소개
이 문서에서는 FMC(Secure Firewall Management Center) 및 FDM(Secure Firewall Device Manager)용 VDB(Vulnerability Database)를 롤백하는 프로세스에 대해 설명합니다.
사전 요구 사항
요구 사항
이 문서에 대한 특정 요건이 없습니다.
사용되는 구성 요소
이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
- Cisco Secure Firewall Management Center 버전 7.3 및 VDB 361+
- Cisco Secure Firewall Management Center 버전 7.2.1 및 VDB 343+
- Cisco Secure Firewall Device Manager 버전 7.0.6 및 VDB 395+
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.
구성
초기 컨피그레이션
FMC의 초기 컨피그레이션
FMC GUI에서 Main(기본)으로 이동하여 실제 실행 중인 VDB 버전을 확인할 수 있습니다메뉴 > .
FMC CLI에서 다음 명령인 show version으로 실행 중인 실제 VDB 버전을 확인할 수 있습니다.
> show version
-------------------[ firepower ]--------------------
Model : Secure Firewall Management Center for VMware (66) Version 7.3.0 (Build 69)
UUID : e8f4b5de-4da1-11ed-b2ce-4637a3ef82f7
Rules update version : 2023-07-12-002-vrt
LSP version : lsp-rel-20230712-1621
VDB version : 361
----------------------------------------------------
FDM의 초기 컨피그레이션
FDM GUI에서 다음과 같이 모니터링 대시보드로 이동하여 실행 중인 실제 VDB 버전을 확인할 수 있습니다.
FDM CLI에서 다음 명령 'cat /etc/sf/.versiondb/vdb.conf'으로 실행 중인 실제 VDB 버전을 확인할 수 있습니다.
root@vFTD-2:/ngfw/var/cisco/deploy/pkg/var/cisco/packages# cat /etc/sf/.versiondb/vdb.conf
CURRENT_VERSION=4.5.0
CURRENT_BUILD=397
CURRENT_APPID_VER=138
CURRENT_NAVL_VER=158
FMC v7.3+용 VDB 롤백 프로세스
다음은 FMC v7.3+에 대한 VDB 버전을 롤백하기 위해 수행해야 할 단계입니다. 다음 예에서는 VDB 361에서 VDB 359로 롤백합니다.
1. 롤백할 VDB 파일이 더 이상 FMC에 저장되지 않은 경우 FMC에 업로드해야 합니다. 이렇게 하려면 시스템()
4. 그런 다음 FMC 확인란을 선택하고 Install(설치)을 클릭합니다.
5. VDB 롤백 후 관리되는 디바이스에 변경 사항을 구축할 경우 잠재적인 트래픽 중단에 대해 알리는 경고 프롬프트가 표시됩니다.
FMC v7.2.x 이하 버전의 VDB 롤백 프로세스
다음은 FMC v7.2.x 및 이전 버전의 VDB 버전을 롤백하기 위해 수행해야 할 단계입니다.
1. FMC CLI에 대한 SSH.
2. expert 모드 및 root로 전환하고 다음과 같이 롤백 변수를 '1'로 설정합니다.
>expert
$sudo su
#export ROLLBACK_VDB=1
3. 롤백하려는 VDB 패키지가 다음 FMC 디렉토리/var/sf/updates에 있는지 검증합니다. VDB 파일이 이 경로에 없는 경우 필요한 VDB 파일을 FMC에 업로드합니다.
4. 그런 다음 다음 다음 명령을 입력하여 VDB 롤백 설치를 진행합니다.
install_update.pl --detach /var/sf/updates/
예:
root@FMC:/var/sf/updates# install_update.pl --detach /var/sf/updates/Cisco_VDB_Fingerprint_Database-4.5.0-394.sh.REL.tar
ARGV[0] = --detach
ARGV[1] = /var/sf/updates/Cisco_VDB_Fingerprint_Database-4.5.0-394.sh.REL.tar
bundle_filepath: /var/sf/updates/Cisco_VDB_Fingerprint_Database-4.5.0-394.sh.REL.tar
install_update.pl begins. bundle_filepath: /var/sf/updates/Cisco_VDB_Fingerprint_Database-4.5.0-394.sh.REL.tar
Makeself GetUpdate Info params FILEPATH : /var/tmp/upgrade-patch/Cisco_VDB_Fingerprint_Database-4.5.0-394.sh at /usr/local/sf/lib/perl/5.24.4/SF/Update/Makeself.pm line 33.
FILEPATH directory name /var/tmp/upgrade-patch at /usr/local/sf/lib/perl/5.24.4/SF/Update/Makeself.pm line 47.
Inside GetInfo FILEPATH :/var/tmp/upgrade-patch/Cisco_VDB_Fingerprint_Database-4.5.0-394.sh at /usr/local/sf/lib/perl/5.24.4/SF/Update/Makeself.pm line 272.
Use of uninitialized value in string ne at /usr/local/sf/lib/perl/5.24.4/SF/Update/Makeself.pm line 125.
4. 다음 디렉토리 위치에서 vdb 설치 로그를 모니터링하고 /var/log/sf/<VDB 패키지 파일>에서 status.log 파일에서 VDB 설치 진행률을 확인합니다.
root@FMC:/var/log/sf/vdb-4.5.0-394# tail -f status.log
state:running
ui:The install has begun.
ui:[ 0%] Running script pre/000_start.sh...
ui:[ 4%] Running script pre/001_check_required_upgrade.pl...
ui:[ 8%] Running script pre/005_check_low_end.pl...
ui:[12%] Running script pre/010_check_versions.sh...
ui:[15%] Running script pre/011_check_versions.pl...
ui:[19%] Running script pre/020_check_space.sh...
ui:[23%] Running script pre/500_stop_rna.pl...
ui:[27%] Running script pre/999_finish.sh...
ui:[31%] Running script installer/000_start.sh...
ui:[35%] Running script installer/100_install_files.pl...
ui:[38%] Running script installer/200_install_fingerprints.sh...
ui:[42%] Running script installer/300_install_vdb.sh...
ui:[46%] Running script installer/400_install_rdps.pl...
ui:[50%] Running script installer/420_delete_obsolete_ids.pl...
ui:[54%] Running script installer/430_change_dupe_custom_app_names.pl...
ui:[58%] Running script installer/450_resave_detectors.pl...
ui:[62%] Running script installer/480_update_dynamic_config_with_csds.pl...
ui:[65%] Running script installer/525_export_compliance_policies.pl...
ui:[69%] Running script installer/900_update_version.sh...
ui:[73%] Running script installer/901_update_db_version.pl...
ui:[77%] Running script installer/950_reapply_to_sensor.pl...
ui:[81%] Running script installer/975_export_data.pl...
ui:[85%] Running script installer/999_finish.sh...
ui:[88%] Running script post/000_start.sh...
ui:[92%] Running script post/500_start_rna.pl...
ui:[96%] Running script post/999_finish.sh...
ui:[100%] The install completed successfully.
ui:The install has completed.
state:finished
5. VDB 설치가 완료되면 관리되는 디바이스에 대한 정책 구축을 실행합니다(정책 구축을 실행하려면 컨피그레이션에서 최소한의 변경이 필요합니다).
6. FMC CLI에서 show version 명령을 실행하여 실제 실행 중인 VDB 버전을 확인합니다.
> show version
----------------[ FMC ]-----------------
Model : Secure Firewall Management Center for VMware (66) Version 7.2.1 (Build 40)
UUID : 597fda3e-386e-11ed-95e2-dbc141b3e897
Rules update version : 2022-09-14-001-vrt
LSP version : lsp-rel-20220511-1540
VDB version : 394
----------------------------------------------------
FMC HA에 대한 VDB 롤백 프로세스
1. FMC HA 동기화를 일시 중지한 다음 각 FMC에서 VDB를 롤백합니다.
2. 각 FMC에 대해 VDB 롤백 프로세스가 완료되면 FMC HA를 다시 시작합니다.
- HA 페이지에 여전히 "vdb가 동기화되지 않음"이 표시되고 VDB 버전이 일치하지 않을 수 있습니다. 이 메시지는 무시해도 됩니다.
3. FMC에 대한 롤백 VDB 프로세스를 실행한 후 이 프로세스가 작동하지 않고 최신 VDB 업데이트가 자동으로 다시 설치되는 경우, 최신 VDB 파일을 찾아 두 FMC의 아래 디렉토리에서 삭제합니다.
/var/sf/updates (.sh file)
/var/cisco/pacakges/ (.tgz file)
4. 그런 다음 위의 단계 1과 2를 반복하여 FMC HA에 대한 VDB를 롤백합니다.
FDM에 대한 VDB 롤백 프로세스
FDM에 대한 VDB 버전을 롤백하려면 계속해서 Cisco TAC 케이스를 열고 이 Cisco 문서를 가리키는 TAC 엔지니어의 지원을 요청합니다.
다음을 확인합니다.
FTD CLI에서
FTD에서 VDB 설치 기록을 확인하려면 한 가지 방법으로 다음 디렉토리 내용을 확인합니다.
root@firepower:/ngfw/var/cisco/deploy/pkg/var/cisco/packages# ls -al
total 72912
drwxr-xr-x 5 root root 130 Sep 1 08:49 .
drwxr-xr-x 4 root root 34 Aug 16 14:40 ..
drwxr-xr-x 3 root root 18 Aug 16 14:40 exporter-7.2.4-169
-rw-r--r-- 1 root root 2371661 Jul 27 15:34 exporter-7.2.4-169.tgz
drwxr-xr-x 3 root root 21 Aug 16 14:40 vdb-368
-rw-r--r-- 1 root root 36374219 Jul 27 15:34 vdb-368.tgz
drwxr-xr-x 3 root root 21 Sep 1 08:49 vdb-369
-rw-r--r-- 1 root root 35908455 Sep 1 08:48 vdb-369.tgz
FMC GUI에서
롤백 작업이 완료되면 주 메뉴 >
마지막으로, VDB가 롤백된 후 FMC 관리 방화벽에 새 VDB 컨피그레이션을 푸시하려면 정책 구축이 필요합니다.
제한 사항
- 7.3 이전 버전의 FMC에서는 VDB 롤백 단추를 사용할 수 없습니다.
- 357보다 오래된 VDB 버전이 FMC에 업로드된 경우 VDB를 357보다 오래된 버전으로 롤백할 수 없습니다. 그러면 롤백 버튼이 회색으로 표시됩니다.
- VDB 버전이 FMC의 기본 VDB 버전보다 낮은 경우 완료된 롤백 작업이 표시되지만, 표시된 VDB 버전은 롤백 시도 전과 동일하게 계속 표시됩니다.
FMC CLI에서 롤백 대상 버전이 기본 FMC 버전보다 낮기 때문에 이 문제가 발생했음을 확인할 수 있습니다. FMC CLI의 status.log 파일에서 확인할 수 있습니다.
> expert
sudo su
cd /var/log/sf/vdb-4.5.0-<vdb number>/
cat status.log
root@firepower:/var/log/sf/vdb-4.5.0-357# cat status.log
state:running
ui:The install has begun.
ui:[ 0%] Running script pre/000_start.sh...
ui:[ 4%] Running script pre/010_check_versions.sh...
ui:[ 4%] Non-Fatal error: Non-Fatal error: Cannot rollback to version(357) lower than default VDB 358
ui:[ 4%] The install completed successfully.
ui:The install has completed.
state:finished
----------------------------------------------------
관련 정보