Introduzione
In questo documento viene descritto il processo di rollback del database delle vulnerabilità (VDB) per il Centro gestione firewall protetto (FMC) e per Gestione dispositivi firewall protetto (FDM).
Prerequisiti
Requisiti
Nessun requisito specifico previsto per questo documento.
Componenti usati
Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:
- Cisco Secure Firewall Management Center versione 7.3 e VDB 361+
- Cisco Secure Firewall Management Center versione 7.2.1 e VDB 343+
- Cisco Secure Firewall Device Manager versione 7.0.6 e VDB 395+
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Configurazione
Configurazioni iniziali
Configurazione iniziale di FMC
Dall'interfaccia utente di FMC, è possibile verificare la versione VDB effettiva in esecuzione passando alla schedaMenu .
Dalla CLI di FMC, è possibile confermare la versione VDB effettiva in esecuzione con il comando show version successivo:
> show version
-------------------[ firepower ]--------------------
Model : Secure Firewall Management Center for VMware (66) Version 7.3.0 (Build 69)
UUID : e8f4b5de-4da1-11ed-b2ce-4637a3ef82f7
Rules update version : 2023-07-12-002-vrt
LSP version : lsp-rel-20230712-1621
VDB version : 361
----------------------------------------------------
Configurazione iniziale per FDM
Dalla GUI di FDM, è possibile confermare la versione VDB effettiva in esecuzione andando al dashboard di monitoraggio, come indicato di seguito:
Dalla CLI di FDM, è possibile confermare la versione effettiva di VDB in esecuzione con il comando successivo 'cat /etc/sf/.versiondb/vdb.conf':
root@vFTD-2:/ngfw/var/cisco/deploy/pkg/var/cisco/packages# cat /etc/sf/.versiondb/vdb.conf
CURRENT_VERSION=4.5.0
CURRENT_BUILD=397
CURRENT_APPID_VER=138
CURRENT_NAVL_VER=158
Processo di rollback VDB per FMC v7.3+
Di seguito viene riportata la procedura per eseguire il rollback della versione VDB per un FMC v7.3+. Nell'esempio successivo viene eseguito il rollback da VDB 361 a VDB 359.
1. Se il file VDB su cui eseguire il rollback non è più archiviato nel FMC, sarà necessario caricarlo nel FMC. A tale scopo, passare a Sistema ()
4. Quindi, selezionare la casella di controllo FMC e fare clic su Installa.
5. Viene visualizzato un messaggio di avvertenza per informare l'utente della potenziale interruzione del traffico nel caso in cui vengano distribuite modifiche ai dispositivi gestiti dopo il rollback del VDB.
Processo di rollback di VDB per FMC versione 7.2.x e precedenti
Per eseguire il rollback della versione VDB per un FMC v7.2.x e versioni precedenti, eseguire le operazioni riportate di seguito.
1. SSH nella CLI del CMC.
2. Passare alla modalità Expert e alla directory principale e impostare la variabile di rollback su '1', come indicato di seguito:
>expert
$sudo su
#export ROLLBACK_VDB=1
3. Verificare che il pacchetto VDB a cui si intende eseguire il rollback si trovi nella directory /var/sf/updates successiva del FMC, nel caso in cui il file VDB non si trovi in questo percorso, quindi caricare il file VDB richiesto nel FMC.
4. Procedere quindi con l'installazione di rollback VDB immettendo il comando seguente:
install_update.pl --detach /var/sf/updates/
Esempio:
root@FMC:/var/sf/updates# install_update.pl --detach /var/sf/updates/Cisco_VDB_Fingerprint_Database-4.5.0-394.sh.REL.tar
ARGV[0] = --detach
ARGV[1] = /var/sf/updates/Cisco_VDB_Fingerprint_Database-4.5.0-394.sh.REL.tar
bundle_filepath: /var/sf/updates/Cisco_VDB_Fingerprint_Database-4.5.0-394.sh.REL.tar
install_update.pl begins. bundle_filepath: /var/sf/updates/Cisco_VDB_Fingerprint_Database-4.5.0-394.sh.REL.tar
Makeself GetUpdate Info params FILEPATH : /var/tmp/upgrade-patch/Cisco_VDB_Fingerprint_Database-4.5.0-394.sh at /usr/local/sf/lib/perl/5.24.4/SF/Update/Makeself.pm line 33.
FILEPATH directory name /var/tmp/upgrade-patch at /usr/local/sf/lib/perl/5.24.4/SF/Update/Makeself.pm line 47.
Inside GetInfo FILEPATH :/var/tmp/upgrade-patch/Cisco_VDB_Fingerprint_Database-4.5.0-394.sh at /usr/local/sf/lib/perl/5.24.4/SF/Update/Makeself.pm line 272.
Use of uninitialized value in string ne at /usr/local/sf/lib/perl/5.24.4/SF/Update/Makeself.pm line 125.
4. Monitorare i log di installazione di vdb nel percorso di directory successivo /var/log/sf/<VDB Package file> e controllare lo stato di avanzamento dell'installazione di VDB dal file status.log.
root@FMC:/var/log/sf/vdb-4.5.0-394# tail -f status.log
state:running
ui:The install has begun.
ui:[ 0%] Running script pre/000_start.sh...
ui:[ 4%] Running script pre/001_check_required_upgrade.pl...
ui:[ 8%] Running script pre/005_check_low_end.pl...
ui:[12%] Running script pre/010_check_versions.sh...
ui:[15%] Running script pre/011_check_versions.pl...
ui:[19%] Running script pre/020_check_space.sh...
ui:[23%] Running script pre/500_stop_rna.pl...
ui:[27%] Running script pre/999_finish.sh...
ui:[31%] Running script installer/000_start.sh...
ui:[35%] Running script installer/100_install_files.pl...
ui:[38%] Running script installer/200_install_fingerprints.sh...
ui:[42%] Running script installer/300_install_vdb.sh...
ui:[46%] Running script installer/400_install_rdps.pl...
ui:[50%] Running script installer/420_delete_obsolete_ids.pl...
ui:[54%] Running script installer/430_change_dupe_custom_app_names.pl...
ui:[58%] Running script installer/450_resave_detectors.pl...
ui:[62%] Running script installer/480_update_dynamic_config_with_csds.pl...
ui:[65%] Running script installer/525_export_compliance_policies.pl...
ui:[69%] Running script installer/900_update_version.sh...
ui:[73%] Running script installer/901_update_db_version.pl...
ui:[77%] Running script installer/950_reapply_to_sensor.pl...
ui:[81%] Running script installer/975_export_data.pl...
ui:[85%] Running script installer/999_finish.sh...
ui:[88%] Running script post/000_start.sh...
ui:[92%] Running script post/500_start_rna.pl...
ui:[96%] Running script post/999_finish.sh...
ui:[100%] The install completed successfully.
ui:The install has completed.
state:finished
5. Una volta completata l'installazione di VDB, eseguire una distribuzione dei criteri ai dispositivi gestiti (per eseguire la distribuzione dei criteri, è necessario apportare almeno una modifica alla configurazione).
6. Dalla CLI di FMC, eseguire il comando show version per confermare la versione VDB in esecuzione.
> show version
----------------[ FMC ]-----------------
Model : Secure Firewall Management Center for VMware (66) Version 7.2.1 (Build 40)
UUID : 597fda3e-386e-11ed-95e2-dbc141b3e897
Rules update version : 2022-09-14-001-vrt
LSP version : lsp-rel-20220511-1540
VDB version : 394
----------------------------------------------------
Processo di rollback VDB per FMC HA
1. Sospendere la sincronizzazione HA del CCP e quindi eseguire il rollback del VDB su ciascun CCP.
2. Una volta completato il processo di rollback del VDB per ciascun CCP, riprendere l'HA del CCP.
- La pagina HA potrebbe comunque mostrare "vdb not in sync" (vdb non sincronizzato) con la mancata corrispondenza della versione VDB. Questo messaggio può essere ignorato.
3. Se dopo l'esecuzione del processo di rollback del database virtuale per la console centrale di gestione, l'operazione non funziona e l'ultimo aggiornamento del database virtuale viene automaticamente reinstallato, individuare i file del database virtuale più recenti ed eliminarli dalle directory seguenti per entrambi i database:
/var/sf/updates (.sh file)
/var/cisco/pacakges/ (.tgz file)
4. Ripetere quindi i passaggi 1 e 2 per eseguire il rollback del VDB per l'HA del CCP.
Processo di rollback VDB per FDM
Per eseguire il rollback della versione VDB per un FDM, aprire una richiesta TAC e richiedere assistenza facendo riferimento a questo documento del tecnico Cisco.
Verifica
Da CLI FTD
In FTD, per controllare la cronologia delle installazioni di VDB, è possibile controllare il seguente contenuto della directory:
root@firepower:/ngfw/var/cisco/deploy/pkg/var/cisco/packages# ls -al
total 72912
drwxr-xr-x 5 root root 130 Sep 1 08:49 .
drwxr-xr-x 4 root root 34 Aug 16 14:40 ..
drwxr-xr-x 3 root root 18 Aug 16 14:40 exporter-7.2.4-169
-rw-r--r-- 1 root root 2371661 Jul 27 15:34 exporter-7.2.4-169.tgz
drwxr-xr-x 3 root root 21 Aug 16 14:40 vdb-368
-rw-r--r-- 1 root root 36374219 Jul 27 15:34 vdb-368.tgz
drwxr-xr-x 3 root root 21 Sep 1 08:49 vdb-369
-rw-r--r-- 1 root root 35908455 Sep 1 08:48 vdb-369.tgz
Dalla GUI FMC
Una volta completata l'operazione di rollback, la versione VDB può essere confermata dal menu principale >
Infine, dopo il rollback del VDB, è necessaria una distribuzione dei criteri per eseguire il push della nuova configurazione del VDB nei firewall gestiti da FMC.
Limitazioni
- Il pulsante di ripristino del database virtuale non è disponibile per le versioni di FMC precedenti alla 7.3.
- Non è consentito eseguire il rollback del VDB a una versione precedente alla 357. Se una versione del VDB precedente alla 357 viene caricata nel FMC, il pulsante di rollback è disattivato.
- Se la versione VDB è inferiore alla versione VDB di base di FMC, viene visualizzata l'operazione di rollback completata. Tuttavia, la versione VDB visualizzata continua a essere identica a quella visualizzata prima del tentativo di rollback.
Dalla CLI di FMC è possibile confermare che ciò si è verificato perché la versione di destinazione del rollback è inferiore alla versione di base di FMC. Questa condizione può essere confermata dalla CLI di FMC nel file status.log.
> expert
sudo su
cd /var/log/sf/vdb-4.5.0-<vdb number>/
cat status.log
root@firepower:/var/log/sf/vdb-4.5.0-357# cat status.log
state:running
ui:The install has begun.
ui:[ 0%] Running script pre/000_start.sh...
ui:[ 4%] Running script pre/010_check_versions.sh...
ui:[ 4%] Non-Fatal error: Non-Fatal error: Cannot rollback to version(357) lower than default VDB 358
ui:[ 4%] The install completed successfully.
ui:The install has completed.
state:finished
----------------------------------------------------
Informazioni correlate