首页 > 安全资讯 >

CiscoASA防火墙升级IOS版本需注意的问题

16-02-29

引用Cisco官方的公告:在Internet密钥交换(IKE)1版本的漏洞(V1)和IKE协议版本2(v2)Cisco ASA软件代码可能允许未经身份验证的远程攻击者造成的影响重装系统或远程执行代码。该漏洞是由于受影响的代码区缓冲

引用Cisco官方的公告:

在Internet密钥交换(IKE)1版本的漏洞(V1)和IKE协议版本2(v2)Cisco ASA软件代码可能允许未经身份验证的远程攻击者造成的影响重装系统或远程执行代码。

该漏洞是由于受影响的代码区缓冲区溢出。攻击者可以通过发送特制的UDP数据包来利用此漏洞影响的系统。一个漏洞可能允许攻击者执行任意代码,获得系统的完全控制或导致重装系统的影响。

注意:只有流量定向到受影响的系统可以用来利用此漏洞。这个漏洞影响配置防火墙模式只在单个或多个上下文模式系统。此漏洞可以被触发的IPv4和IPv6流量。

思科发布了软件更新,解决这个漏洞。

受影响的Cisco ASA软件对以下产品的运行可能会受此漏洞的影响:

Cisco ASA5500系列自适应安全设备

Cisco ASA5500-X系列下一代防火墙

Cisco ASA服务模块的Cisco Catalyst 6500系列交换机和Cisco 7600系列路由器

Cisco ASA1000V云防火墙

Cisco自适应安全虚拟设备(ASAV)

思科火力9300 ASA安全模块

思科ISA 3000工业安全设备

 

所以,在某大型企业的出口防火墙Cisco 5520也需要将IOS进行升级。

 

升级之前的准备工作(重要,必须要执行)

1、检查防火墙当前运行状态,包括防火墙面板指示灯,防火墙风扇,防火墙CPU、内存运行状态

当然,查看防火墙指示灯,风扇的运行只能是查看现场去查看

查看防火墙CPU、内存运行状态可以使用命令:

CiscoASA#showprocesscpu-usage
CiscoASA#showprocessmemory

2、一定要注意把配置备份好,这个需要使用SecureCRT的记录会话功能,把show running-config中的内容导入到日志文件中

wKioL1bOh8XgXOkWAABz2zbqPaw343.png

然后再用SecureCRT连接防火墙,输入show running-config,就可以把配置命令保存在本地的日志文件中了,这样也就不怕丢了配置到处抓瞎了。

注意:正常情况下,升级CiscoASA的IOS不会造成配置丢失,即使你从asa847-k8.bin升级到asa912-k8.bin,正常也都是命令自动会转换成当前version支持的命令。但不排除有命令丢失这种风险。

3、(非常重要)备份CiscoASA的License

在升级的过程中,如果丢失了配置或许还能够补救的话,但如果License弄丢了,那个可不好找,你需要重新和Cisco公司去联系才能找回License。

不过备份CiscoASA的License非常简单,只需要一条命令Show version就可以了

ciscoasa#showversion

*************************************************************************
****
*****WARNING***WARNING***WARNING***WARNING***WARNING*****
****
**---->MinimumMemoryRequirementsNOTMet!<----**
****
**InstalledRAM:1024MB**
**RequiredRAM:2048MB**
**Upgradepart#:ASA5520-MEM-2GB=**
****
**ThisASAdoesnotmeettheminimummemoryrequirementsneededto**
**runthisimage.Pleaseinstalladditionalmemory(partnumber**
**listedabove)ordowngradetoASAversion8.2orearlier.**
**Continuingtorunwithoutamemoryupgradeisunsupported,and**
**criticalsystemfeatureswillnotfunctionproperly.**
****
*************************************************************************

CiscoAdaptiveSecurityApplianceSoftwareVersion9.1(2)
DeviceManagerVersion7.5(1)

CompiledonThu09-May-1315:37bybuilders
Systemimagefileis"disk0:/asa912-k8.bin"
Configfileatbootwas"startup-config"
<---More--->


ciscoasaup1min59secs

Hardware:ASA5520,1024MBRAM,CPUPentium4Celeron2000MHz,
InternalATACompactFlash,256MB
BIOSFlashM50FW016@0xfff00000,2048KB

Encryptionhardwaredevice:CiscoASA-55xxon-boardaccelerator(revision0x0)
Bootmicrocode:CN1000-MC-BOOT-2.00
SSL/IKEmicrocode:CNLite-MC-SSLm-PLUS-2_05
IPSecmicrocode:CNlite-MC-IPSECm-MAIN-2.08
Numberofaccelerators:1

0:Ext:GigabitEthernet0/0:addressisc84c.7561.88fe,irq9
1:Ext:GigabitEthernet0/1:addressisc84c.7561.88ff,irq9
2:Ext:GigabitEthernet0/2:addressisc84c.7561.8900,irq9
3:Ext:GigabitEthernet0/3:addressisc84c.7561.8901,irq9
4:Ext:Management0/0:addressisc84c.7561.8902,irq11
5:Int:Notused:irq11
6:Int:Notused:irq5

Licensedfeaturesforthisplatform:
MaximumPhysicalInterfaces:Unlimitedperpetual
MaximumVLANs:150perpetual
<---More--->

InsideHosts:Unlimitedperpetual
Failover:Active/Activeperpetual
Encryption-DES:Enabledperpetual
Encryption-3DES-AES:Enabledperpetual
SecurityContexts:2perpetual
GTP/GPRS:Disabledperpetual
AnyConnectPremiumPeers:2perpetual
AnyConnectEssentials:Disabledperpetual
OtherVPNPeers:750perpetual
TotalVPNPeers:750perpetual
SharedLicense:Disabledperpetual
AnyConnectforMobile:Disabledperpetual
AnyConnectforCiscoVPNPhone:Disabledperpetual
AdvancedEndpointAssessment:Disabledperpetual
UCPhoneProxySessions:2perpetual
TotalUCProxySessions:2perpetual
BotnetTrafficFilter:Disabledperpetual
IntercompanyMediaEngine:Disabledperpetual
Cluster:Disabledperpetual

ThisplatformhasanASA5520VPNPluslicense.

#这里就是防火墙的序列号与License,具体的号码我没有提供
SerialNumber:J*********hV
RunningPermanentActivationKey:0x1*****0x4******20x08******a80x******00x4******97

Configurationregisteris0x1
Configurationhasnotbeenmodifiedsincelastsystemrestart.

 

4、只有把备份工作做好了,才能规避可能出现的风险,然后就可以准备IOS镜像升级了

你需要准备的东西是:

FileZilla Server

防火IOS

注意:如果防火墙的型号是Cisco55xx-X,那你的IOS中必须有“smp”字样

本次升级项目使用的防火墙型号是Cisco5520,原有的IOS版本是asa741-k8.bin,于是,你必须遵照Cisco提供的升级顺序才能完成升级,最好不要跳级,否则容易丢失配置或者License

wKiom1bOikHybIpqAAHj3BZzpyg184.jpg

So the upgrade step should be 7.0->7.1->7.2->8.2->8.4(6)->9.1x

所以,必须升级到8.2,也就是asa821-k8.bin,再升级到8.4(6),也就是asa846.k8.bin,然后再升级到9.1(2),最后才能升级到9.1(3)或更高级,必须这样逐次提升。

 

升级操作其实比较简单,先用FileZilla搭建FTP,设置用户名test和密码haha

然后拷贝IOS镜像到ASA的闪存中

ciscoasa#copyftp://test:haha@10.164.12.3/asa847-k8.binflash:
Addressornameofremotehost[]?10.164.12.3
Sourcefilename[]?asa847-k8.bin
Destinationfilename[asa847-k8.bin]?

拷贝完成后,应该能用show flash:看见

ciscoasa#showflash:
-#---length-------date/time------path
10Mar12201118:52:14crypto_archive
28515584Jun18201005:53:48asa724-k8.bin
34181246Jun18201005:55:04securedesktop-asa-3.2.1.103-k9.pkg
4398305Jun18201005:55:30sslclient-win-1.1.0.154.pkg
156514852Mar12201103:46:24asdm-524.bin
180Feb10201409:27:06log
482289Feb23201609:42:027_2_4_0_startup_cfg.sav
490Feb10201409:27:24coredumpinfo
5059Feb10201409:27:24coredumpinfo/coredump.cfg
511138Jul04201414:05:58upgrade_startup_errors_201407041405.log
521138Feb23201608:40:18upgrade_startup_errors_201602230840.log
531138Feb23201609:42:04upgrade_startup_errors_201602230942.log
5424809472Feb23201611:14:52asa847-k8.bin

210485248bytesavailable(44818432bytesused)

 

拷贝完成后,执行升级命令

ciscoasa#conft
ciscoasa(config)#bootsystemdisk0:/asa847-k8.bin
ciscoasa(config)#nobootsystemdisk0:/asa724-k8.bin
ciscoasa(config)#exit
ciscoasa#reload
可以同时升级ASDM
ciscoasa(config)#asdmimagefiledisk0:/asdm-751.bin

 

升级操作完成后,必须达到以下标准

执行show vlan查看防火墙上vlan状态

执行show route查看防火墙路由表

使用ping命令检查各个业务连通性

 

要求:防火墙原有配置、策略不丢失,防火墙路由条目不丢失

2、防火墙当前运行的IOS软件版本符合升级后的软件版本

执行show version查看当前IOS软件版本

ASDM能够正常使用

3、防火墙运行状态正常,CPU、内存使用率未出现明显偏高的情形

执行show process cpu-usage

4、防火墙SSM工作正常

执行show module all查看防火墙模块

相关文章
最新文章
热点推荐