Upgradeer het configuratievoorbeeld van Afbeelding en Handtekening IDS 4.1 naar IPS 5.0 en hoger (AIP-SSM, NM-IDS, IDSM-2)

Downloadopties

  • PDF     (152.5 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (98.7 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (90.8 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:12 oktober 2009
Document-id:88954

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

Dit document beschrijft hoe u de afbeelding en de handtekening voor de software van Cisco Inbraakdetectiesensor (IDS), van versie 4.1 naar Cisco Inbraakpreventiesysteem (IPS) 5.0 en hoger kunt verbeteren.

Opmerking: Van softwareversie 5.x en hoger vervangt Cisco IPS Cisco IDS, die van toepassing is tot versie 4.1.

OPMERKING:  De sensor kan geen software updates van Cisco.com downloaden. U moet de software updates van Cisco.com naar uw FTP-server downloaden en vervolgens de sensor configureren om ze van uw FTP-server te downloaden.

Raadpleeg het gedeelte Afbeeldingen van het AIP-SSM-systeem installeren van upgrades, downloads en end systeemafbeeldingen voor de procedure.

Raadpleeg de wachtwoordherstelprocedure voor de Cisco IDS-sensor en IDS-servicesmodules (IDSM-1, IDSM-2) om meer te weten te komen over het herstel van het Cisco Secure IDS-apparaat (voorheen NetRanger) en de modules voor versies 3.x en 4.x.

Opmerking: het gebruikersverkeer wordt tijdens de upgrade niet beïnvloed in de inline- en de niet-geopende instelling op ASA - AIP-SSM.

N.B.: Raadpleeg het gedeelte UpGRAMMA IPS-software van 5.1 tot 6.x van de Cisco Inbraakpreventiesysteem Sensor configureren met behulp van de opdrachtregel interface 6.0 voor meer informatie over de procedure om IPS 5.1 te upgraden naar versie 6.x.

Opmerking: De sensor ondersteunt geen proxy servers voor auto-updates. De proxy-instellingen zijn alleen voor de Global Correlatie optie.

Voorwaarden

Vereisten

De minimaal vereiste softwareversie die u nodig hebt voor een upgrade naar 5.0 is 4.1(1).

Gebruikte componenten

De informatie in dit document is gebaseerd op de Cisco 4200 Series IDS-hardware met softwareversie 4.1 (te verbeteren naar versie 5.0).

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Conventies

Raadpleeg de Cisco Technical Tips Convention voor meer informatie over documentconventies.

Configureren

Deze sectie bevat informatie over het configureren van de functies die in dit document worden beschreven.

De upgrade van Cisco 4.1 naar 5.0 is beschikbaar als download van Cisco.com. Raadpleeg het Behalen van Cisco IPS-software voor de procedure die u gebruikt om IPS-softwaredownloads op Cisco.com te bereiken.

U kunt een van de hier genoemde methoden gebruiken om de upgrade uit te voeren:

  • Nadat u het upgradebestand van 5.0 hebt gedownload, raadpleegt u het Leesprogramma voor de procedure voor het installeren van het upgradebestand van 5.0 met de opdracht upgrades. Zie het gedeelte Opdracht upgrade van dit document gebruiken voor meer informatie.

  • Als u Auto Update voor uw sensor instelt, kopieert u het upgradebestand 5.0 naar de folder op de server die uw Sensor voor updates opinieert. Zie De sectie van de automatische upgrade-opdracht van dit document gebruiken voor meer informatie.

  • Als u een upgrade op uw sensor installeert en de Sensor na het herstarten niet meer bruikbaar is, moet u uw sensor opnieuw configureren. Een upgrade van een sensor van een willekeurige versie van Cisco IDS eerder dan 4.1 vereist ook dat u de opdracht herstellen of de CD voor herstel/upgrade gebruikt. Zie De sectie Sensor van dit document opnieuw bekijken voor meer informatie.

Upgradesensor

In deze secties wordt uitgelegd hoe u de upgradeopdracht gebruikt om de software op de sensor te verbeteren:

Overzicht

U kunt de sensor verbeteren met deze bestanden, die allemaal de extensie .pkg hebben:

  • Signaalupdates, bijvoorbeeld IPS-sig-S150-minreq-5.0-1.pkg

  • Bijvoorbeeld de updates van de signaalmotor IPS-motor-E2-req-6.0-1.pkg

  • Grote updates, bijvoorbeeld IPS-K9-maj-6.0-1-pkg

  • Kleine updates, bijvoorbeeld IPS-K9-min-5.1-1.pkg

  • Servicepakketupdates, bijvoorbeeld IPS-K9-sp-5.0-2.pkg

  • Herstellings verdelingsupdates, bijvoorbeeld IPS-K9-r-1.1-a-5.0-1.pkg

  • Patchreleases, bijvoorbeeld IPS-K9-patchoplossing-6.0-1p1-E1.pkg

  • Herstellings verdelingsupdates, bijvoorbeeld IPS-K9-r-1.1-a-6.0-1.pkg

Een Sensor-upgrade verandert de softwareversie van de Sensor.

Opdracht en opties upgrade

Gebruik de opdracht auto-upgrade-optie die in de submodus Service host is ingeschakeld om automatische upgrades te configureren.

Deze opties zijn van toepassing:

  • standaard: Hiermee stelt u de waarde weer in op de standaardinstelling van het systeem.

  • directory—map waarin de upgradebestanden zich op de bestandsserver bevinden.

  • protocol voor het kopiëren van een bestand en het protocol voor het kopiëren van een bestand dat wordt gebruikt om bestanden te downloaden van de bestandsserver. De geldige waarden zijn ftp of scp.

    N.B.: Als u SCP gebruikt, moet u de SSH host-key opdracht gebruiken om de server toe te voegen aan de SSH-lijst met bekende hosts, zodat de sensor er via SSH mee kan communiceren. Raadpleeg de Lijst met hosts toevoegen aan de lijst met bekende hosts voor de procedure.

  • ip-adres-IP adres van de bestandsserver.

  • wachtwoord: gebruikerswachtwoord voor verificatie op de bestandsserver.

  • schema-optie—Kalender als er automatische upgrades plaatsvinden. Kalender-planning start upgrades op specifieke tijden op bepaalde dagen. Periodieke planning start upgrades met specifieke periodieke intervallen.

    • kalender-schema: hiermee worden de dagen van de week en tijden van dag ingesteld waarop automatische upgrades worden uitgevoerd.

      • dagen van week - dagen van de week waarop de automatische upgrades worden uitgevoerd. U kunt meerdere dagen selecteren. Zondag tot zaterdag zijn de geldige waarden.

      • Nee - Verwijdert een ingang of selectie instelling.

      • Times-of-day-Times van de dag waarop de auto-upgrades beginnen. U kunt meerdere malen selecteren. De geldige waarde is hh:mm[:ss].

    • periodiek-programma—hiermee wordt de tijd ingesteld dat de eerste automatische upgrade zal plaatsvinden, en hoe lang u tussen de automatische upgrades moet wachten.

      • interval-het aantal uren om te wachten tussen automatische upgrades. Geldige waarden zijn 0 tot 8760.

      • start-tijd: het tijdstip van de dag om de eerste automatische upgrade te starten. De geldige waarde is hh:mm[:ss].

  • gebruiksnaamnaam—naam voor verificatie op de bestandsserver.

Raadpleeg voor de IDM-procedure voor het verbeteren van de sensor het bijwerken van de sensor.

Gebruik de upgrade-opdracht

U ontvangt SNMP-fouten als u niet de voor alleen-lezen-gemeenschap en lezen-schrijfgemeenschap parameters hebt geconfigureerd voordat u naar IPS 6.0 verbetert. Als u SNMP gebruikt en/of functies krijgt, moet u de alleen-lezen-gemeenschap en de lezen-schrijfgemeenschap parameters configureren voordat u naar IPS 6.0. werd standaard ingesteld op publiek en de read-Writing-gemeenschap was standaard ingesteld op privé. In IPS 6.0 hebben deze twee opties geen standaardwaarden. Als u SNMP niet krijgt en sets met IPS 5.x hebt gebruikt, bijvoorbeeld, laat-set-get werd op fout ingesteld, dan is er geen probleem om aan IPS 6.0 te verbeteren. Als u SNMP krijgt en instelt met IPS 5.x, bijvoorbeeld, laat-set-get werd op waar ingesteld, dan moet u de lezen-only gemeenschap vormen gemeenschapsparameters op specifieke waarden of de IPS 6.0-upgrade mislukt.

U ontvangt deze foutmelding: 

Error: execUpgradeSoftware : Notification Application "enable-set-get" value set to true, 
but "read-only-community" and/or "read-write-community" are set to null. Upgrade may not 
continue with null values in these fields.

Opmerking: IPS 6.0 ontkent standaardinstellingen voor gebeurtenissen met een hoog risico. Dit is een verandering van IPS 5.x. Om het standaard te veranderen, creeer een gebeurtenis actie Override voor de ontkende lijn actie en stel deze in om gehandicapt te worden. Als de beheerder zich niet bewust is van de leesschrijfgemeenschap dan zouden ze moeten proberen om SNMP volledig uit te schakelen voordat een poging om te upgraden wordt gedaan om deze foutmelding te verwijderen.

Voltooi deze stappen om de sensor aan te passen:

  1. Download het belangrijke update bestand (IPS-K9-maj-5.0-1-S149.rpm.pkg) naar een FTP-, SCP-, HTTP- of HTTPS-server die toegankelijk is vanuit uw sensor.

    Raadpleeg het Behalen van Cisco IPS-software voor de procedure voor het vinden van software op Cisco.com.

    N.B.: U moet via een account met cryptografische voorkeuren inloggen op Cisco.com om het bestand te kunnen downloaden. Wijzig de bestandsnaam niet. U moet de oorspronkelijke bestandsnaam voor de sensor bewaren om de update te accepteren.

    Opmerking: Wijzig de bestandsnaam niet. Je moet de oorspronkelijke bestandsnaam bewaren voor de sensor om de update te accepteren.

  2. Meld u aan bij de CLI met behulp van een account met Administrator-rechten.

  3. Geef de configuratie op:

    sensor#configure terminal

  4. upgrade van de sensor:

    sensor(config)#upgrade scp://
        
        
          @ 
         
           //upgrade/

    Voorbeeld:

    Opmerking: deze opdracht staat op twee lijnen vanwege ruimtelijke redenen.

    sensor(config)#upgrade scp://tester@10.1.1.1//upgrade/
IPS-K9-maj-5.0-1-S149.rpm.pkg

    Opmerking: Raadpleeg Ondersteunde FTP- en HTTP/HTTPS-servers voor een lijst met ondersteunde FTP- en HTTP/HTTPS-servers. Raadpleeg de lijst Hosten toevoegen aan de lijst met bekende hosts bij SSH voor meer informatie over het toevoegen van de SCP-server aan de lijst met bekende hosts.

  5. Voer het wachtwoord in wanneer dit wordt gevraagd:

    Enter password: ********
Re-enter password: ********

  6. Typ ja om de upgrade te voltooien.

    Opmerking: Grote updates, kleine updates en servicepakketten kunnen een herstart van de IPS-processen of zelfs een herstart van de sensor dwingen om de installatie te voltooien. De service wordt dus minstens twee minuten onderbroken. Voor de bijwerking van de handtekening hoeft echter niet opnieuw te worden opgestart nadat de bijwerking is voltooid. Raadpleeg Download handtekeningen (alleen geregistreerde klanten) voor de laatste updates.

  7. Controleer de nieuwe versie van de Sensor:

    sensor#show version

Application Partition:


Cisco Intrusion Prevention System, Version 5.0(1)S149.0


OS Version 2.4.26-IDS-smp-bigphys

Platform: ASA-SSM-20

Serial Number: 021

No license present

Sensor up-time is 5 days.

Using 490110976 out of 1984704512 bytes of available memory (24% usage)

system is using 17.3M out of 29.0M bytes of available disk space (59% usage)

application-data is using 37.7M out of 166.6M bytes of 
available disk space (24 usage)

boot is using 40.5M out of 68.5M bytes of available disk space (62% usage)


MainApp         2005_Mar_04_14.23 (Release)  2005-03-04T14:35:11-0600  Running

AnalysisEngine  2005_Mar_04_14.23 (Release)  2005-03-04T14:35:11-0600  Running

CLI             2005_Mar_04_14.23 (Release)  2005-03-04T14:35:11-0600


Upgrade History:


  IDS-K9-maj-5.0-1-   14:16:00 UTC Thu Mar 04 2004


Recovery Partition Version 1.1 - 5.0(1)S149


sensor#

    OPMERKING:  Voor IPS 5.x ontvangt u een bericht waarin staat dat de upgrade van onbekend type is. U kunt dit bericht negeren.

    Opmerking: Het besturingssysteem wordt opnieuw in beeld gebracht en alle bestanden die via de servicekening op de sensor zijn geplaatst, worden verwijderd.

Raadpleeg Updaten van de sensor voor meer informatie over de IDM-procedure voor het upgraden van de sensor.

Automatische upgrades configureren

Automatische upgrades

U kunt de sensor configureren om nieuwe upgradebestanden automatisch te zoeken in uw upgrademap. Een aantal sensoren kan bijvoorbeeld naar dezelfde map FTP-server wijzen met verschillende update schema's, zoals elke 24 uur of maandag, woensdag en vrijdag om 23.00 uur.

U specificeert deze informatie om automatische upgrades te plannen:

  • IP-adres server

  • Pad van de directory op de bestandsserver waar de sensor de upgradebestanden controleert

  • Bestand kopiëren protocol (SCP of FTP)

  • Gebruikersnaam en wachtwoord

  • Upgradeprogramma

U moet de softwareupgrade van Cisco.com downloaden en naar de upgrademap kopiëren voordat de sensor voor automatische upgrades kan vragen.

Opmerking: Als u automatische upgrade met AIM-IPS en andere IPS-apparaten of modules gebruikt, zorg er dan voor dat u zowel het 6.0(1) upgradebestand, IPS-K9-6.0-1-E1.pkg en het AIM-IPS-upgradebestand, IPS-AIM-K9-6.0-4-E1.pkg op de automatische update server plaatst zodat AIM-IPS correct kan detecteren welke bestanden moet automatisch worden gedownload en geïnstalleerd. Als u alleen het upgradebestand 6.0(1), IPS-K9-6.0-1-E1.pkg, op de automatische update server plaatst, downloads AIM-IPS en pogingen om het te installeren, wat het onjuiste bestand voor AIM-IPS is.

Raadpleeg De sensor automatisch bijwerken voor meer informatie over de IDM-procedure voor de automatische upgrade van de sensor.

Gebruik de opdracht voor het upgraden

Zie het gedeelte Opdracht en Opties voor upgrade van dit document voor de opdrachten voor het automatisch bijwerken.

Voltooi deze stappen om automatische upgrades te plannen:

  1. Meld u aan bij de CLI met een account met beheerrechten.

  2. Configureer de sensor zodat automatisch naar nieuwe upgrades in uw upgrademap wordt gezocht.

    sensor#configure terminal
sensor(config)#service host
sensor(config-hos)#auto-upgrade-option enabled

  3. Specificeer het schema:

    • Voor kalenderplanning, die op specifieke tijden op specifieke dagen opwaarderingen start: 

      sensor(config-hos-ena)#schedule-option calendar-schedule
sensor(config-hos-ena-cal#days-of-week sunday
sensor(config-hos-ena-cal#times-of-day 12:00:00

    • Voor periodieke schema's die met specifieke periodieke intervallen beginnen te upgraden:

      sensor(config-hos-ena)#schedule-option periodic-schedule
sensor(config-hos-ena-per)#interval 24
sensor(config-hos-ena-per)#start-time 13:00:00

  4. Specificeer het IP-adres van de bestandsserver:

    sensor(config-hos-ena-per)#exit
sensor(config-hos-ena)#ip-address 10.1.1.1

  5. Specificeer de map waarin de upgradebestanden zich op de bestandsserver bevinden:

    sensor(config-hos-ena)#directory /tftpboot/update/5.0_dummy_updates

  6. Specificeer de gebruikersnaam voor verificatie op de bestandsserver:

    sensor(config-hos-ena)#user-name tester

  7. Specificeer het wachtwoord van de gebruiker:

    sensor(config-hos-ena)#password

Enter password[]: ******
Re-enter password: ******

  8. Specificeer het protocol van de bestandsserver: 

    sensor(config-hos-ena)#file-copy-protocol ftp

    N.B.: Als u SCP gebruikt, moet u de SSH host-key opdracht gebruiken om de server toe te voegen aan de SSH-lijst met bekende hosts, zodat de sensor er via SSH mee kan communiceren. Raadpleeg de Lijst met hosts toevoegen aan de lijst met bekende hosts voor de procedure.

  9. Controleer de instellingen:

    sensor(config-hos-ena)#show settings

   enabled

   -----------------------------------------------

      schedule-option

      -----------------------------------------------

         periodic-schedule

         -----------------------------------------------

            start-time: 13:00:00

            interval: 24 hours

         -----------------------------------------------

      -----------------------------------------------

      ip-address: 10.1.1.1

      directory: /tftpboot/update/5.0_dummy_updates

      user-name: tester

      password: <hidden>

      file-copy-protocol: ftp default: scp

   -----------------------------------------------

sensor(config-hos-ena)#

  10. Submodus auto-upgrade afsluiten:

    sensor(config-hos-ena)#exit
sensor(config-hos)#exit

Apply Changes:?[yes]:

  11. Druk op Voer in om de wijzigingen toe te passen of type nee om ze weg te gooien.

De sensor opnieuw in beeld brengen

U kunt de sensor op de volgende manier herwaarderen:

Gerelateerde informatie

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
1.0
12-Oct-2009
Eerste vrijgave

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten