Rollback della versione VDB per Secure Firewall Management Center e Secure Firewall Device Manager

Opzioni per il download

  • PDF     (860.7 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (695.7 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (522.1 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:10 agosto 2023
ID documento:220719

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    In questo documento viene descritto il processo di rollback del database delle vulnerabilità (VDB) per il Centro gestione firewall protetto (FMC) e per Gestione dispositivi firewall protetto (FDM).

    Prerequisiti

    Requisiti

    Nessun requisito specifico previsto per questo documento.

    Componenti usati

    Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

    • Cisco Secure Firewall Management Center versione 7.3 e VDB 361+
    • Cisco Secure Firewall Management Center versione 7.2.1 e VDB 343+
    • Cisco Secure Firewall Device Manager versione 7.0.6 e VDB 395+

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Configurazione

    Configurazioni iniziali

    Configurazione iniziale di FMC

    Dall'interfaccia utente di FMC, è possibile verificare la versione VDB effettiva in esecuzione passando alla schedaMenuFMC dashboard > Informazioni su.

    FMC dashboard

    FMC dashboard

    Dalla CLI di FMC, è possibile confermare la versione VDB effettiva in esecuzione con il comando show version successivo:

    > show version
    -------------------[ firepower ]--------------------
    Model : Secure Firewall Management Center for VMware (66) Version 7.3.0 (Build 69)
    UUID : e8f4b5de-4da1-11ed-b2ce-4637a3ef82f7
    Rules update version : 2023-07-12-002-vrt
    LSP version : lsp-rel-20230712-1621
    VDB version : 361
    ----------------------------------------------------

    Configurazione iniziale per FDM

    Dalla GUI di FDM, è possibile confermare la versione VDB effettiva in esecuzione andando al dashboard di monitoraggio, come indicato di seguito:

    FDM Dashboard

    Dalla CLI di FDM, è possibile confermare la versione effettiva di VDB in esecuzione con il comando successivo 'cat /etc/sf/.versiondb/vdb.conf':

    root@vFTD-2:/ngfw/var/cisco/deploy/pkg/var/cisco/packages# cat /etc/sf/.versiondb/vdb.conf
CURRENT_VERSION=4.5.0
CURRENT_BUILD=397
CURRENT_APPID_VER=138
CURRENT_NAVL_VER=158

    Processo di rollback VDB per FMC v7.3+

    Di seguito viene riportata la procedura per eseguire il rollback della versione VDB per un FMC v7.3+. Nell'esempio successivo viene eseguito il rollback da VDB 361 a VDB 359.
    1. Se il file VDB su cui eseguire il rollback non è più archiviato nel FMC, sarà necessario caricarlo nel FMC. A tale scopo, passare a Sistema (gear) > Aggiornamenti > Aggiornamenti prodottiAggiornamenti disponibili> Carica aggiornamenti, selezionare il file VDB dal computer locale e fare clic su Upload

    2. Una volta caricato il file VDB in FMC, la versione VDB precedente (la versione 359 in questo esempio) visualizzerà l'icona Rollback invece dell'icona Install.

    3. Per procedere al rollback da VDB 361 a VDB 359, fare clic sul pulsante di rollback. 

    FMC product updates

    4. Quindi, selezionare la casella di controllo FMC e fare clic su Installa.

    Product Updates Install

    5. Viene visualizzato un messaggio di avvertenza per informare l'utente della potenziale interruzione del traffico nel caso in cui vengano distribuite modifiche ai dispositivi gestiti dopo il rollback del VDB. 

    warning

    Processo di rollback di VDB per FMC versione 7.2.x e precedenti

    Per eseguire il rollback della versione VDB per un FMC v7.2.x e versioni precedenti, eseguire le operazioni riportate di seguito.

    1. SSH nella CLI del CMC.

    2. Passare alla modalità Expert e alla directory principale e impostare la variabile di rollback su '1', come indicato di seguito:

    >expert
    $sudo su
    #export ROLLBACK_VDB=1

    3. Verificare che il pacchetto VDB a cui si intende eseguire il rollback si trovi nella directory /var/sf/updates successiva del FMC, nel caso in cui il file VDB non si trovi in questo percorso, quindi caricare il file VDB richiesto nel FMC.

    4. Procedere quindi con l'installazione di rollback VDB immettendo il comando seguente:

    install_update.pl --detach /var/sf/updates/

    Esempio:

    root@FMC:/var/sf/updates# install_update.pl --detach /var/sf/updates/Cisco_VDB_Fingerprint_Database-4.5.0-394.sh.REL.tar
ARGV[0] = --detach
ARGV[1] = /var/sf/updates/Cisco_VDB_Fingerprint_Database-4.5.0-394.sh.REL.tar
bundle_filepath: /var/sf/updates/Cisco_VDB_Fingerprint_Database-4.5.0-394.sh.REL.tar
install_update.pl begins. bundle_filepath: /var/sf/updates/Cisco_VDB_Fingerprint_Database-4.5.0-394.sh.REL.tar
Makeself GetUpdate Info params FILEPATH : /var/tmp/upgrade-patch/Cisco_VDB_Fingerprint_Database-4.5.0-394.sh at /usr/local/sf/lib/perl/5.24.4/SF/Update/Makeself.pm line 33.
FILEPATH directory name /var/tmp/upgrade-patch at /usr/local/sf/lib/perl/5.24.4/SF/Update/Makeself.pm line 47.
Inside GetInfo FILEPATH :/var/tmp/upgrade-patch/Cisco_VDB_Fingerprint_Database-4.5.0-394.sh at /usr/local/sf/lib/perl/5.24.4/SF/Update/Makeself.pm line 272.
Use of uninitialized value in string ne at /usr/local/sf/lib/perl/5.24.4/SF/Update/Makeself.pm line 125.

    4. Monitorare i log di installazione di vdb nel percorso di directory successivo /var/log/sf/<VDB Package file> e controllare lo stato di avanzamento dell'installazione di VDB dal file status.log.

    root@FMC:/var/log/sf/vdb-4.5.0-394# tail -f status.log
state:running
ui:The install has begun.
ui:[ 0%] Running script pre/000_start.sh...
ui:[ 4%] Running script pre/001_check_required_upgrade.pl...
ui:[ 8%] Running script pre/005_check_low_end.pl...
ui:[12%] Running script pre/010_check_versions.sh...
ui:[15%] Running script pre/011_check_versions.pl...
ui:[19%] Running script pre/020_check_space.sh...
ui:[23%] Running script pre/500_stop_rna.pl...
ui:[27%] Running script pre/999_finish.sh...
ui:[31%] Running script installer/000_start.sh...
ui:[35%] Running script installer/100_install_files.pl...
ui:[38%] Running script installer/200_install_fingerprints.sh...
ui:[42%] Running script installer/300_install_vdb.sh...
ui:[46%] Running script installer/400_install_rdps.pl...
ui:[50%] Running script installer/420_delete_obsolete_ids.pl...
ui:[54%] Running script installer/430_change_dupe_custom_app_names.pl...
ui:[58%] Running script installer/450_resave_detectors.pl...
ui:[62%] Running script installer/480_update_dynamic_config_with_csds.pl...
ui:[65%] Running script installer/525_export_compliance_policies.pl...
ui:[69%] Running script installer/900_update_version.sh...
ui:[73%] Running script installer/901_update_db_version.pl...
ui:[77%] Running script installer/950_reapply_to_sensor.pl...
ui:[81%] Running script installer/975_export_data.pl...
ui:[85%] Running script installer/999_finish.sh...
ui:[88%] Running script post/000_start.sh...
ui:[92%] Running script post/500_start_rna.pl...
ui:[96%] Running script post/999_finish.sh...
ui:[100%] The install completed successfully.
ui:The install has completed.
state:finished

    5. Una volta completata l'installazione di VDB, eseguire una distribuzione dei criteri ai dispositivi gestiti (per eseguire la distribuzione dei criteri, è necessario apportare almeno una modifica alla configurazione).

    6. Dalla CLI di FMC, eseguire il comando show version per confermare la versione VDB in esecuzione.

    > show version
----------------[ FMC ]-----------------
Model                     : Secure Firewall Management Center for VMware (66) Version 7.2.1 (Build 40)
UUID                      : 597fda3e-386e-11ed-95e2-dbc141b3e897
Rules update version      : 2022-09-14-001-vrt
LSP version               : lsp-rel-20220511-1540
VDB version               : 394
----------------------------------------------------

    Processo di rollback VDB per FMC HA

    1. Sospendere la sincronizzazione HA del CCP e quindi eseguire il rollback del VDB su ciascun CCP.

    2. Una volta completato il processo di rollback del VDB per ciascun CCP, riprendere l'HA del CCP.


    - La pagina HA potrebbe comunque mostrare "vdb not in sync" (vdb non sincronizzato) con la mancata corrispondenza della versione VDB. Questo messaggio può essere ignorato.

    3. Se dopo l'esecuzione del processo di rollback del database virtuale per la console centrale di gestione, l'operazione non funziona e l'ultimo aggiornamento del database virtuale viene automaticamente reinstallato, individuare i file del database virtuale più recenti ed eliminarli dalle directory seguenti per entrambi i database:

    /var/sf/updates (.sh file)
/var/cisco/pacakges/ (.tgz file)


    4. Ripetere quindi i passaggi 1 e 2 per eseguire il rollback del VDB per l'HA del CCP.

    Processo di rollback VDB per FDM

    Per eseguire il rollback della versione VDB per un FDM, aprire una richiesta TAC e richiedere assistenza facendo riferimento a questo documento del tecnico Cisco.

    Verifica

    Da CLI FTD 

    In FTD, per controllare la cronologia delle installazioni di VDB, è possibile controllare il seguente contenuto della directory:

    root@firepower:/ngfw/var/cisco/deploy/pkg/var/cisco/packages# ls -al
    total 72912
    drwxr-xr-x 5 root root 130 Sep 1 08:49 .
    drwxr-xr-x 4 root root 34 Aug 16 14:40 ..
    drwxr-xr-x 3 root root 18 Aug 16 14:40 exporter-7.2.4-169
    -rw-r--r-- 1 root root 2371661 Jul 27 15:34 exporter-7.2.4-169.tgz
    drwxr-xr-x 3 root root 21 Aug 16 14:40 vdb-368
    -rw-r--r-- 1 root root 36374219 Jul 27 15:34 vdb-368.tgz
    drwxr-xr-x 3 root root 21 Sep 1 08:49 vdb-369
    -rw-r--r-- 1 root root 35908455 Sep 1 08:48 vdb-369.tgz

    Dalla GUI FMC

    Una volta completata l'operazione di rollback, la versione VDB può essere confermata dal menu principale >FMC dashboard > Informazioni su.

    VDB version

    FMC VDB version

    Infine, dopo il rollback del VDB, è necessaria una distribuzione dei criteri per eseguire il push della nuova configurazione del VDB nei firewall gestiti da FMC.

    security updates

    Limitazioni

    • Il pulsante di ripristino del database virtuale non è disponibile per le versioni di FMC precedenti alla 7.3.
    • Non è consentito eseguire il rollback del VDB a una versione precedente alla 357. Se una versione del VDB precedente alla 357 viene caricata nel FMC, il pulsante di rollback è disattivato.

    VDB version

    • Se la versione VDB è inferiore alla versione VDB di base di FMC, viene visualizzata l'operazione di rollback completata. Tuttavia, la versione VDB visualizzata continua a essere identica a quella visualizzata prima del tentativo di rollback.

    Deployments

    FMC dashboard

    Dalla CLI di FMC è possibile confermare che ciò si è verificato perché la versione di destinazione del rollback è inferiore alla versione di base di FMC. Questa condizione può essere confermata dalla CLI di FMC nel file status.log.

    > expert
    sudo su
    cd /var/log/sf/vdb-4.5.0-<vdb number>/
    cat status.log

    root@firepower:/var/log/sf/vdb-4.5.0-357# cat status.log
    state:running
    ui:The install has begun.
    ui:[ 0%] Running script pre/000_start.sh...
    ui:[ 4%] Running script pre/010_check_versions.sh...
    ui:[ 4%] Non-Fatal error: Non-Fatal error: Cannot rollback to version(357) lower than default VDB 358
    ui:[ 4%] The install completed successfully.
    ui:The install has completed.
    state:finished

    ----------------------------------------------------

    Informazioni correlate

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    1.0
    10-Aug-2023
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Benjamin Cabrera Romero
      Tecnico di consulenza Cisco

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti