RéseauSécurité

Cisco ASA – Mise à jour

Comment mettre à jour le Cisco ASA ?

Il y a quelques jours le CERT France lancé une alerte concernant les produits de la marque CISCO, les 3 failles concernant les produits de la gamme ASA sont :

  • Cisco ASA Failover Command Injection Vulnerability
  • Cisco ASA DNS Memory Exhaustion Vulnerability
  • Cisco ASA VPN XML Parser Denial of Service Vulnerability

Ni une, ni deux, il va falloir mettre à jour votre matériel Cisco avant qu’un méchant ou un gentil hacker ne passe par là.

Mise à jour via l’outil

Pour ce faire, nous allons utiliser l’outil qui est incorporé dans ADSM (le manager du Cisco ASA) qui permet de gérer l’ASA.

Pour commencer on se connecte à l’ASA via CISCO ASDM :

cisco asa adsm connection
cisco asa adsm connection

Après avoir rentrer le nom d’utilisateur et le mot de passe, on arrive sur l’‚écran principal d’ASDM. Cliquez sur Tools puis Check for ASA/ASDM Updates :

cisco asa menu tools
cisco asa menu tools

Une fenêtre s’affiche pour demander le nom d’utilisateur et le mot de passe du compte cisco.

Une fois authentifié, la fenêtre suivante s’affiche :

cisco asa check update 1
Cisco ASA check update – overview

Cliquer sur Next pour continuer.

L’écran suivant s’affiche pour indiquer la ou les mises à jour disponibles :

cisco_asa_check_update_2
cisco_asa_check_update – select software

A cet instant, on choisi le type de mise à jour que l’on souhaite faire.

  • Soit la mise à jour de l’ASA.
  • Soit la mise à jour de l’ASDM.

Dans le cas présent, nous allons mettre à jour le noyau de l’ASA.

cisco asa check update 2b
cisco asa check update – select software upgrade asa
ATTENTION : Suivant la mise à jour choisie, il y peut y avoir des prérequis de version avant d’installer une mise à jour plus récente que celle utiliser actuellement par l’ASA.

Exemple : la version 9.1.2 doit être installée avant de pouvoir installer la 9.4.1.

Le choix effectué, on clique sur le bouton Next.

cisco asa check update 3
cisco asa check update – review changes

Sur l’écran ci-dessus, un récapitulatif s’affiche pour indiquer les actions qui vont être mener.

  • Téléchargement de la version sélectionnée.
  • Envoi de la version sélectionnée vers l’ASA.
  • Paramétrage et redémarrage de l’ASA avec mise en service de la version sélectionnée.

On clique sur le bouton Next pour continuer.

cisco asa check update installation
cisco asa check update – download in progress

Le téléchargement prend plus ou moins de temps selon la connexion internet utilisée…. patience !

cisco asa check update installation suite
cisco asa check update – installation complete

Une fois le téléchargement et l’installation terminée, on clique sur le bouton Next.

La fenêtre de statut s’affiche, elle indique l’état de l’ASA durant la mise à jour de ce dernier :

cisco asa check update status
cisco asa check update – reload status

Pour actualiser le contenu de la fenêtre, on clique sur le bouton Refresh.

Une fois l’opération terminée, on quitte l’ASDM pour cause de redémarrage du pare-feu :

cisco asa check update reload status
cisco asa check update – exit reload status

On clique sur le bouton Exit ADSM.

A cet instant, l’ASA redémarre…

Pour vérifier la disponibilité de l’ASA, on ping l’ip de ce dernier :

cisco asa check update ping
cisco asa check update – ping

Lorsque celui-ci est à nouveau disponible, on se reconnecte via l’ASDM.

Pour connaître la version actuellement utilisé de l’ASA et de l’ASDM, on regarde dans la section Device Information :

cisco asa check update device information
cisco asa check update – device information

Si l’on souhaite vérifier que toutes les mises à jour disponibles pour l’ASA et l’ASDM ont été appliquées, on retourne dans le menu Tools / Check for ASA/ASDM Updates :

cisco asa check update ok
cisco asa check update – no upgrade available

Ce message indique qu’il n’y a plus de mise à jour disponible et que notre ASA est à jour (up to date).

Mise à jour manuelle

Si l’on souhaite réaliser la mise à jour à la main sans passer par l’outil disponible, on se dirige vers le menu Tools puis Upgrade Software from Local Computer :

cisco asa menu tools à la main
cisco asa menu tools – upgrade software…

La fenêtre ci-dessous apparaît :

cisco asa update à la main
cisco asa update à la main

On doit sélectionner 3 options :

  • Type d’image que l’on souhaite envoyer sur l’ASA (Image to Upload). Et que l’on aura préalablement télécharger sur le site de Cisco.
cisco asa update à la main - type d'image
cisco asa update à la main – image to upload
  • Le fichier stocké localement sur l’ordinateur que l’on souhaite utiliser pour la mise à… jour (Local File Path).
  • L’emplacement où sera stocker sur l’ASA le fichier (Flash File System Path).

Ceci fait, on clique sur le bouton Upload Image pour procéder à la mise à jour.

Comme pour la mise à jour via l’outil, l’ASA sera paramétré puis redémarré avant d’être opérationnel avec la nouvelle version.

Sebastien MAISSE

Technicien systèmes et réseaux (informatique)... Lorsque j'ai un peu de temps, je pratique la photographie.

Articles similaires

Un commentaire

  1. Certains points me paraissent necessaire à préciser:
    1/ Cette méthode est à utiliser uniquement dans le cas ou l’ASDM est installé sur l’ASA ce qui est loin d’être le cas partout.

    2/ Lien pour savoir la version prérequise pour passer à la dernière version
    –> http://www.cisco.com/c/en/us/td/docs/security/asa/asa94/upgrade/upgrade94.html
    De plus les plus vieux ASA ne pourront pas forcement bénéficier de la nouvelle version.
    –> http://www.cisco.com/c/en/us/td/docs/security/asa/compatibility/asamatrx.html

    3/ Le système de règles de NAT change complètement à partir de la 8.3, la MAJ fait les changement automatiquement mais remplace par des noms génériques et ne garde pas les noms prédéfinis si vous en aviez.

    Sinon bon article ! 🙂

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Bouton retour en haut de la page