引用Cisco官方的公告:
在Internet密钥交换(IKE)1版本的漏洞(V1)和IKE协议版本2(v2)Cisco ASA软件代码可能允许未经身份验证的远程攻击者造成的影响重装系统或远程执行代码。
该漏洞是由于受影响的代码区缓冲区溢出。攻击者可以通过发送特制的UDP数据包来利用此漏洞影响的系统。一个漏洞可能允许攻击者执行任意代码,获得系统的完全控制或导致重装系统的影响。
注意:只有流量定向到受影响的系统可以用来利用此漏洞。这个漏洞影响配置防火墙模式只在单个或多个上下文模式系统。此漏洞可以被触发的IPv4和IPv6流量。
思科发布了软件更新,解决这个漏洞。
受影响的Cisco ASA软件对以下产品的运行可能会受此漏洞的影响:
Cisco ASA5500系列自适应安全设备
Cisco ASA5500-X系列下一代防火墙
Cisco ASA服务模块的Cisco Catalyst 6500系列交换机和Cisco 7600系列路由器
Cisco ASA1000V云防火墙
Cisco自适应安全虚拟设备(ASAV)
思科火力9300 ASA安全模块
思科ISA 3000工业安全设备
所以,在某大型企业的出口防火墙Cisco 5520也需要将IOS进行升级。
升级之前的准备工作(重要,必须要执行)
1、检查防火墙当前运行状态,包括防火墙面板指示灯,防火墙风扇,防火墙CPU、内存运行状态
当然,查看防火墙指示灯,风扇的运行只能是查看现场去查看
查看防火墙CPU、内存运行状态可以使用命令:
CiscoASA#show process cpu-usage CiscoASA#show process memory
2、一定要注意把配置备份好,这个需要使用SecureCRT的记录会话功能,把show running-config中的内容导入到日志文件中
然后再用SecureCRT连接防火墙,输入show running-config,就可以把配置命令保存在本地的日志文件中了,这样也就不怕丢了配置到处抓瞎了。
注意:正常情况下,升级CiscoASA的IOS不会造成配置丢失,即使你从asa847-k8.bin升级到asa912-k8.bin,正常也都是命令自动会转换成当前version支持的命令。但不排除有命令丢失这种风险。
3、(非常重要)备份CiscoASA的License
在升级的过程中,如果丢失了配置或许还能够补救的话,但如果License弄丢了,那个可不好找,你需要重新和Cisco公司去联系才能找回License。
不过备份CiscoASA的License非常简单,只需要一条命令Show version就可以了
ciscoasa# show version ************************************************************************* ** ** ** *** WARNING *** WARNING *** WARNING *** WARNING *** WARNING *** ** ** ** ** ----> Minimum Memory Requirements NOT Met! <---- ** ** ** ** Installed RAM: 1024 MB ** ** Required RAM: 2048 MB ** ** Upgrade part#: ASA5520-MEM-2GB= ** ** ** ** This ASA does not meet the minimum memory requirements needed to ** ** run this image. Please install additional memory (part number ** ** listed above) or downgrade to ASA version 8.2 or earlier. ** ** Continuing to run without a memory upgrade is unsupported, and ** ** critical system features will not function properly. ** ** ** ************************************************************************* Cisco Adaptive Security Appliance Software Version 9.1(2) Device Manager Version 7.5(1) Compiled on Thu 09-May-13 15:37 by builders System image file is "disk0:/asa912-k8.bin" Config file at boot was "startup-config" <--- More ---> ciscoasa up 1 min 59 secs Hardware: ASA5520, 1024 MB RAM, CPU Pentium 4 Celeron 2000 MHz, Internal ATA Compact Flash, 256MB BIOS Flash M50FW016 @ 0xfff00000, 2048KB Encryption hardware device : Cisco ASA-55xx on-board accelerator (revision 0x0) Boot microcode : CN1000-MC-BOOT-2.00 SSL/IKE microcode : CNLite-MC-SSLm-PLUS-2_05 IPSec microcode : CNlite-MC-IPSECm-MAIN-2.08 Number of accelerators: 1 0: Ext: GigabitEthernet0/0 : address is c84c.7561.88fe, irq 9 1: Ext: GigabitEthernet0/1 : address is c84c.7561.88ff, irq 9 2: Ext: GigabitEthernet0/2 : address is c84c.7561.8900, irq 9 3: Ext: GigabitEthernet0/3 : address is c84c.7561.8901, irq 9 4: Ext: Management0/0 : address is c84c.7561.8902, irq 11 5: Int: Not used : irq 11 6: Int: Not used : irq 5 Licensed features for this platform: Maximum Physical Interfaces : Unlimited perpetual Maximum VLANs : 150 perpetual <--- More ---> Inside Hosts : Unlimited perpetual Failover : Active/Active perpetual Encryption-DES : Enabled perpetual Encryption-3DES-AES : Enabled perpetual Security Contexts : 2 perpetual GTP/GPRS : Disabled perpetual AnyConnect Premium Peers : 2 perpetual AnyConnect Essentials : Disabled perpetual Other VPN Peers : 750 perpetual Total VPN Peers : 750 perpetual Shared License : Disabled perpetual AnyConnect for Mobile : Disabled perpetual AnyConnect for Cisco VPN Phone : Disabled perpetual Advanced Endpoint Assessment : Disabled perpetual UC Phone Proxy Sessions : 2 perpetual Total UC Proxy Sessions : 2 perpetual Botnet Traffic Filter : Disabled perpetual Intercompany Media Engine : Disabled perpetual Cluster : Disabled perpetual This platform has an ASA 5520 VPN Plus license. #这里就是防火墙的序列号与License,具体的号码我没有提供 Serial Number: J*********hV Running Permanent Activation Key: 0x1***** 0x4******2 0x08******a8 0x******0 0x4******97 Configuration register is 0x1 Configuration has not been modified since last system restart.
4、只有把备份工作做好了,才能规避可能出现的风险,然后就可以准备IOS镜像升级了
你需要准备的东西是:
FileZilla Server
防火IOS
注意:如果防火墙的型号是Cisco55xx-X,那你的IOS中必须有“smp”字样
本次升级项目使用的防火墙型号是Cisco5520,原有的IOS版本是asa741-k8.bin,于是,你必须遵照Cisco提供的升级顺序才能完成升级,最好不要跳级,否则容易丢失配置或者License
So the upgrade step should be 7.0->7.1->7.2->8.2->8.4(6)->9.1x
所以,必须升级到8.2,也就是asa821-k8.bin,再升级到8.4(6),也就是asa846.k8.bin,然后再升级到9.1(2),最后才能升级到9.1(3)或更高级,必须这样逐次提升。
升级操作其实比较简单,先用FileZilla搭建FTP,设置用户名test和密码haha
然后拷贝IOS镜像到ASA的闪存中
ciscoasa# copy ftp://test:[email protected]/asa847-k8.bin flash: Address or name of remote host []?10.164.12.3 Source filename []? asa847-k8.bin Destination filename [asa847-k8.bin]?
拷贝完成后,应该能用show flash:看见
ciscoasa# show flash: -#- --length-- -----date/time------ path 10 Mar 12 2011 18:52:14crypto_archive 28515584 Jun 18 2010 05:53:48asa724-k8.bin 34181246 Jun 18 2010 05:55:04securedesktop-asa-3.2.1.103-k9.pkg 4398305 Jun 18 2010 05:55:30sslclient-win-1.1.0.154.pkg 156514852 Mar 12 2011 03:46:24asdm-524.bin 180 Feb 10 2014 09:27:06 log 482289 Feb 23 2016 09:42:027_2_4_0_startup_cfg.sav 490 Feb 10 2014 09:27:24coredumpinfo 5059 Feb 10 2014 09:27:24coredumpinfo/coredump.cfg 511138 Jul 04 2014 14:05:58upgrade_startup_errors_201407041405.log 521138 Feb 23 2016 08:40:18upgrade_startup_errors_201602230840.log 531138 Feb 23 2016 09:42:04upgrade_startup_errors_201602230942.log 54 24809472 Feb 23 2016 11:14:52 asa847-k8.bin 210485248 bytes available (44818432 bytesused)
拷贝完成后,执行升级命令
ciscoasa# conf t ciscoasa(config)# boot systemdisk0:/asa847-k8.bin ciscoasa(config)# no boot systemdisk0:/asa724-k8.bin ciscoasa(config)# exit ciscoasa# reload 可以同时升级ASDM ciscoasa(config)#asdm image filedisk0:/asdm-751.bin
升级操作完成后,必须达到以下标准
执行show vlan查看防火墙上vlan状态
执行show route查看防火墙路由表
使用ping命令检查各个业务连通性
要求:防火墙原有配置、策略不丢失,防火墙路由条目不丢失
2、防火墙当前运行的IOS软件版本符合升级后的软件版本
执行show version查看当前IOS软件版本
ASDM能够正常使用
3、防火墙运行状态正常,CPU、内存使用率未出现明显偏高的情形
执行show process cpu-usage
4、防火墙SSM工作正常
执行show module all查看防火墙模块