引用Cisco官方的公告:
在Internet密钥交换(IKE)1版本的漏洞(V1)和IKE协议版本2(v2)Cisco ASA软件代码可能允许未经身份验证的远程***者造成的影响重装系统或远程执行代码。
该漏洞是由于受影响的代码区缓冲区溢出。***者可以通过发送特制的UDP数据包来利用此漏洞影响的系统。一个漏洞可能允许***者执行任意代码,获得系统的完全控制或导致重装系统的影响。
注意:只有流量定向到受影响的系统可以用来利用此漏洞。这个漏洞影响配置防火墙模式只在单个或多个上下文模式系统。此漏洞可以被触发的IPv4和IPv6流量。
思科发布了软件更新,解决这个漏洞。
受影响的Cisco ASA软件对以下产品的运行可能会受此漏洞的影响:
Cisco ASA5500系列自适应安全设备
Cisco ASA5500-X系列下一代防火墙
Cisco ASA服务模块的Cisco Catalyst 6500系列交换机和Cisco 7600系列路由器
Cisco ASA1000V云防火墙
Cisco自适应安全虚拟设备(ASAV)
思科火力9300 ASA安全模块
思科ISA 3000工业安全设备
所以,在某大型企业的出口防火墙Cisco 5520也需要将IOS进行升级。
升级之前的准备工作(重要,必须要执行)
1、检查防火墙当前运行状态,包括防火墙面板指示灯,防火墙风扇,防火墙CPU、内存运行状态
当然,查看防火墙指示灯,风扇的运行只能是查看现场去查看
查看防火墙CPU、内存运行状态可以使用命令:
CiscoASA#show process cpu-usage CiscoASA#show process memory
2、一定要注意把配置备份好,这个需要使用SecureCRT的记录会话功能,把show running-config中的内容导入到日志文件中
然后再用SecureCRT连接防火墙,输入show running-config,就可以把配置命令保存在本地的日志文件中了,这样也就不怕丢了配置到处抓瞎了。
注意:正常情况下,升级CiscoASA的IOS不会造成配置丢失,即使你从asa847-k8.bin升级到asa912-k8.bin,正常也都是命令自动会转换成当前version支持的命令。但不排除有命令丢失这种风险。
3、(非常重要)备份CiscoASA的License
在升级的过程中,如果丢失了配置或许还能够补救的话,但如果License弄丢了,那个可不好找,你需要重新和Cisco公司去联系才能找回License。
不过备份CiscoASA的License非常简单,只需要一条命令Show version就可以了
ciscoasa# show version ************************************************************************* ** ** ** *** WARNING *** WARNING *** WARNING *** WARNING *** WARNING *** ** ** ** ** ----> Minimum Memory Requirements NOT Met! <---- ** ** ** ** Installed RAM: 1024 MB ** ** Required RAM: 2048 MB ** ** Upgrade part#: ASA5520-MEM-2GB= ** ** ** ** This ASA does not meet the minimum memory requirements needed to ** ** run this p_w_picpath. Please install additional memory (part number ** ** listed above) or downgrade to ASA version 8.2 or earlier. ** ** Continuing to run without a memory upgrade is unsupported, and ** ** critical system features will not function properly. ** ** ** ************************************************************************* Cisco Adaptive Security Appliance Software Version 9.1(2) Device Manager Version 7.5(1) Compiled on Thu 09-May-13 15:37 by builders System p_w_picpath file is "disk0:/asa912-k8.bin" Config file at boot was "startup-config" <--- More ---> ciscoasa up 1 min 59 secs Hardware: ASA5520, 1024 MB RAM, CPU Pentium 4 Celeron 2000 MHz, Internal ATA Compact Flash, 256MB BIOS Flash M50FW016 @ 0xfff00000, 2048KB Encryption hardware device : Cisco ASA-55xx on-board accelerator (revision 0x0) Boot microcode : CN1000-MC-BOOT-2.00 SSL/IKE microcode : CNLite-MC-SSLm-PLUS-2_05 IPSec microcode : CNlite-MC-IPSECm-MAIN-2.08 Number of accelerators: 1 0: Ext: GigabitEthernet0/0 : address is c84c.7561.88fe, irq 9 1: Ext: GigabitEthernet0/1 : address is c84c.7561.88ff, irq 9 2: Ext: GigabitEthernet0/2 : address is c84c.7561.8900, irq 9 3: Ext: GigabitEthernet0/3 : address is c84c.7561.8901, irq 9 4: Ext: Management0/0 : address is c84c.7561.8902, irq 11 5: Int: Not used : irq 11 6: Int: Not used : irq 5 Licensed features for this platform: Maximum Physical Interfaces : Unlimited perpetual Maximum VLANs : 150 perpetual <--- More ---> Inside Hosts : Unlimited perpetual Failover : Active/Active perpetual Encryption-DES : Enabled perpetual Encryption-3DES-AES : Enabled perpetual Security Contexts : 2 perpetual GTP/GPRS : Disabled perpetual AnyConnect Premium Peers : 2 perpetual AnyConnect Essentials : Disabled perpetual Other ××× Peers : 750 perpetual Total ××× Peers : 750 perpetual Shared License : Disabled perpetual AnyConnect for Mobile : Disabled perpetual AnyConnect for Cisco ××× Phone : Disabled perpetual Advanced Endpoint Assessment : Disabled perpetual UC Phone Proxy Sessions : 2 perpetual Total UC Proxy Sessions : 2 perpetual Botnet Traffic Filter : Disabled perpetual Intercompany Media Engine : Disabled perpetual Cluster : Disabled perpetual This platform has an ASA 5520 ××× Plus license. #这里就是防火墙的序列号与License,具体的号码我没有提供 Serial Number: J*********hV Running Permanent Activation Key: 0x1***** 0x4******2 0x08******a8 0x******0 0x4******97 Configuration register is 0x1 Configuration has not been modified since last system restart.
4、只有把备份工作做好了,才能规避可能出现的风险,然后就可以准备IOS镜像升级了
你需要准备的东西是:
FileZilla Server
防火IOS
注意:如果防火墙的型号是Cisco55xx-X,那你的IOS中必须有“smp”字样
本次升级项目使用的防火墙型号是Cisco5520,原有的IOS版本是asa741-k8.bin,于是,你必须遵照Cisco提供的升级顺序才能完成升级,最好不要跳级,否则容易丢失配置或者License
So the upgrade step should be 7.0->7.1->7.2->8.2->8.4(6)->9.1x
所以,必须升级到8.2,也就是asa821-k8.bin,再升级到8.4(6),也就是asa846.k8.bin,然后再升级到9.1(2),最后才能升级到9.1(3)或更高级,必须这样逐次提升。
升级操作其实比较简单,先用FileZilla搭建FTP,设置用户名test和密码haha
然后拷贝IOS镜像到ASA的闪存中
ciscoasa# copy ftp://test:[email protected]/asa847-k8.bin flash: Address or name of remote host []?10.164.12.3 Source filename []? asa847-k8.bin Destination filename [asa847-k8.bin]?
拷贝完成后,应该能用show flash:看见
ciscoasa# show flash: -#- --length-- -----date/time------ path 10 Mar 12 2011 18:52:14crypto_archive 28515584 Jun 18 2010 05:53:48asa724-k8.bin 34181246 Jun 18 2010 05:55:04securedesktop-asa-3.2.1.103-k9.pkg 4398305 Jun 18 2010 05:55:30sslclient-win-1.1.0.154.pkg 156514852 Mar 12 2011 03:46:24asdm-524.bin 180 Feb 10 2014 09:27:06 log 482289 Feb 23 2016 09:42:027_2_4_0_startup_cfg.sav 490 Feb 10 2014 09:27:24coredumpinfo 5059 Feb 10 2014 09:27:24coredumpinfo/coredump.cfg 511138 Jul 04 2014 14:05:58upgrade_startup_errors_201407041405.log 521138 Feb 23 2016 08:40:18upgrade_startup_errors_201602230840.log 531138 Feb 23 2016 09:42:04upgrade_startup_errors_201602230942.log 54 24809472 Feb 23 2016 11:14:52 asa847-k8.bin 210485248 bytes available (44818432 bytesused)
拷贝完成后,执行升级命令
ciscoasa# conf t ciscoasa(config)# boot systemdisk0:/asa847-k8.bin ciscoasa(config)# no boot systemdisk0:/asa724-k8.bin ciscoasa(config)# exit ciscoasa# reload 可以同时升级ASDM ciscoasa(config)#asdm p_w_picpath filedisk0:/asdm-751.bin
升级操作完成后,必须达到以下标准
执行show vlan查看防火墙上vlan状态
执行show route查看防火墙路由表
使用ping命令检查各个业务连通性
要求:防火墙原有配置、策略不丢失,防火墙路由条目不丢失
2、防火墙当前运行的IOS软件版本符合升级后的软件版本
执行show version查看当前IOS软件版本
ASDM能够正常使用
3、防火墙运行状态正常,CPU、内存使用率未出现明显偏高的情形
执行show process cpu-usage
4、防火墙SSM工作正常
执行show module all查看防火墙模块