Reverter versão do VDB para Secure Firewall Management Center e Secure Firewall Device Manager
Contents
Introdução
Este documento descreve o processo de reversão do VDB (Vulnerability Database, banco de dados de vulnerabilidades) para o FMC (Secure Firewall Management Center, centro de gerenciamento de firewall seguro) e para o FDM (Secure Firewall Device Manager, gerenciador de dispositivos de firewall seguro).
Pré-requisitos
Requisitos
Não existem requisitos específicos para este documento.
Componentes Utilizados
As informações neste documento são baseadas nestas versões de software e hardware:
- Cisco Secure Firewall Management Center versão 7.3 e VDB 361+
- Cisco Secure Firewall Management Center versão 7.2.1 e VDB 343+
- Cisco Secure Firewall Device Manager versão 7.0.6 e VDB 395+
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Configurar
Configurações iniciais
Configuração inicial do CVP
Na GUI do FMC, você pode confirmar a versão real do VDB em execução acessando a PrincipalMenu >
.
Na CLI do FMC, você pode confirmar a versão real do VDB sendo executado com o próximo comando, show version:
> show version
-------------------[ firepower ]--------------------
Model : Secure Firewall Management Center for VMware (66) Version 7.3.0 (Build 69)
UUID : e8f4b5de-4da1-11ed-b2ce-4637a3ef82f7
Rules update version : 2023-07-12-002-vrt
LSP version : lsp-rel-20230712-1621
VDB version : 361
----------------------------------------------------
Configuração inicial do FDM
Na GUI do FDM, você pode confirmar a versão real do VDB em execução acessando o painel de controle Monitoramento, da seguinte forma:
Na CLI do FDM, você pode confirmar a versão real do VDB sendo executada com o próximo comando 'cat /etc/sf/.versiondb/vdb.conf':
root@vFTD-2:/ngfw/var/cisco/deploy/pkg/var/cisco/packages# cat /etc/sf/.versiondb/vdb.conf
CURRENT_VERSION=4.5.0
CURRENT_BUILD=397
CURRENT_APPID_VER=138
CURRENT_NAVL_VER=158
Processo de reversão do VDB para FMC v7.3+
Estas são as etapas a serem seguidas para reverter a versão do VDB para um FMC v7.3+. No próximo exemplo, estamos revertendo de VDB 361 para VDB 359.
1. Caso o arquivo VDB para reversão não esteja mais armazenado no FMC, será necessário carregá-lo no FMC, para isso, navegue até Sistema(
)
4. Em seguida, marque a caixa de seleção FMC e clique em Install.
5. Um aviso é exibido para informá-lo sobre a possível interrupção de tráfego no caso de você implantar alterações nos dispositivos gerenciados após a reversão do VDB.
Processo de reversão do VDB para FMC v7.2.x e anterior
Estas são as etapas a serem seguidas para reverter a versão do VDB para um FMC v7.2.x e anterior.
1. SSH para a CLI do FMC.
2. Mude para o modo especialista, e para a raiz, e defina a variável de reversão como '1', da seguinte maneira:
>expert
$sudo su
#export ROLLBACK_VDB=1
3. Verifique se o pacote VDB para o qual você pretende reverter está localizado no próximo diretório FMC /var/sf/updates, caso o arquivo VDB não esteja nesse caminho, carregue o arquivo VDB necessário no FMC.
4. Em seguida, prossiga com a instalação de reversão de VDB inserindo o próximo comando:
install_update.pl --detach /var/sf/updates/
Exemplo:
root@FMC:/var/sf/updates# install_update.pl --detach /var/sf/updates/Cisco_VDB_Fingerprint_Database-4.5.0-394.sh.REL.tar
ARGV[0] = --detach
ARGV[1] = /var/sf/updates/Cisco_VDB_Fingerprint_Database-4.5.0-394.sh.REL.tar
bundle_filepath: /var/sf/updates/Cisco_VDB_Fingerprint_Database-4.5.0-394.sh.REL.tar
install_update.pl begins. bundle_filepath: /var/sf/updates/Cisco_VDB_Fingerprint_Database-4.5.0-394.sh.REL.tar
Makeself GetUpdate Info params FILEPATH : /var/tmp/upgrade-patch/Cisco_VDB_Fingerprint_Database-4.5.0-394.sh at /usr/local/sf/lib/perl/5.24.4/SF/Update/Makeself.pm line 33.
FILEPATH directory name /var/tmp/upgrade-patch at /usr/local/sf/lib/perl/5.24.4/SF/Update/Makeself.pm line 47.
Inside GetInfo FILEPATH :/var/tmp/upgrade-patch/Cisco_VDB_Fingerprint_Database-4.5.0-394.sh at /usr/local/sf/lib/perl/5.24.4/SF/Update/Makeself.pm line 272.
Use of uninitialized value in string ne at /usr/local/sf/lib/perl/5.24.4/SF/Update/Makeself.pm line 125.4. Monitore os logs de instalação do vdb no próximo local do diretório /var/log/sf/<arquivo do Pacote VDB> e verifique o progresso da instalação do VDB a partir do arquivo status.log.
root@FMC:/var/log/sf/vdb-4.5.0-394# tail -f status.log
state:running
ui:The install has begun.
ui:[ 0%] Running script pre/000_start.sh...
ui:[ 4%] Running script pre/001_check_required_upgrade.pl...
ui:[ 8%] Running script pre/005_check_low_end.pl...
ui:[12%] Running script pre/010_check_versions.sh...
ui:[15%] Running script pre/011_check_versions.pl...
ui:[19%] Running script pre/020_check_space.sh...
ui:[23%] Running script pre/500_stop_rna.pl...
ui:[27%] Running script pre/999_finish.sh...
ui:[31%] Running script installer/000_start.sh...
ui:[35%] Running script installer/100_install_files.pl...
ui:[38%] Running script installer/200_install_fingerprints.sh...
ui:[42%] Running script installer/300_install_vdb.sh...
ui:[46%] Running script installer/400_install_rdps.pl...
ui:[50%] Running script installer/420_delete_obsolete_ids.pl...
ui:[54%] Running script installer/430_change_dupe_custom_app_names.pl...
ui:[58%] Running script installer/450_resave_detectors.pl...
ui:[62%] Running script installer/480_update_dynamic_config_with_csds.pl...
ui:[65%] Running script installer/525_export_compliance_policies.pl...
ui:[69%] Running script installer/900_update_version.sh...
ui:[73%] Running script installer/901_update_db_version.pl...
ui:[77%] Running script installer/950_reapply_to_sensor.pl...
ui:[81%] Running script installer/975_export_data.pl...
ui:[85%] Running script installer/999_finish.sh...
ui:[88%] Running script post/000_start.sh...
ui:[92%] Running script post/500_start_rna.pl...
ui:[96%] Running script post/999_finish.sh...
ui:[100%] The install completed successfully.
ui:The install has completed.
state:finished
5. Depois que a instalação do VDB for concluída, execute uma implantação de política para os dispositivos gerenciados (para executar a implantação de política, é necessário fazer uma alteração mínima na configuração).
6. Na CLI do FMC, execute o comando show version para confirmar a versão real do VDB em execução.
> show version
----------------[ FMC ]-----------------
Model : Secure Firewall Management Center for VMware (66) Version 7.2.1 (Build 40)
UUID : 597fda3e-386e-11ed-95e2-dbc141b3e897
Rules update version : 2022-09-14-001-vrt
LSP version : lsp-rel-20220511-1540
VDB version : 394
----------------------------------------------------
Processo de reversão do VDB para HA do FMC
1. Pause a sincronização de HA do FMC e reverta o VDB em cada FMC.
2. Uma vez concluído o processo de reversão do VDB para cada FMC, retome o HA do FMC.
- A página HA ainda pode mostrar "vdb not in sync" com a incompatibilidade de versão do VDB; esta mensagem pode ser ignorada.
3. Se, após a execução do processo de reversão do VDB para o FMC, isso não funcionar e a atualização mais recente do VDB for automaticamente reinstalada, localize os arquivos VDB mais recentes e exclua-os dos diretórios abaixo para ambos os FMCs:
/var/sf/updates (.sh file)
/var/cisco/pacakges/ (.tgz file)
4. Em seguida, repita as etapas 1 e 2 acima para reverter o VDB para o HA FMC.
Processo de Reversão de VDB para FDM
Para reverter a versão do VDB para um FDM, prossiga para abrir um caso do Cisco TAC e solicite assistência apontando o engenheiro do TAC para este documento da Cisco.
Verificar
Da CLI do FTD
No FTD, para verificar o histórico de instalações do VDB, uma maneira é verificar o seguinte conteúdo do diretório:
root@firepower:/ngfw/var/cisco/deploy/pkg/var/cisco/packages# ls -al
total 72912
drwxr-xr-x 5 root root 130 Sep 1 08:49 .
drwxr-xr-x 4 root root 34 Aug 16 14:40 ..
drwxr-xr-x 3 root root 18 Aug 16 14:40 exporter-7.2.4-169
-rw-r--r-- 1 root root 2371661 Jul 27 15:34 exporter-7.2.4-169.tgz
drwxr-xr-x 3 root root 21 Aug 16 14:40 vdb-368
-rw-r--r-- 1 root root 36374219 Jul 27 15:34 vdb-368.tgz
drwxr-xr-x 3 root root 21 Sep 1 08:49 vdb-369
-rw-r--r-- 1 root root 35908455 Sep 1 08:48 vdb-369.tgz
na GUI do FMC
Quando a tarefa de reversão for concluída, a versão do VDB poderá ser confirmada no Menu principal >
Finalmente, após a reversão do VDB, uma implantação de política é necessária para enviar a nova configuração do VDB para os firewalls gerenciados do FMC.
Limitações
- O botão de reversão do VDB não está disponível para versões do FMC anteriores à 7.3.
- Você não tem permissão para reverter o VDB para uma versão anterior a 357; se uma versão do VDB anterior a 357 for carregada no FMC, o botão de reversão ficará esmaecido.
- Se a versão do VDB for inferior à versão básica do VDB do FMC, a tarefa de reversão concluída com êxito será exibida; no entanto, a versão do VDB exibida continuará mostrando a mesma versão anterior à tentativa de reversão.
Na CLI do FMC, você pode confirmar que isso ocorreu porque a versão de destino da reversão é inferior à versão de base do FMC. Isso pode ser confirmado na CLI do FMC no arquivo status.log.
> expert
sudo su
cd /var/log/sf/vdb-4.5.0-<vdb number>/
cat status.log
root@firepower:/var/log/sf/vdb-4.5.0-357# cat status.log
state:running
ui:The install has begun.
ui:[ 0%] Running script pre/000_start.sh...
ui:[ 4%] Running script pre/010_check_versions.sh...
ui:[ 4%] Non-Fatal error: Non-Fatal error: Cannot rollback to version(357) lower than default VDB 358
ui:[ 4%] The install completed successfully.
ui:The install has completed.
state:finished
----------------------------------------------------
Informações Relacionadas
Histórico de revisões
| Revisão | Data de publicação | Comentários |
|---|---|---|
1.0 |
10-Aug-2023 |
Versão inicial |
FeedbackContate a Cisco
- Abrir um caso de suporte
- (É necessário um Contrato de Serviço da Cisco)