Inleiding
In dit document wordt het proces beschreven voor het terugdraaien van de VDB (Vulnerability Database) voor het Secure Firewall Management Center (FMC) en voor de FDM (Secure Firewall Device Manager).
Voorwaarden
Vereisten
Er zijn geen specifieke vereisten van toepassing op dit document.
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- Cisco Secure Firewall Management Center versie 7.3 en VDB 361+
- Cisco Secure Firewall Management Center versie 7.2.1 en VDB 343+
- Cisco Secure Firewall Device Manager versie 7.0.6 en VDB 395+
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Configureren
Initiële configuraties
Eerste configuratie voor FMC
Vanuit de FMC GUI kunt u bevestigen dat de werkelijke VDB-versie wordt uitgevoerd door naar de hoofdpagina te gaanMenu >
.


Vanuit de FMC CLI kunt u bevestigen dat de werkelijke VDB-versie wordt uitgevoerd met de volgende opdracht, versie weergeven:
> show version
-------------------[ firepower ]--------------------
Model : Secure Firewall Management Center for VMware (66) Version 7.3.0 (Build 69)
UUID : e8f4b5de-4da1-11ed-b2ce-4637a3ef82f7
Rules update version : 2023-07-12-002-vrt
LSP version : lsp-rel-20230712-1621
VDB version : 361
----------------------------------------------------
Eerste configuratie voor FDM
Vanuit de FDM GUI kunt u de werkelijke VDB-versie bevestigen door naar het dashboard voor bewaking te gaan:

Vanuit de FDM CLI kunt u bevestigen dat de werkelijke VDB-versie wordt uitgevoerd met de volgende opdracht 'cat /etc/sf/.versiondb/vdb.conf':
root@vFTD-2:/ngfw/var/cisco/deploy/pkg/var/cisco/packages# cat /etc/sf/.versiondb/vdb.conf
CURRENT_VERSION=4.5.0
CURRENT_BUILD=397
CURRENT_APPID_VER=138
CURRENT_NAVL_VER=158
VDB Rollback Process voor FMC v7.3+
Dit zijn de stappen die moeten worden gevolgd om de VDB-versie voor een FMC v7.3+ terug te draaien, in het volgende voorbeeld rollen we terug van VDB 361 naar VDB 359.
1. Als het terug te draaien VDB-bestand niet meer in de FMC is opgeslagen, moet u het bestand uploaden naar de FMC en hiervoor navigeren naar Systeem (
)

4. Vink vervolgens het selectievakje FMC aan en klik op Installeren.

5. Er wordt een waarschuwingsprompt weergegeven om u te informeren over mogelijke verkeersonderbrekingen in het geval dat u wijzigingen implementeert in de beheerde apparaten na de VDB-terugdraaiing.

VDB Rollback Process voor FMC v7.2.x en eerder
Dit zijn de stappen die u moet volgen om de VDB-versie voor een FMC v7.2.x en eerder terug te draaien.
1. SSH naar de FMC CLI.
2. Switch naar expertmodus en root, en stel de terugdraaivariabele als volgt in op '1':
>expert
$sudo su
#export ROLLBACK_VDB=1
3. Controleer of het VDB-pakket waarnaar u wilt terugdraaien zich in de volgende FMC-directory /var/sf/updates bevindt, en upload het VDB-bestand dat u nodig hebt naar de FMC als het VDB-bestand zich niet op dit pad bevindt.
4. Ga vervolgens verder met de VDB rollback-installatie door de volgende opdracht in te voeren:
install_update.pl --detach /var/sf/updates/
Voorbeeld:
root@FMC:/var/sf/updates# install_update.pl --detach /var/sf/updates/Cisco_VDB_Fingerprint_Database-4.5.0-394.sh.REL.tar
ARGV[0] = --detach
ARGV[1] = /var/sf/updates/Cisco_VDB_Fingerprint_Database-4.5.0-394.sh.REL.tar
bundle_filepath: /var/sf/updates/Cisco_VDB_Fingerprint_Database-4.5.0-394.sh.REL.tar
install_update.pl begins. bundle_filepath: /var/sf/updates/Cisco_VDB_Fingerprint_Database-4.5.0-394.sh.REL.tar
Makeself GetUpdate Info params FILEPATH : /var/tmp/upgrade-patch/Cisco_VDB_Fingerprint_Database-4.5.0-394.sh at /usr/local/sf/lib/perl/5.24.4/SF/Update/Makeself.pm line 33.
FILEPATH directory name /var/tmp/upgrade-patch at /usr/local/sf/lib/perl/5.24.4/SF/Update/Makeself.pm line 47.
Inside GetInfo FILEPATH :/var/tmp/upgrade-patch/Cisco_VDB_Fingerprint_Database-4.5.0-394.sh at /usr/local/sf/lib/perl/5.24.4/SF/Update/Makeself.pm line 272.
Use of uninitialized value in string ne at /usr/local/sf/lib/perl/5.24.4/SF/Update/Makeself.pm line 125.
4. Controleer de vdb-installatielogboeken op de volgende directorylocatie / var/log/sf/<VDB Package file> en controleer de voortgang van de VDB-installatie in het bestand status.log.
root@FMC:/var/log/sf/vdb-4.5.0-394# tail -f status.log
state:running
ui:The install has begun.
ui:[ 0%] Running script pre/000_start.sh...
ui:[ 4%] Running script pre/001_check_required_upgrade.pl...
ui:[ 8%] Running script pre/005_check_low_end.pl...
ui:[12%] Running script pre/010_check_versions.sh...
ui:[15%] Running script pre/011_check_versions.pl...
ui:[19%] Running script pre/020_check_space.sh...
ui:[23%] Running script pre/500_stop_rna.pl...
ui:[27%] Running script pre/999_finish.sh...
ui:[31%] Running script installer/000_start.sh...
ui:[35%] Running script installer/100_install_files.pl...
ui:[38%] Running script installer/200_install_fingerprints.sh...
ui:[42%] Running script installer/300_install_vdb.sh...
ui:[46%] Running script installer/400_install_rdps.pl...
ui:[50%] Running script installer/420_delete_obsolete_ids.pl...
ui:[54%] Running script installer/430_change_dupe_custom_app_names.pl...
ui:[58%] Running script installer/450_resave_detectors.pl...
ui:[62%] Running script installer/480_update_dynamic_config_with_csds.pl...
ui:[65%] Running script installer/525_export_compliance_policies.pl...
ui:[69%] Running script installer/900_update_version.sh...
ui:[73%] Running script installer/901_update_db_version.pl...
ui:[77%] Running script installer/950_reapply_to_sensor.pl...
ui:[81%] Running script installer/975_export_data.pl...
ui:[85%] Running script installer/999_finish.sh...
ui:[88%] Running script post/000_start.sh...
ui:[92%] Running script post/500_start_rna.pl...
ui:[96%] Running script post/999_finish.sh...
ui:[100%] The install completed successfully.
ui:The install has completed.
state:finished
5. Voer na voltooiing van de VDB-installatie een beleidsimplementatie uit op de beheerde apparaten (om de beleidsimplementatie uit te voeren, moet er een minimale wijziging in de configuratie worden aangebracht).
6. Voer vanuit de FMC CLI de opdracht versie weergeven uit om te bevestigen dat de werkelijke VDB-versie actief is.
> show version
----------------[ FMC ]-----------------
Model : Secure Firewall Management Center for VMware (66) Version 7.2.1 (Build 40)
UUID : 597fda3e-386e-11ed-95e2-dbc141b3e897
Rules update version : 2022-09-14-001-vrt
LSP version : lsp-rel-20220511-1540
VDB version : 394
----------------------------------------------------
VDB Rollback Process voor FMC HA
1. Pauzeer de FMC HA-synchronisatie en draai vervolgens de VDB op elke FMC terug.
2. Zodra het VDB-terugrolproces voor elk FMC is voltooid, hervat u de FMC HA.
- De HA-pagina kan nog steeds "vdb niet gesynchroniseerd" weergeven met de VDB-versie mismatch, dit bericht kan worden genegeerd.
3. Als na het uitvoeren van het terugdraai-VDB-proces voor de FMC dit niet werkt en de laatste VDB-update automatisch opnieuw wordt geïnstalleerd, zoekt u de nieuwste VDB-bestanden op en verwijdert u deze uit onderstaande mappen voor beide FMC's:
/var/sf/updates (.sh file)
/var/cisco/pacakges/ (.tgz file)
4. Herhaal de bovenstaande stappen 1 en 2 om de VDB voor de FMC HA terug te draaien.
VDB Rollback Process voor FDM
Als u de VDB-versie voor een FDM wilt terugdraaien, gaat u verder met het openen van een Cisco TAC-case en het aanvragen van hulp door de TAC-engineer naar dit Cisco-document te verwijzen.
Verifiëren
Van FTD CLI
Op FTD, om de geschiedenis van VDB-installaties te controleren, is een manier om de volgende directory-inhoud te controleren:
root@firepower:/ngfw/var/cisco/deploy/pkg/var/cisco/packages# ls -al
total 72912
drwxr-xr-x 5 root root 130 Sep 1 08:49 .
drwxr-xr-x 4 root root 34 Aug 16 14:40 ..
drwxr-xr-x 3 root root 18 Aug 16 14:40 exporter-7.2.4-169
-rw-r--r-- 1 root root 2371661 Jul 27 15:34 exporter-7.2.4-169.tgz
drwxr-xr-x 3 root root 21 Aug 16 14:40 vdb-368
-rw-r--r-- 1 root root 36374219 Jul 27 15:34 vdb-368.tgz
drwxr-xr-x 3 root root 21 Sep 1 08:49 vdb-369
-rw-r--r-- 1 root root 35908455 Sep 1 08:48 vdb-369.tgz
Van FMC GUI
Nadat de terugdraaitaak is voltooid, kan de VDB-versie worden bevestigd in het hoofdmenu >


Ten slotte is, nadat de VDB is teruggedraaid, een beleidsimplementatie vereist om de nieuwe VDB-configuratie naar de door de FMC beheerde firewalls te duwen.

Beperkingen
- De VDB-terugdraaiknop is niet beschikbaar voor FMC-versies vóór 7.3.
- U mag de VDB niet terugdraaien naar een versie ouder dan 357, als een VDB-versie ouder dan 357 naar de FMC wordt geüpload, wordt de terugdraaiknop grijs weergegeven.

- Als de VDB-versie lager is dan de basis-VDB-versie van de FMC, wordt de voltooide rollback-taak weergegeven, maar de weergegeven VDB-versie blijft dezelfde als de vorige rollback-poging.


Vanuit de FMC-CLI kunt u bevestigen dat dit is gebeurd omdat de doelversie voor terugdraaien lager is dan de FMC-basisversie. Dit kan worden bevestigd op de FMC CLI in het bestand status.log.
> expert
sudo su
cd /var/log/sf/vdb-4.5.0-<vdb number>/
cat status.log
root@firepower:/var/log/sf/vdb-4.5.0-357# cat status.log
state:running
ui:The install has begun.
ui:[ 0%] Running script pre/000_start.sh...
ui:[ 4%] Running script pre/010_check_versions.sh...
ui:[ 4%] Non-Fatal error: Non-Fatal error: Cannot rollback to version(357) lower than default VDB 358
ui:[ 4%] The install completed successfully.
ui:The install has completed.
state:finished
----------------------------------------------------
Gerelateerde informatie