Dernière mise à jour le 20/02/2018
Objectif
Pour protéger de manière optimale votre système, votre firewall CISCO Adaptive Security Appliance (ASA) doit bénéficier des derniers patchs de mise à jour. Ceux-ci permettent de pallier les éventuelles failles de sécurité.
Ce guide vous explique comment effectuer la mise à jour de votre firewall CISCO ASA.
Prérequis
- Avoir accès à l'espace client OVH.
En pratique
Désactiver l'ASA depuis l'espace client
La procédure de mise à jour va nécessiter plusieurs redémarrages. Nous vous conseillons donc de désactiver l'ASA pour ne pas rendre le serveur indisponible pendant la procédure de mise à jour.
Pour cela, rendez-vous dans votre espace client OVH, partie Dédié. Choisissez ensuite votre serveur dédié, puis Firewall Cisco ASA. Cliquez enfin à droite sur Désactiver le firewall Cisco ASA
Enregistrer la configuration
Première méthode via l'ASDM
Connectez-vous au Cisco Adaptive Security Device Manager (ou ASDM), puis choisissez File et Save Running Configuration to Flash :
Deuxième méthode en SSH
Connectez-vous en SSH à l'ASA :
user@desk:~$ ssh adminovh@IP_ASA
adminovh@IP_ASAs password:
Type help or '?' for a list of available commands.
asa12345> en
Password: ********
Tapez ensuite la commande suivante :
asa12345# write memory
Building configuration...
Cryptochecksum: 4b86b1e4 2e731d6b 9d1fc491 a5eae0f3
6854 bytes copied in 1.20 secs (6854 bytes/sec)
[OK]
Sauvegarder la configuration
Créez un fichier local, par exemple backupAsa.txt. Connectez-vous ensuite dans ASDM et allez dans Tools, puis Backup Configurations.
Dans le menu contextuel qui s'est ouvert, choisissez le fichier local que vous avez créé précédemment (avec Browse Local...), puis sauvegardez la configuration avec Backup.
Redémarrer l'ASA
Cette étape est importante, car il est nécessaire de vous assurer que l'ASA fonctionne et soit accessible après un simple redémarrage.
Première méthode via l'ASDM
Connectez-vous au Cisco Adaptive Security Device Manager, puis choisissez Tools et System Reload... :
Pour un redémarrage immédiat, dans la fenêtre qui est apparue, choisissez dans Reload Start Time > Now > Schedule Reload.
Deuxième méthode en SSH
Connectez-vous en SSH à l'ASA et entrez la commande reload :
asa12345# reload
Proceed with reload? [confirm]
***
*** --- START GRACEFUL SHUTDOWN ---
Shutting down isakmp
Shutting down File system
***
*** --- SHUTDOWN NOW ---
Le redémarrage pour recharger la configuration va prendre quelques minutes .
Réactiver l'ASA depuis l'espace client
Comme pour la première étape, rendez-vous dans votre espace client OVH, partie Dédié. Choisissez ensuite votre serveur dédié, puis Firewall Cisco ASA. Enfin, cliquez à droite sur Activer le firewall Cisco ASA.
Après le redémarrage, quand l'ASA est en marche, vérifiez que tous les services sur votre serveur fonctionnent. Si tout est fonctionnel, passez à l'étape suivante. Si vous rencontrez des blocages, effectuez les vérifications adéquates pour résoudre les dysfonctionnements avant de passer aux étapes suivantes.
Désactiver à nouveau l'ASA depuis l'espace client
Il est à nouveau temps de désactiver l'ASA comme lors de la première étape.
Pour cela, rendez-vous dans votre espace client OVH, partie Dédié. Choisissez ensuite votre serveur dédié puis Firewall Cisco ASA. Enfin, cliquez à droite sur Désactiver le firewall Cisco ASA.
Vérifier le fichier binaire actuellement utilisé
Première méthode via l'ASDM
Connectez-vous au Cisco Adaptive Security Device Manager, puis rendez-vous dans Device Information, puis General. Là, vous retrouverez votre version d'ASA et d'ASDM. Nous vous conseillons de les noter et de les conserver.
Deuxième méthode en SSH
Connectez-vous en SSH et entrez la commande suivante :
asa12345# sh run | i bin
boot system disk0:/asa847-30-k8.bin
asdm image disk0:/asdm-771.bin
- boot system : la version de l'ASA
- asdm image : la version de l'ASDM
Vérifier quel fichier binaire doit être utilisé
Pour trouver le fichier binaire à utiliser, référez-vous au tableau suivant :
| Version actuelle ASA | Première version vers laquelle mettre à jour | Mettre ensuite à jour vers |
|---|---|---|
| 8.2(x) et antérieures | 8.4(6) | 9.1(3) et suivantes |
| 8.3(x) | 8.4(6) | 9.1(3) et suivantes |
| 8.4(1) jusqu'à 8.4(4) | 8.4(6) ou 9.0(2+) | 9.1(3) et suivantes |
| 8.4(5+) | Aucune | 9.1(3) et suivantes |
| 8.5(1) | 9.0(2+) | 9.1(3) et suivantes |
| 8.6(1) | 9.0(2+) | 9.1(3) et suivantes |
| 9.0(1) | 9.0(2+) | 9.1(3) et suivantes |
| 9.0(2+) | Aucune | 9.1(3) et suivantes |
| 9.1(1) | 9.1(2) | 9.1(3) et suivantes |
| 9.1(2+) | Aucune | 9.1(3) et suivantes |
| 9.2(x) | Aucune | 9.2(2) et suivantes |
Par exemple, si votre ASA est sur une version 8.4(2), il faudra d'abord mettre à jour votre système vers la version 8.4(6), puis mettre à jour vers 8.4(7+) ou 9.2+.
Pour plus d'informations reportez-vous à la documentation Cisco.
Pour des firewall Cisco ASA avec 256 Mo de mémoire, nous vous conseillons de mettre à jour la version 8.4(x) uniquement. Les versions 9.1(x) et 9.2(x) vont utiliser quasiment l'intégralité des 256 Mo sans être en production.
Vous pouvez vérifier la version que vous possédez avec l'une des deux solutions suivantes :
- En SSH avec cette commande :
asa12345# sh ver| i RAM
Hardware: ASA5505, 512 MB RAM, CPU CPU Geode 500 MHz
- Dans ASDM, partie
Tools, puisCommand Line Interface...:
Retirer les fichiers binaires non utilisés
Avant d'ajouter les nouveaux fichiers binaires, il convient de retirer les anciens.
Première méthode via l'ASDM
Connectez-vous au Cisco Adaptive Security Device Manager. Allez ensuite dans Tools, puis File Management....
Supprimez ensuite les fichiers binaires (.bin) non utilisés. Il ne vous restera alors plus qu'un fichier pour l'ASA et un pour l'ASDM sur le disque.
Deuxième méthode en SSH
Connectez-vous en SSH à votre ASA, puis retirez les fichiers après les avoir listés :
asa12345# sh flash: | i bin
128 26995116 Apr 18 2017 23:55:52 asdm-771.bin
144 23016144 Dec 12 2016 14:35:07 asdm-721-150.bin
138 25214976 Nov 18 2017 23:29:54 asa847-30-k8.bin
asa12345# delete flash:asdm-781-150.bin
Delete filename [asdm-721-150.bin]?
Delete disk0:/asdm-721-150.bin? [confirm]
Ajouter et installer les fichiers binaires ASDM
Première méthode via l'ASDM
Connectez-vous au Cisco Adaptive Security Device Manager. Allez ensuite dans Tools, puis cliquez sur Upgrade Software from Local Computer....
Dans l'écran suivant choisissez :
- Image to upload : ASDM ;
- Local File Patch : tapez
Browse Local Fileset choisissez votre version du fichier binaire de l'ASDM.
Validez ensuite votre choix en cliquant sur Upload Image, puis validez avec Yes pour confirmer que cette image doit devenir l'image de démarrage :
Deuxième méthode en SSH
Le fichier binaire doit au préalable être placé sur un serveur FTP et vous devez configurer en SSH l'ASA pour l'utiliser et en sauvegarder la configuration :
asa12345# copy ftp://USER:PASSWORD@FTP_IP/FOLDER/asdm-781.bin flash:asdm-781.bin
Address or name of remote host [FTP_IP]?
Source username [USER]?
Source password [PASSWORD]?
Source filename [asdm-781.bin]?
Destination filename [asdm-781.bin]?
Accessing ftp://USER:PASSWORD@FTP_IP/FOLDER/asdm-781.bin...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Writing file disk0:/asdm-781.bin...
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
25025404 bytes copied in 41.690 secs (610375 bytes/sec)
asa12345# conf t
asa12345(config)# asdm image disk0:/asdm-781.bin
asa12345(config)# end
asa12345# write memory
Ajouter et installer les nouveaux fichiers binaires ASA
Première méthode via l'ASDM
Connectez-vous au Cisco Adaptive Security Device Manager. Allez dans Tools, puis cliquez sur Upgrade Software from Local Computer....
Dans l'écran suivant choisissez :
- Image to upload : ASA ;
- Local File Patch : tapez
Browse Local Fileset choisissez votre version du fichier binaire de l'ASA.
Validez ensuite votre choix en cliquant sur Upload Image, puis validez avec Yes pour confirmer que cette image doit devenir l'image de démarrage :
Deuxième méthode en SSH
Connectez-vous en SSH et entrez ensuite les commandes suivantes :
asa12345# copy ftp://USER:PASSWORD@FTP_IP/FOLDER/asa-924.bin flash:asa-924.bin
Address or name of remote host [FTP_IP]?
Source username [USER]?
Source password [PASSWORD]?
Source filename [asa-924.bin]?
Destination filename [asa-924.bin]?
Accessing ftp://USER:PASSWORD@FTP_IP/FOLDER/asa-924.bin...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Writing file disk0:/asa-924.bin...
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
28057462 bytes copied in 46.270 secs (609345 bytes/sec)
asa12345# conf t
asa12345(config)# asdm image disk0:/asa-924.bin
asa12345(config)# end
asa12345# write memory
Redémarrer l'ASA
Cette étape est importante, car il est indispensable de s'assurer que l'ASA fonctionne et soit accessible après un simple redémarrage.
Première méthode via l'ASDM
Connectez-vous au Cisco Adaptive Security Device Manager. Choisissez ensuite Tools, puis System Reload... :
Dans la fenêtre qui est apparue, pour un redémarrage immédiat, choisissez dans Reload Start Time : Now, puis cliquez sur Schedule Reload :
Deuxième méthode en SSH
Connectez-vous en SSH à l'ASA et entrez la commande reload :
asa12345# reload
Proceed with reload? [confirm]
***
*** --- START GRACEFUL SHUTDOWN ---
Shutting down isakmp
Shutting down File system
***
*** --- SHUTDOWN NOW ---
Le redémarrage pour recharger la configuration va prendre quelques minutes.
Si à cette étape vous n’arrivez pas à ajouter le fichier binaire de l’ASA, redémarrez pour mettre à jour l'ASDM puis retirez le binaire ASDM inutilisé pour libérer de l'espace.
Mettez ensuite à jour le binaire ASA en suivant la procédure détaillée ci-dessus.
Corriger la configuration
Pendant la mise à jour de l'ASA depuis les versions antérieures à la 8.4.6, vous trouverez cette nouvelle configuration après le redémarrage :
asa12345# sh run | i permit-
no arp permit-nonconnected
La configuration doit être corrigée comme suit :
asa12345# conf t
asa12345(config)# aarp permit-nonconnected
asa12345(config)# end
asa12345# write memory
Building configuration...
Cryptochecksum: 4b86b1e4 2e731d6b 9d1fc491 a5eae0f3
6854 bytes copied in 1.20 secs (6854 bytes/sec)
[OK]
Réactiver l'ASA depuis l'espace client
Comme pour la première étape, rendez-vous dans votre espace client OVH partie Dédié. Choisissez ensuite votre serveur dédié puis Firewall Cisco ASA. Enfin, cliquez à droite sur Activer le firewall Cisco ASA.
Votre ASA est désormais à jour.
Aller plus loin
Échangez avec notre communauté d'utilisateurs sur https://community.ovh.com.
Cette documentation vous a-t-elle été utile ?
N'hésitez pas à nous proposer des suggestions d'amélioration afin de faire évoluer cette documentation
Images, contenu, structure... N'hésitez pas à nous dire pourquoi afin de la faire évoluer ensemble !
Vos demandes d'assistance ne seront pas traitées par ce formulaire. Pour cela, utilisez le formulaire "Créer un ticket".
Merci beaucoup pour votre aide ! Vos retours seront étudiés au plus vite par nos équipes..