Update Firepower

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)

Moderatorzy: mikrobi, garfield, gangrena, Seba, aron, PatrykW

Wiadomość
Autor
piter1789
wannabe
wannabe
Posty: 202
Rejestracja: 01 wrz 2014, 10:46

Update Firepower

#1

#1 Post autor: piter1789 »

Cześć,

czy jest jakieś oficjalne info co należy pierwszemu upgrade zrobić?
Sourcefire 3D Defense Center czy może Network Sensor ?;)

Kojarzę coś że pierwsze powinno być Network Sensor ale nie jestem pewny.

update z wersji 6.0.1.1 do 6.0.1.2

mihu
wannabe
wannabe
Posty: 762
Rejestracja: 10 kwie 2006, 10:37
Lokalizacja: Kraina Deszczowcow

Re: Update Firepower

#2

#2 Post autor: mihu »

czesc piter1789,

czytales Release notes?

troche wyrwane z kontektstu " After you update your Firepower Management Centers to Version 6.0.1.2, use them to update the devices they manage."

polecam caly dokument http://www.cisco.com/c/en/us/td/docs/se ... fId-377893
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"

piter1789
wannabe
wannabe
Posty: 202
Rejestracja: 01 wrz 2014, 10:46

Re: Update Firepower

#3

#3 Post autor: piter1789 »

Cześć,

dzięki,
czytałem, ale gdzieś musiałem przeoczyć;)

czyli najpierw Consola do zarządzania a dopiero potem sensor;) ;))

mihu
wannabe
wannabe
Posty: 762
Rejestracja: 10 kwie 2006, 10:37
Lokalizacja: Kraina Deszczowcow

Re: Update Firepower

#4

#4 Post autor: mihu »

piter1789 pisze:
czyli najpierw Consola do zarządzania a dopiero potem sensor;) ;))
jako rule-of-thumb - tak , ale zawsze lepiej przeczytac RN ;)

z update-em / upgrade-em FP i FPMC mam rozne doswiadczenia, i albo wszystko dziala super (ale zajmuje znacznie wiecej czasu niz Cisco sugeruje), albo nie i wtedy sa dwa wyjscia: probowac jeszcze kilka razy tak samo (glupie ale dziala), albo TAC case.

przy tak malej zmianie wersji nie powinno byc problemow, mowie o FirePOWER services module w ASA, bo z fizycznymi pudelkami SF nie mialem do czynienia, ale powinno byc podobnie.
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"

Gizmo
wannabe
wannabe
Posty: 185
Rejestracja: 28 sty 2008, 21:55

Re: Update Firepower

#5

#5 Post autor: Gizmo »

Dodam swoje trzy grosze. Zdecydowanie polecam najpierw wykonywac upgrade FPMC, następnie sensora. Nawet przy małej zmianie wersji, moga być np. modyfikacje table w bazach danych i będzie zonk. Przy aktualizacji sensora na ASA (a także sprzętowego) należy oglądać log aktualizacji (niby wyświetla się na FPMC, ale to nie to samo:) ) Piszę z pamięci, nazwa logu może byc nieco różna. Podobnie z logami jest na FPMC.

Kod: Zaznacz cały

expert
ls /var/log/sf
tail -f /var/log/sf/<tu folder danej aktualizacji>/main_upgrade.log
Jeśli są jakieś problemy należy odczytać szczegółowy log danego fragmentu aktualizacji, np. 200_SRU_Install.log (to tylko przykład).
wyjscia: probowac jeszcze kilka razy tak samo (glupie ale dziala).
Nie do końca sie zgadzam. Miałem przypadek na 3D8140, że po czystej instalacji, żeby zrobić upgrade sondy, trzeba było najpierw wypchnąć Access Policy, bez tego w ogóle nie chciał zrobic update. Powyższe z logami, pozwoiło mi na uniknięcie case TAC.

Pzdr.
“Two possibilities exist: either we are alone in the Universe or we are not. Both are equally terrifying.” - A.C.Clark

Awatar użytkownika
art
wannabe
wannabe
Posty: 417
Rejestracja: 04 lip 2011, 10:25

Re: Update Firepower

#6

#6 Post autor: art »

mihu pisze: probowac jeszcze kilka razy tak samo (glupie ale dziala)
zgodzę się z tym... :)
ogólnie mam wrażenie:
1. że ten software jest niedopracowany (czasami muli i jest jakiś takiś, taki nie określony :) )
2. dwa nie rozumiem czemu Cisco nie wrzuci tego softu do zarzadzania do ASA'y na ten dysk SSD ?
3. Powinna być osobna certyfikacja do updateów software'u Cisco i knifami z tym związanymi :) typu, rób update tylko o godzinie 1 w nocy, ale nigdy nie w czasie pełni, bo to może mieć wpływ na elektrony :)
Ups I switched again =)

mihu
wannabe
wannabe
Posty: 762
Rejestracja: 10 kwie 2006, 10:37
Lokalizacja: Kraina Deszczowcow

Re: Update Firepower

#7

#7 Post autor: mihu »

Gizmo pisze:
wyjscia: probowac jeszcze kilka razy tak samo (glupie ale dziala).
Nie do końca sie zgadzam. Miałem przypadek na 3D8140, że po czystej instalacji, żeby zrobić upgrade sondy, trzeba było najpierw wypchnąć Access Policy, bez tego w ogóle nie chciał zrobic update. Powyższe z logami, pozwoiło mi na uniknięcie case TAC.
pisze z perspektywy ASA FP module services, z 3D sensorami mialem tylko stycznosc w postaci VMow w labie. Moze i glupie, ale dziala. Co do niedopracowania produktu tez sie zgadzam, przyklad: 2 identyczne ASy do A/S HA - identyczna procedura - jeden FP sie zainstalowal i zupdetowal bez problemow, drugi za cholere, a ze juz boxy byly w produkcji, bo pre-stage w labie ciezko zrobic (chyba ze sie cos zmienilo i mozna miec temporary FPMC wpiac w niego FPs zrobic updaty, wypiac przeniesc do klienta? bez wykorzystywania licencji klienta?). Nawet TAC mial problemy, zeby to naprawic bez reinstalacji, to bylo 5.4.cos_tam.

Drugi przypadek - czasy podawane przez Cisco do updatu / upgradeu sa wyssane z palca, niby update/upgrade powinien zajac 45min - zajal ponad 5h! I zero informacji w FPMC co sie dzieje. Nie ma takze konsolidacji patchy i trzeba jechac przez wszystkie.
art pisze:2. dwa nie rozumiem czemu Cisco nie wrzuci tego softu do zarzadzania do ASA'y na ten dysk SSD ?
ASA jest niestety martwa i FP to przyszlosc. nie wiem czy testowales FTD - polaczenie ASy i FP, ale w obecnym setupie i tak funkcjonalnosc sie naklada. Tylko klienta bedzie trzeba kasowac za wiecej dni pracy przez klikanie w GUI.

Innymi slowy dostajemy CheckPointa od Cisco, ktory dziala tylko (glownie) ze Smart License. Jeszcze musze poswiecic troche czasu zeby sie przyjrzec produktowi, ale chyba znow spojrze na CP, tym bardziej w wersji R80.x, bardziej przychylnie.
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"

Gizmo
wannabe
wannabe
Posty: 185
Rejestracja: 28 sty 2008, 21:55

Re: Update Firepower

#8

#8 Post autor: Gizmo »

1. Z 5.3(4).x rzeczywiście jest od cholery kłopotów, po kilku caseach, poprostu przeorałem klamota i teraz działa. W 6.x działa to lepiej, m.in. są scalone patche. Co do śledzenia aktualizacji to tylko logi z cli. Mam za sobą około 40 AS FP przewalonych na 6.0.1.2, tylko dwa kroki - reimage + ostatni patch.
2. Licencje są potrzebne do działania operacyjnego , do aktualizacji nie. Sprawdzone w labo. Poza tym zawsze możesz zrobić rehost licencji.
“Two possibilities exist: either we are alone in the Universe or we are not. Both are equally terrifying.” - A.C.Clark

Awatar użytkownika
art
wannabe
wannabe
Posty: 417
Rejestracja: 04 lip 2011, 10:25

Re: Update Firepower

#9

#9 Post autor: art »

mihu pisze:
Drugi przypadek - czasy podawane przez Cisco do updatu / upgradeu sa wyssane z palca, niby update/upgrade powinien zajac 45min - zajal ponad 5h! I zero informacji w FPMC co sie dzieje. Nie ma takze konsolidacji patchy i trzeba jechac przez wszystkie.
45 minut ?:D u mnie nie wiem ile to leciało ale znacznie dłużejjj, zapodałem update przy wychodzeniu z pracy i w domu wieczorem/nocą sprawdzałem jak tam postępy :)
mihu pisze:
art pisze:2. dwa nie rozumiem czemu Cisco nie wrzuci tego softu do zarzadzania do ASA'y na ten dysk SSD ?
ASA jest niestety martwa i FP to przyszlosc. nie wiem czy testowales FTD - polaczenie ASy i FP, ale w obecnym setupie i tak funkcjonalnosc sie naklada. Tylko klienta bedzie trzeba kasowac za wiecej dni pracy przez klikanie w GUI.
O, dzięki ! nie słyszałem o tym FTD, muszę pomęczyć partnera żeby mi to pokazał. A dysk SSD to chodzi mi o to, żeby tam był soft FirePower, a nie że osobna maszyna wirtualna. Dla mnie to trochę bez sensu.

Ogólnie, patrząc z perspektywy czasu, to lepiej było kupić coś innego niż ASA'ę. Mam wrażenie, że jest to produkt zrobiony na siłę i wypchnięte na prędko "żeby coś było", konkurenci gonili, a Cisco bardzo dobrze rozumie, że gdyby oddało pole rywalom to ciężko mieliby wrócić.
Ups I switched again =)

piter1789
wannabe
wannabe
Posty: 202
Rejestracja: 01 wrz 2014, 10:46

Re: Update Firepower

#10

#10 Post autor: piter1789 »

Poczytaj o różnicach pomiędzy softami do ASA + FM a FTD ;) bo jest kilka i pomęcz partnera.. i nie koniecznie dobrych ;)

mihu
wannabe
wannabe
Posty: 762
Rejestracja: 10 kwie 2006, 10:37
Lokalizacja: Kraina Deszczowcow

Re: Update Firepower

#11

#11 Post autor: mihu »

piter1789 pisze:Poczytaj o różnicach pomiędzy softami do ASA + FM a FTD ;) bo jest kilka i pomęcz partnera.. i nie koniecznie dobrych ;)
wracajac do tematu. bylem ostatnio na szkoleniu z FTD, 2 dni, polecam. Szczegolnie zeby zobaczyc roadmap i co co jest jeszcze nie dopracowane.

Btw niedawno wyszedl soft w wersji 6.2
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"

piter1789
wannabe
wannabe
Posty: 202
Rejestracja: 01 wrz 2014, 10:46

Re: Update Firepower

#12

#12 Post autor: piter1789 »

A gdzie byłeś?

mihu
wannabe
wannabe
Posty: 762
Rejestracja: 10 kwie 2006, 10:37
Lokalizacja: Kraina Deszczowcow

Re: Update Firepower

#13

#13 Post autor: mihu »

piter1789 pisze:A gdzie byłeś?

Londyn, szkolenie prowadzone przez Dax-a Mickelson-a, ale nie jestem pewien czy w tej chwili nie jest tylko dla partnerow, bo gosciu lata po swiecie. Poprowadzone super, kazdy mial swojego poda i dobre materialy.

Szkolenie jest na poziomie podstawowym, ale pokazuje przejscie z ASA w/FP do FTD i ograniczenia, duzo ograniczen jesli mam porownac FTD z ASA (nie z FP), ale dajmy temu rok, dwa i produkt dojrzeje. Tylko mam nadzieje ze rozwiaza problem z mgmt interface jesli chce sie uzywac FMC dla zdalnych lokacji.
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"

eljot
wannabe
wannabe
Posty: 67
Rejestracja: 27 sty 2012, 12:37

Re: Update Firepower

#14

#14 Post autor: eljot »

Ja mam mieszane uczucia odnośnie FP. Produkt w kwestii funkcji i obsługi/konfiguracji bardzo mi się podoba, natomiast mam czasem wrażenie, że soft pisany na kolanie i niezbyt "przewidywalny" w zachowaniu. Odnośnie upgradów zawsze czytać release notes, wgrywać fixy itp. Z TAC'iem niestety różnie, raczej gorzej niż lepiej, bardzo dobrze wspominam czasy chwilę po akwizycji, jak moje case'y obsługiwał jeszcze Sourcefire. Natomiast mimo wszystko wykorzystywanie powyższego rozwiązania w produkcji bez kontraktu i możliwości skorzystania z TAC to samobójstwo. Jeżeli macie firesighta i asę z fp w labie popróbujcie różne scenariusze z backupem, odtwarzaniem danych, exportem/importem polityk, maszyny wirtualnej itd. Bajka:) W moich różnych bojach zawsze kończyło się reimagem sensora i pisaniem jakiś polityk ręcznie. Mam wrażenie, że najlepsza forma backupu to printscreeny:D

mihu
wannabe
wannabe
Posty: 762
Rejestracja: 10 kwie 2006, 10:37
Lokalizacja: Kraina Deszczowcow

Re: Update Firepower

#15

#15 Post autor: mihu »

eljot pisze:Ja mam mieszane uczucia odnośnie FP. Produkt w kwestii funkcji i obsługi/konfiguracji bardzo mi się podoba, natomiast mam czasem wrażenie, że soft pisany na kolanie i niezbyt "przewidywalny" w zachowaniu. Odnośnie upgradów zawsze czytać release notes, wgrywać fixy itp. Z TAC'iem niestety różnie, raczej gorzej niż lepiej, bardzo dobrze wspominam czasy chwilę po akwizycji, jak moje case'y obsługiwał jeszcze Sourcefire. Natomiast mimo wszystko wykorzystywanie powyższego rozwiązania w produkcji bez kontraktu i możliwości skorzystania z TAC to samobójstwo. Jeżeli macie firesighta i asę z fp w labie popróbujcie różne scenariusze z backupem, odtwarzaniem danych, exportem/importem polityk, maszyny wirtualnej itd. Bajka:) W moich różnych bojach zawsze kończyło się reimagem sensora i pisaniem jakiś polityk ręcznie. Mam wrażenie, że najlepsza forma backupu to printscreeny:D
@eljot

podobnie. FP vel FTD ma ogromny potencjal, kwestia tylko czy Cisco to wykorzysta i nie zniecheci do korzystania z niego, bo czesc klientow moze wolec przejesc/wrocic na CheckPointa, bo FTD z FMC to nic innego jak proba gonienia CP. Sam nigdy nie bylem zwolennikiem CP, ale jesli wszystko ma isc w GUI, coz wole produkt dopracowany a nie wypuszczenie czegos co samo Cisco mowi ze nie jest "direct replacement for ASA". Jak na razie (6.1) brak RVPN, L2L to kpina z firewalla, backupy tylko do identycznej wersji (patchy nie sprawdzalem), ale do tego mnie juz ISE przyzwyczailo. Calkowitym absurdem jest zalecenie wystawienia interfejsu mgmt po stronie Internetu w remote locations jesli chcemy korzystac z centralnego FMC, fajnie ze FDM jest ale jest bardzo okrojony co do funkcjonalnosci prownujac do FMC. A jesli ma jeszcze ten super feature co zarzadzanie FP przez ASDM - jedyna sluszna i niekonfigurowalna strefa czasowa to New York to ja sie pytam czy to jest produkt z dzialki "security".

potencjal jest, fajnie polaobowac i wiedziec co sie szykuje, ale na chwile obecna bede odradzal klientom. ASA+FP+FMC ok, czysty FTD - nie.

inne rzeczy ktore mi osobiscie nie pasuja w FP/FTD/FMC to:
- teoretycznie mozna zrobic template raportu nad ktorym sie napocimy, ale da sie go zaimportowac tylko do tej samej wersji !!! z punktu widzenia PS bezuzyteczne i zostaja print screeny i manual. W innych przypadkach tez slyszlem ze malo uzyteczne bo czesc ludzi zamiast upgradu robi re-image bo zajmuje mniej czasu.

tak przyszlosciowo jestem ciekawy jak beda wygladaly upgrady single mode i HA i jakie beda downtimy wymagane, i czas potrzebny na backup plan jak cos sie posypie w trakcie upgradu. Tu ASA rzadzi porownujac do innych vendorow.
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"

ODPOWIEDZ