Mettre à jour le firewall CISCO ASA
Découvrez comment mettre à jour votre firewall CISCO ASA
Découvrez comment mettre à jour votre firewall CISCO ASA
Fin de support de l'option Cisco Firewall ASA associée aux serveurs dédiés
OVHcloud annonce la fin de support de l'option Cisco Firewall ASA associée aux serveurs dédiés. Retrouvez plus d'informations sur cette page.
Dernière mise à jour le 20/02/2018
Pour protéger de manière optimale votre système, votre firewall CISCO Adaptive Security Appliance (ASA) doit bénéficier des derniers patchs de mise à jour. Ceux-ci permettent de pallier les éventuelles failles de sécurité.
Ce guide vous explique comment effectuer la mise à jour de votre firewall CISCO ASA.
La procédure de mise à jour va nécessiter plusieurs redémarrages. Nous vous conseillons donc de désactiver l'ASA pour ne pas rendre le serveur indisponible pendant la procédure de mise à jour.
Pour cela, rendez-vous dans votre espace client OVH, partie Dédié
. Choisissez ensuite votre serveur dédié, puis Firewall Cisco ASA
. Cliquez enfin à droite sur Désactiver le firewall Cisco ASA
Connectez-vous au Cisco Adaptive Security Device Manager (ou ASDM), puis choisissez File
et Save Running Configuration to Flash
:
Connectez-vous en SSH à l'ASA :
user@desk:~$ ssh adminovh@IP_ASA
adminovh@IP_ASAs password:
Type help or '?' for a list of available commands.
asa12345> en
Password: ********
Tapez ensuite la commande suivante :
asa12345# write memory
Building configuration...
Cryptochecksum: 4b86b1e4 2e731d6b 9d1fc491 a5eae0f3
6854 bytes copied in 1.20 secs (6854 bytes/sec)
[OK]
Créez un fichier local, par exemple backupAsa.txt
. Connectez-vous ensuite dans ASDM et allez dans Tools
, puis Backup Configurations
.
Dans le menu contextuel qui s'est ouvert, choisissez le fichier local que vous avez créé précédemment (avec Browse Local...
), puis sauvegardez la configuration avec Backup
.
Cette étape est importante, car il est nécessaire de vous assurer que l'ASA fonctionne et soit accessible après un simple redémarrage.
Connectez-vous au Cisco Adaptive Security Device Manager, puis choisissez Tools
et System Reload...
:
Pour un redémarrage immédiat, dans la fenêtre qui est apparue, choisissez dans Reload Start Time
> Now
> Schedule Reload
.
Connectez-vous en SSH à l'ASA et entrez la commande reload
:
asa12345# reload
Proceed with reload? [confirm]
***
*** --- START GRACEFUL SHUTDOWN ---
Shutting down isakmp
Shutting down File system
***
*** --- SHUTDOWN NOW ---
Le redémarrage pour recharger la configuration va prendre quelques minutes .
Comme pour la première étape, rendez-vous dans votre espace client OVH, partie Dédié
. Choisissez ensuite votre serveur dédié, puis Firewall Cisco ASA
. Enfin, cliquez à droite sur Activer le firewall Cisco ASA
.
Après le redémarrage, quand l'ASA est en marche, vérifiez que tous les services sur votre serveur fonctionnent. Si tout est fonctionnel, passez à l'étape suivante. Si vous rencontrez des blocages, effectuez les vérifications adéquates pour résoudre les dysfonctionnements avant de passer aux étapes suivantes.
Il est à nouveau temps de désactiver l'ASA comme lors de la première étape.
Pour cela, rendez-vous dans votre espace client OVH, partie Dédié
. Choisissez ensuite votre serveur dédié puis Firewall Cisco ASA
. Enfin, cliquez à droite sur Désactiver le firewall Cisco ASA
.
Connectez-vous au Cisco Adaptive Security Device Manager, puis rendez-vous dans Device Information
, puis General
. Là, vous retrouverez votre version d'ASA et d'ASDM. Nous vous conseillons de les noter et de les conserver.
Connectez-vous en SSH et entrez la commande suivante :
asa12345# sh run | i bin
boot system disk0:/asa847-30-k8.bin
asdm image disk0:/asdm-771.bin
Pour trouver le fichier binaire à utiliser, référez-vous au tableau suivant :
Version actuelle ASA | Première version vers laquelle mettre à jour | Mettre ensuite à jour vers |
---|---|---|
8.2(x) et antérieures | 8.4(6) | 9.1(3) et suivantes |
8.3(x) | 8.4(6) | 9.1(3) et suivantes |
8.4(1) jusqu'à 8.4(4) | 8.4(6) ou 9.0(2+) | 9.1(3) et suivantes |
8.4(5+) | Aucune | 9.1(3) et suivantes |
8.5(1) | 9.0(2+) | 9.1(3) et suivantes |
8.6(1) | 9.0(2+) | 9.1(3) et suivantes |
9.0(1) | 9.0(2+) | 9.1(3) et suivantes |
9.0(2+) | Aucune | 9.1(3) et suivantes |
9.1(1) | 9.1(2) | 9.1(3) et suivantes |
9.1(2+) | Aucune | 9.1(3) et suivantes |
9.2(x) | Aucune | 9.2(2) et suivantes |
Par exemple, si votre ASA est sur une version 8.4(2), il faudra d'abord mettre à jour votre système vers la version 8.4(6), puis mettre à jour vers 8.4(7+) ou 9.2+.
Pour plus d'informations reportez-vous à la documentation Cisco.
Pour des firewall Cisco ASA avec 256 Mo de mémoire, nous vous conseillons de mettre à jour la version 8.4(x) uniquement. Les versions 9.1(x) et 9.2(x) vont utiliser quasiment l'intégralité des 256 Mo sans être en production.
Vous pouvez vérifier la version que vous possédez avec l'une des deux solutions suivantes :
asa12345# sh ver| i RAM
Hardware: ASA5505, 512 MB RAM, CPU CPU Geode 500 MHz
Tools
, puis Command Line Interface...
:Avant d'ajouter les nouveaux fichiers binaires, il convient de retirer les anciens.
Connectez-vous au Cisco Adaptive Security Device Manager. Allez ensuite dans Tools
, puis File Management...
.
Supprimez ensuite les fichiers binaires (.bin) non utilisés. Il ne vous restera alors plus qu'un fichier pour l'ASA et un pour l'ASDM sur le disque.
Connectez-vous en SSH à votre ASA, puis retirez les fichiers après les avoir listés :
asa12345# sh flash: | i bin
128 26995116 Apr 18 2017 23:55:52 asdm-771.bin
144 23016144 Dec 12 2016 14:35:07 asdm-721-150.bin
138 25214976 Nov 18 2017 23:29:54 asa847-30-k8.bin
asa12345# delete flash:asdm-781-150.bin
Delete filename [asdm-721-150.bin]?
Delete disk0:/asdm-721-150.bin? [confirm]
Connectez-vous au Cisco Adaptive Security Device Manager. Allez ensuite dans Tools
, puis cliquez sur Upgrade Software from Local Computer...
.
Dans l'écran suivant choisissez :
Browse Local Files
et choisissez votre version du fichier binaire de l'ASDM.Validez ensuite votre choix en cliquant sur Upload Image
, puis validez avec Yes
pour confirmer que cette image doit devenir l'image de démarrage :
Le fichier binaire doit au préalable être placé sur un serveur FTP et vous devez configurer en SSH l'ASA pour l'utiliser et en sauvegarder la configuration :
asa12345# copy ftp://USER:PASSWORD@FTP_IP/FOLDER/asdm-781.bin flash:asdm-781.bin
Address or name of remote host [FTP_IP]?
Source username [USER]?
Source password [PASSWORD]?
Source filename [asdm-781.bin]?
Destination filename [asdm-781.bin]?
Accessing ftp://USER:PASSWORD@FTP_IP/FOLDER/asdm-781.bin...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Writing file disk0:/asdm-781.bin...
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
25025404 bytes copied in 41.690 secs (610375 bytes/sec)
asa12345# conf t
asa12345(config)# asdm image disk0:/asdm-781.bin
asa12345(config)# end
asa12345# write memory
Connectez-vous au Cisco Adaptive Security Device Manager. Allez dans Tools
, puis cliquez sur Upgrade Software from Local Computer...
.
Dans l'écran suivant choisissez :
Browse Local Files
et choisissez votre version du fichier binaire de l'ASA.Validez ensuite votre choix en cliquant sur Upload Image
, puis validez avec Yes
pour confirmer que cette image doit devenir l'image de démarrage :
Connectez-vous en SSH et entrez ensuite les commandes suivantes :
asa12345# copy ftp://USER:PASSWORD@FTP_IP/FOLDER/asa-924.bin flash:asa-924.bin
Address or name of remote host [FTP_IP]?
Source username [USER]?
Source password [PASSWORD]?
Source filename [asa-924.bin]?
Destination filename [asa-924.bin]?
Accessing ftp://USER:PASSWORD@FTP_IP/FOLDER/asa-924.bin...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Writing file disk0:/asa-924.bin...
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
28057462 bytes copied in 46.270 secs (609345 bytes/sec)
asa12345# conf t
asa12345(config)# asdm image disk0:/asa-924.bin
asa12345(config)# end
asa12345# write memory
Cette étape est importante, car il est indispensable de s'assurer que l'ASA fonctionne et soit accessible après un simple redémarrage.
Connectez-vous au Cisco Adaptive Security Device Manager. Choisissez ensuite Tools
, puis System Reload...
:
Dans la fenêtre qui est apparue, pour un redémarrage immédiat, choisissez dans Reload Start Time
: Now
, puis cliquez sur Schedule Reload
:
Connectez-vous en SSH à l'ASA et entrez la commande reload
:
asa12345# reload
Proceed with reload? [confirm]
***
*** --- START GRACEFUL SHUTDOWN ---
Shutting down isakmp
Shutting down File system
***
*** --- SHUTDOWN NOW ---
Le redémarrage pour recharger la configuration va prendre quelques minutes.
Si à cette étape vous n’arrivez pas à ajouter le fichier binaire de l’ASA, redémarrez pour mettre à jour l'ASDM puis retirez le binaire ASDM inutilisé pour libérer de l'espace.
Mettez ensuite à jour le binaire ASA en suivant la procédure détaillée ci-dessus.
Pendant la mise à jour de l'ASA depuis les versions antérieures à la 8.4.6, vous trouverez cette nouvelle configuration après le redémarrage :
asa12345# sh run | i permit-
no arp permit-nonconnected
La configuration doit être corrigée comme suit :
asa12345# conf t
asa12345(config)# aarp permit-nonconnected
asa12345(config)# end
asa12345# write memory
Building configuration...
Cryptochecksum: 4b86b1e4 2e731d6b 9d1fc491 a5eae0f3
6854 bytes copied in 1.20 secs (6854 bytes/sec)
[OK]
Comme pour la première étape, rendez-vous dans votre espace client OVH partie Dédié
. Choisissez ensuite votre serveur dédié puis Firewall Cisco ASA
. Enfin, cliquez à droite sur Activer le firewall Cisco ASA
.
Votre ASA est désormais à jour.
Échangez avec notre communauté d'utilisateurs sur https://community.ovh.com.
N’hésitez pas à nous proposer des suggestions d’amélioration afin de faire évoluer cette documentation.
Images, contenu, structure… N’hésitez pas à nous dire pourquoi afin de la faire évoluer ensemble !
Vos demandes d’assistance ne seront pas traitées par ce formulaire. Pour cela, utilisez le formulaire "Créer un ticket" .
Merci beaucoup pour votre aide ! Vos retours seront étudiés au plus vite par nos équipes..
Accedez à votre espace communautaire. Posez des questions, recherchez des informations, publiez du contenu et interagissez avec d’autres membres d'OVHcloud Community.
Echanger sur OVHcloud Community