Inleiding
In dit document wordt beschreven hoe de Vulnerability Database (VDB) voor het Secure Firewall Management Center (FMC) en voor de Secure Firewall Device Manager (FDM) kan worden teruggedraaid.
Voorwaarden
Vereisten
Er zijn geen specifieke vereisten van toepassing op dit document.
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- Cisco Secure Firewall Management Center versie 7.3 en VDB 361+
- Cisco Secure Firewall Management Center versie 7.2.1 en VDB 343+
- Cisco Secure Firewall Device Manager versie 7.0.6 en VDB 395+
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Configureren
Eerste configuraties
Eerste configuratie voor VCC
Vanuit de FMC GUI kunt u de eigenlijke VDB-versie bevestigen door naar de Main te gaanMenu > .
Vanuit de FMC CLI kunt u bevestigen dat de VDB-versie draait met de volgende opdracht, versie tonen:
> show version
-------------------[ firepower ]--------------------
Model : Secure Firewall Management Center for VMware (66) Version 7.3.0 (Build 69)
UUID : e8f4b5de-4da1-11ed-b2ce-4637a3ef82f7
Rules update version : 2023-07-12-002-vrt
LSP version : lsp-rel-20230712-1621
VDB version : 361
----------------------------------------------------
Eerste configuratie voor FDM
Vanuit de FDM GUI kunt u de eigenlijke VDB-versie die wordt uitgevoerd, als volgt bevestigen door naar het Monitoring-dashboard te gaan:
Vanuit de FDM CLI, kunt u bevestigen dat de eigenlijke VDB-versie draait met de volgende opdracht 'cat /etc/sf/.versiondb/vdb.conf':
root@vFTD-2:/ngfw/var/cisco/deploy/pkg/var/cisco/packages# cat /etc/sf/.versiondb/vdb.conf
CURRENT_VERSION=4.5.0
CURRENT_BUILD=397
CURRENT_APPID_VER=138
CURRENT_NAVL_VER=158
VDB-terugrolproces voor FMC v7.3+
Dit zijn de stappen om de VDB versie voor een FMC v7.3+ terug te draaien, in het volgende voorbeeld zijn we terug te draaien van VDB 361 naar VDB 359.
1. Indien het VDB-bestand om terug te draaien naar, niet langer in het VCC wordt opgeslagen, dan moet u het naar het VCC uploaden, om te navigeren naar Systeem ()
4. Vink vervolgens het VCC aan en klik op Installeren.
5. Er wordt een waarschuwingsmelding weergegeven om u te informeren over mogelijke verkeersverstoringen als u wijzigingen in de beheerde apparaten implementeert na het terugdraaien van de VDB.
VDB-terugrolproces voor FMC v7.2.x en hoger
Dit zijn de stappen om de VDB versie voor een FMC v7.2.x en eerder terug te draaien.
1. SSH naar het VCC CLI.
2. Switch naar expertmodus, root en de terugdraaivariabele op '1', als volgt:
>expert
$sudo su
#export ROLLBACK_VDB=1
3. Controleer of het VDB-pakket waarnaar u wilt terugrollen zich in de volgende FMC-directory /var/sf/updates bevindt, indien het VDB-bestand niet in dit pad staat, en upload het gewenste VDB-bestand naar de FMC.
4. Ga vervolgens verder met de VDB-terugdraaiinstallatie door de volgende opdracht in te voeren:
install_update.pl --detach /var/sf/updates/
Voorbeeld:
root@FMC:/var/sf/updates# install_update.pl --detach /var/sf/updates/Cisco_VDB_Fingerprint_Database-4.5.0-394.sh.REL.tar
ARGV[0] = --detach
ARGV[1] = /var/sf/updates/Cisco_VDB_Fingerprint_Database-4.5.0-394.sh.REL.tar
bundle_filepath: /var/sf/updates/Cisco_VDB_Fingerprint_Database-4.5.0-394.sh.REL.tar
install_update.pl begins. bundle_filepath: /var/sf/updates/Cisco_VDB_Fingerprint_Database-4.5.0-394.sh.REL.tar
Makeself GetUpdate Info params FILEPATH : /var/tmp/upgrade-patch/Cisco_VDB_Fingerprint_Database-4.5.0-394.sh at /usr/local/sf/lib/perl/5.24.4/SF/Update/Makeself.pm line 33.
FILEPATH directory name /var/tmp/upgrade-patch at /usr/local/sf/lib/perl/5.24.4/SF/Update/Makeself.pm line 47.
Inside GetInfo FILEPATH :/var/tmp/upgrade-patch/Cisco_VDB_Fingerprint_Database-4.5.0-394.sh at /usr/local/sf/lib/perl/5.24.4/SF/Update/Makeself.pm line 272.
Use of uninitialized value in string ne at /usr/local/sf/lib/perl/5.24.4/SF/Update/Makeself.pm line 125.
4. Controleer de installatiebestanden van de vdb op de volgende maplocatie /var/log/sf/<VDB Package file> en controleer de voortgang van de installatie van de VDB uit het bestand status.log.
root@FMC:/var/log/sf/vdb-4.5.0-394# tail -f status.log
state:running
ui:The install has begun.
ui:[ 0%] Running script pre/000_start.sh...
ui:[ 4%] Running script pre/001_check_required_upgrade.pl...
ui:[ 8%] Running script pre/005_check_low_end.pl...
ui:[12%] Running script pre/010_check_versions.sh...
ui:[15%] Running script pre/011_check_versions.pl...
ui:[19%] Running script pre/020_check_space.sh...
ui:[23%] Running script pre/500_stop_rna.pl...
ui:[27%] Running script pre/999_finish.sh...
ui:[31%] Running script installer/000_start.sh...
ui:[35%] Running script installer/100_install_files.pl...
ui:[38%] Running script installer/200_install_fingerprints.sh...
ui:[42%] Running script installer/300_install_vdb.sh...
ui:[46%] Running script installer/400_install_rdps.pl...
ui:[50%] Running script installer/420_delete_obsolete_ids.pl...
ui:[54%] Running script installer/430_change_dupe_custom_app_names.pl...
ui:[58%] Running script installer/450_resave_detectors.pl...
ui:[62%] Running script installer/480_update_dynamic_config_with_csds.pl...
ui:[65%] Running script installer/525_export_compliance_policies.pl...
ui:[69%] Running script installer/900_update_version.sh...
ui:[73%] Running script installer/901_update_db_version.pl...
ui:[77%] Running script installer/950_reapply_to_sensor.pl...
ui:[81%] Running script installer/975_export_data.pl...
ui:[85%] Running script installer/999_finish.sh...
ui:[88%] Running script post/000_start.sh...
ui:[92%] Running script post/500_start_rna.pl...
ui:[96%] Running script post/999_finish.sh...
ui:[100%] The install completed successfully.
ui:The install has completed.
state:finished
5. Zodra de VDB-installatie is voltooid, voert u een beleidsplanning uit naar de beheerde apparaten (om de beleidsplanning uit te voeren, moet er een minimale wijziging worden aangebracht in de configuratie).
6. Voer vanuit de FMC CLI de opdracht show version uit om de eigenlijke VDB-versie te bevestigen.
> show version
----------------[ FMC ]-----------------
Model : Secure Firewall Management Center for VMware (66) Version 7.2.1 (Build 40)
UUID : 597fda3e-386e-11ed-95e2-dbc141b3e897
Rules update version : 2022-09-14-001-vrt
LSP version : lsp-rel-20220511-1540
VDB version : 394
----------------------------------------------------
VDB Rollback Process voor FMC HA
1. Pauzeer de FMC HA sync en draai vervolgens de VDB terug op elk FMC.
2. Zodra het VDB-terugdraaiproces voor elk VCC is voltooid, hervat de VDB HA.
- De HA pagina kan nog steeds "vdb niet synchroon" tonen met de VDB versie mismatch, dit bericht kan worden genegeerd.
3. Indien het terugdraaien van de VDB-procedure voor het VMC niet werkt en de laatste VDB-update automatisch opnieuw wordt geïnstalleerd, lokaliseer dan de laatste VDB-bestanden en verwijder ze uit onderstaande directory's voor beide VMC's:
/var/sf/updates (.sh file)
/var/cisco/pacakges/ (.tgz file)
4. Herhaal vervolgens de bovenstaande stappen 1 en 2 om de VDB voor de FMC HA terug te draaien.
VDB-terugrolproces voor FDM
Als u de VDB-versie voor een FDM wilt terugdraaien, gaat u verder met het openen van een Cisco TAC-case en een verzoek om hulp door de TAC engineer naar dit Cisco-document te verwijzen.
Verifiëren
Van FTD CLI
Voor FTD, om de geschiedenis van VDB installaties te controleren, is één manier de volgende folderinhoud te controleren:
root@firepower:/ngfw/var/cisco/deploy/pkg/var/cisco/packages# ls -al
total 72912
drwxr-xr-x 5 root root 130 Sep 1 08:49 .
drwxr-xr-x 4 root root 34 Aug 16 14:40 ..
drwxr-xr-x 3 root root 18 Aug 16 14:40 exporter-7.2.4-169
-rw-r--r-- 1 root root 2371661 Jul 27 15:34 exporter-7.2.4-169.tgz
drwxr-xr-x 3 root root 21 Aug 16 14:40 vdb-368
-rw-r--r-- 1 root root 36374219 Jul 27 15:34 vdb-368.tgz
drwxr-xr-x 3 root root 21 Sep 1 08:49 vdb-369
-rw-r--r-- 1 root root 35908455 Sep 1 08:48 vdb-369.tgz
Van FMC GUI
Als de terugdraaitaak is voltooid, kan de VDB-versie worden bevestigd onder het hoofdmenu >
Tot slot, nadat de VDB is teruggerold, is een beleidsimplementatie vereist om de nieuwe VDB-configuratie naar de door het VMC beheerde Firewalls te duwen.
Beperkingen
- De knop voor terugdraaien van de VDB is niet beschikbaar voor versies van het VMC voorafgaand aan 7.3.
- U mag de VDB niet terugdraaien naar een versie ouder dan 357, als een VDB-versie ouder dan 357 is geüpload naar het VMC, dan is de terugdraaiknop grijs.
- Als de VDB-versie lager is dan de basis VDB-versie van het VMC, wordt de voltooide terugdraaitaak weergegeven, maar de weergegeven VDB-versie blijft hetzelfde als voor de terugdraaipoging.
Vanuit de FMC CLI kunt u bevestigen dat dit is gebeurd omdat de terugdraaidoelversie lager is dan de basisversie van de FMC. Dit kan worden bevestigd op de FMC CLI in het status.log-bestand.
> expert
sudo su
cd /var/log/sf/vdb-4.5.0-<vdb number>/
cat status.log
root@firepower:/var/log/sf/vdb-4.5.0-357# cat status.log
state:running
ui:The install has begun.
ui:[ 0%] Running script pre/000_start.sh...
ui:[ 4%] Running script pre/010_check_versions.sh...
ui:[ 4%] Non-Fatal error: Non-Fatal error: Cannot rollback to version(357) lower than default VDB 358
ui:[ 4%] The install completed successfully.
ui:The install has completed.
state:finished
----------------------------------------------------
Gerelateerde informatie