Image and Signature IDS 4.1을 IPS 5.0 이상(AIP-SSM, NM-IDS, IDSM-2)으로 업그레이드 구성 예
목차
소개
이 문서에서는 Cisco IDS(Intrusion Detection Sensor) 소프트웨어의 이미지 및 서명을 버전 4.1에서 Cisco IPS(Intrusion Prevention System) 5.0 이상으로 업그레이드하는 방법에 대해 설명합니다.
참고: 소프트웨어 버전 5.x 이상부터 Cisco IPS는 버전 4.1까지 적용되는 Cisco IDS를 대체합니다.
참고: 센서는 Cisco.com에서 소프트웨어 업데이트를 다운로드할 수 없습니다. 소프트웨어 업데이트를 Cisco.com에서 FTP 서버로 다운로드한 다음 FTP 서버에서 다운로드하도록 센서를 구성해야 합니다.
절차는 시스템 이미지 업그레이드, 다운그레이드 및 설치의 AIP-SSM 시스템 이미지 설치 섹션을 참조하십시오.
Cisco Secure IDS(이전 NetRanger) 어플라이언스 및 버전 3.x 및 4.x용 모듈을 복구하는 방법에 대한 자세한 내용은 Cisco IDS Sensor 및 IDS Services Module(IDSM-1, IDSM-2)의 비밀번호 복구 절차를 참조하십시오.
참고: 사용자 트래픽은 ASA - AIP-SSM의 인라인 및 fail-open 설정에서 업그레이드하는 동안 영향을 받지 않습니다.
참고: IPS 5.1을 버전 6.x로 업그레이드하는 절차에 대한 자세한 내용은 Command Line Interface 6.0을 사용하여 Cisco Intrusion Prevention System Sensor 구성의 5.1에서 6.x로 Cisco IPS 소프트웨어 업그레이드 섹션을 참조하십시오.
참고: 센서는 자동 업데이트를 위한 프록시 서버를 지원하지 않습니다. 프록시 설정은 Global Correlation(전역 상관관계) 기능에만 적용됩니다.
사전 요구 사항
요구 사항
5.0으로 업그레이드하기 위해 필요한 최소 소프트웨어 버전은 4.1(1)입니다.
사용되는 구성 요소
이 문서의 정보는 소프트웨어 버전 4.1(버전 5.0으로 업그레이드)을 실행하는 Cisco 4200 Series IDS 하드웨어를 기반으로 합니다.
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.
표기 규칙
문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참조하십시오.
구성
이 섹션에는 이 문서에서 설명하는 기능을 구성하기 위한 정보가 표시됩니다.
Cisco 4.1에서 5.0으로의 업그레이드는 Cisco.com에서 다운로드할 수 있습니다. Cisco.com에서 IPS 소프트웨어 다운로드에 액세스하는 데 사용하는 절차는 Cisco IPS 소프트웨어 가져오기를 참조하십시오.
업그레이드를 수행하기 위해 여기에 나열된 방법 중 하나를 사용할 수 있습니다.
-
5.0 업그레이드 파일을 다운로드한 후 업그레이드 명령으로 5.0 업그레이드 파일을 설치하는 절차에 대한 Readme를 참조하십시오. 자세한 내용은 이 문서의 업그레이드 명령 사용 섹션을 참조하십시오.
-
센서에 대해 자동 업데이트를 구성한 경우 5.0 업그레이드 파일을 센서가 업데이트를 위해 폴링하는 서버의 디렉터리에 복사합니다. 자세한 내용은 이 문서의 자동 업그레이드 명령 사용 섹션을 참조하십시오.
-
센서에 업그레이드를 설치한 경우 센서를 재부팅한 후 사용할 수 없으면 센서를 다시 이미징해야 합니다. 4.1 이전 버전의 Cisco IDS에서 센서를 업그레이드하려면 recover 명령이나 recovery/upgrade CD를 사용해야 합니다. 자세한 내용은 이 문서의 센서 이미지 다시 만들기 섹션을 참조하십시오.
센서 업그레이드
다음 섹션에서는 upgrade 명령을 사용하여 센서의 소프트웨어를 업그레이드하는 방법에 대해 설명합니다.
개요
확장자가 .pkg인 이러한 파일을 사용하여 센서를 업그레이드할 수 있습니다.
-
시그니처 업데이트(예: IPS-sig-S150-minreq-5.0-1.pkg)
-
시그니처 엔진 업데이트(예: IPS-engine-E2-req-6.0-1.pkg)
-
주요 업데이트(예: IPS-K9-maj-6.0-1-pkg)
-
부 업데이트(예: IPS-K9-min-5.1-1.pkg)
-
서비스 팩 업데이트(예: IPS-K9-sp-5.0-2.pkg)
-
복구 파티션 업데이트(예: IPS-K9-r-1.1-a-5.0-1.pkg)
-
패치 릴리스(예: IPS-K9-patch-6.0-1p1-E1.pkg)
-
복구 파티션 업데이트(예: IPS-K9-r-1.1-a-6.0-1.pkg)
센서 업그레이드로 인해 센서의 소프트웨어 버전이 변경됩니다.
업그레이드 명령 및 옵션
자동 업그레이드를 구성하려면 서비스 호스트 하위 모드에서 auto-upgrade-option enabled 명령을 사용합니다.
다음 옵션이 적용됩니다.
-
default - 값을 시스템 기본 설정으로 다시 설정합니다.
-
directory - 업그레이드 파일이 파일 서버에 있는 디렉토리입니다.
-
file-copy-protocol - 파일 서버에서 파일을 다운로드하는 데 사용되는 파일 복사 프로토콜입니다. 유효한 값은 ftp 또는 scp입니다.
참고: SCP를 사용하는 경우 센서가 SSH를 통해 서버와 통신할 수 있도록 ssh host-key 명령을 사용하여 서버를 SSH 알려진 호스트 목록에 추가해야 합니다. 이 절차에 대해서는 알려진 호스트 목록에 호스트 추가를 참조하십시오.
-
ip-address - 파일 서버의 IP 주소입니다.
-
password — 파일 서버에서 인증을 위한 사용자 비밀번호입니다.
-
schedule-option - 자동 업그레이드가 수행될 때를 예약합니다. 일정 예약은 특정 날짜의 특정 시간에 업그레이드를 시작합니다. 정기적 스케줄링은 특정 기간마다 업그레이드를 시작합니다.
-
calendar-schedule - 자동 업그레이드가 수행되는 요일과 시간을 구성합니다.
-
days-of-week—자동 업그레이드가 수행되는 요일. 여러 날을 선택할 수 있습니다. 일요일부터 토요일까지 유효한 값입니다.
-
no - 항목 또는 선택 설정을 제거합니다.
-
시간—자동 업그레이드가 시작되는 시간. 여러 번 선택할 수 있습니다. 유효한 값은 hh:mm[:ss]입니다.
-
-
periodic-schedule - 첫 번째 자동 업그레이드가 발생하는 시간과 자동 업그레이드 사이의 대기 시간을 구성합니다.
-
interval(간격) - 자동 업그레이드 사이의 대기 시간 유효한 값은 0~8760입니다.
-
start-time - 첫 번째 자동 업그레이드를 시작할 시간입니다. 유효한 값은 hh:mm[:ss]입니다.
-
-
-
user-name — 파일 서버에서 인증을 위한 사용자 이름입니다.
센서 업그레이드에 대한 IDM 절차는 센서 업데이트를 참조하십시오.
Upgrade 명령 사용
IPS 6.0으로 업그레이드하기 전에 읽기 전용 커뮤니티 및 읽기-쓰기 커뮤니티 매개 변수를 구성하지 않은 경우 SNMP 오류를 수신합니다. SNMP 설정 및/또는 가져오기 기능을 사용하는 경우 IPS 6.0으로 업그레이드하기 전에 읽기 전용 커뮤니티 및 읽기-쓰기 커뮤니티 매개변수를 구성해야 합니다. IPS 5.x에서 읽기 전용 커뮤니티는 기본적으로 public으로, 읽기/쓰기 커뮤니티는 기본적으로 private으로 설정되었습니다. IPS 6.0에서는 이 두 옵션에 기본값이 없습니다. IPS 5.x에서 SNMP gets and sets를 사용하지 않은 경우, 예를 들어 enable-set-get이 false로 설정된 경우, IPS 6.0으로 업그레이드하는 데 문제가 없습니다. SNMP get과 IPS 5.x를 함께 사용한 경우(예: enable-set-get이 true로 설정된 경우) 읽기 전용 커뮤니티 및 읽기-쓰기 커뮤니티 매개 변수를 특정 값으로 구성해야 합니다. 그렇지 않으면 IPS 6.0 업그레이드가 실패합니다.
다음과 같은 오류 메시지가 표시됩니다.
Error: execUpgradeSoftware : Notification Application "enable-set-get" value set to true, but "read-only-community" and/or "read-write-community" are set to null. Upgrade may not continue with null values in these fields.
참고: IPS 6.0은 기본적으로 고위험 이벤트를 거부합니다. 이는 IPS 5.x에서 변경된 내용입니다. 기본값을 변경하려면 거부 패킷 인라인 작업에 대한 이벤트 작업 재정의를 생성하고 비활성화되도록 구성합니다. 관리자가 읽기 쓰기 커뮤니티를 모르는 경우 이 오류 메시지를 제거하려면 업그레이드를 시도하기 전에 SNMP를 완전히 비활성화해야 합니다.
센서를 업그레이드하려면 다음 단계를 완료하십시오.
-
주 업데이트 파일(IPS-K9-maj-5.0-1-S149.rpm.pkg )을 센서에서 액세스할 수 있는 FTP, SCP, HTTP 또는 HTTPS 서버에 다운로드합니다.
Cisco.com에서 소프트웨어를 찾는 방법에 대한 절차는 Cisco IPS 소프트웨어 가져오기를 참조하십시오.
참고: 파일을 다운로드하려면 암호화 권한이 있는 계정을 사용하여 Cisco.com에 로그인해야 합니다. 파일 이름을 변경하지 마십시오. 업데이트를 수락하려면 센서의 원래 파일 이름을 유지해야 합니다.
참고: 파일 이름을 변경하지 마십시오. 업데이트를 수락하려면 센서의 원래 파일 이름을 유지해야 합니다.
-
관리자 권한이 있는 계정을 사용하여 CLI에 로그인합니다.
-
컨피그레이션 모드로 들어갑니다.
sensor#configure terminal
-
센서 업그레이드:
sensor(config)#upgrade scp://@ //upgrade/ 예:
참고: 이 명령은 공간적 이유로 인해 두 줄에 있습니다.
sensor(config)#upgrade scp://tester@10.1.1.1//upgrade/ IPS-K9-maj-5.0-1-S149.rpm.pkg
참고: 지원되는 FTP 및 HTTP/HTTPS 서버 목록은 지원되는 FTP 및 HTTP/HTTPS 서버를 참조하십시오. SCP 서버를 SSH 알려진 호스트 목록에 추가하는 방법에 대한 자세한 내용은 SSH 알려진 호스트 목록에 호스트 추가를 참조하십시오.
-
프롬프트가 표시되면 비밀번호를 입력합니다.
Enter password: ******** Re-enter password: ********
-
예를 입력하여 업그레이드를 완료합니다.
참고: 주 업데이트, 부 업데이트 및 서비스 팩은 IPS 프로세스를 강제로 다시 시작하거나 센서를 강제로 재부팅하여 설치를 완료할 수 있습니다. 그래서 적어도 2분 동안은 서비스가 중단됩니다. 그러나 시그니처 업데이트는 업데이트가 완료된 후 재부팅할 필요가 없습니다. 최신 업데이트는 서명 업데이트 다운로드(등록된 고객만 해당)를 참조하십시오.
-
새 센서 버전을 확인합니다.
sensor#show version Application Partition: Cisco Intrusion Prevention System, Version 5.0(1)S149.0 OS Version 2.4.26-IDS-smp-bigphys Platform: ASA-SSM-20 Serial Number: 021 No license present Sensor up-time is 5 days. Using 490110976 out of 1984704512 bytes of available memory (24% usage) system is using 17.3M out of 29.0M bytes of available disk space (59% usage) application-data is using 37.7M out of 166.6M bytes of available disk space (24 usage) boot is using 40.5M out of 68.5M bytes of available disk space (62% usage) MainApp 2005_Mar_04_14.23 (Release) 2005-03-04T14:35:11-0600 Running AnalysisEngine 2005_Mar_04_14.23 (Release) 2005-03-04T14:35:11-0600 Running CLI 2005_Mar_04_14.23 (Release) 2005-03-04T14:35:11-0600 Upgrade History: IDS-K9-maj-5.0-1- 14:16:00 UTC Thu Mar 04 2004 Recovery Partition Version 1.1 - 5.0(1)S149 sensor#
참고: IPS 5.x의 경우 업그레이드가 알 수 없는 유형이라는 메시지가 표시됩니다. 이 메시지를 무시할 수 있습니다.
참고: 운영 체제가 재이미지화되고 서비스 계정을 통해 센서에 배치된 모든 파일이 제거됩니다.
센서 업그레이드를 위한 IDM 절차에 대한 자세한 내용은 센서 업데이트를 참조하십시오.
자동 업그레이드 구성
자동 업그레이드
업그레이드 디렉토리에서 새 업그레이드 파일을 자동으로 검색하도록 센서를 구성할 수 있습니다. 예를 들어, 여러 센서는 24시간마다 또는 월요일, 수요일, 금요일 오후 11:00과 같이 업데이트 일정이 서로 다른 동일한 원격 FTP 서버 디렉토리를 가리킬 수 있습니다.
자동 업그레이드를 예약하려면 다음 정보를 지정합니다.
-
서버 IP 주소
-
센서가 업그레이드 파일을 확인하는 파일 서버의 디렉토리 경로
-
파일 복사 프로토콜(SCP 또는 FTP)
-
사용자 이름 및 비밀번호
-
업그레이드 일정
센서가 자동 업그레이드를 위해 폴링하기 전에 Cisco.com에서 소프트웨어 업그레이드를 다운로드하고 업그레이드 디렉토리에 복사해야 합니다.
참고: AIM-IPS 및 기타 IPS 어플라이언스 또는 모듈과 함께 자동 업그레이드를 사용하는 경우 AIM-IPS에서 자동으로 다운로드하고 설치해야 하는 파일을 올바르게 감지할 수 있도록 6.0(1) 업그레이드 파일 IPS-K9-6.0-1-E1.pkg 및 AIM-IPS 업그레이드 파일 IPS-AIM-K9-6.0-4-E1.pkg을 모두 자동 업데이트 서버에 두어야 합니다. 자동 업데이트 서버에 6.0(1) 업그레이드 파일인 IPS-K9-6.0-1-E1.pkg만 넣으면 AIM-IPS가 다운로드하고 설치를 시도합니다. 이는 AIM-IPS에 대한 잘못된 파일입니다.
센서의 자동 업그레이드를 위한 IDM 절차에 대한 자세한 내용은 센서 자동 업데이트를 참조하십시오.
auto-upgrade 명령 사용
자동 업데이트 명령에 대해서는 이 문서의 업그레이드 명령 및 옵션 섹션을 참조하십시오.
자동 업그레이드 일정을 잡으려면 다음 단계를 완료하십시오.
-
관리자 권한이 있는 계정으로 CLI에 로그인합니다.
-
업그레이드 디렉토리에서 새 업그레이드를 자동으로 검색하도록 센서를 구성합니다.
sensor#configure terminal sensor(config)#service host sensor(config-hos)#auto-upgrade-option enabled
-
일정 지정:
-
특정 날짜의 특정 시간에 업그레이드를 시작하는 달력 예약의 경우:
sensor(config-hos-ena)#schedule-option calendar-schedule sensor(config-hos-ena-cal#days-of-week sunday sensor(config-hos-ena-cal#times-of-day 12:00:00
-
정기적인 스케줄링의 경우, 특정 기간마다 업그레이드를 시작합니다.
sensor(config-hos-ena)#schedule-option periodic-schedule sensor(config-hos-ena-per)#interval 24 sensor(config-hos-ena-per)#start-time 13:00:00
-
-
파일 서버의 IP 주소를 지정합니다.
sensor(config-hos-ena-per)#exit sensor(config-hos-ena)#ip-address 10.1.1.1
-
파일 서버에서 업그레이드 파일이 있는 디렉토리를 지정합니다.
sensor(config-hos-ena)#directory /tftpboot/update/5.0_dummy_updates
-
파일 서버에서 인증을 위한 사용자 이름을 지정합니다.
sensor(config-hos-ena)#user-name tester
-
사용자의 암호를 지정합니다.
sensor(config-hos-ena)#password Enter password[]: ****** Re-enter password: ******
-
파일 서버 프로토콜을 지정합니다.
sensor(config-hos-ena)#file-copy-protocol ftp
참고: SCP를 사용하는 경우 센서가 SSH를 통해 서버와 통신할 수 있도록 서버를 SSH 알려진 호스트 목록에 추가하려면 ssh host-key 명령을 사용해야 합니다. 이 절차에 대해서는 알려진 호스트 목록에 호스트 추가를 참조하십시오.
-
설정을 확인합니다.
sensor(config-hos-ena)#show settings enabled ----------------------------------------------- schedule-option ----------------------------------------------- periodic-schedule ----------------------------------------------- start-time: 13:00:00 interval: 24 hours ----------------------------------------------- ----------------------------------------------- ip-address: 10.1.1.1 directory: /tftpboot/update/5.0_dummy_updates user-name: tester password: <hidden> file-copy-protocol: ftp default: scp ----------------------------------------------- sensor(config-hos-ena)# -
자동 업그레이드 하위 모드 종료:
sensor(config-hos-ena)#exit sensor(config-hos)#exit Apply Changes:?[yes]:
-
변경 사항을 적용하려면 Enter를 누르고 취소하려면 no를 입력합니다.
센서 이미지 다시 만들기
다음과 같은 방법으로 센서를 재이미지화할 수 있습니다.
-
CD-ROM 드라이브가 있는 IDS 어플라이언스의 경우 복구/업그레이드 CD를 사용합니다.
절차는 시스템 이미지 업그레이드, 다운그레이드 및 설치의 복구/업그레이드 CD 사용 섹션을 참조하십시오.
-
모든 센서에 대해 recover 명령을 사용합니다.
이 절차는 시스템 이미지 업그레이드, 다운그레이드 및 설치의 애플리케이션 파티션 복구 섹션을 참조하십시오.
-
IDS-4215, IPS-4240 및 IPS 4255의 경우 ROMMON을 사용하여 시스템 이미지를 복원합니다.
절차에 대한 내용은 시스템 이미지 업그레이드, 다운그레이드 및 설치의 IDS-4215 시스템 이미지 설치, IPS-4240 및 IPS-4255 시스템 이미지 설치 섹션을 참조하십시오.
-
NM-CIDS의 경우 부트로더를 사용합니다.
절차는 시스템 이미지 업그레이드, 다운그레이드 및 설치의 NM-CIDS 시스템 이미지 설치 섹션을 참조하십시오.
-
IDSM-2의 경우 유지 관리 파티션에서 애플리케이션 파티션을 다시 이미지화합니다.
절차는 시스템 이미지 업그레이드, 다운그레이드 및 설치의 IDSM-2 시스템 이미지 설치 섹션을 참조하십시오.
-
AIP-SSM의 경우 hw-module module 1 recover를 사용하여 ASA에서 리이미징합니다 [configure | boot] 명령입니다.
절차는 시스템 이미지 업그레이드, 다운그레이드 및 설치의 AIP-SSM 시스템 이미지 설치 섹션을 참조하십시오.
관련 정보
개정 이력
| 개정 | 게시 날짜 | 의견 |
|---|---|---|
1.0 |
12-Oct-2009 |
최초 릴리스 |
피드백