5M out of 68.5M bytes of available disk space (62% usage)
   
   
   MainApp         2005_Mar_04_14.23 (Release)  2005-03-04T14:35:11-0600  Running
   
   AnalysisEngine  2005_Mar_04_14.23 (Release)  2005-03-04T14:35:11-0600  Running
   
   CLI             2005_Mar_04_14.23 (Release)  2005-03-04T14:35:11-0600
   
   
   Upgrade History:
   
   
     IDS-K9-maj-5.0-1-   14:16:00 UTC Thu Mar 04 2004
   
   
   Recovery Partition Version 1.1 - 5.0(1)S149
   
   
   sensor#

   참고:  IPS 5.x의 경우 업그레이드가 알 수 없는 유형이라는 메시지가 표시됩니다. 이 메시지를 무시할 수 있습니다.

   참고: 운영 체제가 재이미지화되고 서비스 계정을 통해 센서에 배치된 모든 파일이 제거됩니다.

센서 업그레이드에 대한 IDM 절차에 대한 자세한 내용은 센서 업데이트를 참조하십시오.

자동 업그레이드 구성

자동 업그레이드

업그레이드 디렉토리에서 자동으로 새 업그레이드 파일을 찾도록 센서를 구성할 수 있습니다. 예를 들어, 24시간마다 또는 월요일, 수요일, 금요일 오후 11:00과 같은 서로 다른 업데이트 일정이 있는 동일한 원격 FTP 서버 디렉토리를 여러 센서로 가리킬 수 있습니다.

자동 업그레이드를 예약하려면 다음 정보를 지정합니다.

• 서버 IP 주소

• 센서가 업그레이드 파일을 확인하는 파일 서버의 디렉토리 경로

• 파일 복사 프로토콜(SCP 또는 FTP)

• 사용자 이름 및 비밀번호

• 업그레이드 일정

센서에서 자동 업그레이드를 폴링하기 전에 Cisco.com에서 소프트웨어 업그레이드를 다운로드하고 업그레이드 디렉토리에 복사해야 합니다.

참고: AIM-IPS 및 기타 IPS 어플라이언스 또는 모듈과 함께 자동 업그레이드를 사용하는 경우 AIM-IPS-IPS-K9-6.0-1-E1.pkg과 AIM-IPS 업그레이드 파일, IPS-AIM-K9-6.0-4-E1.pkg을 자동 업데이트 서버에 모두 설치하여 AIM-IPS가 다운로드해야 할 파일을 올바르게 감지할 수 있습니다. 설치되었습니다. 6.0(1) 업그레이드 파일인 IPS-K9-6.0-1-E1.pkg만 자동 업데이트 서버에 설치하면 AIM-IPS가 다운로드하여 설치를 시도합니다. 이는 AIM-IPS에 대한 잘못된 파일입니다.

센서 자동 업그레이드에 대한 IDM 절차에 대한 자세한 내용은 센서 자동 업데이트를 참조하십시오.

auto-upgrade 명령 사용

auto-update 명령은 이 문서의 Upgrade Command and Options 섹션을 참조하십시오.

자동 업그레이드를 예약하려면 다음 단계를 완료하십시오.

1. 관리자 권한이 있는 계정으로 CLI에 로그인합니다.

2. 업그레이드 디렉토리에서 새 업그레이드를 자동으로 찾기 위해 센서를 구성합니다.

   sensor#configure terminal
   sensor(config)#service host
   sensor(config-hos)#auto-upgrade-option enabled
   

3. 일정을 지정합니다.

   • 일정 예약의 경우 특정 날짜에 특정 시간에 업그레이드를 시작합니다.

     sensor(config-hos-ena)#schedule-option calendar-schedule
     sensor(config-hos-ena-cal#days-of-week sunday
     sensor(config-hos-ena-cal#times-of-day 12:00:00
     

   • 특정 주기적 간격으로 업그레이드를 시작하는 주기적 스케줄링의 경우

     sensor(config-hos-ena)#schedule-option periodic-schedule
     sensor(config-hos-ena-per)#interval 24
     sensor(config-hos-ena-per)#start-time 13:00:00
     

4. 파일 서버의 IP 주소를 지정합니다.

   sensor(config-hos-ena-per)#exit
   sensor(config-hos-ena)#ip-address 10.1.1.1
   

5. 파일 서버에 업그레이드 파일이 있는 디렉토리를 지정합니다.

   sensor(config-hos-ena)#directory /tftpboot/update/5.0_dummy_updates
   

6. 파일 서버에서 인증을 위한 사용자 이름을 지정합니다.

   sensor(config-hos-ena)#user-name tester
   

7. 사용자의 비밀번호를 지정합니다.

   sensor(config-hos-ena)#password
   
   Enter password[]: ******
   Re-enter password: ******
   

8. 파일 서버 프로토콜을 지정합니다.

   sensor(config-hos-ena)#file-copy-protocol ftp
   

   참고: SCP를 사용하는 경우 센서가 SSH를 통해 통신할 수 있도록 SSH 알려진 호스트 목록에 서버를 추가하려면 ssh host-key 명령을 사용해야 합니다. 절차는 알려진 호스트 목록에 호스트 추가를 참조하십시오.

9. 설정을 확인합니다.

   sensor(config-hos-ena)#show settings
   
      enabled
   
      -----------------------------------------------
   
         schedule-option
   
         -----------------------------------------------
   
            periodic-schedule
   
            -----------------------------------------------
   
               start-time: 13:00:00
   
               interval: 24 hours
   
            -----------------------------------------------
   
         -----------------------------------------------
   
         ip-address: 10.1.1.1
   
         directory: /tftpboot/update/5.0_dummy_updates
   
         user-name: tester
   
         password: <hidden>
   
         file-copy-protocol: ftp default: scp
   
      -----------------------------------------------
   
   sensor(config-hos-ena)#

10. 자동 업그레이드 하위 모드 종료:

    sensor(config-hos-ena)#exit
    sensor(config-hos)#exit
    
    Apply Changes:?[yes]:
    

11. Enter를 눌러 변경 사항을 적용하거나 no를 입력하여 취소합니다.

센서 이미지 다시 만들기

다음과 같은 방법으로 센서를 재이미지화할 수 있습니다.

• CD-ROM 드라이브가 있는 IDS 어플라이언스의 경우 복구/업그레이드 CD를 사용합니다.

  절차는 Upgrading, Downgrading, and Installing System Images의 Using the Recovery/Upgrade CD 섹션을 참조하십시오.

• 모든 센서에서 recover 명령을 사용합니다.

  이 절차는 시스템 이미지 업그레이드, 다운그레이드 및 설치의 애플리케이션 파티션 복구 섹션을 참조하십시오.

• IDS-4215, IPS-4240 및 IPS 4255의 경우 ROMMON을 사용하여 시스템 이미지를 복원합니다.

  이 절차는 시스템 이미지 업그레이드, 다운그레이드 및 설치의 IDS-4215 시스템 이미지 설치 및 IPS-4240 및 IPS-4255 시스템 이미지 설치 섹션을 참조하십시오.

• NM-CIDS의 경우 bootloader를 사용합니다.

  절차는 Upgrading, Downgrading and Installing System Images의 Installing the NM-CIDS System Image 섹션을 참조하십시오.

• IDSM-2의 경우 유지 관리 파티션에서 애플리케이션 파티션을 다시 이미징합니다.

  절차는 Upgrading, Downgrading, and Installing System Images(시스템 이미지 업그레이드, 다운그레이드 및 설치)의 IDSM-2 시스템 이미지 설치 섹션을 참조하십시오.

• AIP-SSM의 경우 hw-module module 1 recover를 사용하여 ASA에서 리이미징 [configure] | boot] 명령

  절차는 Upgrading, Downgrading and Installing System Images의 Installing the AIP-SSM System Image 섹션을 참조하십시오.

관련 정보

• Cisco Intrusion Prevention System 지원 페이지
• IPS 6.0용 시스템 이미지 업그레이드, 다운그레이드 및 설치
• Cisco Catalyst 6500 Series IDSM-2(Intrusion Detection System) 모듈 지원 페이지
• Cisco IDS Sensor 및 IDS Services Module 1, IDSM-2의 비밀번호 복구 절차)
• 자동 서명 업데이트 문제 해결
• 기술 지원 및 문서 − Cisco Systems