Einleitung
In diesem Dokument wird das Rollback der Vulnerability Database (VDB) für das Secure Firewall Management Center (FMC) und den Secure Firewall Device Manager (FDM) beschrieben.
Voraussetzungen
Anforderungen
Es gibt keine spezifischen Anforderungen für dieses Dokument.
Verwendete Komponenten
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:
- Cisco Secure Firewall Management Center 7.3 und VDB 361+
- Cisco Secure Firewall Management Center 7.2.1 und VDB 343+
- Cisco Secure Firewall Device Manager Version 7.0.6 und VDB 395+
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Konfigurieren
Startkonfigurationen
Erstkonfiguration für FMC
Über die FMC-GUI können Sie die aktuelle VDB-Version bestätigen, indem Sie zum Hauptmenü wechseln.Menü > .
Über die FMC-CLI können Sie die aktuelle VDB-Version bestätigen, die mit dem folgenden Befehl, show version, ausgeführt wird:
> show version
-------------------[ firepower ]--------------------
Model : Secure Firewall Management Center for VMware (66) Version 7.3.0 (Build 69)
UUID : e8f4b5de-4da1-11ed-b2ce-4637a3ef82f7
Rules update version : 2023-07-12-002-vrt
LSP version : lsp-rel-20230712-1621
VDB version : 361
----------------------------------------------------
Erstkonfiguration für FDM
Über die FDM-GUI können Sie die aktuelle VDB-Version bestätigen, indem Sie das Monitoring Dashboard wie folgt aufrufen:
Über die FDM-CLI können Sie die aktuelle VDB-Version mit dem nächsten Befehl "cat /etc/sf/.versiondb/vdb.conf" bestätigen:
root@vFTD-2:/ngfw/var/cisco/deploy/pkg/var/cisco/packages# cat /etc/sf/.versiondb/vdb.conf
CURRENT_VERSION=4.5.0
CURRENT_BUILD=397
CURRENT_APPID_VER=138
CURRENT_NAVL_VER=158
VDB-Rollback-Prozess für FMC v7.3+
Dies sind die Schritte zum Rollback der VDB-Version für ein FMC v7.3+. Im nächsten Beispiel erfolgt ein Rollback von VDB 361 auf VDB 359.
1. Falls die VDB-Datei, zu der ein Rollback durchgeführt werden soll, nicht mehr im FMC gespeichert ist, müssen Sie sie in das FMC hochladen. Navigieren Sie dazu zu System ()
4. Aktivieren Sie dann das Kontrollkästchen FMC und klicken Sie auf Installieren.
5. Eine Warnmeldung wird angezeigt, die Sie über eine mögliche Unterbrechung des Datenverkehrs informiert, falls Sie nach dem Rollback der VDB Änderungen an den verwalteten Geräten vornehmen.
VDB-Rollback-Prozess für FMC v7.2.x und frühere Versionen
Dies sind die Schritte zum Rollback der VDB-Version für ein FMC v7.2.x und frühere Versionen.
1. SSH an die FMC-CLI.
2. Wechseln Sie in den Expertenmodus und root, und setzen Sie die Rollback-Variable wie folgt auf '1':
>expert
$sudo su
#export ROLLBACK_VDB=1
3. Überprüfen Sie, ob sich das VDB-Paket, auf das Sie einen Rollback durchführen möchten, im nächsten FMC-Verzeichnis /var/sf/updates befindet, falls sich die VDB-Datei nicht in diesem Pfad befindet, und laden Sie dann die erforderliche VDB-Datei in das FMC hoch.
4. Fahren Sie dann mit der VDB-Rollback-Installation fort, indem Sie den folgenden Befehl eingeben:
install_update.pl --detach /var/sf/updates/
Beispiel:
root@FMC:/var/sf/updates# install_update.pl --detach /var/sf/updates/Cisco_VDB_Fingerprint_Database-4.5.0-394.sh.REL.tar
ARGV[0] = --detach
ARGV[1] = /var/sf/updates/Cisco_VDB_Fingerprint_Database-4.5.0-394.sh.REL.tar
bundle_filepath: /var/sf/updates/Cisco_VDB_Fingerprint_Database-4.5.0-394.sh.REL.tar
install_update.pl begins. bundle_filepath: /var/sf/updates/Cisco_VDB_Fingerprint_Database-4.5.0-394.sh.REL.tar
Makeself GetUpdate Info params FILEPATH : /var/tmp/upgrade-patch/Cisco_VDB_Fingerprint_Database-4.5.0-394.sh at /usr/local/sf/lib/perl/5.24.4/SF/Update/Makeself.pm line 33.
FILEPATH directory name /var/tmp/upgrade-patch at /usr/local/sf/lib/perl/5.24.4/SF/Update/Makeself.pm line 47.
Inside GetInfo FILEPATH :/var/tmp/upgrade-patch/Cisco_VDB_Fingerprint_Database-4.5.0-394.sh at /usr/local/sf/lib/perl/5.24.4/SF/Update/Makeself.pm line 272.
Use of uninitialized value in string ne at /usr/local/sf/lib/perl/5.24.4/SF/Update/Makeself.pm line 125.
4. Überwachen Sie die vdb-Installationsprotokolle am nächsten Verzeichnisspeicherort /var/log/sf/<VDB-Paketdatei> und überprüfen Sie den VDB-Installationsfortschritt aus der Datei status.log.
root@FMC:/var/log/sf/vdb-4.5.0-394# tail -f status.log
state:running
ui:The install has begun.
ui:[ 0%] Running script pre/000_start.sh...
ui:[ 4%] Running script pre/001_check_required_upgrade.pl...
ui:[ 8%] Running script pre/005_check_low_end.pl...
ui:[12%] Running script pre/010_check_versions.sh...
ui:[15%] Running script pre/011_check_versions.pl...
ui:[19%] Running script pre/020_check_space.sh...
ui:[23%] Running script pre/500_stop_rna.pl...
ui:[27%] Running script pre/999_finish.sh...
ui:[31%] Running script installer/000_start.sh...
ui:[35%] Running script installer/100_install_files.pl...
ui:[38%] Running script installer/200_install_fingerprints.sh...
ui:[42%] Running script installer/300_install_vdb.sh...
ui:[46%] Running script installer/400_install_rdps.pl...
ui:[50%] Running script installer/420_delete_obsolete_ids.pl...
ui:[54%] Running script installer/430_change_dupe_custom_app_names.pl...
ui:[58%] Running script installer/450_resave_detectors.pl...
ui:[62%] Running script installer/480_update_dynamic_config_with_csds.pl...
ui:[65%] Running script installer/525_export_compliance_policies.pl...
ui:[69%] Running script installer/900_update_version.sh...
ui:[73%] Running script installer/901_update_db_version.pl...
ui:[77%] Running script installer/950_reapply_to_sensor.pl...
ui:[81%] Running script installer/975_export_data.pl...
ui:[85%] Running script installer/999_finish.sh...
ui:[88%] Running script post/000_start.sh...
ui:[92%] Running script post/500_start_rna.pl...
ui:[96%] Running script post/999_finish.sh...
ui:[100%] The install completed successfully.
ui:The install has completed.
state:finished
5. Führen Sie nach Abschluss der VDB-Installation eine Richtlinienbereitstellung auf den verwalteten Geräten aus (um die Richtlinienbereitstellung auszuführen, muss die Konfiguration mindestens geändert werden).
6. Führen Sie in der FMC-CLI den Befehl show version aus, um die aktuelle VDB-Version zu bestätigen.
> show version
----------------[ FMC ]-----------------
Model : Secure Firewall Management Center for VMware (66) Version 7.2.1 (Build 40)
UUID : 597fda3e-386e-11ed-95e2-dbc141b3e897
Rules update version : 2022-09-14-001-vrt
LSP version : lsp-rel-20220511-1540
VDB version : 394
----------------------------------------------------
VDB-Rollback-Prozess für FMC HA
1. Anhalten der FMC-HA-Synchronisierung und anschließendes Rollback der VDB auf jedem FMC
2. Sobald der VDB-Rollback-Prozess für jedes FMC abgeschlossen ist, nehmen Sie den FMC HA wieder auf.
- Auf der HA-Seite wird möglicherweise immer noch "vdb not in sync" (vdb nicht synchronisiert) mit der VDB-Versionskonflikt angezeigt. Diese Meldung kann ignoriert werden.
3. Wenn dies nach dem Ausführen des Rollback-VDB-Prozesses für das FMC nicht funktioniert und das neueste VDB-Update automatisch neu installiert wird, suchen Sie die neuesten VDB-Dateien und löschen Sie sie aus den folgenden Verzeichnissen für beide FMCs:
/var/sf/updates (.sh file)
/var/cisco/pacakges/ (.tgz file)
4. Wiederholen Sie dann die oben genannten Schritte 1 und 2, um ein Rollback der VDB für das FMC HA durchzuführen.
VDB Rollback-Prozess für FDM
Fahren Sie zum Rollback der VDB-Version für einen FDM mit dem Öffnen eines Cisco TAC-Tickets fort, und fordern Sie Unterstützung an, indem Sie den TAC-Techniker auf dieses Cisco Dokument verweisen.
Überprüfung
Von FTD CLI
Auf FTD können Sie zum Überprüfen des Verlaufs von VDB-Installationen beispielsweise die folgenden Verzeichnisinhalte überprüfen:
root@firepower:/ngfw/var/cisco/deploy/pkg/var/cisco/packages# ls -al
total 72912
drwxr-xr-x 5 root root 130 Sep 1 08:49 .
drwxr-xr-x 4 root root 34 Aug 16 14:40 ..
drwxr-xr-x 3 root root 18 Aug 16 14:40 exporter-7.2.4-169
-rw-r--r-- 1 root root 2371661 Jul 27 15:34 exporter-7.2.4-169.tgz
drwxr-xr-x 3 root root 21 Aug 16 14:40 vdb-368
-rw-r--r-- 1 root root 36374219 Jul 27 15:34 vdb-368.tgz
drwxr-xr-x 3 root root 21 Sep 1 08:49 vdb-369
-rw-r--r-- 1 root root 35908455 Sep 1 08:48 vdb-369.tgz
Von der FMC-GUI
Nach Abschluss der Rollback-Aufgabe kann die VDB-Version über das Menü "Main" (Hauptmenü) bestätigt werden.
Nach dem Rollback der VDB ist eine Richtlinienbereitstellung erforderlich, um die neue VDB-Konfiguration auf die von FMC verwalteten Firewalls zu übertragen.
Einschränkungen
- Die Rollback-Schaltfläche für VDB ist für FMC-Versionen vor 7.3 nicht verfügbar.
- Wenn eine VDB-Version, die älter als 357 ist, in das FMC hochgeladen wird, ist ein Rollback der VDB auf eine ältere Version als 357 nicht zulässig. Anschließend ist die Rollback-Schaltfläche abgeblendet.
- Wenn die VDB-Version niedriger ist als die VDB-Basisversion des FMC, wird die erfolgreich abgeschlossene Rollback-Aufgabe angezeigt. Die angezeigte VDB-Version zeigt jedoch weiterhin dieselbe wie vor dem Rollback-Versuch an.
Über die FMC-CLI können Sie bestätigen, dass dies der Fall ist, da die Version des Rollback-Ziels niedriger ist als die FMC-Basisversion. Dies kann über die FMC-CLI in der Datei status.log bestätigt werden.
> expert
sudo su
cd /var/log/sf/vdb-4.5.0-<vdb number>/
cat status.log
root@firepower:/var/log/sf/vdb-4.5.0-357# cat status.log
state:running
ui:The install has begun.
ui:[ 0%] Running script pre/000_start.sh...
ui:[ 4%] Running script pre/010_check_versions.sh...
ui:[ 4%] Non-Fatal error: Non-Fatal error: Cannot rollback to version(357) lower than default VDB 358
ui:[ 4%] The install completed successfully.
ui:The install has completed.
state:finished
----------------------------------------------------
Zugehörige Informationen