Upgrade von Image und Signatur IDS 4.1 auf IPS 5.0 und höher (AIP-SSM, NM-IDS, IDSM-2) - Konfigurationsbeispiel

Einleitung

In diesem Dokument wird beschrieben, wie das Image und die Signatur für die Cisco Intrusion Detection Sensor (IDS)-Software von Version 4.1 auf Cisco Intrusion Prevention System (IPS) 5.0 und höher aktualisiert werden.

Hinweis: Ab Softwareversion 5.x und höher ersetzt Cisco IPS Cisco IDS, das bis Version 4.1 gültig ist.

Hinweis: Der Sensor kann keine Software-Updates von Cisco.com herunterladen. Sie müssen die Software-Updates von Cisco.com auf Ihren FTP-Server herunterladen und dann den Sensor konfigurieren, um sie von Ihrem FTP-Server herunterzuladen.

Informationen zum Verfahren finden Sie im Abschnitt Installieren des AIP-SSM-System-Images unter Aktualisieren, Downgraden und Installieren von System-Images.

Weitere Informationen zur Wiederherstellung der Cisco Secure IDS Appliance (ehemals NetRanger) und der Module für die Versionen 3.x und 4.x finden Sie unter Kennwortwiederherstellungsverfahren für die Cisco IDS-Sensor- und IDS-Dienstmodule (IDSM-1, IDSM-2).

Hinweis: Der Benutzerdatenverkehr wird während des Upgrades in der Inline- und Fail-Open-Einstellung auf ASA - AIP-SSM nicht beeinträchtigt.

Hinweis: Im Abschnitt Upgrade der Cisco IPS-Software von 5.1 auf 6.x unter Configuring the Cisco Intrusion Prevention System Sensor Using the Command Line Interface 6.0 (Konfigurieren des Cisco Intrusion Prevention System-Sensors mit der Befehlszeilenschnittstelle 6.0) finden Sie weitere Informationen zum Upgrade von IPS 5.1 auf Version 6.x.

Hinweis: Der Sensor unterstützt keine Proxy-Server für automatische Updates. Die Proxyeinstellungen gelten nur für die Funktion "Globale Korrelation".

Voraussetzungen

Anforderungen

Die mindestens erforderliche Softwareversion für das Upgrade auf 5.0 ist 4.1(1).

Verwendete Komponenten

Die Informationen in diesem Dokument basieren auf der Cisco IDS-Hardware der Serie 4200, auf der die Softwareversion 4.1 ausgeführt wird (für ein Upgrade auf Version 5.0).

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.

Konventionen

Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).

Konfigurieren

In diesem Abschnitt erfahren Sie, wie Sie die in diesem Dokument beschriebenen Funktionen konfigurieren können.

Das Upgrade von Cisco 4.1 auf 5.0 kann unter Cisco.com heruntergeladen werden. Informationen zum Zugriff auf IPS-Software-Downloads unter Cisco.com finden Sie unter Obaining Cisco IPS Software.

Sie können eine der hier aufgeführten Methoden verwenden, um das Upgrade durchzuführen:

• Nachdem Sie die Upgrade-Datei für 5.0 heruntergeladen haben, lesen Sie in der Readme-Datei nach, wie Sie die Upgrade-Datei für 5.0 mit dem Befehl upgrade installieren. Weitere Informationen finden Sie im Abschnitt Verwenden des Aktualisierungsbefehls in diesem Dokument.

• Wenn Sie die automatische Aktualisierung für Ihren Sensor konfiguriert haben, kopieren Sie die Upgrade-Datei für Version 5.0 in das Verzeichnis auf dem Server, den Ihr Sensor nach Updates abfragt. Weitere Informationen finden Sie im Abschnitt Verwenden des Befehls zur automatischen Aktualisierung in diesem Dokument.

• Wenn Sie ein Upgrade auf Ihrem Sensor installieren und der Sensor nach dem Neustart nicht mehr verwendbar ist, müssen Sie ein neues Image Ihres Sensors erstellen. Ein Upgrade eines Sensors von einer Cisco IDS-Version vor Version 4.1 erfordert ebenfalls die Verwendung des Befehls recover oder der Wiederherstellungs-/Upgrade-CD. Weitere Informationen finden Sie im Abschnitt "Erneutes Abbild des Sensors" dieses Dokuments.

Sensor-Upgrade

In diesen Abschnitten wird erläutert, wie Sie mit dem Befehl upgrade die Software auf dem Sensor aktualisieren:

• Überblick

• Upgrade-Befehl und -Optionen

• Verwenden des Upgrade-Befehls

Überblick

Sie können den Sensor mit diesen Dateien aktualisieren, die alle die Erweiterung .pkg haben:

• Signatur-Updates, z. B. IPS-sig-S150-minreq-5.0-1.pkg

• Signatur-Engine-Updates, z. B. IPS-Engine-E2-req-6.0-1.pkg

• Wichtige Updates, z. B. IPS-K9-maj-6.0-1-pkg

• Kleinere Updates, z. B. IPS-K9-min-5.1-1.pkg

• Service Pack-Updates, z. B. IPS-K9-sp-5.0-2.pkg

• Wiederherstellungspartitions-Updates, z. B. IPS-K9-r-1.1-a-5.0-1.pkg

• Patch-Versionen, z. B. IPS-K9-patch-6.0-1p1-E1.pkg

• Wiederherstellungspartitions-Updates, z. B. IPS-K9-r-1.1-a-6.0-1.pkg

Ein Sensor-Upgrade ändert die Softwareversion des Sensors.

Upgrade-Befehl und -Optionen

Verwenden Sie den Befehl auto-upgrade-option enabled im Service-Host-Submodus, um automatische Upgrades zu konfigurieren.

Diese Optionen gelten für:

• default: Setzt den Wert zurück auf die Standardeinstellung des Systems.

• directory: Verzeichnis, in dem sich die Upgrade-Dateien auf dem Dateiserver befinden.

• file-copy-protocol: File copy protocol, das zum Herunterladen von Dateien vom Dateiserver verwendet wird. Die gültigen Werte sind ftp oder scp.

  Hinweis: Wenn Sie SCP verwenden, müssen Sie den Server mit dem Befehl ssh host-key zur Liste der bekannten SSH-Hosts hinzufügen, damit der Sensor über SSH mit dem Server kommunizieren kann. Weitere Informationen finden Sie unter Hinzufügen von Hosts zur Liste bekannter Hosts.

• ip-address: Die IP-Adresse des Dateiservers.

• password: Benutzerkennwort zur Authentifizierung auf dem Dateiserver.

• schedule-option (Zeitplanoption): Zeitpläne für automatische Upgrades. Die Kalenderplanung startet Upgrades zu bestimmten Zeitpunkten an bestimmten Tagen. Bei der regelmäßigen Planung werden Upgrades in bestimmten regelmäßigen Intervallen gestartet.

  • calendar-schedule (Kalenderplan): Konfiguriert die Wochentage und Tageszeiten, an denen automatische Upgrades durchgeführt werden.

    • days-of-week (Wochentage): Tage der Woche, an denen automatische Upgrades durchgeführt werden. Sie können mehrere Tage auswählen. Sonntag bis Samstag sind die gültigen Werte.

    • no (Nein) - Entfernt eine Eintrag- oder Auswahleinstellung.

    • times-of-day (Tageszeiten): Die Uhrzeit, zu der die automatischen Upgrades gestartet werden. Sie können mehrere Male auswählen. Der gültige Wert ist hh:mm[:ss].

  • periodischer Zeitplan - Konfiguriert die Zeit, die das erste automatische Upgrade durchgeführt werden soll, und die Wartezeit zwischen automatischen Upgrades.

    • interval (Intervall): Die Anzahl der Stunden, die zwischen automatischen Upgrades gewartet werden. Gültige Werte sind 0 bis 8760.

    • start-time (Startzeit): Die Tageszeit, zu der die erste automatische Aktualisierung gestartet wird. Der gültige Wert ist hh:mm[:ss].

• user-name (Benutzername): Der Benutzername für die Authentifizierung auf dem Dateiserver.

Informationen zum IDM-Verfahren zur Aktualisierung des Sensors finden Sie unter Aktualisieren des Sensors.

Verwenden des Upgrade-Befehls

Sie erhalten SNMP-Fehler, wenn vor dem Upgrade auf IPS 6.0 nicht die Parameter Read-Only-Community und Read-Write-Community konfiguriert wurden. Wenn Sie SNMP set und/oder get-Funktionen verwenden, müssen Sie die Parameter read-only-community und read-write-community konfigurieren, bevor Sie ein Upgrade auf IPS 6.0 durchführen. In IPS 5.x wurde die schreibgeschützte Community standardmäßig auf public und die Lese-Schreib-Community standardmäßig auf private festgelegt. In IPS 6.0 haben diese beiden Optionen keine Standardwerte. Wenn Sie SNMP gets und sets z.B. mit IPS 5.x nicht verwendet haben, wurde enable-set-get auf false gesetzt, dann gibt es kein Problem beim Upgrade auf IPS 6.0. Wenn Sie SNMP gets und Sets mit IPS 5.x verwendet haben, z. B. enable-set-get auf true gesetzt wurde, müssen Sie die Nur-Lese-Community- und Lese-Schreib-Community-Parameter auf bestimmte Werte konfigurieren, oder das IPS 6.0-Upgrade schlägt fehl.

Sie erhalten folgende Fehlermeldung:

Error: execUpgradeSoftware : Notification Application "enable-set-get" value set to true, 
but "read-only-community" and/or "read-write-community" are set to null. Upgrade may not 
continue with null values in these fields.

Hinweis: IPS 6.0 weist Ereignisse mit hohem Risiko standardmäßig zurück. Dies ist eine Änderung gegenüber IPS 5.x. Um die Standardeinstellung zu ändern, erstellen Sie eine Ereignisaktion, die die Inline-Aktion "Paket ablehnen" außer Kraft setzt, und konfigurieren Sie die Aktion so, dass sie deaktiviert wird. Wenn der Administrator die Lese-/Schreibgemeinschaft nicht kennt, sollte er versuchen, SNMP vollständig zu deaktivieren, bevor ein Upgrade durchgeführt wird, um diese Fehlermeldung zu entfernen.

Führen Sie die folgenden Schritte aus, um den Sensor zu aktualisieren:

1. Laden Sie die Hauptaktualisierungsdatei (IPS-K9-maj-5.0-1-S149.rpm.pkg ) auf einen FTP-, SCP-, HTTP- oder HTTPS-Server herunter, auf den der Sensor zugreifen kann.

   Eine Anleitung zum Auffinden von Software unter Cisco.com finden Sie unter Obaining Cisco IPS Software.

   Hinweis: Sie müssen sich unter Cisco.com mit einem Konto mit kryptografischen Rechten anmelden, um die Datei herunterzuladen. Ändern Sie den Dateinamen nicht. Sie müssen den ursprünglichen Dateinamen beibehalten, damit der Sensor die Aktualisierung akzeptieren kann.

   Hinweis: Ändern Sie den Dateinamen nicht. Sie müssen den ursprünglichen Dateinamen beibehalten, damit der Sensor die Aktualisierung akzeptieren kann.

2. Melden Sie sich mit einem Konto mit Administratorberechtigungen bei der CLI an.

3. Wechseln Sie in den Konfigurationsmodus:

   sensor#configure terminal
   

4. Aktualisieren Sie den Sensor:

   sensor(config)#upgrade scp://
           
           
             @ 
            
              //upgrade/ 
              
             
           
   

   Beispiel:

   Hinweis: Dieser Befehl steht aus räumlichen Gründen in zwei Zeilen.

   sensor(config)#upgrade scp://tester@10.1.1.1//upgrade/
   IPS-K9-maj-5.0-1-S149.rpm.pkg
   

   Hinweis: Unter Unterstützte FTP- und HTTP/HTTPS-Server finden Sie eine Liste der unterstützten FTP- und HTTP/HTTPS-Server. Weitere Informationen zum Hinzufügen des SCP-Servers zur Liste bekannter SSH-Hosts finden Sie unter Hinzufügen von Hosts zur Liste bekannter SSH-Hosts.

5. Geben Sie bei Aufforderung das Passwort ein:

   Enter password: ********
   Re-enter password: ********

6. Geben Sie yes ein, um das Upgrade abzuschließen.

   Hinweis: Wichtige Updates, kleinere Updates und Service Packs können einen Neustart der IPS-Prozesse oder sogar einen Neustart des Sensors erzwingen, um die Installation abzuschließen. Der Service wird also für mindestens zwei Minuten unterbrochen. Signatur-Updates erfordern jedoch keinen Neustart, nachdem die Aktualisierung abgeschlossen ist. Die neuesten Updates finden Sie unter Signatur-Updates herunterladen (nur für registrierte Kunden).

7. Überprüfen Sie Ihre neue Sensorversion:

   sensor#show version
   
   Application Partition:
   
   
   Cisco Intrusion Prevention System, Version 5.0(1)S149.0
   
   
   OS Version 2.4.26-IDS-smp-bigphys
   
   Platform: ASA-SSM-20
   
   Serial Number: 021
   
   No license present
   
   Sensor up-time is 5 days.
   
   Using 490110976 out of 1984704512 bytes of available memory (24% usage)
   
   system is using 17.3M out of 29.0M bytes of available disk space (59% usage)
   
   application-data is using 37.7M out of 166.6M bytes of 
   available disk space (24 usage)
   
   boot is using 40.5M out of 68.5M bytes of available disk space (62% usage)
   
   
   MainApp         2005_Mar_04_14.23 (Release)  2005-03-04T14:35:11-0600  Running
   
   AnalysisEngine  2005_Mar_04_14.23 (Release)  2005-03-04T14:35:11-0600  Running
   
   CLI             2005_Mar_04_14.23 (Release)  2005-03-04T14:35:11-0600
   
   
   Upgrade History:
   
   
     IDS-K9-maj-5.0-1-   14:16:00 UTC Thu Mar 04 2004
   
   
   Recovery Partition Version 1.1 - 5.0(1)S149
   
   
   sensor#

   Hinweis: Bei IPS 5.x erhalten Sie eine Meldung, die besagt, dass das Upgrade von unbekanntem Typ ist. Sie können diese Nachricht ignorieren.

   Hinweis: Ein Image des Betriebssystems wird erstellt, und alle Dateien, die über das Dienstkonto auf dem Sensor gespeichert wurden, werden entfernt.

Weitere Informationen zum IDM-Verfahren für die Aktualisierung des Sensors finden Sie unter Aktualisieren des Sensors.

Konfigurieren automatischer Upgrades

Automatische Upgrades

Sie können den Sensor so konfigurieren, dass er automatisch nach neuen Upgrade-Dateien in Ihrem Upgrade-Verzeichnis sucht. Beispielsweise können mehrere Sensoren auf dasselbe FTP-Server-Remote-Verzeichnis mit unterschiedlichen Aktualisierungszeitplänen verweisen, z. B. alle 24 Stunden oder montags, mittwochs und freitags um 23 Uhr.

Sie geben diese Informationen an, um automatische Upgrades zu planen:

• Server-IP-Adresse

• Pfad des Verzeichnisses auf dem Dateiserver, auf dem der Sensor nach Upgrade-Dateien sucht

• Dateikopierprotokoll (SCP oder FTP)

• Benutzername und Passwort

• Zeitplan aktualisieren

Sie müssen das Software-Upgrade von Cisco.com herunterladen und in das Upgrade-Verzeichnis kopieren, bevor der Sensor automatische Upgrades abfragen kann.

Hinweis: Wenn Sie ein automatisches Upgrade mit AIM-IPS und anderen IPS-Appliances oder -Modulen verwenden, stellen Sie die Upgrade-Datei 6.0(1), IPS-K9-6.0-1-E1.pkg, und die Upgrade-Datei AIM-IPS, IPS-AIM-K9-6.0-4-E1.pkg, auf den automatischen Update-Server, sodass AIM-IPS S kann korrekt erkennen, welche Datei automatisch heruntergeladen und installiert werden muss. Wenn Sie nur die 6.0(1) Upgrade-Datei IPS-K9-6.0-1-E1.pkg auf dem automatischen Update-Server installieren, lädt AIM-IPS sie herunter und versucht sie zu installieren, was die falsche Datei für AIM-IPS ist.

Weitere Informationen zum IDM-Verfahren für die automatische Aktualisierung des Sensors finden Sie unter Aktualisieren des Sensors automatisch.

Verwenden des Befehls auto-upgrade

Informationen zu den Befehlen für die automatische Aktualisierung finden Sie im Abschnitt Upgrade Command and Options dieses Dokuments.

Gehen Sie wie folgt vor, um automatische Upgrades zu planen:

1. Melden Sie sich mit einem Konto mit Administratorrechten bei der CLI an.

2. Konfigurieren Sie den Sensor, um automatisch nach neuen Upgrades in Ihrem Upgrade-Verzeichnis zu suchen.

   sensor#configure terminal
   sensor(config)#service host
   sensor(config-hos)#auto-upgrade-option enabled
   

3. Planen Sie:

   • Für die Kalenderplanung, bei der Upgrades zu bestimmten Zeiten an bestimmten Tagen gestartet werden:

     sensor(config-hos-ena)#schedule-option calendar-schedule
     sensor(config-hos-ena-cal#days-of-week sunday
     sensor(config-hos-ena-cal#times-of-day 12:00:00
     

   • Für die regelmäßige Planung, bei der Upgrades in bestimmten regelmäßigen Intervallen gestartet werden:

     sensor(config-hos-ena)#schedule-option periodic-schedule
     sensor(config-hos-ena-per)#interval 24
     sensor(config-hos-ena-per)#start-time 13:00:00
     

4. Geben Sie die IP-Adresse des Dateiservers an:

   sensor(config-hos-ena-per)#exit
   sensor(config-hos-ena)#ip-address 10.1.1.1
   

5. Geben Sie das Verzeichnis an, in dem sich die Upgrade-Dateien auf dem Dateiserver befinden:

   sensor(config-hos-ena)#directory /tftpboot/update/5.0_dummy_updates
   

6. Geben Sie den Benutzernamen für die Authentifizierung auf dem Dateiserver an:

   sensor(config-hos-ena)#user-name tester
   

7. Geben Sie das Kennwort des Benutzers an:

   sensor(config-hos-ena)#password
   
   Enter password[]: ******
   Re-enter password: ******
   

8. Geben Sie das Dateiserverprotokoll an:

   sensor(config-hos-ena)#file-copy-protocol ftp
   

   Hinweis: Wenn Sie SCP verwenden, müssen Sie den Befehl ssh host-key verwenden, um den Server zur Liste der bekannten SSH-Hosts hinzuzufügen, damit der Sensor mit ihm über SSH kommunizieren kann. Weitere Informationen finden Sie unter Hinzufügen von Hosts zur Liste bekannter Hosts.

9. Überprüfen Sie die Einstellungen:

   sensor(config-hos-ena)#show settings
   
      enabled
   
      -----------------------------------------------
   
         schedule-option
   
         -----------------------------------------------
   
            periodic-schedule
   
            -----------------------------------------------
   
               start-time: 13:00:00
   
               interval: 24 hours
   
            -----------------------------------------------
   
         -----------------------------------------------
   
         ip-address: 10.1.1.1
   
         directory: /tftpboot/update/5.0_dummy_updates
   
         user-name: tester
   
         password: <hidden>
   
         file-copy-protocol: ftp default: scp
   
      -----------------------------------------------
   
   sensor(config-hos-ena)#

10. Auto-Upgrade-Submodus beenden:

    sensor(config-hos-ena)#exit
    sensor(config-hos)#exit
    
    Apply Changes:?[yes]:
    

11. Drücken Sie die Eingabetaste, um die Änderungen zu übernehmen, oder geben Sie no ein, um sie zu verwerfen.

Erneutes Abbild des Sensors

Sie haben folgende Möglichkeiten, ein neues Image Ihres Sensors zu erstellen:

• Bei IDS-Appliances mit einem CD-ROM-Laufwerk verwenden Sie die Wiederherstellungs-/Upgrade-CD.

  Weitere Informationen zum Verfahren finden Sie im Abschnitt Upgrade-, Downgrade- und Installations-System-Images unter Verwenden der Wiederherstellungs-/Upgrade-CD.

• Verwenden Sie für alle Sensoren den Befehl recover.

  Weitere Informationen zum Verfahren finden Sie im Abschnitt Wiederherstellen der Anwendungspartition unter Aktualisieren, Herunterstufen und Installieren von System-Images.

• Verwenden Sie für IDS-4215, IPS-4240 und IPS 4255 ROMMON, um das System-Image wiederherzustellen.

  Informationen zu den Verfahren finden Sie im Abschnitt Installing the IDS-4215 System Image and Installing the IPS-4240 and IPS-4255 System Image (Installieren des IDS-4215-System-Images und Installieren des IPS-4240-System-Images.

• Verwenden Sie für NM-CIDS den Bootloader.

  Informationen zum Verfahren finden Sie im Abschnitt Installieren des NM-CIDS-System-Images unter Aktualisieren, Downgraden und Installieren von System-Images.

• Erstellen Sie für IDSM-2 ein neues Image der Anwendungspartition von der Wartungspartition.

  Informationen zum Verfahren finden Sie im Abschnitt Installing the IDSM-2 System Image (Installieren des IDSM-2-System-Images) unter Upgrading, Downgrading und Installing System Images (Aktualisieren, Downgraden und Installieren von System-Images).

• Für AIP-SSM Erstellen Sie ein neues Image von der ASA mit dem HW-Modul 1 Wiederherstellen [konfigurieren] | boot] aus.

  Informationen zum Verfahren finden Sie im Abschnitt Installieren des AIP-SSM-System-Images unter Aktualisieren, Downgraden und Installieren von System-Images.

Zugehörige Informationen

• Cisco Intrusion Prevention System - Support-Seite
• Upgrade, Downgrade und Installation von System-Images für IPS 6.0
• Cisco Catalyst Intrusion Detection System (IDSM-2) der Serie 6500 - Modulunterstützung
• Verfahren zur Kennwortwiederherstellung für Cisco IDS-Sensor und IDS-Dienstmodule 1, IDSM-2)
• Fehlerbehebung bei Auto-Signatur-Updates
• Technischer Support und Dokumentation für Cisco Systeme