Upgrade ASA IOS 8.x

[jarek]

Posiadam ASA5510 z softem w wersji 8.0.5 oraz rozbudowaną pamięcią do 1GB.

1) Do której wersji IOS'a polecacie zrobić mi upgrade softu - do 8.2 czy 8.3?
2) Czy robiąc upgrade z 8.0.5 do 8.2 lub 8.3 będzie miała miejsce jakaś konwersja configa?
3) Czy taki upgrade przebiega gładko? czy może zdarzają się problemy? - pytam bo ASA jest produkcyjna i większa przerwa nie wchodzi w rachubę

[gryglas]

Posiadam ASA5510 z softem w wersji 8.0.5 oraz rozbudowaną pamięcią do 1GB.

1) Do której wersji IOS'a polecacie zrobić mi upgrade softu - do 8.2 czy 8.3?
2) Czy robiąc upgrade z 8.0.5 do 8.2 lub 8.3 będzie miała miejsce jakaś konwersja configa?
3) Czy taki upgrade przebiega gładko? czy może zdarzają się problemy? - pytam bo ASA jest produkcyjna i większa przerwa nie wchodzi w rachubę

Zasadnicze pytanie ponieważ ASA jest produkcyjna , co jest powodem upgrade'u ?
Znalazłeś bug , asa nie wspiera jakiegoś ficzera lub działa niestabilnie ?
Czy tylko chcesz zaspokoić swoją ciekawość ?

Problemy zawsze mogą się zdarzyć i dobrze mieć plan awaryjny co będzie gdy ..... się spsuje szczególnie przy bardziej skomplikowanych konfiguracjach.

p.s
Jeżeli ASA działa stabilnie i nie ma z nią problemów , a nie potrzebujesz dodatkowych ficzerów został bym przy 8.0.5. To naprawdę stabilna wersja.

[Seba]

Ogolnie zgadzam sie z gryglasem; najwazniejsze jest odpowiedziec na pytanie dlaczego chcemy ten update robic.
Mam klientow z 8.0.x, ktorzy sa zadowoleni i jakos sie nie spiesza do przeskoku na 8.2 czy 8.3.
A jesli juz robisz migracje, to dla 8.0->8.2 konfiguracja nie musi sie konwertowac, bo struktura komend jest dla wiekszosci rzeczy taka sama, najwyzej dochodza nowe rzeczy.
Przy migracji do 8.3 sprawa jest bardziej "skomplikowana", bo czesc rzeczy poprostu jest konfigurowana inaczej, co z jednej strony utrudni migracje, no i oczywiscie wprowadza zamieszanie w zarzadzaniu... Troche wiecej na ten temat w ponizszych dokumentach:

Release Notes for the Cisco ASA 5500 Series, 8.3(x)
Cisco ASA 5500 Migration Guide for Version 8.3

[sopla2]

popieram kolegów - mam na 8.2.2 i działa stabilnie - przetestowałem upgrade do 8.3
zrobiłem konwersje ale był babol - uzytkownicy nie mogli sie logowac z clientem ponizej 5.0.4
wróciłem do 8.2.2 .wyzsze wersje clienta działały

[horac]

cisco ma taka tendencje do poprawiania tego co juz dziala i ludzie zaakceptowali jak np NAT, po co to zmieniac bylo na 8.3.

[miboo]

Panowie z TAC zasugerowali, abym nie robił upgrade do 8.3 jeśli nie muszę, bo przy dłuższej konfiguracji część transformacji z 8.x do 8.3 "może" się nie udać.
Jeśli natomiast kupujesz nową ASA, to oczywiście z 8.3.
"Stare" na produkcji działają z 8.0(4) - bo działają bez problemów od ponad roku
"Nowe" wdrażamy z 8.3(2) - z racji na NAT i globalne ACLki.

[kktm]

Jeśli ficzery spełniają twoje oczekiwania, to musisz tylko sprawdzać czy w wersji softu którą masz nie pojawiły się krytyczne podatności.

Musisz sprawdzać
Cisco Security Advisory: Multiple Vulnerabilities in Cisco ASA 5500 Series Adaptive Security Appliances

Dla przykładu lista ostatnich podatności.

LINK

Czyli jak masz jakies vpn to musisz podniesc soft minimum do 8.0(5.1) itp,


Ciekawe podatnosci udokumentowano np we wczesniejszym biuletynie

LINK

Jak widzisz atakujacy generujac pakiet tcp mogl spowodować reload urządzenia.
Podatność we wszystkich rodzinach softu od 7.0 od 8.3

[jarek]

Dziękuję wszystkim za cenne uwagi
Migracja do wersji 8.2(3) zakończyła się sukcesem.

Na chwilę obecną jak widzę w logach mam tylko jeden problem do rozwiązania:

1 Sep 07 2010 09:16:18 0.0.0.0 0.0.0.0 Deny HOPOPT reverse path check from 0.0.0.0 to 0.0.0.0 on interface Inside
1 Sep 07 2010 09:16:18 0.0.0.0 0.0.0.0 Deny HOPOPT reverse path check from 0.0.0.0 to 0.0.0.0 on interface Inside
1 Sep 07 2010 09:16:18 0.0.0.0 0.0.0.0 Deny HOPOPT reverse path check from 0.0.0.0 to 0.0.0.0 on interface Inside

Pytaliście dlaczego chcę migrować z 8.0 do 8.2.
W skrócie powiem, ze nasza ASA miała problemy z obsługą pamięci.
Po upgrade pamięci do 1GB i zmianie softu do 8.2(3) śmiga aż miło!

[Isam]

Dziękuję wszystkim za cenne uwagi
Migracja do wersji 8.2(3) zakończyła się sukcesem.

Na chwilę obecną jak widzę w logach mam tylko jeden problem do rozwiązania:

1 Sep 07 2010 09:16:18 0.0.0.0 0.0.0.0 Deny HOPOPT reverse path check from 0.0.0.0 to 0.0.0.0 on interface Inside
1 Sep 07 2010 09:16:18 0.0.0.0 0.0.0.0 Deny HOPOPT reverse path check from 0.0.0.0 to 0.0.0.0 on interface Inside
1 Sep 07 2010 09:16:18 0.0.0.0 0.0.0.0 Deny HOPOPT reverse path check from 0.0.0.0 to 0.0.0.0 on interface Inside

Pytaliście dlaczego chcę migrować z 8.0 do 8.2.
W skrócie powiem, ze nasza ASA miała problemy z obsługą pamięci.
Po upgrade pamięci do 1GB i zmianie softu do 8.2(3) śmiga aż miło!

Sprawdz routing - ewentualnie wywal unicast RPF (nie sugeruje)

"logs indicates that ASA has received a packet
with the source ip for which it does not have a route for and it assumes that it as an
attack."

[p.nazarewski]

Szczerze polecam upgrade do 8.3(2)
Po pierwsze sugeruje wcześniej zapoznać się z Release Notes.
http://www.cisco.com/en/US/partner/prod ... _list.html
a dokładnie z
http://www.cisco.com/en/US/partner/docs ... arn83.html


To co jest power nowej ASA to Interface-Independent Access Policies oraz NAT Simplification
Choć to drugie to koszmar wdrożeniowy, jesli ktoś stosował grupy to w ramach migracji asa potrafi wygenerować iloczyn kartezjański reguł.
Jednak jak już się przebrnie przez migracje to możliwość umiejętnego użycia Global ACL to po prostu rewelacja.
To samo z NAT, na początku trzeba zmienić paradygmat ale później....
Co do problemow z klientami RAS to ciekawe, jednak sugeruje przejsc na SSL Any connect, szczególnie że Essensial kosztuje grosze.

Praktycznie po wdrożeniu 8.3.2 czułem się jak za starych dobrych czasów na Checkpoint.
Jeszcze gdyby tylko zaimplementowali Policy Based Routing....