Upgradevoorbeeld van de configuratie van Image and Signature IDS 4.1 naar IPS 5.0 en hoger (AIP-SSM, NM-IDS, IDSM-2)

Inleiding

Dit document beschrijft hoe u het beeld en de handtekening voor Cisco Inbraakdetectiesensor (IDS)-software kunt upgraden van versie 4.1 naar Cisco Inbraakpreventiesysteem (IPS) 5.0 en hoger.

Opmerking: van softwareversie 5.x en hoger vervangt Cisco IPS Cisco IDS, die van toepassing is tot versie 4.1.

Opmerking: De sensor kan geen software updates downloaden van Cisco.com. U moet de software updates van Cisco.com downloaden naar uw FTP-server en vervolgens de sensor configureren om ze te downloaden van uw FTP-server.

Raadpleeg het gedeelte AIP-SSM System Image installeren van Upgrading, Downgrading en Installatie System Images voor de procedure.

Raadpleeg de wachtwoordherstelprocedure voor de Cisco IDS-sensor en IDS-servicesmodules (IDSM-1, IDSM-2) voor meer informatie over het herstellen van het Cisco Secure IDS-apparaat (voorheen NetRanger) en de modules voor versies 3.x en 4.x.

Opmerking: het gebruikersverkeer wordt niet beïnvloed tijdens de upgrade in de inline en fail-open instelling van ASA - AIP-SSM.

N.B.: Raadpleeg het gedeelte Cisco IPS-software upgraden van 5.1 naar 6.x van het configureren van de Cisco-sensor voor inbraakpreventiesysteem met behulp van de Command Line Interface 6.0 voor meer informatie over de procedure om IPS 5.1 te upgraden naar versie 6.x.

Opmerking: de sensor ondersteunt geen proxy servers voor auto updates. De proxy instellingen zijn alleen voor de Global Correlatie functie.

Voorwaarden

Vereisten

De minimum vereiste softwareversie die u nodig hebt om naar 5.0 te upgraden is 4.1(1).

Gebruikte componenten

De informatie in dit document is gebaseerd op de Cisco 4200 Series IDS-hardware waarop softwareversie 4.1 (wordt bijgewerkt naar versie 5.0) wordt uitgevoerd.

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Conventies

Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

Configureren

Deze sectie bevat informatie over het configureren van de functies die in dit document worden beschreven.

De upgrade van Cisco 4.1 naar 5.0 is beschikbaar als download via Cisco.com. Raadpleeg Cisco IPS-software verkrijgen voor de procedure die u gebruikt om toegang te krijgen tot IPS-softwaredownloads op Cisco.com.

U kunt de onderstaande methoden gebruiken om de upgrade uit te voeren:

• Nadat u het 5.0-upgradebestand hebt gedownload, raadpleegt u Readme voor de procedure voor het installeren van het 5.0-upgradebestand met de upgrade-opdracht. Zie de sectie Upgradeopdracht gebruiken voor meer informatie.

• Als u Auto Update voor uw Sensor hebt ingesteld, kopieert u het 5.0 upgrade-bestand naar de map op de server die uw Sensor opzoekt voor updates. Zie de sectie Opdracht auto-upgraden van dit document gebruiken voor meer informatie.

• Als u een upgrade op uw Sensor installeert en de Sensor niet kan worden gebruikt nadat deze opnieuw is opgestart, moet u een nieuwe image van uw Sensor maken. Een upgrade van een Sensor van een Cisco IDS-versie eerder dan 4.1 vereist ook dat u de herstelopdracht of de herstel-/upgrade-cd gebruikt. Zie het gedeelte Sensor van dit document opnieuw bekijken voor meer informatie.

Upgrade de sensor

In deze secties wordt uitgelegd hoe u de upgrade-opdracht kunt gebruiken om de software op de sensor te upgraden:

• Overzicht

• Opdracht en opties voor upgrades

• Gebruik de upgrade-opdracht

Overzicht

U kunt de Sensor met deze bestanden upgraden, die allemaal de extensie .pkg hebben:

• Signature updates, bijvoorbeeld IPS-sig-S150-minreq-5.0-1.pkg

• Signature engine updates, bijvoorbeeld IPS-engine-E2-req-6.0-1.pkg

• Grote updates, bijvoorbeeld IPS-K9-maj-6.0-1-pkg

• Kleine updates, bijvoorbeeld IPS-K9-min-5.1-1.pkg

• Service pack-updates, bijvoorbeeld IPS-K9-sp-5.0-2.pkg

• Herstel partitie updates, bijvoorbeeld IPS-K9-r-1.1-a-5.0-1.pkg

• Patchreleases, bijvoorbeeld IPS-K9-patch-6.0-1p1-E1.pkg

• Herstel partitie updates, bijvoorbeeld IPS-K9-r-1.1-a-6.0-1.pkg

Een Sensor upgrade verandert de softwareversie van de Sensor.

Opdracht en opties voor upgrades

Gebruik de opdracht auto-upgrade-optie ingeschakeld in de submodus van de servicehost om automatische upgrades te configureren.

Deze opties zijn van toepassing:

• standaard—Hiermee wordt de waarde teruggezet naar de standaardinstelling van het systeem.

• directory—Directory waar upgrade-bestanden zich op de bestandsserver bevinden.

• bestand-kopie-protocol—bestand kopiëren protocol gebruikt om bestanden van de bestandsserver te downloaden. De geldige waarden zijn ftp of scp.

  Opmerking: Als u SCP gebruikt, moet u de sh host-key opdracht gebruiken om de server toe te voegen aan de SSH bekende hosts lijst, zodat de Sensor met hem kan communiceren via SSH. Raadpleeg Hosts toevoegen aan de lijst met bekende hosts voor de procedure.

• IP-adres—IP-adres van de bestandsserver.

• wachtwoord—Gebruikerswachtwoord voor verificatie op de bestandsserver.

• plan-optie—Schedules wanneer automatische upgrades plaatsvinden. Agenda planning start upgrades op specifieke tijden op specifieke dagen. Periodieke planning start upgrades met specifieke periodieke intervallen.

  • kalender-schema-vormt de dagen van de week en de tijden van dag dat de automatische verbeteringen worden uitgevoerd.

    • dagen-van-week-dagen van de week waarop auto-upgrades worden uitgevoerd. U kunt meerdere dagen selecteren. Zondag tot en met zaterdag zijn de geldige waarden.

    • no—Verwijdert een invoer- of selectie-instelling.

    • tijden-van-dag-tijden van de dag waarop auto-upgrades beginnen. U kunt meerdere malen selecteren. De geldige waarde is hh:mm[:ss].

  • periodiek-schema-vormt de tijd dat de eerste automatische verbetering zou moeten voorkomen, en hoe lang om tussen automatische verbeteringen te wachten.

    • interval—Het aantal uren dat moet worden gewacht tussen automatische upgrades. De geldige waarden zijn 0 tot 8760.

    • start-tijd—Het tijdstip waarop de eerste automatische upgrade wordt gestart. De geldige waarde is hh:mm[:ss].

• gebruikersnaam—Gebruikersnaam voor verificatie op de bestandsserver.

Raadpleeg Sensor bijwerken voor de IDM-procedure voor het upgraden van de sensor.

Gebruik de upgrade-opdracht

U ontvangt SNMP-fouten als u de parameters van de alleen-lezen-gemeenschap en de lees-schrijf-gemeenschap niet hebt geconfigureerd voordat u een upgrade naar IPS 6.0 uitvoert. Als u SNMP-set gebruikt en/of functies krijgt, moet u de parameters voor de alleen-lezen-community en de lees-schrijf-community configureren voordat u een upgrade naar IPS 6.0 uitvoert. In IPS 5.x, werd de alleen-lezen-gemeenschap standaard op publiek ingesteld, en de lees-schrijf-gemeenschap was standaard op privé ingesteld. In IPS 6.0 hebben deze twee opties geen standaardwaarden. Als u geen SNMP krijgt en plaatst met IPS 5.x hebt gebruikt, bijvoorbeeld, werd Enable-set-get ingesteld op false, dan is er geen probleem om naar IPS 6.0 te upgraden. Als u SNMP krijgt en plaatst met IPS 5.x gebruikte, bijvoorbeeld, liet-set-get werd geplaatst aan waar, moet u de read-only-gemeenschap en de lees-schrijf-gemeenschap parameters aan specifieke waarden vormen of de IPS 6.0 verbetering ontbreekt.

U ontvangt deze foutmelding:

Error: execUpgradeSoftware : Notification Application "enable-set-get" value set to true, 
but "read-only-community" and/or "read-write-community" are set to null. Upgrade may not 
continue with null values in these fields.

Toelichting: IPS 6.0 ontkent standaard gebeurtenissen met een hoog risico. Dit is een wijziging van IPS 5.x. Om het gebrek te veranderen, creeer een gebeurtenis actie met voeten treden voor ontkennen pakket inline actie en vorm het om worden onbruikbaar gemaakt. Als de beheerder zich niet bewust is van de lees schrijf gemeenschap dan zouden zij moeten proberen om SNMP volledig onbruikbaar te maken alvorens een poging om te bevorderen wordt gemaakt om deze foutenmelding te verwijderen.

Voltooi de volgende stappen om de sensor te upgraden:

1. Download het belangrijkste updatebestand (IPS-K9-maj-5.0-1-S149.rpm.pkg ) naar een FTP-, SCP-, HTTP- of HTTPS-server die toegankelijk is vanaf uw sensor.

   Raadpleeg Cisco IPS-software verkrijgen voor de procedure voor het vinden van software op Cisco.com.

   Opmerking: u moet inloggen op Cisco.com met een account met cryptografische rechten om het bestand te kunnen downloaden. Wijzig de bestandsnaam niet. U moet de oorspronkelijke bestandsnaam voor de Sensor bewaren om de update te accepteren.

   Opmerking: Wijzig de bestandsnaam niet. U moet de oorspronkelijke bestandsnaam voor de sensor bewaren om de update te accepteren.

2. Log in op de CLI met een account met beheerdersrechten.

3. Geef de configuratiemodus op:

   sensor#configure terminal
   

4. Upgrade de sensor:

   sensor(config)#upgrade scp://
           
           
             @ 
            
              //upgrade/ 
              
             
           
   

   Voorbeeld:

   Opmerking: dit commando bestaat uit twee regels vanwege ruimtelijke redenen.

   sensor(config)#upgrade scp://tester@10.1.1.1//upgrade/
   IPS-K9-maj-5.0-1-S149.rpm.pkg
   

   Opmerking: Raadpleeg Ondersteunde FTP- en HTTP/HTTPS-servers voor een lijst met ondersteunde FTP- en HTTP/HTTPS-servers. Verwijs naar het toevoegen van hosts aan de SSH Known Hosts List voor meer informatie over het toevoegen van de SCP-server aan de SSH bekende hosts lijst.

5. Voer het wachtwoord in nadat dit wordt gevraagd:

   Enter password: ********
   Re-enter password: ********

6. Typ ja om de upgrade te voltooien.

   Opmerking: grote updates, kleine updates en servicepacks kunnen een herstart van de IPS-processen dwingen of zelfs een reboot van de sensor dwingen om de installatie te voltooien. Er is dus sprake van een onderbreking van de dienst gedurende ten minste twee minuten. Voor handtekeningupdates hoeft echter niet opnieuw te worden opgestart nadat de update is uitgevoerd. Raadpleeg Download Signature Updates (alleen geregistreerde klanten) voor de laatste updates.

7. Controleer de nieuwe Sensor versie:

   sensor#show version
   
   Application Partition:
   
   
   Cisco Intrusion Prevention System, Version 5.0(1)S149.0
   
   
   OS Version 2.4.26-IDS-smp-bigphys
   
   Platform: ASA-SSM-20
   
   Serial Number: 021
   
   No license present
   
   Sensor up-time is 5 days.
   
   Using 490110976 out of 1984704512 bytes of available memory (24% usage)
   
   system is using 17.3M out of 29.0M bytes of available disk space (59% usage)
   
   application-data is using 37.7M out of 166.6M bytes of 
   available disk space (24 usage)
   
   boot is using 40.5M out of 68.5M bytes of available disk space (62% usage)
   
   
   MainApp         2005_Mar_04_14.23 (Release)  2005-03-04T14:35:11-0600  Running
   
   AnalysisEngine  2005_Mar_04_14.23 (Release)  2005-03-04T14:35:11-0600  Running
   
   CLI             2005_Mar_04_14.23 (Release)  2005-03-04T14:35:11-0600
   
   
   Upgrade History:
   
   
     IDS-K9-maj-5.0-1-   14:16:00 UTC Thu Mar 04 2004
   
   
   Recovery Partition Version 1.1 - 5.0(1)S149
   
   
   sensor#

   Opmerking: voor IPS 5.x ontvangt u een bericht waarin staat dat de upgrade van een onbekend type is. U kunt dit bericht negeren.

   Opmerking: het besturingssysteem wordt opnieuw ingesteld en alle bestanden die via de service-account op de sensor zijn geplaatst, worden verwijderd.

Raadpleeg de sensor bijwerken voor meer informatie over de IDM-procedure voor de upgrade van de sensor.

Automatische upgrades configureren

Automatische upgrades

U kunt de sensor configureren om automatisch te zoeken naar nieuwe upgrade-bestanden in uw upgrade-map. Bijvoorbeeld, kunnen verscheidene sensoren aan de zelfde verre de serverfolder van FTP met verschillende updateprogramma's, zoals elke 24 uur, of Maandag, Woensdag, en Vrijdag bij 11:00 pm richten.

U specificeert deze informatie om automatische upgrades te plannen:

• IP-adres voor servers

• Pad van de map op de bestandsserver waar de sensor controleert op upgradebestanden

• File Copy Protocol (SCP of FTP)

• Gebruikersnaam en wachtwoord

• Upgradeschema

U moet de software upgrade downloaden van Cisco.com en kopiëren naar de upgrade directory voordat de sensor kan opvragen voor automatische upgrades.

Opmerking: Als u automatische upgrade met AIM-IPS en andere IPS-toestellen of modules gebruikt, zorg er dan voor dat u zowel het 6.0(1) upgrade-bestand, IPS-K9-6.0-1-E1.pkg, als het AIM-IPS upgrade-bestand, IPS-AIM-K9-6.0-4-E1.pkg, op de automatische update server plaatst, zodat AIM-IPS correct kan detecteren welk bestand automatisch gedownload en geïnstalleerd moet worden. Als u alleen het 6.0(1) upgrade bestand, IPS-K9-6.0-1-E1.pkg, op de automatische update server plaatst, AIM-IPS downloads en probeert het te installeren, wat het onjuiste bestand voor AIM-IPS is.

Raadpleeg Sensor automatisch bijwerken voor meer informatie over de IDM-procedure voor de automatische upgrade van de sensor.

Gebruik de opdracht auto-upgrade

Zie het gedeelte Opdracht en opties voor upgrades in dit document voor de opdrachten automatisch bijwerken.

Voltooi de volgende stappen om automatische upgrades te plannen:

1. Meld u aan bij de CLI met een account met beheerdersrechten.

2. Configureer de sensor om automatisch te zoeken naar nieuwe upgrades in uw upgrade-map.

   sensor#configure terminal
   sensor(config)#service host
   sensor(config-hos)#auto-upgrade-option enabled
   

3. Specificeer de planning:

   • Voor agenda's, die op specifieke tijden op specifieke dagen upgrades starten:

     sensor(config-hos-ena)#schedule-option calendar-schedule
     sensor(config-hos-ena-cal#days-of-week sunday
     sensor(config-hos-ena-cal#times-of-day 12:00:00
     

   • Voor periodieke planningswerkzaamheden, waarmee met specifieke periodieke intervallen upgrades worden gestart:

     sensor(config-hos-ena)#schedule-option periodic-schedule
     sensor(config-hos-ena-per)#interval 24
     sensor(config-hos-ena-per)#start-time 13:00:00
     

4. Specificeer het IP-adres van de bestandsserver:

   sensor(config-hos-ena-per)#exit
   sensor(config-hos-ena)#ip-address 10.1.1.1
   

5. Geef de map op waarin de upgradebestanden zich op de bestandsserver bevinden:

   sensor(config-hos-ena)#directory /tftpboot/update/5.0_dummy_updates
   

6. Geef de gebruikersnaam op voor de verificatie op de bestandsserver:

   sensor(config-hos-ena)#user-name tester
   

7. Specificeer het wachtwoord van de gebruiker:

   sensor(config-hos-ena)#password
   
   Enter password[]: ******
   Re-enter password: ******
   

8. Specificeer het protocol van de bestandsserver:

   sensor(config-hos-ena)#file-copy-protocol ftp
   

   Opmerking: Als u SCP gebruikt, moet u de sh host-key opdracht gebruiken om de server toe te voegen aan de SSH bekende hosts lijst, zodat de Sensor met hem kan communiceren via SSH. Raadpleeg Hosts toevoegen aan de lijst met bekende hosts voor de procedure.

9. Controleer de instellingen:

   sensor(config-hos-ena)#show settings
   
      enabled
   
      -----------------------------------------------
   
         schedule-option
   
         -----------------------------------------------
   
            periodic-schedule
   
            -----------------------------------------------
   
               start-time: 13:00:00
   
               interval: 24 hours
   
            -----------------------------------------------
   
         -----------------------------------------------
   
         ip-address: 10.1.1.1
   
         directory: /tftpboot/update/5.0_dummy_updates
   
         user-name: tester
   
         password: <hidden>
   
         file-copy-protocol: ftp default: scp
   
      -----------------------------------------------
   
   sensor(config-hos-ena)#

10. Afsluiten auto-upgrade submodus:

    sensor(config-hos-ena)#exit
    sensor(config-hos)#exit
    
    Apply Changes:?[yes]:
    

11. Druk op ENTER om de wijzigingen toe te passen of typ nr om ze te verwijderen.

De sensor opnieuw in beeld brengen

U kunt op deze manieren een nieuwe afbeelding van uw Sensor maken:

• Gebruik voor IDS-apparaten met een CD-ROM-station de herstel-/upgrade-cd.

  Raadpleeg het gedeelte met de cd-rom Herstel/upgrade van Upgrading, downgrading en Installatie van systeemafbeeldingen voor de procedure.

• Gebruik voor alle sensoren de opdracht Terugzetten.

  Raadpleeg het gedeelte Herstellen van de Application Partition van Upgrading, Downgrading en het installeren van systeemafbeeldingen voor de procedure.

• Gebruik ROMON voor de IDS-4215, IPS-4240 en IPS 4255 om de systeemafbeelding te herstellen.

  Raadpleeg het gedeelte IDS-4215 systeemafbeelding installeren en de secties IPS-4240 en IPS-4255 systeemafbeelding van upgrade, downgrading en installatie van systeemafbeeldingen voor de procedures installeren.

• Gebruik voor NM-CIDS de bootloader.

  Raadpleeg het gedeelte NM-CIDS System Image installeren van Upgrading, Downgrading en Installing System Images voor de procedure.

• Voor IDSM-2, herstel de toepassingsverdeling van de onderhoudsverdeling.

  Raadpleeg het gedeelte IDSM-2 systeemafbeelding installeren in het gedeelte Upgrading, downgrading en installatie van systeemafbeeldingen voor de procedure.

• Voor AIP-SSM moet u een nieuwe image van de ASA maken met de hw-module module 1 recovery [configureer | boot] opdracht.

  Raadpleeg het gedeelte AIP-SSM System Image installeren van Upgrading, Downgrading en Installatie System Images voor de procedure.

Gerelateerde informatie

• Cisco-ondersteuningspagina voor inbraakpreventiesysteem
• Systeemafbeeldingen upgraden, downgraden en installeren voor IPS 6.0
• Ondersteuning van Cisco Catalyst 6500 Series module voor inbraakdetectiesysteem (IDSM-2)
• Wachtwoordherstelprocedure voor de Cisco IDS-sensor en IDS-servicesmodules (1, IDSM-2)
• Updates voor automatische handtekeningen van probleemoplossing
• Technische ondersteuning en documentatie – Cisco Systems