Última atualização: 28/05/2018
Sumário
Para proteger ao máximo o seu sistema, a firewall CISCO Adaptive Security Appliance (ASA) deve beneficiar dos últimos patches de atualização. Estes permitem remediar eventuais falhas de segurança.
Este guia explica como efetuar a atualização da sua firewall CISCO ASA.
Requisitos
- Ter acesso à Área de Cliente OVH.
Instruções
Desativar a ASA a partir da Área de Cliente.
O procedimento de atualização vai necessitar de várias reinicializações. Portanto, aconselhamos que desative a ASA para não deixar o servidor indisponível durante a atualização.
Para isso, aceda à Área de Cliente OVH, na secção Dedicado. Escolha o seu servidor dedicado e depois a Firewall Cisco ASA. Por fim, clique com o botão direito em Desativar a firewall Cisco ASA
Gravar a configuração
Primeiro método: através do ASDM
Conecte-se ao Cisco Adaptive Security Device Manager (ou ASDM). Depois escolha File e Save Running Configuration to Flash:
Segundo método: em SSH
Conecte-se à ASA em SSH:
user@desk:~$ ssh adminovh@IP_ASA
adminovh@IP_ASAs password:
Type help or '?' for a list of available commands.
asa12345> en
Password: ********
Depois execute o comando seguinte:
asa12345# write memory
Building configuration...
Cryptochecksum: 4b86b1e4 2e731d6b 9d1fc491 a5eae0f3
6854 bytes copied in 1.20 secs (6854 bytes/sec)
[OK]
Gravar a configuração
Crie um ficheiro local; por exemplo: backupAsa.txt. Conecte-se ao ASDM, aceda a Tools e depois a Backup Configurations.
No menu contextual que se abrir, escolha o ficheiro local que criou anteriormente (com Browse Local...), depois grave a configuração com Backup.
Reiniciar a ASA
Esta etapa é importante, pois é necessário assegurar-se de que a ASA está a funcionar e acessível após uma simples reinicialização.
Primeiro método: através do ASDM
Conecte-se ao Cisco Adaptive Security Device Manager, depois selecione Tools e System Reload...:
Para uma reinicialização imediata, na janela que surgiu, selecione: Reload Start Time > Now > Schedule Reload.
Segundo método: em SSH
Conecte-se à ASA em SSH e execute o comando reload:
asa12345# reload
Proceed with reload? [confirm]
***
*** --- START GRACEFUL SHUTDOWN ---
Shutting down isakmp
Shutting down File system
***
*** --- SHUTDOWN NOW ---
A reinicialização para carregar a configuração vai levar alguns minutos.
Reativar a ASA a partir da Área de Cliente
Tal como para a primeira etapa, aceda à Área de Cliente OVH, na secção Dedicado. Escolha o seu servidor dedicado e depois a Firewall Cisco ASA. Por fim, clique com o botão direito em Ativar a firewall Cisco ASA.
Após a reinicialização, quando a ASA estiver ativa, verifique que todos os serviços do seu servidor estão a funcionar. Se não houver problemas, passe à fase seguinte. Se encontrar bloqueios, efetue as verificações adequadas para resolver os problemas antes de passar às fases seguintes.
Desativar novamente a ASA a partir da Área de Cliente
Agora é preciso desativar a ASA como na primeira etapa.
Para isso, aceda à Área de Cliente OVH, na secção Dedicado. A seguir escolha o seu servidor dedicado e depois a Firewall Cisco ASA. Por fim, clique com o botão direito em Desativar a firewall Cisco ASA.
Verificar o ficheiro binário atualmente utilizado
Primeiro método: através do ASDM
Conecte-se ao Cisco Adaptive Security Device Manager, aceda a Device Information e depois a General. Aqui encontrará a sua versão da ASA e do ASDM. Aconselhamos que aponte essa informação e a guarde.
Segundo método: em SSH
Conecte-se em SSH e execute o comando seguinte:
asa12345# sh run | i bin
boot system disk0:/asa847-30-k8.bin
asdm image disk0:/asdm-771.bin
- boot system\: a versão da ASA
- asdm image\: a versão do ASDM
Verificar qual ficheiro binário deve ser utilizado
Para encontrar o ficheiro binário a utilizar, recorra ao quadro seguinte:
| Versão atual ASA | Primeira versão para a qual atualizar | A seguir atualizar para |
|---|---|---|
| 8.2(x) e anteriores | 8.4(6) | 9.1(3) e seguintes |
| 8.3(x) | 8.4(6) | 9.1(3) e seguintes |
| 8.4(1) até 8.4(4) | 8.4(6) ou 9.0(2+) | 9.1(3) e seguintes |
| 8.4(5+) | Nenhuma | 9.1(3) e seguintes |
| 8.5(1) | 9.0(2+) | 9.1(3) e seguintes |
| 8.6(1) | 9.0(2+) | 9.1(3) e seguintes |
| 9.0(1) | 9.0(2+) | 9.1(3) e seguintes |
| 9.0(2+) | Nenhuma | 9.1(3) e seguintes |
| 9.1(1) | 9.1(2) | 9.1(3) e seguintes |
| 9.1(2+) | Nenhuma | 9.1(3) e seguintes |
| 9.2(x) | Nenhuma | 9.2(2) e seguintes |
Por exemplo, se a sua ASA funciona na versão 8.4(2), primeiro é preciso atualizar o seu sistema para a versão 8.4(6) e depois atualizar para 8.4(7+) ou 9.2+.
Para mais informações, recorra à documentação Cisco.
Para firewalls Cisco ASA com 256 MB de memória, aconselhamos que apenas atualize a versão 8.4(x). As versões 9.1(x) e 9.2(x) vão utilizar praticamente todos os 256 MB sem estar em produção.
Pode verificar a versão que possui através de uma destas duas soluções:
- Em SSH, com este comando:
asa12345# sh ver| i RAM
Hardware: ASA5505, 512 MB RAM, CPU CPU Geode 500 MHz
- No ASDM, secção
Tools, depoisCommand Line Interface...:
Suprimir os ficheiros binários não utilizados
Antes de adicionar os novos ficheiros binários, convém suprimir os antigos.
Primeiro método: através do ASDM
Conecte-se ao Cisco Adaptive Security Device Manager. A seguir aceda a Tools e depois a File Management....
Suprima os ficheiros binários (.bin) não utilizados. No disco já só lhe restará um ficheiro para a ASA e outro para o ASDM.
Segundo método: em SSH
Conecte-se à sua ASA em SSH e depois suprima os ficheiros depois de os ter listado:
asa12345# sh flash: | i bin
128 26995116 Apr 18 2017 23:55:52 asdm-771.bin
144 23016144 Dec 12 2016 14:35:07 asdm-721-150.bin
138 25214976 Nov 18 2017 23:29:54 asa847-30-k8.bin
asa12345# delete flash:asdm-781-150.bin
Delete filename [asdm-721-150.bin]?
Delete disk0:/asdm-721-150.bin? [confirm]
Adicionar e instalar os ficheiros binários ASDM
Primeiro método: através do ASDM
Conecte-se ao Cisco Adaptive Security Device Manager. Aceda a Tools e depois clique em Upgrade Software from Local Computer....
No ecrã seguinte escolha:
- Image to upload: ASDM;
- Local File Patch: digite
Browse Local Filese escolha a sua versão do ficheiro binário do ASDM.
Valide a sua escolha clicando em Upload Image, depois valide com Yes para confirmar que esta imagem deve tornar-se a imagem de inicialização:
Segundo método: em SSH
Deve colocar previamente o ficheiro binário num servidor FTP e configurar a ASA em SSH para o utilizar e guardar a configuração:
asa12345# copy ftp://USER:PASSWORD@FTP_IP/FOLDER/asdm-781.bin flash:asdm-781.bin
Address or name of remote host [FTP_IP]?
Source username [USER]?
Source password [PASSWORD]?
Source filename [asdm-781.bin]?
Destination filename [asdm-781.bin]?
Accessing ftp://USER:PASSWORD@FTP_IP/FOLDER/asdm-781.bin...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Writing file disk0:/asdm-781.bin...
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
25025404 bytes copied in 41.690 secs (610375 bytes/sec)
asa12345# conf t
asa12345(config)# asdm image disk0:/asdm-781.bin
asa12345(config)# end
asa12345# write memory
Adicionar e instalar os novos ficheiros binários ASA
Primeiro método: através do ASDM
Conecte-se ao Cisco Adaptive Security Device Manager. Aceda a Tools e depois clique em Upgrade Software from Local Computer....
No ecrã seguinte escolha:
- Image to upload: ASA;
- Local File Patch: digite
Browse Local Filese escolha a sua versão do ficheiro binário da ASA.
Valide a sua escolha clicando em Upload Image, depois valide com Yes para confirmar que esta imagem deve tornar-se a imagem de inicialização:
Segundo método: em SSH
Conecte-se em SSH e execute os comandos seguintes:
asa12345# copy ftp://USER:PASSWORD@FTP_IP/FOLDER/asa-924.bin flash:asa-924.bin
Address or name of remote host [FTP_IP]?
Source username [USER]?
Source password [PASSWORD]?
Source filename [asa-924.bin]?
Destination filename [asa-924.bin]?
Accessing ftp://USER:PASSWORD@FTP_IP/FOLDER/asa-924.bin...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Writing file disk0:/asa-924.bin...
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
28057462 bytes copied in 46.270 secs (609345 bytes/sec)
asa12345# conf t
asa12345(config)# asdm image disk0:/asa-924.bin
asa12345(config)# end
asa12345# write memory
Reiniciar a ASA
Esta etapa é importante, pois é indispensável assegurar-se de que a ASA está a funcionar e acessível após uma simples reinicialização.
Primeiro método: através do ASDM
Conecte-se ao Cisco Adaptive Security Device Manager. Selecione Tools e depois System Reload...:
Para uma reinicialização imediata, na janela que surgiu, selecione em Reload Start Time: Now, depois clique em Schedule Reload:
Segundo método: em SSH
Conecte-se à ASA em SSH e execute o comando reload:
asa12345# reload
Proceed with reload? [confirm]
***
*** --- START GRACEFUL SHUTDOWN ---
Shutting down isakmp
Shutting down File system
***
*** --- SHUTDOWN NOW ---
A reinicialização para carregar a configuração vai levar alguns minutos.
Se nesta etapa não consegue adicionar o ficheiro binário da ASA, reinicie para atualizar o ASDM e suprima o ficheiro binário ASDM inutilizado para libertar espaço.
A seguir atualize o ficheiro binário ASA seguindo os passos descritos acima.
Corrigir a configuração
Durante a atualização da ASA nas versões anteriores à 8.4.6, encontrará esta nova configuração após a reinicialização:
asa12345# sh run | i permit-
no arp permit-nonconnected
A configuração deve ser corrigida como se segue:
asa12345# conf t
asa12345(config)# aarp permit-nonconnected
asa12345(config)# end
asa12345# write memory
Building configuration...
Cryptochecksum: 4b86b1e4 2e731d6b 9d1fc491 a5eae0f3
6854 bytes copied in 1.20 secs (6854 bytes/sec)
[OK]
Reativar a ASA a partir da Área de Cliente
Tal como para a primeira etapa, aceda à Área de Cliente OVH, na secção Dedicado. A seguir escolha o seu servidor dedicado e depois a Firewall Cisco ASA. Por fim, clique com o botão direito em Ativar a firewall Cisco ASA.
A sua ASA está atualizada.
Quer saber mais?
Fale com a nossa comunidade de utilizadores: https://community.ovh.com/en/.