- 最終編集日: 、編集者:
JapanTAC_CSC
- はじめに
- 構成情報と アップデートタイム目安
- 事前のバージョン確認
- 最新パッチのリリース状況の確認
- 事前のバックアップ
- 作業前に・・・注意事項と確認事項
- FMCにパッチ適用
- 管理デバイスにパッチ適用
- よくある質問
- パッチやHotfixの適用履歴の確認方法を教えてください
- ある不具合の緊急修正のためHotfix適用後に、パッチを当てた場合、Hotfixはどうなりますか
- 参考情報
はじめに
本ドキュメントでは 日本語 WebUIを用いた、FMC(旧名 FireSIGHT)と、FTDや Firepowerモジュール、旧Firepowerアプライアンス(FP7000/8000)など管理デバイスの パッチ適用手順について説明します。本ドキュメント手順を参考に、Hotfixの適用も可能です。
なお、本ドキュメントは簡易手順となります。 より詳細な情報は 各バージョンのリリースノートを確認してください。
Note:
Firepower Systemでは、利用バージョンの最新パッチ適用を お願いしております。 安定性を保ち、最新の機能拡張と セキュリティ修正を利用して頂くためです。
そのため、パッチの定期的な適用を考慮した、事前の設計と運用を頂けますよう、お願いいたします。
Note:
バージョン 7.x のアップグレード手順は、以下 YouTubeに動画を公開しているため、合わせて参照ください。
https://youtu.be/Lq33Apxlq9w
構成情報と アップデートタイム目安
本ドキュメントは、以下構成での、Firepower System Release Notes, Version 6.0.0.1 の情報を元に 確認、作成しております。
- Firepower Management Center for VMWare 6.0.0 (build 1005) on ESXi 5.5
- ASA5515 9.6(1) with FirePOWER Software Module 6.0.0 (build 1005)
ASA5515のASA softwareの Modular Policy Framework(MPF) 設定は以下です。 "sfr fail-open" キーワードを指定することで、インラインで動作し、仮にFirePOWERモジュールが使用できない場合の、全てのトラフィックを通過させます。 つまり、モジュールのメンテナンス時や問題発生時に、実通信影響を少なくすることができます。
class-map ANY
match any
!
policy-map global_policy
class ANY
sfr fail-open
!
service-policy global_policy global
本ドキュメント構成でアップデート時の、各時間や通信影響の試験結果は以下です。 参考情報として利用ください。
| FMC アップデート 6.0.0 → 6.0.0.1 |
FirePOWER Module アップデート 6.0.0 → 6.0.0.1 |
|
| アップデート 必要時間 * | 約30分 | 約26分 |
| FMC ダウン回数と ダウン時間 |
アップデート終盤で 1回 (数分) ** |
無し |
| FirePOWERダウン回数と ダウン時間 |
無し | アップデートし数分後 1回 (約23分) *** |
| ASA通過通信への影響 | 無し **** | 数秒内 **** (fail-open設定のため) |
* ご利用構成と機器性能により時間は変動します
** FMCはアップデート終盤で自動再起動が1回発生
*** FirePOWER Moduleはアップデート終盤で 自動再起動が1回発生
**** アップデート後に ポリシーの再適用が必要です。 ポリシー再適用時の、短時間の通信影響に気を付けてください
冗長構成でASAを利用している場合、サービスモジュールはデフォルトで監視対象となります。 サービスモジュールのダウンによるFailoverを抑えたい場合、事前に"no monitor-interface service-module"コマンドを有効化してください。
ciscoasa/pri/act(config)# no monitor-interface service-module
Note:
管理デバイスに FTDを利用している場合、上記コマンドの利用はできませんが、FTDのバージョンが 6.2.3以降の場合、FTDのアップデート時は preserve connection機能が自動動作し、既存コネクションと その通信は保護されます。
事前のバージョン確認
ヘルプ > バージョン情報 より確認します。
最新パッチのリリース状況の確認
Download Softwareより対象機器を選択し、各バージョンのパッチリリース状況を確認できます。
http://www.cisco.com/cisco/web/support/JP/loc/download/index.html
事前のバックアップ
アップデート前のバックアップの実施を推奨します。 システム > ツール > バックアップまたは復元 より可能です。 取得したバックアップファイルは外部に移動・保管してください。
バックアップ手順については、以下も参考にしてください。
FireSight/Firepower backup 方法
https://supportforums.cisco.com/ja/document/12421346
作業前に・・・注意事項と確認事項
- アップデート先バージョンのリリースノートを確認してください。 リリースノートで以下の重要な情報を確認できます
- 注意事項
- 互換性情報
- アップデート時に必要なディスク容量と目安時間
- アップデート方法
- アンインストール方法 など
- 本ドキュメント手順では、インターネット経由でのパッチ自動ダウンロードを行います。 手動アップロードを行いたい場合は、ユーザガイドを参照してください
- FMCバージョンは、管理デバイス(Firepower Moduleや FTDなど)のバージョンと同じか、もしくは より新しい必要があります。 そのため、まずFMCからのアップデートを行います。 アップデートの順番について詳しくはユーザガイドを参照してください
- 管理デバイス(FirePOWER Moduleや FTDなど)をインラインで利用時、管理デバイスのアップデートや ポリシー再展開時に通信影響があります。 ポリシー再展開時の影響については、ユーザーガイドを参照してください。 インラインで利用時は特に、メンテナンス時間、もしくは 通信影響の少ない時間帯での アップデートと 再適用の実施を 強くお勧めします
- アップデートに必要な時間は、ご利用環境と、対象機器の処理能力により変動します
- アップデート中はデータベースの整合性チェックなども行うため、環境によっては、アップデート時間が伸びる事があります。 環境によっては 複数回の自動再起動が発生することがあります。 そのため、十分なアップデート作業時間を 事前に確保してください。 クリティカルな環境の場合、同型機での事前検証を 強くお勧めします
- アップデート対象機が、Health Policyで Disk容量不足などのアラートが出ておらず、システム上 健全であることを確認してください
- (バージョン 6.1以降 利用時) Readiness Check機能を利用することで、アップデート前に、対象機状態が問題ないかの確認が可能です。 詳しくは、Firepower: Readiness Check 利用の おすすめ (version 6.1以降) を参照してください
- アップデート中は、その完了まで、手動での再起動やシャットダウン操作は しないでください。 これら処理は システムが自動で判断し、行います。 何等か理由でアップデート中に誤って電源をダウンさせた場合、システムソフトウェアの破損の原因となり、正常に起動しない場合や動作不安定化した場合の復旧には、リイメージが必要になります
FMCにパッチ適用
1. パッチの自動ダウンロードを行う場合、システム > アップデート > 製品アップデートタブより、以下画面の"アップデート"ボタンをクリック。 自動的に最新パッチがダウンロードされる。 ファイルサイズが大きいため、時間に余裕をもって、事前にダウンロードが推奨
パッチの手動アップロードを行う場合、以下画面の"アップデートのアップロード"ボタンをクリックし、手動で対象ファイルをアップロードすること (例えば、アップグレードファイルの適用には、手動アップロードが必要)
仮に自動ダウンロードが失敗する場合は、以下を参照しFMCの外部疎通性を確認するか、代わりにファイルの手動アップロードを行うこと
FireSIGHT Management Center の自動ダウンロード アップデート失敗
http://www.cisco.com/cisco/web/support/JP/112/1128/1128414_118791-technote-firesight-00.html
2. 以下はパッチダウンロード完了後の画面。 Download Softwareの最新パッチバージョンと同一である事を確認
Sourcefire Vulnerability And Fingerprint Database Updates - 脆弱性データベース更新用
Sourcefire 3D Defense Center S3 Patch - FMC用
Cisco Network Sensor Patch - FirePOWER デバイス用
3. アップデート前に、以下を最終確認
- システム > 動作状況 > モニター より、各デバイスの動作状況が問題ないこと
- 展開ボタンをクリックし、未適用のポリシーがないこと
- (Version 6.1以降の場合) Readiness Checkを実施し、問題が無いこと
- 画面上部のシステムステータスアイコンの タスクタブより、現在実行中のタスクがないこと (以下画面)
4. システム > アップデート > 製品アップデートタブより、FMC用パッチの インストールアイコンをクリック
5. 適用対象のFMCをチェックし、インストールボタンをクリック
6. 以下画面に戻るので、メッセージセンタータスクタブ のリンクをクリック
7. 進捗状況が以下確認できるので、しばらく待つこと。 途中で再起動が発生する。 本例の場合、アップデート実行し 27分後にFMCの再起動が開始
8. ブラウザが以下画面に自動で切り替わるので、数分 待った後、ログイン
9. ヘルプ > バージョン情報より、現在のバージョンが正しい事を確認
合わせ、以下の確認と、必要に応じて intrusion ruleや VDBを最新に更新
- システム > 動作状況 > モニター より、各デバイスの動作状況が問題ないこと
- (オプション) 必要に応じて、ユーザガイドを参照して intrusion rule (侵入ルール) update を手動で実施
- (オプション) 必要に応じて、ユーザガイドを参照して VDB (脆弱性情報データベース) update を実施
10. アップデート後、設定の再展開が必要のため、 画面上部の 展開ボタンをクリック、全デバイスにポリシーの再適用を行う。 なお、再展開は、FirePOWER Moduleの通信処理に影響を与えるため、特にインラインで利用時は タイミングを調整のうえ実施すること
11. (6.0.0.1にアップデート後の場合のみ) FMCに Hot Fixの適用が必要のため、以下の手順を参考に実施。 本例の場合、Hot Fix 適用に要した時間は 約20分、自動再起動は発生しない。
11.1. Download Softwareより 6.0.0.1 Hot Fix をダウンロード
(ファイル名: Sourcefire_3D_Defense_Center_S3_Hotfix_K-6.0.0.2-3.sh)
11.2. システム > アップデート > 製品アップデート タブの "アップデートのアップロード"ボタンをクリック。 ダウンロードしたHot Fixファイルをアップロード
11.3. 以下画面に遷移するので、Hot Fixのインストールボタンをクリックし、FMCを選択、適用
管理デバイスにパッチ適用
1. アップデート前に、以下を最終確認
- システム > 動作状況 > モニター より、各デバイスの動作状況が問題ないこと
- 展開ボタンをクリックし、未適用のポリシーがないこと
- 画面上部のシステムステータスアイコンの タスクタブより、現在実行中のタスクがないこと
- (Version 6.1以降の場合) Readiness Checkを実施し、問題が無いこと
- モジュールのアップデートは、モジュールの長時間のダウンを伴うため、特にインラインでモジュールを利用時は、メンテナンスタイム、もしくは 通信影響の少ない時間帯に実施すること (通信影響有無と影響時間は、ご利用のASA設定と環境に左右されます)
2. システム > アップデート > 製品アップデートタブより、FirePOWER Module用パッチの インストールアイコンをクリック
3. 適用対象の FirePOWER Moduleを選択し、インストールボタンをクリック
4. FMCのアップデート時と同様の手順で、タスクタブの進捗状況を確認
なお、アップデート開始し数分後、以下の ASAログメッセージと共に、FirePOWER Moduleがダウンする
Mar 29 2016 19:58:01: %ASA-1-323006: Module sfr experienced a data channel communication failure, data channel is DOWN.
Mar 29 2016 19:58:02: %ASA-1-323006: Module sfr experienced a data channel communication failure, data channel is DOWN.
Mar 29 2016 19:58:02: %ASA-3-323001: Module sfr experienced a control channel communication failure.
Mar 29 2016 19:58:02: %ASA-1-323006: Module sfr experienced a data channel communication failure, data channel is DOWN.
5. FirePOWER Moduleのパッチ適用が完了すると、タスクが以下状態に遷移する
ASAのログメッセージで、FirePOWER Moduleのアップを確認できる
Mar 29 2016 20:21:25: %ASA-1-323006: Module sfr experienced a data channel communication failure, data channel is DOWN.
Mar 29 2016 20:21:25: %ASA-1-505015: Module sfr, application up "ASA FirePOWER", version "6.0.0.1-26" Normal Operation
Mar 29 2016 20:21:25: %ASA-1-505011: Module sfr data channel communication is UP.
Mar 29 2016 20:21:25: %ASA-1-505011: Module sfr data channel communication is UP.
6. ASAコンソールで "show module sfr detail"コマンドを実行し、バージョンが正しい事を確認
ciscoasa/pri/act# show module sfr detail
Getting details from the Service Module, please wait...
Card Type: FirePOWER Services Software Module
Model: ASA5515
Hardware version: N/A
Serial Number: FCH174xxxxx
Firmware version: N/A
Software version: 6.0.0.1-26
MAC Address Range: 24e9.b392.71a0 to 24e9.b392.71a0
App. name: ASA FirePOWER
App. Status: Up
App. Status Desc: Normal Operation
App. version: 6.0.0.1-26
Data Plane Status: Up
Console session: Ready
Status: Up
DC addr: xx.xx.xx.xx
Mgmt IP addr: xx.xx.xx.xx
Mgmt Network mask: xx.xx.xx.xx
Mgmt Gateway: xx.xx.xx.xx
Mgmt web ports: 443
Mgmt TLS enabled: true
7. FMCで デバイス > デバイス管理に移動し、対象のFirePOWER Moduleのバージョンが正しいことを確認
8. システム > 動作状況 > モニターより、対象デバイスで問題が起きてないことを確認
9. アップデート後、設定の再展開が必要のため、 画面上部の 展開ボタンをクリック、全デバイスにポリシーの再適用を行う。 なお、再展開は、FirePOWER Moduleの通信処理に影響を与えるため、特にインラインで利用時は タイミングを調整のうえ実施すること
よくある質問
パッチやHotfixの適用履歴の確認方法を教えてください
Expertモードにログインし、"cat /etc/sf/patch_history"コマンドの実行で確認可能です。例えば以下例の場合、6.4.0にアップグレード後に、6.4.0.7のパッチを適用していることがわかります。
> expert
Terminal size: 153x57
**************************************************************
NOTICE - Shell access will be deprecated in future releases
and will be replaced with a separate expert mode CLI.
**************************************************************
admin@firepower:/opt/cisco/csp/applications$ cat /etc/sf/patch_history
6.4.0-102
6.4.0.7-53
admin@firepower:/opt/cisco/csp/applications$
Hotfixの適用確認は、"cat /etc/sf/patch_history"コマンドの実行が必要です。
より詳しくは、以下ドキュメントを参照してください。
FMC FTD 6.x:パッチインストール履歴の確認方法
https://community.cisco.com/t5/-/-/ta-p/3166723
ある不具合の緊急修正のためHotfix適用後に、パッチを当てた場合、Hotfixはどうなりますか
同じ修正を含むパッチを適用した場合、過去適用したHotfixの効果は失われます。そのため、Hotfixの適用が急ぎ必要でない場合は、その修正を含むパッチのリリースを待ってから、パッチのアップデートで不具合修正を検討することも可能です。
参考情報
Firepower: Readiness Check 利用の おすすめ (version 6.1以降)
- バージョン 6.1以降から利用可能、システムアップデートが問題無く可能かの事前チェック機能
https://supportforums.cisco.com/ja/document/13312866
Types of Update Files That Might Be Installed on a FireSIGHT System
- アップデートに利用するファイル情報
http://www.cisco.com/c/en/us/support/docs/security/firesight-management-center/118490-technote-firesight-00.html
FirePOWER: Scheduling機能の活用例 (URL DBや VDBの自動更新 等)
https://supportforums.cisco.com/ja/document/13044511
FireSIGHT: WebUIの日本語化の方法について
https://supportforums.cisco.com/ja/document/12526866
Cisco Firepower Management Center Release Notes
http://www.cisco.com/c/en/us/support/security/defense-center/products-release-notes-list.html
Cisco ASA with FirePOWER Services Configuration Guides
http://www.cisco.com/c/en/us/support/security/asa-firepower-services/products-installation-and-configuration-guides-list.html
Firepower System: FTD利用時の設定例 (FMC管理 or FDM管理)
https://community.cisco.com/t5/-/-/ta-p/3953191
Firepower System and FTDトラブルシューティング
https://community.cisco.com/t5/-/-/ta-p/3161733
検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう
シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします
