本ドキュメントは、以下の構成での確認結果を元に作成しております。
- Cisco Firepower Management Center 6.2.2
- Cisco Firepower Threat Defense 6.2.2
ただしバージョンアップに伴い、本ドキュメントで取り扱っている挙動が変更される可能性もございますため、あらかじめご了承ください。
なお、Firepower System 6.3以降では、当Shared Objectの影響によるSnort Restartも抑制されるように実装変更されています。
説明
Firepowerシステムにおいて、ポリシーをデプロイする際にSnortの再起動を必要とするケースがいくつかありますが、それらのケースのうちSRUを更新してからデプロイする場合、Shared Object(GID:3)のRuleの追加もしくは変更がある場合にはSnortの再起動が必要となります。
詳細はこちらでご確認ください。
またこの場合、対象のSIDをDisableにしておいたとしても、Shared Object自体はセンサ側へPushされてしまうため、結果としてSnortの再起動が必要となりますので、ご注意ください。
Shared Objectの更新有無確認方法
ログからは[/ngfw/var/log/action_queue.log]に出力される[sru_md5sum]を比較することで、Shared Objectのモジュールが更新されたかどうかが確認できます。
※以下は2018-07-05-002-vrtが適用されている状態から、2018-07-10-001-vrtを適用した場合のログとなります。
Jul 25 09:43:51 firepower policy_apply.pl[22386]: Applied policy information$VAR1 = {
Jul 25 09:43:51 firepower policy_apply.pl[22386]: 'snort_version' => '2.9.11-125',
Jul 25 09:43:51 firepower policy_apply.pl[22386]: 'dc_swversion' => '6.2.2',
Jul 25 09:43:51 firepower policy_apply.pl[22386]: 'sru_md5sum' => '04ec8c5b0c31c2536367fc915d40037c', <<< HEER
Jul 25 09:43:51 firepower policy_apply.pl[22386]: 'snort_pack' => '/var/sf/snort-2.9.11-125/snort-75-2.9.11-125-daq7.tar.bz2'
Jul 25 09:43:51 firepower policy_apply.pl[22386]: };
Jul 25 09:43:51 firepower policy_apply.pl[22386]: Running policy information$VAR1 = {
Jul 25 09:43:51 firepower policy_apply.pl[22386]: 'snort_version' => '2.9.11-125',
Jul 25 09:43:51 firepower policy_apply.pl[22386]: 'dc_swversion' => '6.2.2',
Jul 25 09:43:51 firepower policy_apply.pl[22386]: 'sru_md5sum' => 'e30bfe4f902a602b5c03c4afb1726af7', <<< HERE
Jul 25 09:43:51 firepower policy_apply.pl[22386]: 'snort_pack' => '/var/sf/snort-2.9.11-125/snort-75-2.9.11-125-daq7.tar.bz2'
Jul 25 09:43:51 firepower policy_apply.pl[22386]: };
Jul 25 09:43:51 firepower policy_apply.pl[22386]: Forcing a snort restart since snort version or binary SRU rules have been updated at /ngfw/var/cisco/deploy/sandbox/exporter-pkg/code/SF/NGFW/PolicyApply.pm line 1420.
Jul 25 09:43:51 firepower policy_apply.pl[22386]: ================================================== at /ngfw/var/cisco/deploy/sandbox/exporter-pkg/code/SF/NGFW/PolicyApply.pm line 1436.
Jul 25 09:43:51 firepower policy_apply.pl[22386]: RESTART FLAG SET TO 1 at /ngfw/var/cisco/deploy/sandbox/exporter-pkg/code/SF/NGFW/PolicyApply.pm line 1437.
Jul 25 09:43:51 firepower policy_apply.pl[22386]: ================================================== at /ngfw/var/cisco/deploy/sandbox/exporter-pkg/code/SF/NGFW/PolicyApply.pm line 1438.
Jul 25 09:43:51 firepower policy_apply.pl[22386]: Replace running configuration at /ngfw/var/cisco/deploy/sandbox/exporter-pkg/code/SF/NGFW/PolicyApply.pm line 1445.
また、Deploy前後で[/ngfw/var/sf/detection_engines/UUID/so_rules]配下にあるShared ObjectのHash値を比較することでも、Shared Objectが更新されたかどうかの確認が可能です。
デプロイ前
root@firepower:/ngfw/var/sf/detection_engines/631a0b70-8b32-11e8-a99b-ebc69bc071ad/so_rules# md5sum *
51e187d0f4145df30f54c60843a209d9 browser-ie.so
<snip>
15848800d1ddf2d5a86618a5d02fde75 server-other.so
1efd29d6dc5576af5a65cc29573c39fb server-webapp.so
デプロイ後
root@firepower:/ngfw/var/sf/detection_engines/631a0b70-8b32-11e8-a99b-ebc69bc071ad/so_rules# md5sum *
51e187d0f4145df30f54c60843a209d9 browser-ie.so
<snip>
15848800d1ddf2d5a86618a5d02fde75 server-other.so
0d5ed8e0523a5c326b2f87044705c6e3 server-webapp.so <<<< HERE
参考情報
Firepower System: 通信に影響しうる設定変更の例と確認方法 (snort restart vs reload)
https://community.cisco.com/t5/-/-/ta-p/3163816
Snort® Restart Scenarios
https://www.cisco.com/c/en/us/td/docs/security/firepower/622/configuration/guide/fpmc-config-guide-v622/policy_management.html#concept_33516C5D6B574B6888B1A05F956ABDF9