シスコサポートコミュニティ
キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

Firepower System: FMCと 管理deviceの パッチ 簡易アップデート手順

    

はじめに

本ドキュメントでは 日本語 WebUIを用いた、FMC(旧名 FireSIGHT)と FirePOWER デバイスの パッチ適用手順について説明します。

なお、本ドキュメントは簡易手順となります。 より詳細な情報は 各バージョンのリリースノートを確認してください。
    


 Note:
Firepower Systemでは、利用バージョンの最新パッチ適用を お願いしております。  安定性を保ち、最新の機能拡張と セキュリティ修正を利用して頂くためです。

そのため、パッチの定期的な適用を考慮した、事前の設計と運用を頂けますよう、お願いいたします。


 

    

    

構成情報と アップデートタイム目安

本ドキュメントは、以下構成での、Firepower System Release Notes, Version 6.0.0.1 の情報を元に 確認、作成しております。

   
 - Firepower Management Center for VMWare 6.0.0 (build 1005) on ESXi 5.5
 - ASA5515 9.6(1) with FirePOWER Software Module 6.0.0 (build 1005)

    

ASA5515のASA softwareの Modular Policy Framework(MPF) 設定は以下です。 "sfr fail-open" キーワードを指定することで、インラインで動作し、仮にFirePOWERモジュールが使用できない場合の、全てのトラフィックを通過させます。 つまり、モジュールのメンテナンス時や問題発生時に、実通信影響を少なくすることができます。

class-map ANY
match any
!
policy-map global_policy
class ANY
sfr fail-open
!
service-policy global_policy global

    

本ドキュメント構成でアップデート時の、各時間や通信影響の試験結果は以下です。 参考情報として利用ください。

      FMC
 アップデート
  6.0.0 → 6.0.0.1
 FirePOWER Module
 アップデート
  6.0.0 → 6.0.0.1
 アップデート 必要時間 * 約30分 約26分
 FMC ダウン回数と
 ダウン時間
 アップデート終盤で
  1回 (数分) **
 無し
 FirePOWERダウン回数と
 ダウン時間
 無し アップデートし数分後
  1回 (約23分) ***
 ASA通過通信への影響 無し **** 数秒内 ****
  (fail-open設定のため)

* ご利用構成と機器性能により時間は変動します
** FMCはアップデート終盤で自動再起動が1回発生
*** FirePOWER Moduleはアップデート終盤で 自動再起動が1回発生
**** アップデート後に ポリシーの再適用が必要です。 ポリシー再適用時の、短時間の通信影響に気を付けてください 

    
冗長構成でASAを利用している場合、サービスモジュールはデフォルトで監視対象となります。 サービスモジュールのダウンによるFailoverを抑えたい場合、事前に"no monitor-interface service-module"コマンドを有効化してください。

ciscoasa/pri/act(config)# no monitor-interface service-module

    

    

事前のバージョン確認

ヘルプ > バージョン情報 より確認します。

    

    

最新パッチのリリース状況の確認

Download Softwareより対象機器を選択し、各バージョンのパッチリリース状況を確認できます。

http://www.cisco.com/cisco/web/support/JP/loc/download/index.html

      

     

事前のバックアップ

アップデート前のバックアップの実施を推奨します。 システム > ツール > バックアップまたは復元 より可能です。 取得したバックアップファイルは外部に移動・保管してください。

    

バックアップ手順については、以下も参考にしてください。

FireSight/Firepower backup 方法
https://supportforums.cisco.com/ja/document/12421346

    

    

作業前に・・・注意事項と確認事項

  • アップデート先バージョンのリリースノートを確認してください。 リリースノートで以下の重要な情報を確認できます
      • 注意事項
      • 互換性情報
      • アップデート時に必要なディスク容量と目安時間
      • アップデート方法
      • アンインストール方法  など
           
  • 本ドキュメント手順では、インターネット経由でのパッチ自動ダウンロードを行います。 手動アップロードを行いたい場合は、ユーザガイドを参照してください
  • FMCバージョンは、FirePOWER Moduleバージョンより新しい必要があります。 そのため、FMCよりアップデートを行います。  アップデートの順番について詳しくはユーザガイドを参照してください
  • FirePOWER Moduleをインラインで利用時、FirePOWER Moduleのアップデートや ポリシー再展開時に通信影響があります。 ポリシー再展開時の影響については、ユーザーガイドを参照してください。 インラインで利用時は特に、メンテナンス時間、もしくは 通信影響の少ない時間帯での アップデートと 再適用の実施を 強くお勧めします
       
  • アップデートに必要な時間は、ご利用環境と、対象機器の処理能力により変動します
  • アップデート中はデータベースの整合性チェックなども行うため、環境によっては、アップデート時間が伸びる事があります。 環境によっては 複数回の自動再起動が発生することがあります。 そのため、十分なアップデート作業時間を 事前に確保してください。 クリティカルな環境の場合、同型機での事前検証を 強くお勧めします
  • アップデート対象機が、Health Policyで Disk容量不足などのアラートが出ておらず、システム上 健全であることを確認してください 
     
  • アップデート中は、その完了まで、手動での再起動やシャットダウン操作は しないでください。 これら処理は システムが自動で判断し、行います

    

    

FMCにパッチ適用

1. パッチの自動ダウンロードを行う場合、システム > アップデート > 製品アップデートタブより、以下画面の"アップデート"ボタンをクリック。 自動的に最新パッチがダウンロードされる。 ファイルサイズが大きいため、時間に余裕をもって、事前にダウンロードが推奨

パッチの手動アップロードを行う場合、以下画面の"アップデートのアップロード"ボタンをクリックし、手動で対象ファイルをアップロードすること (例えば、アップグレードファイルの適用には、手動アップロードが必要)

     
仮に自動ダウンロードが失敗する場合は、以下を参照しFMCの外部疎通性を確認するか、代わりにファイルの手動アップロードを行うこと

FireSIGHT Management Center の自動ダウンロード アップデート失敗
http://www.cisco.com/cisco/web/support/JP/112/1128/1128414_118791-technote-firesight-00.html

    

2. 以下はパッチダウンロード完了後の画面。 Download Softwareの最新パッチバージョンと同一である事を確認

    
Sourcefire Vulnerability And Fingerprint Database Updates
- 脆弱性データベース更新用
Sourcefire 3D Defense Center S3 Patch - FMC用
Cisco Network Sensor Patch - FirePOWER デバイス用

    

3. アップデート前に、以下を最終確認

    • システム > 動作状況 > モニター より、各デバイスの動作状況が問題ないこと
    • 展開ボタンをクリックし、未適用のポリシーがないこと
    • (Version 6.1以降の場合) Readiness Checkを実施し、問題が無いこと
    • 画面上部のシステムステータスアイコンの タスクタブより、現在実行中のタスクがないこと (以下画面)

    

4. システム > アップデート > 製品アップデートタブより、FMC用パッチの インストールアイコンをクリック

    

5. 適用対象のFMCをチェックし、インストールボタンをクリック

    

6. 以下画面に戻るので、メッセージセンタータスクタブ のリンクをクリック

    

7. 進捗状況が以下確認できるので、しばらく待つこと。 途中で再起動が発生する。 本例の場合、アップデート実行し 27分後にFMCの再起動が開始

    

8. ブラウザが以下画面に自動で切り替わるので、数分 待った後、ログイン

    

9. ヘルプ > バージョン情報より、現在のバージョンが正しい事を確認

    

合わせ、以下の確認と、必要に応じて intrusion ruleや VDBを最新に更新

  • システム > 動作状況 > モニター より、各デバイスの動作状況が問題ないこと
  • (オプション) 必要に応じて、ユーザガイドを参照して intrusion rule (侵入ルール) update を手動で実施
  • (オプション) 必要に応じて、ユーザガイドを参照して VDB (脆弱性情報データベース) update を実施

    

10. アップデート後、設定の再展開が必要のため、 画面上部の 展開ボタンをクリック、全デバイスにポリシーの再適用を行う。 なお、再展開は、FirePOWER Moduleの通信処理に影響を与えるため、特にインラインで利用時は タイミングを調整のうえ実施すること

    

11. (6.0.0.1にアップデート後の場合のみ) FMCに Hot Fixの適用が必要のため、以下の手順を参考に実施。  本例の場合、Hot Fix 適用に要した時間は 約20分、自動再起動は発生しない。  

11.1. Download Softwareより 6.0.0.1 Hot Fix をダウンロード
         (ファイル名: Sourcefire_3D_Defense_Center_S3_Hotfix_K-6.0.0.2-3.sh)

11.2. システム > アップデート > 製品アップデート タブの "アップデートのアップロード"ボタンをクリック。 ダウンロードしたHot Fixファイルをアップロード

11.3. 以下画面に遷移するので、Hot Fixのインストールボタンをクリックし、FMCを選択、適用

    

    

管理デバイスにパッチ適用

1. アップデート前に、以下を最終確認

    • システム > 動作状況 > モニター より、各デバイスの動作状況が問題ないこと
    • 展開ボタンをクリックし、未適用のポリシーがないこと
    • 画面上部のシステムステータスアイコンの タスクタブより、現在実行中のタスクがないこと
    • (Version 6.1以降の場合) Readiness Checkを実施し、問題が無いこと
    • モジュールのアップデートは、モジュールの長時間のダウンを伴うため、特にインラインでモジュールを利用時は、メンテナンスタイム、もしくは 通信影響の少ない時間帯に実施すること (通信影響有無と影響時間は、ご利用のASA設定と環境に左右されます)

    

2. システム > アップデート > 製品アップデートタブより、FirePOWER Module用パッチの インストールアイコンをクリック

    

3. 適用対象の FirePOWER Moduleを選択し、インストールボタンをクリック

    

4. FMCのアップデート時と同様の手順で、タスクタブの進捗状況を確認

なお、アップデート開始し数分後、以下の ASAログメッセージと共に、FirePOWER Moduleがダウンする

Mar 29 2016 19:58:01: %ASA-1-323006: Module sfr experienced a data channel communication failure, data channel is DOWN.
Mar 29 2016 19:58:02: %ASA-1-323006: Module sfr experienced a data channel communication failure, data channel is DOWN.
Mar 29 2016 19:58:02: %ASA-3-323001: Module sfr experienced a control channel communication failure.
Mar 29 2016 19:58:02: %ASA-1-323006: Module sfr experienced a data channel communication failure, data channel is DOWN.

    

5. FirePOWER Moduleのパッチ適用が完了すると、タスクが以下状態に遷移する

    

ASAのログメッセージで、FirePOWER Moduleのアップを確認できる

Mar 29 2016 20:21:25: %ASA-1-323006: Module sfr experienced a data channel communication failure, data channel is DOWN.
Mar 29 2016 20:21:25: %ASA-1-505015: Module sfr, application up "ASA FirePOWER", version "6.0.0.1-26" Normal Operation
Mar 29 2016 20:21:25: %ASA-1-505011: Module sfr data channel communication is UP.
Mar 29 2016 20:21:25: %ASA-1-505011: Module sfr data channel communication is UP.

    

6. ASAコンソールで "show module sfr detail"コマンドを実行し、バージョンが正しい事を確認

ciscoasa/pri/act# show module sfr detail
Getting details from the Service Module, please wait...

Card Type: FirePOWER Services Software Module
Model: ASA5515
Hardware version: N/A
Serial Number: FCH174xxxxx
Firmware version: N/A
Software version: 6.0.0.1-26
MAC Address Range: 24e9.b392.71a0 to 24e9.b392.71a0
App. name: ASA FirePOWER
App. Status: Up
App. Status Desc: Normal Operation
App. version: 6.0.0.1-26
Data Plane Status: Up
Console session: Ready
Status: Up
DC addr: xx.xx.xx.xx
Mgmt IP addr: xx.xx.xx.xx
Mgmt Network mask: xx.xx.xx.xx
Mgmt Gateway: xx.xx.xx.xx
Mgmt web ports: 443
Mgmt TLS enabled: true

    

7. FMCで デバイス > デバイス管理に移動し、対象のFirePOWER Moduleのバージョンが正しいことを確認

    

8. システム > 動作状況 > モニターより、対象デバイスで問題が起きてないことを確認

9. アップデート後、設定の再展開が必要のため、 画面上部の 展開ボタンをクリック、全デバイスにポリシーの再適用を行う。 なお、再展開は、FirePOWER Moduleの通信処理に影響を与えるため、特にインラインで利用時は タイミングを調整のうえ実施すること

   

    

参考情報

Firepower System 互換性情報と アップグレードパス
  - マイナーバージョン等を越えるアップグレード時の互換性情報やアップグレードパス
https://supportforums.cisco.com/ja/document/12954781

Firepower: Readiness Check 利用の おすすめ (version 6.1以降)
  - バージョン 6.1以降から利用可能、システムアップデートが問題無く可能かの事前チェック機能 
https://supportforums.cisco.com/ja/document/13312866

Types of Update Files That Might Be Installed on a FireSIGHT System
 - アップデートに利用するファイル情報
http://www.cisco.com/c/en/us/support/docs/security/firesight-management-center/118490-technote-firesight-00.html

FirePOWER: Scheduling機能の活用例 (URL DBや VDBの自動更新 等)
https://supportforums.cisco.com/ja/document/13044511

FireSIGHT: WebUIの日本語化の方法について
https://supportforums.cisco.com/ja/document/12526866

Cisco Firepower Management Center Release Notes
http://www.cisco.com/c/en/us/support/security/defense-center/products-release-notes-list.html

Cisco ASA with FirePOWER Services Configuration Guides
http://www.cisco.com/c/en/us/support/security/asa-firepower-services/products-installation-and-configuration-guides-list.html

FirePOWERのトラブルシューティング関連リンク
https://supportforums.cisco.com/ja/document/12725831

1382
閲覧回数
5
いいね!
0
コメント