Atualizar a firewall CISCO ASA

Saiba como atualizar a firewall CISCO ASA

End of support for the Cisco ASA Firewall feature on dedicated servers

OVHcloud announces the end of its support for the Cisco ASA Firewall feature for dedicated servers. More information is available on this page.

Última atualização: 28/05/2018

Sumário

Para proteger ao máximo o seu sistema, a firewall CISCO Adaptive Security Appliance (ASA) deve beneficiar dos últimos patches de atualização. Estes permitem remediar eventuais falhas de segurança.

Este guia explica como efetuar a atualização da sua firewall CISCO ASA.

Requisitos

Instruções

Desativar a ASA a partir da Área de Cliente.

O procedimento de atualização vai necessitar de várias reinicializações. Portanto, aconselhamos que desative a ASA para não deixar o servidor indisponível durante a atualização.

Para isso, aceda à Área de Cliente OVH, na secção Dedicado. Escolha o seu servidor dedicado e depois a Firewall Cisco ASA. Por fim, clique com o botão direito em Desativar a firewall Cisco ASA

Desativação da ASA

Gravar a configuração

Primeiro método: através do ASDM

Conecte-se ao Cisco Adaptive Security Device Manager (ou ASDM). Depois escolha File e Save Running Configuration to Flash:

Gravar a configuração através do ASDM

Segundo método: em SSH

Conecte-se à ASA em SSH:

user@desk:~$ ssh adminovh@IP_ASA

adminovh@IP_ASAs password:
Type help or '?' for a list of available commands.

asa12345> en
Password: ********

Depois execute o comando seguinte:

asa12345# write memory

Building configuration...
Cryptochecksum: 4b86b1e4 2e731d6b 9d1fc491 a5eae0f3
6854 bytes copied in 1.20 secs (6854 bytes/sec)
[OK]

Gravar a configuração

Crie um ficheiro local; por exemplo: backupAsa.txt. Conecte-se ao ASDM, aceda a Tools e depois a Backup Configurations.

Gravar a configuração via ASDM 1

No menu contextual que se abrir, escolha o ficheiro local que criou anteriormente (com Browse Local...), depois grave a configuração com Backup.

Gravar a configuração via ASDM 2

Reiniciar a ASA

Esta etapa é importante, pois é necessário assegurar-se de que a ASA está a funcionar e acessível após uma simples reinicialização.

Primeiro método: através do ASDM

Conecte-se ao Cisco Adaptive Security Device Manager, depois selecione Tools e System Reload...:

Reiniciar a ASA via ASDM 1

Para uma reinicialização imediata, na janela que surgiu, selecione: Reload Start Time > Now > Schedule Reload.

Reiniciar a ASA via ASDM 2

Reiniciar a ASA via ASDM 3

Segundo método: em SSH

Conecte-se à ASA em SSH e execute o comando reload:

asa12345# reload

Proceed with reload? [confirm]
***
*** --- START GRACEFUL SHUTDOWN ---
Shutting down isakmp
Shutting down File system

***
*** --- SHUTDOWN NOW ---

A reinicialização para carregar a configuração vai levar alguns minutos.

Reativar a ASA a partir da Área de Cliente

Tal como para a primeira etapa, aceda à Área de Cliente OVH, na secção Dedicado. Escolha o seu servidor dedicado e depois a Firewall Cisco ASA. Por fim, clique com o botão direito em Ativar a firewall Cisco ASA.

Ativação da ASA

Após a reinicialização, quando a ASA estiver ativa, verifique que todos os serviços do seu servidor estão a funcionar. Se não houver problemas, passe à fase seguinte. Se encontrar bloqueios, efetue as verificações adequadas para resolver os problemas antes de passar às fases seguintes.

Desativar novamente a ASA a partir da Área de Cliente

Agora é preciso desativar a ASA como na primeira etapa.

Para isso, aceda à Área de Cliente OVH, na secção Dedicado. A seguir escolha o seu servidor dedicado e depois a Firewall Cisco ASA. Por fim, clique com o botão direito em Desativar a firewall Cisco ASA.

Desativação da ASA

Verificar o ficheiro binário atualmente utilizado

Primeiro método: através do ASDM

Conecte-se ao Cisco Adaptive Security Device Manager, aceda a Device Information e depois a General. Aqui encontrará a sua versão da ASA e do ASDM. Aconselhamos que aponte essa informação e a guarde.

Verificar os ficheiros binários via ASDM

Segundo método: em SSH

Conecte-se em SSH e execute o comando seguinte:

asa12345# sh run | i bin

boot system disk0:/asa847-30-k8.bin
asdm image disk0:/asdm-771.bin
  • boot system\: a versão da ASA
  • asdm image\: a versão do ASDM

Verificar qual ficheiro binário deve ser utilizado

Para encontrar o ficheiro binário a utilizar, recorra ao quadro seguinte:

Versão atual ASA Primeira versão para a qual atualizar A seguir atualizar para
8.2(x) e anteriores 8.4(6) 9.1(3) e seguintes
8.3(x) 8.4(6) 9.1(3) e seguintes
8.4(1) até 8.4(4) 8.4(6) ou 9.0(2+) 9.1(3) e seguintes
8.4(5+) Nenhuma 9.1(3) e seguintes
8.5(1) 9.0(2+) 9.1(3) e seguintes
8.6(1) 9.0(2+) 9.1(3) e seguintes
9.0(1) 9.0(2+) 9.1(3) e seguintes
9.0(2+) Nenhuma 9.1(3) e seguintes
9.1(1) 9.1(2) 9.1(3) e seguintes
9.1(2+) Nenhuma 9.1(3) e seguintes
9.2(x) Nenhuma 9.2(2) e seguintes

Por exemplo, se a sua ASA funciona na versão 8.4(2), primeiro é preciso atualizar o seu sistema para a versão 8.4(6) e depois atualizar para 8.4(7+) ou 9.2+.

Para mais informações, recorra à documentação Cisco.

Para firewalls Cisco ASA com 256 MB de memória, aconselhamos que apenas atualize a versão 8.4(x). As versões 9.1(x) e 9.2(x) vão utilizar praticamente todos os 256 MB sem estar em produção.

Pode verificar a versão que possui através de uma destas duas soluções:

  • Em SSH, com este comando:
asa12345# sh ver| i RAM

Hardware: ASA5505, 512 MB RAM, CPU CPU Geode 500 MHz
  • No ASDM, secção Tools, depois Command Line Interface...:

Verificar a versão do ficheiro binário no ASDM 1

Verificar a versão do ficheiro binário no ASDM 2

Suprimir os ficheiros binários não utilizados

Antes de adicionar os novos ficheiros binários, convém suprimir os antigos.

Primeiro método: através do ASDM

Conecte-se ao Cisco Adaptive Security Device Manager. A seguir aceda a Tools e depois a File Management....

Suprimir os ficheiros binários não utilizados no ASDM 1

Suprima os ficheiros binários (.bin) não utilizados. No disco já só lhe restará um ficheiro para a ASA e outro para o ASDM.

Suprimir os ficheiros binários não utilizados no ASDM 2

Segundo método: em SSH

Conecte-se à sua ASA em SSH e depois suprima os ficheiros depois de os ter listado:

asa12345# sh flash: | i bin

128 26995116 Apr 18 2017 23:55:52 asdm-771.bin
144 23016144 Dec 12 2016 14:35:07 asdm-721-150.bin
138 25214976 Nov 18 2017 23:29:54 asa847-30-k8.bin
asa12345# delete flash:asdm-781-150.bin

Delete filename [asdm-721-150.bin]?
Delete disk0:/asdm-721-150.bin? [confirm]

Adicionar e instalar os ficheiros binários ASDM

Primeiro método: através do ASDM

Conecte-se ao Cisco Adaptive Security Device Manager. Aceda a Tools e depois clique em Upgrade Software from Local Computer....

Adicionar e instalar os ficheiros binários ASDM via ASDM 1

No ecrã seguinte escolha:

  • Image to upload: ASDM;
  • Local File Patch: digite Browse Local Files e escolha a sua versão do ficheiro binário do ASDM.

Valide a sua escolha clicando em Upload Image, depois valide com Yes para confirmar que esta imagem deve tornar-se a imagem de inicialização:

Adicionar e instalar os ficheiros binários ASDM via ASDM 2

Adicionar e instalar os ficheiros binários ASDM via ASDM 3

Segundo método: em SSH

Deve colocar previamente o ficheiro binário num servidor FTP e configurar a ASA em SSH para o utilizar e guardar a configuração:

asa12345# copy ftp://USER:PASSWORD@FTP_IP/FOLDER/asdm-781.bin flash:asdm-781.bin

Address or name of remote host [FTP_IP]?

Source username [USER]?

Source password [PASSWORD]?

Source filename [asdm-781.bin]?

Destination filename [asdm-781.bin]?

Accessing ftp://USER:PASSWORD@FTP_IP/FOLDER/asdm-781.bin...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Writing file disk0:/asdm-781.bin...
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
25025404 bytes copied in 41.690 secs (610375 bytes/sec)
asa12345# conf t

asa12345(config)# asdm image disk0:/asdm-781.bin
asa12345(config)# end

asa12345# write memory

Adicionar e instalar os novos ficheiros binários ASA

Primeiro método: através do ASDM

Conecte-se ao Cisco Adaptive Security Device Manager. Aceda a Tools e depois clique em Upgrade Software from Local Computer....

Adicionar e instalar os ficheiros binários ASA via ASDM 1

No ecrã seguinte escolha:

  • Image to upload: ASA;
  • Local File Patch: digite Browse Local Files e escolha a sua versão do ficheiro binário da ASA.

Valide a sua escolha clicando em Upload Image, depois valide com Yes para confirmar que esta imagem deve tornar-se a imagem de inicialização:

Adicionar e instalar os ficheiros binários ASA via ASDM 2

Adicionar e instalar os ficheiros binários ASA via ASDM 3

Segundo método: em SSH

Conecte-se em SSH e execute os comandos seguintes:

asa12345# copy ftp://USER:PASSWORD@FTP_IP/FOLDER/asa-924.bin flash:asa-924.bin

Address or name of remote host [FTP_IP]?

Source username [USER]?

Source password [PASSWORD]?

Source filename [asa-924.bin]?

Destination filename [asa-924.bin]?

Accessing ftp://USER:PASSWORD@FTP_IP/FOLDER/asa-924.bin...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Writing file disk0:/asa-924.bin...
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
28057462 bytes copied in 46.270 secs (609345 bytes/sec)

asa12345# conf t

asa12345(config)# asdm image disk0:/asa-924.bin

asa12345(config)# end

asa12345# write memory

Reiniciar a ASA

Esta etapa é importante, pois é indispensável assegurar-se de que a ASA está a funcionar e acessível após uma simples reinicialização.

Primeiro método: através do ASDM

Conecte-se ao Cisco Adaptive Security Device Manager. Selecione Tools e depois System Reload...:

Reiniciar a ASA via ASDM 1

Para uma reinicialização imediata, na janela que surgiu, selecione em Reload Start Time: Now, depois clique em Schedule Reload:

Reiniciar a ASA via ASDM 2

Reiniciar a ASA via ASDM 3

Segundo método: em SSH

Conecte-se à ASA em SSH e execute o comando reload:

asa12345# reload

Proceed with reload? [confirm]
***
*** --- START GRACEFUL SHUTDOWN ---
Shutting down isakmp
Shutting down File system

***
*** --- SHUTDOWN NOW ---

A reinicialização para carregar a configuração vai levar alguns minutos.

Se nesta etapa não consegue adicionar o ficheiro binário da ASA, reinicie para atualizar o ASDM e suprima o ficheiro binário ASDM inutilizado para libertar espaço.

A seguir atualize o ficheiro binário ASA seguindo os passos descritos acima.

Corrigir a configuração

Durante a atualização da ASA nas versões anteriores à 8.4.6, encontrará esta nova configuração após a reinicialização:

asa12345# sh run | i permit-

no arp permit-nonconnected

A configuração deve ser corrigida como se segue:

asa12345# conf t
asa12345(config)# aarp permit-nonconnected
asa12345(config)# end
asa12345# write memory

Building configuration...
Cryptochecksum: 4b86b1e4 2e731d6b 9d1fc491 a5eae0f3
6854 bytes copied in 1.20 secs (6854 bytes/sec)
[OK]

Firewall Cisco ASA atualizada

Firewall Cisco ASA atualizada

Reativar a ASA a partir da Área de Cliente

Tal como para a primeira etapa, aceda à Área de Cliente OVH, na secção Dedicado. A seguir escolha o seu servidor dedicado e depois a Firewall Cisco ASA. Por fim, clique com o botão direito em Ativar a firewall Cisco ASA.

Ativação da ASA

A sua ASA está atualizada.

Firewall Cisco ASA atualizada

Quer saber mais?

Fale com a nossa comunidade de utilizadores: https://community.ovh.com/en/.


Esta documentação foi-lhe útil?

Não hesite em propor-nos sugestões de melhoria para fazer evoluir este manual.

Imagens, conteúdo, estrutura... Não hesite em dizer-nos porquê para evoluirmos em conjunto!

Os seus pedidos de assistência não serão tratados através deste formulário. Para isso, utilize o formulário "Criar um ticket" .

Obrigado. A sua mensagem foi recebida com sucesso.


Estes manuais também podem ser úteis...

OVHcloud Community

Aceda ao seu espaço comunitário. Coloque as suas questões, procure informações e interaja com outros membros do OVHcloud Community.

Discuss with the OVHcloud community

Em conformidade com a alteração à Diretiva 2006/112/CE, os preços com IVA podem variar de acordo com o país de residência do cliente
(por defeito, os preços com IVA apresentados incluem o IVA português em vigor).