Versión de VDB de reversión para Secure Firewall Management Center y Secure Firewall Device Manager

Opciones de descarga

  • PDF     (860.1 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (695.9 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (522.4 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:10 de agosto de 2023
ID del documento:220719

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe el proceso para revertir la base de datos de vulnerabilidades (VDB) para Secure Firewall Management Center (FMC) y para Secure Firewall Device Manager (FDM).

    Prerequisites

    Requirements

    No hay requisitos específicos para este documento.

    Componentes Utilizados

    La información que contiene este documento se basa en las siguientes versiones de software y hardware.

    • Cisco Secure Firewall Management Center versión 7.3 y VDB 361+
    • Cisco Secure Firewall Management Center versión 7.2.1 y VDB 343+
    • Cisco Secure Firewall Device Manager versión 7.0.6 y VDB 395+

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Configurar

    Configuraciones iniciales

    Configuración inicial para FMC

    Desde la GUI de FMC, puede confirmar la versión de VDB real que se está ejecutando en la página principalMenú >FMC dashboard > Acerca de.

    FMC dashboard

    FMC dashboard

    Desde la CLI de FMC, puede confirmar la versión de VDB real que se ejecuta con el siguiente comando, show version:

    > show version
    -------------------[ firepower ]--------------------
    Model : Secure Firewall Management Center for VMware (66) Version 7.3.0 (Build 69)
    UUID : e8f4b5de-4da1-11ed-b2ce-4637a3ef82f7
    Rules update version : 2023-07-12-002-vrt
    LSP version : lsp-rel-20230712-1621
    VDB version : 361
    ----------------------------------------------------

    Configuración inicial para FDM

    Desde la GUI de FDM, puede confirmar la versión de VDB real que se está ejecutando en el panel de monitoreo, de la siguiente manera:

    FDM Dashboard

    Desde la CLI de FDM, puede confirmar la versión real de VDB que se ejecuta con el siguiente comando 'cat /etc/sf/.versiondb/vdb.conf':

    root@vFTD-2:/ngfw/var/cisco/deploy/pkg/var/cisco/packages# cat /etc/sf/.versiondb/vdb.conf
CURRENT_VERSION=4.5.0
CURRENT_BUILD=397
CURRENT_APPID_VER=138
CURRENT_NAVL_VER=158

    Proceso de reversión de VDB para FMC v7.3+

    Estos son los pasos a seguir para revertir la versión de VDB para un FMC v7.3+, en el siguiente ejemplo estamos retrocediendo de VDB 361 a VDB 359.
    1. En caso de que el archivo VDB al que se va a revertir ya no esté almacenado en el FMC, deberá cargarlo en el FMC. Para ello, vaya a Sistema(gear) > Actualizaciones > Actualizaciones de productosActualizaciones disponibles> Cargar actualizaciones, seleccione el archivo VDB de su equipo local y haga clic en Cargar

    2. Una vez cargado el archivo VDB en el FMC, la versión anterior de VDB (versión 359 en este ejemplo) mostrará el icono Rollback en lugar del icono Install.

    3. Para continuar con la reversión de VDB 361 a VDB 359, haga clic en el botón de reversión. 

    FMC product updates

    4. A continuación, marque la casilla de verificación FMC y haga clic en Install.

    Product Updates Install

    5. Se muestra un mensaje de advertencia para informarle sobre una posible interrupción del tráfico en caso de que implemente cambios en los dispositivos administrados después de la reversión de VDB. 

    warning

    Proceso de reversión de VDB para FMC v7.2.x y versiones anteriores

    Estos son los pasos a seguir para revertir la versión de VDB para un FMC v7.2.x y versiones anteriores.

    1. SSH a la CLI de FMC.

    2. Cambie al modo experto y root, y establezca la variable de rollback en '1', de la siguiente manera:

    >expert
    $sudo su
    #export ROLLBACK_VDB=1

    3. Valide que el paquete de VDB al que pretende revertir se encuentra en el siguiente directorio FMC /var/sf/updates, en caso de que el archivo VDB no se encuentre en esta ruta, cargue el archivo VDB necesario en el FMC.

    4. Luego, continúe con la instalación de reversión de VDB ingresando el siguiente comando:

    install_update.pl --detach /var/sf/updates/

    Ejemplo:

    root@FMC:/var/sf/updates# install_update.pl --detach /var/sf/updates/Cisco_VDB_Fingerprint_Database-4.5.0-394.sh.REL.tar
ARGV[0] = --detach
ARGV[1] = /var/sf/updates/Cisco_VDB_Fingerprint_Database-4.5.0-394.sh.REL.tar
bundle_filepath: /var/sf/updates/Cisco_VDB_Fingerprint_Database-4.5.0-394.sh.REL.tar
install_update.pl begins. bundle_filepath: /var/sf/updates/Cisco_VDB_Fingerprint_Database-4.5.0-394.sh.REL.tar
Makeself GetUpdate Info params FILEPATH : /var/tmp/upgrade-patch/Cisco_VDB_Fingerprint_Database-4.5.0-394.sh at /usr/local/sf/lib/perl/5.24.4/SF/Update/Makeself.pm line 33.
FILEPATH directory name /var/tmp/upgrade-patch at /usr/local/sf/lib/perl/5.24.4/SF/Update/Makeself.pm line 47.
Inside GetInfo FILEPATH :/var/tmp/upgrade-patch/Cisco_VDB_Fingerprint_Database-4.5.0-394.sh at /usr/local/sf/lib/perl/5.24.4/SF/Update/Makeself.pm line 272.
Use of uninitialized value in string ne at /usr/local/sf/lib/perl/5.24.4/SF/Update/Makeself.pm line 125.

    4. Supervise los registros de instalación de VDB en la siguiente ubicación de directorio /var/log/sf/<archivo de paquete VDB> y compruebe el progreso de la instalación de VDB desde el archivo status.log.

    root@FMC:/var/log/sf/vdb-4.5.0-394# tail -f status.log
state:running
ui:The install has begun.
ui:[ 0%] Running script pre/000_start.sh...
ui:[ 4%] Running script pre/001_check_required_upgrade.pl...
ui:[ 8%] Running script pre/005_check_low_end.pl...
ui:[12%] Running script pre/010_check_versions.sh...
ui:[15%] Running script pre/011_check_versions.pl...
ui:[19%] Running script pre/020_check_space.sh...
ui:[23%] Running script pre/500_stop_rna.pl...
ui:[27%] Running script pre/999_finish.sh...
ui:[31%] Running script installer/000_start.sh...
ui:[35%] Running script installer/100_install_files.pl...
ui:[38%] Running script installer/200_install_fingerprints.sh...
ui:[42%] Running script installer/300_install_vdb.sh...
ui:[46%] Running script installer/400_install_rdps.pl...
ui:[50%] Running script installer/420_delete_obsolete_ids.pl...
ui:[54%] Running script installer/430_change_dupe_custom_app_names.pl...
ui:[58%] Running script installer/450_resave_detectors.pl...
ui:[62%] Running script installer/480_update_dynamic_config_with_csds.pl...
ui:[65%] Running script installer/525_export_compliance_policies.pl...
ui:[69%] Running script installer/900_update_version.sh...
ui:[73%] Running script installer/901_update_db_version.pl...
ui:[77%] Running script installer/950_reapply_to_sensor.pl...
ui:[81%] Running script installer/975_export_data.pl...
ui:[85%] Running script installer/999_finish.sh...
ui:[88%] Running script post/000_start.sh...
ui:[92%] Running script post/500_start_rna.pl...
ui:[96%] Running script post/999_finish.sh...
ui:[100%] The install completed successfully.
ui:The install has completed.
state:finished

    5. Una vez finalizada la instalación de VDB, ejecute una implementación de políticas en los dispositivos administrados (para ejecutar la implementación de políticas, debe realizarse un cambio mínimo en la configuración).

    6. Desde la CLI de FMC, ejecute el comando show version para confirmar que se está ejecutando la versión de VDB real.

    > show version
----------------[ FMC ]-----------------
Model                     : Secure Firewall Management Center for VMware (66) Version 7.2.1 (Build 40)
UUID                      : 597fda3e-386e-11ed-95e2-dbc141b3e897
Rules update version      : 2022-09-14-001-vrt
LSP version               : lsp-rel-20220511-1540
VDB version               : 394
----------------------------------------------------

    Proceso de reversión de VDB para FMC HA

    1. Pausar la sincronización FMC HA y luego revertir la VDB en cada FMC.

    2. Una vez realizado el proceso de reversión de la VDB para cada CSP, reanude el FMC HA.


    - La página de HA aún puede mostrar "vdb not in sync" con la discordancia de versión de VDB, este mensaje puede ser ignorado.

    3. Si después de ejecutar el proceso de restauración de VDB para el FMC, esto no funciona y la última actualización de VDB se vuelve a instalar automáticamente, localice los últimos archivos VDB y elimínelos de los directorios siguientes para ambos FMC:

    /var/sf/updates (.sh file)
/var/cisco/pacakges/ (.tgz file)


    4. A continuación, repita los pasos 1 y 2 anteriores para revertir la VDB para el FMC HA.

    Proceso de reversión de VDB para FDM

    Para revertir la versión de VDB para un FDM, abra un caso del TAC de Cisco y solicite asistencia dirigiendo al ingeniero del TAC a este documento de Cisco.

    Verificación

    Desde CLI de FTD 

    En FTD, para verificar el historial de las instalaciones de VDB, una forma es verificar el siguiente contenido del directorio:

    root@firepower:/ngfw/var/cisco/deploy/pkg/var/cisco/packages# ls -al
    total 72912
    drwxr-xr-x 5 root root 130 Sep 1 08:49 .
    drwxr-xr-x 4 root root 34 Aug 16 14:40 ..
    drwxr-xr-x 3 root root 18 Aug 16 14:40 exporter-7.2.4-169
    -rw-r--r-- 1 root root 2371661 Jul 27 15:34 exporter-7.2.4-169.tgz
    drwxr-xr-x 3 root root 21 Aug 16 14:40 vdb-368
    -rw-r--r-- 1 root root 36374219 Jul 27 15:34 vdb-368.tgz
    drwxr-xr-x 3 root root 21 Sep 1 08:49 vdb-369
    -rw-r--r-- 1 root root 35908455 Sep 1 08:48 vdb-369.tgz

    Desde la GUI de FMC

    Una vez completada la tarea de reversión, la versión de VDB se puede confirmar en el menú principal >FMC dashboard > Acerca de.

    VDB version

    FMC VDB version

    Finalmente, después de revertir la VDB, se requiere una implementación de políticas para enviar la nueva configuración de VDB a los firewalls administrados por FMC.

    security updates

    Limitaciones

    • El botón de reversión de VDB no está disponible para las versiones de FMC anteriores a la 7.3.
    • No puede revertir la VDB a una versión anterior a 357. Si se carga en el FMC una versión de VDB anterior a 357, el botón de reversión aparecerá atenuado.

    VDB version

    • Si la versión de VDB es inferior a la versión de VDB base de FMC, se muestra la tarea de reversión correcta que se ha completado; sin embargo, la versión de VDB mostrada seguirá mostrando lo mismo que antes del intento de reversión.

    Deployments

    FMC dashboard

    Desde la CLI de FMC puede confirmar que esto sucedió porque la versión de destino de reversión es inferior a la versión básica de FMC. Esto se puede confirmar en la CLI de FMC en el archivo status.log.

    > expert
    sudo su
    cd /var/log/sf/vdb-4.5.0-<vdb number>/
    cat status.log

    root@firepower:/var/log/sf/vdb-4.5.0-357# cat status.log
    state:running
    ui:The install has begun.
    ui:[ 0%] Running script pre/000_start.sh...
    ui:[ 4%] Running script pre/010_check_versions.sh...
    ui:[ 4%] Non-Fatal error: Non-Fatal error: Cannot rollback to version(357) lower than default VDB 358
    ui:[ 4%] The install completed successfully.
    ui:The install has completed.
    state:finished

    ----------------------------------------------------

    Información Relacionada

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    1.0
    10-Aug-2023
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Benjamin Cabrera Romero
      Cisco Technical Consulting Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos