Dit document beschrijft hoe u de afbeelding en de handtekening voor de software van Cisco Inbraakdetectiesensor (IDS), van versie 4.1 naar Cisco Inbraakpreventiesysteem (IPS) 5.0 en hoger kunt verbeteren.
Opmerking: Van softwareversie 5.x en hoger vervangt Cisco IPS Cisco IDS, die van toepassing is tot versie 4.1.
OPMERKING: De sensor kan geen software updates van Cisco.com downloaden. U moet de software updates van Cisco.com naar uw FTP-server downloaden en vervolgens de sensor configureren om ze van uw FTP-server te downloaden.
Raadpleeg het gedeelte Afbeeldingen van het AIP-SSM-systeem installeren van upgrades, downloads en end systeemafbeeldingen voor de procedure.
Raadpleeg de wachtwoordherstelprocedure voor de Cisco IDS-sensor en IDS-servicesmodules (IDSM-1, IDSM-2) om meer te weten te komen over het herstel van het Cisco Secure IDS-apparaat (voorheen NetRanger) en de modules voor versies 3.x en 4.x.
Opmerking: het gebruikersverkeer wordt tijdens de upgrade niet beïnvloed in de inline- en de niet-geopende instelling op ASA - AIP-SSM.
N.B.: Raadpleeg het gedeelte UpGRAMMA IPS-software van 5.1 tot 6.x van de Cisco Inbraakpreventiesysteem Sensor configureren met behulp van de opdrachtregel interface 6.0 voor meer informatie over de procedure om IPS 5.1 te upgraden naar versie 6.x.
Opmerking: De sensor ondersteunt geen proxy servers voor auto-updates. De proxy-instellingen zijn alleen voor de Global Correlatie optie.
De minimaal vereiste softwareversie die u nodig hebt voor een upgrade naar 5.0 is 4.1(1).
De informatie in dit document is gebaseerd op de Cisco 4200 Series IDS-hardware met softwareversie 4.1 (te verbeteren naar versie 5.0).
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Raadpleeg de Cisco Technical Tips Convention voor meer informatie over documentconventies.
Deze sectie bevat informatie over het configureren van de functies die in dit document worden beschreven.
De upgrade van Cisco 4.1 naar 5.0 is beschikbaar als download van Cisco.com. Raadpleeg het Behalen van Cisco IPS-software voor de procedure die u gebruikt om IPS-softwaredownloads op Cisco.com te bereiken.
U kunt een van de hier genoemde methoden gebruiken om de upgrade uit te voeren:
Nadat u het upgradebestand van 5.0 hebt gedownload, raadpleegt u het Leesprogramma voor de procedure voor het installeren van het upgradebestand van 5.0 met de opdracht upgrades. Zie het gedeelte Opdracht upgrade van dit document gebruiken voor meer informatie.
Als u Auto Update voor uw sensor instelt, kopieert u het upgradebestand 5.0 naar de folder op de server die uw Sensor voor updates opinieert. Zie De sectie van de automatische upgrade-opdracht van dit document gebruiken voor meer informatie.
Als u een upgrade op uw sensor installeert en de Sensor na het herstarten niet meer bruikbaar is, moet u uw sensor opnieuw configureren. Een upgrade van een sensor van een willekeurige versie van Cisco IDS eerder dan 4.1 vereist ook dat u de opdracht herstellen of de CD voor herstel/upgrade gebruikt. Zie De sectie Sensor van dit document opnieuw bekijken voor meer informatie.
In deze secties wordt uitgelegd hoe u de upgradeopdracht gebruikt om de software op de sensor te verbeteren:
U kunt de sensor verbeteren met deze bestanden, die allemaal de extensie .pkg hebben:
Signaalupdates, bijvoorbeeld IPS-sig-S150-minreq-5.0-1.pkg
Bijvoorbeeld de updates van de signaalmotor IPS-motor-E2-req-6.0-1.pkg
Grote updates, bijvoorbeeld IPS-K9-maj-6.0-1-pkg
Kleine updates, bijvoorbeeld IPS-K9-min-5.1-1.pkg
Servicepakketupdates, bijvoorbeeld IPS-K9-sp-5.0-2.pkg
Herstellings verdelingsupdates, bijvoorbeeld IPS-K9-r-1.1-a-5.0-1.pkg
Patchreleases, bijvoorbeeld IPS-K9-patchoplossing-6.0-1p1-E1.pkg
Herstellings verdelingsupdates, bijvoorbeeld IPS-K9-r-1.1-a-6.0-1.pkg
Een Sensor-upgrade verandert de softwareversie van de Sensor.
Gebruik de opdracht auto-upgrade-optie die in de submodus Service host is ingeschakeld om automatische upgrades te configureren.
Deze opties zijn van toepassing:
standaard: Hiermee stelt u de waarde weer in op de standaardinstelling van het systeem.
directory—map waarin de upgradebestanden zich op de bestandsserver bevinden.
protocol voor het kopiëren van een bestand en het protocol voor het kopiëren van een bestand dat wordt gebruikt om bestanden te downloaden van de bestandsserver. De geldige waarden zijn ftp of scp.
N.B.: Als u SCP gebruikt, moet u de SSH host-key opdracht gebruiken om de server toe te voegen aan de SSH-lijst met bekende hosts, zodat de sensor er via SSH mee kan communiceren. Raadpleeg de Lijst met hosts toevoegen aan de lijst met bekende hosts voor de procedure.
ip-adres-IP adres van de bestandsserver.
wachtwoord: gebruikerswachtwoord voor verificatie op de bestandsserver.
schema-optie—Kalender als er automatische upgrades plaatsvinden. Kalender-planning start upgrades op specifieke tijden op bepaalde dagen. Periodieke planning start upgrades met specifieke periodieke intervallen.
kalender-schema: hiermee worden de dagen van de week en tijden van dag ingesteld waarop automatische upgrades worden uitgevoerd.
dagen van week - dagen van de week waarop de automatische upgrades worden uitgevoerd. U kunt meerdere dagen selecteren. Zondag tot zaterdag zijn de geldige waarden.
Nee - Verwijdert een ingang of selectie instelling.
Times-of-day-Times van de dag waarop de auto-upgrades beginnen. U kunt meerdere malen selecteren. De geldige waarde is hh:mm[:ss].
periodiek-programma—hiermee wordt de tijd ingesteld dat de eerste automatische upgrade zal plaatsvinden, en hoe lang u tussen de automatische upgrades moet wachten.
interval-het aantal uren om te wachten tussen automatische upgrades. Geldige waarden zijn 0 tot 8760.
start-tijd: het tijdstip van de dag om de eerste automatische upgrade te starten. De geldige waarde is hh:mm[:ss].
gebruiksnaam—naam—naam voor verificatie op de bestandsserver.
Raadpleeg voor de IDM-procedure voor het verbeteren van de sensor het bijwerken van de sensor.
U ontvangt SNMP-fouten als u niet de voor alleen-lezen-gemeenschap en lezen-schrijfgemeenschap parameters hebt geconfigureerd voordat u naar IPS 6.0 verbetert. Als u SNMP gebruikt en/of functies krijgt, moet u de alleen-lezen-gemeenschap en de lezen-schrijfgemeenschap parameters configureren voordat u naar IPS 6.0. werd standaard ingesteld op publiek en de read-Writing-gemeenschap was standaard ingesteld op privé. In IPS 6.0 hebben deze twee opties geen standaardwaarden. Als u SNMP niet krijgt en sets met IPS 5.x hebt gebruikt, bijvoorbeeld, laat-set-get werd op fout ingesteld, dan is er geen probleem om aan IPS 6.0 te verbeteren. Als u SNMP krijgt en instelt met IPS 5.x, bijvoorbeeld, laat-set-get werd op waar ingesteld, dan moet u de lezen-only gemeenschap vormen gemeenschapsparameters op specifieke waarden of de IPS 6.0-upgrade mislukt.
U ontvangt deze foutmelding:
Error: execUpgradeSoftware : Notification Application "enable-set-get" value set to true, but "read-only-community" and/or "read-write-community" are set to null. Upgrade may not continue with null values in these fields.
Opmerking: IPS 6.0 ontkent standaardinstellingen voor gebeurtenissen met een hoog risico. Dit is een verandering van IPS 5.x. Om het standaard te veranderen, creeer een gebeurtenis actie Override voor de ontkende lijn actie en stel deze in om gehandicapt te worden. Als de beheerder zich niet bewust is van de leesschrijfgemeenschap dan zouden ze moeten proberen om SNMP volledig uit te schakelen voordat een poging om te upgraden wordt gedaan om deze foutmelding te verwijderen.
Voltooi deze stappen om de sensor aan te passen:
Download het belangrijke update bestand (IPS-K9-maj-5.0-1-S149.rpm.pkg) naar een FTP-, SCP-, HTTP- of HTTPS-server die toegankelijk is vanuit uw sensor.
Raadpleeg het Behalen van Cisco IPS-software voor de procedure voor het vinden van software op Cisco.com.
N.B.: U moet via een account met cryptografische voorkeuren inloggen op Cisco.com om het bestand te kunnen downloaden. Wijzig de bestandsnaam niet. U moet de oorspronkelijke bestandsnaam voor de sensor bewaren om de update te accepteren.
Opmerking: Wijzig de bestandsnaam niet. Je moet de oorspronkelijke bestandsnaam bewaren voor de sensor om de update te accepteren.
Meld u aan bij de CLI met behulp van een account met Administrator-rechten.
Geef de configuratie op:
sensor#configure terminal
upgrade van de sensor:
sensor(config)#upgrade scp://@ //upgrade/
Voorbeeld:
Opmerking: deze opdracht staat op twee lijnen vanwege ruimtelijke redenen.
sensor(config)#upgrade scp://tester@10.1.1.1//upgrade/ IPS-K9-maj-5.0-1-S149.rpm.pkg
Opmerking: Raadpleeg Ondersteunde FTP- en HTTP/HTTPS-servers voor een lijst met ondersteunde FTP- en HTTP/HTTPS-servers. Raadpleeg de lijst Hosten toevoegen aan de lijst met bekende hosts bij SSH voor meer informatie over het toevoegen van de SCP-server aan de lijst met bekende hosts.
Voer het wachtwoord in wanneer dit wordt gevraagd:
Enter password: ******** Re-enter password: ********
Typ ja om de upgrade te voltooien.
Opmerking: Grote updates, kleine updates en servicepakketten kunnen een herstart van de IPS-processen of zelfs een herstart van de sensor dwingen om de installatie te voltooien. De service wordt dus minstens twee minuten onderbroken. Voor de bijwerking van de handtekening hoeft echter niet opnieuw te worden opgestart nadat de bijwerking is voltooid. Raadpleeg Download handtekeningen (alleen geregistreerde klanten) voor de laatste updates.
Controleer de nieuwe versie van de Sensor:
sensor#show version Application Partition: Cisco Intrusion Prevention System, Version 5.0(1)S149.0 OS Version 2.4.26-IDS-smp-bigphys Platform: ASA-SSM-20 Serial Number: 021 No license present Sensor up-time is 5 days. Using 490110976 out of 1984704512 bytes of available memory (24% usage) system is using 17.3M out of 29.0M bytes of available disk space (59% usage) application-data is using 37.7M out of 166.6M bytes of available disk space (24 usage) boot is using 40.5M out of 68.5M bytes of available disk space (62% usage) MainApp 2005_Mar_04_14.23 (Release) 2005-03-04T14:35:11-0600 Running AnalysisEngine 2005_Mar_04_14.23 (Release) 2005-03-04T14:35:11-0600 Running CLI 2005_Mar_04_14.23 (Release) 2005-03-04T14:35:11-0600 Upgrade History: IDS-K9-maj-5.0-1- 14:16:00 UTC Thu Mar 04 2004 Recovery Partition Version 1.1 - 5.0(1)S149 sensor#
OPMERKING: Voor IPS 5.x ontvangt u een bericht waarin staat dat de upgrade van onbekend type is. U kunt dit bericht negeren.
Opmerking: Het besturingssysteem wordt opnieuw in beeld gebracht en alle bestanden die via de servicekening op de sensor zijn geplaatst, worden verwijderd.
Raadpleeg Updaten van de sensor voor meer informatie over de IDM-procedure voor het upgraden van de sensor.
U kunt de sensor configureren om nieuwe upgradebestanden automatisch te zoeken in uw upgrademap. Een aantal sensoren kan bijvoorbeeld naar dezelfde map FTP-server wijzen met verschillende update schema's, zoals elke 24 uur of maandag, woensdag en vrijdag om 23.00 uur.
U specificeert deze informatie om automatische upgrades te plannen:
IP-adres server
Pad van de directory op de bestandsserver waar de sensor de upgradebestanden controleert
Bestand kopiëren protocol (SCP of FTP)
Gebruikersnaam en wachtwoord
Upgradeprogramma
U moet de softwareupgrade van Cisco.com downloaden en naar de upgrademap kopiëren voordat de sensor voor automatische upgrades kan vragen.
Opmerking: Als u automatische upgrade met AIM-IPS en andere IPS-apparaten of modules gebruikt, zorg er dan voor dat u zowel het 6.0(1) upgradebestand, IPS-K9-6.0-1-E1.pkg en het AIM-IPS-upgradebestand, IPS-AIM-K9-6.0-4-E1.pkg op de automatische update server plaatst zodat AIM-IPS correct kan detecteren welke bestanden moet automatisch worden gedownload en geïnstalleerd. Als u alleen het upgradebestand 6.0(1), IPS-K9-6.0-1-E1.pkg, op de automatische update server plaatst, downloads AIM-IPS en pogingen om het te installeren, wat het onjuiste bestand voor AIM-IPS is.
Raadpleeg De sensor automatisch bijwerken voor meer informatie over de IDM-procedure voor de automatische upgrade van de sensor.
Zie het gedeelte Opdracht en Opties voor upgrade van dit document voor de opdrachten voor het automatisch bijwerken.
Voltooi deze stappen om automatische upgrades te plannen:
Meld u aan bij de CLI met een account met beheerrechten.
Configureer de sensor zodat automatisch naar nieuwe upgrades in uw upgrademap wordt gezocht.
sensor#configure terminal sensor(config)#service host sensor(config-hos)#auto-upgrade-option enabled
Specificeer het schema:
Voor kalenderplanning, die op specifieke tijden op specifieke dagen opwaarderingen start:
sensor(config-hos-ena)#schedule-option calendar-schedule sensor(config-hos-ena-cal#days-of-week sunday sensor(config-hos-ena-cal#times-of-day 12:00:00
Voor periodieke schema's die met specifieke periodieke intervallen beginnen te upgraden:
sensor(config-hos-ena)#schedule-option periodic-schedule sensor(config-hos-ena-per)#interval 24 sensor(config-hos-ena-per)#start-time 13:00:00
Specificeer het IP-adres van de bestandsserver:
sensor(config-hos-ena-per)#exit sensor(config-hos-ena)#ip-address 10.1.1.1
Specificeer de map waarin de upgradebestanden zich op de bestandsserver bevinden:
sensor(config-hos-ena)#directory /tftpboot/update/5.0_dummy_updates
Specificeer de gebruikersnaam voor verificatie op de bestandsserver:
sensor(config-hos-ena)#user-name tester
Specificeer het wachtwoord van de gebruiker:
sensor(config-hos-ena)#password Enter password[]: ****** Re-enter password: ******
Specificeer het protocol van de bestandsserver:
sensor(config-hos-ena)#file-copy-protocol ftp
N.B.: Als u SCP gebruikt, moet u de SSH host-key opdracht gebruiken om de server toe te voegen aan de SSH-lijst met bekende hosts, zodat de sensor er via SSH mee kan communiceren. Raadpleeg de Lijst met hosts toevoegen aan de lijst met bekende hosts voor de procedure.
Controleer de instellingen:
sensor(config-hos-ena)#show settings enabled ----------------------------------------------- schedule-option ----------------------------------------------- periodic-schedule ----------------------------------------------- start-time: 13:00:00 interval: 24 hours ----------------------------------------------- ----------------------------------------------- ip-address: 10.1.1.1 directory: /tftpboot/update/5.0_dummy_updates user-name: tester password: <hidden> file-copy-protocol: ftp default: scp ----------------------------------------------- sensor(config-hos-ena)#
Submodus auto-upgrade afsluiten:
sensor(config-hos-ena)#exit sensor(config-hos)#exit Apply Changes:?[yes]:
Druk op Voer in om de wijzigingen toe te passen of type nee om ze weg te gooien.
U kunt de sensor op de volgende manier herwaarderen:
Gebruik voor IDS-apparaten met een CD-ROM-station de herstel-/upgrade-CD.
Raadpleeg het gedeelte Terugzetten/upgraden CD-van Upgradering, downloads en installatie van systeemafbeeldingen voor de procedure.
Gebruik voor alle sensoren de opdracht herstellen.
Raadpleeg het gedeelte Toepassingsoptie van upgrades, downloads en end-of-life details voor de procedure.
Gebruik ROMMON voor de IDS-4215, IPS-4240 en IPS 4255 om het systeembeeld te herstellen.
Raadpleeg het gedeelte IDS-4215 systeemafbeelding installeren en installeren van de IPS-4240 en IPS-4255 delen van systeemafbeeldingen van upgrade, downloads en installatie van systeemafbeeldingen voor de procedures.
Gebruik de lader voor NM-CIDS.
Raadpleeg het gedeelte NM-CIDS systeemafbeelding installeren van systeemafbeeldingen op upgrades, downloads en installeren voor de procedure.
Voor IDSM-2 moet u de toepassingsverdeling van de onderhoudspartitie opnieuw in beeld brengen.
Raadpleeg het gedeelte Afbeeldingen van het IDSM-2 systeem installeren van de procedure voor upgrades, downloads en installatie van de systeemafbeeldingen.
Voor AIP-SSM, herbeeld van de ASA met behulp van de hmodule module module 1 herstellen [configuratie | Opstarten] opdracht.
Raadpleeg het gedeelte Afbeeldingen van het AIP-SSM-systeem installeren van upgrades, downloads en end systeemafbeeldingen voor de procedure.
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
12-Oct-2009 |
Eerste vrijgave |