Comment mettre à jour le Cisco ASA ?
Il y a quelques jours le CERT France lancé une alerte concernant les produits de la marque CISCO, les 3 failles concernant les produits de la gamme ASA sont :
- Cisco ASA Failover Command Injection Vulnerability
- Cisco ASA DNS Memory Exhaustion Vulnerability
- Cisco ASA VPN XML Parser Denial of Service Vulnerability
Ni une, ni deux, il va falloir mettre à jour votre matériel Cisco avant qu’un méchant ou un gentil hacker ne passe par là.
Mise à jour via l’outil
Pour ce faire, nous allons utiliser l’outil qui est incorporé dans ADSM (le manager du Cisco ASA) qui permet de gérer l’ASA.
Pour commencer on se connecte à l’ASA via CISCO ASDM :
Après avoir rentrer le nom d’utilisateur et le mot de passe, on arrive sur l’écran principal d’ASDM. Cliquez sur Tools puis Check for ASA/ASDM Updates :
Une fenêtre s’affiche pour demander le nom d’utilisateur et le mot de passe du compte cisco.
Une fois authentifié, la fenêtre suivante s’affiche :
Cliquer sur Next pour continuer.
L’écran suivant s’affiche pour indiquer la ou les mises à jour disponibles :
A cet instant, on choisi le type de mise à jour que l’on souhaite faire.
- Soit la mise à jour de l’ASA.
- Soit la mise à jour de l’ASDM.
Dans le cas présent, nous allons mettre à jour le noyau de l’ASA.
Exemple : la version 9.1.2 doit être installée avant de pouvoir installer la 9.4.1.
Le choix effectué, on clique sur le bouton Next.
Sur l’écran ci-dessus, un récapitulatif s’affiche pour indiquer les actions qui vont être mener.
- Téléchargement de la version sélectionnée.
- Envoi de la version sélectionnée vers l’ASA.
- Paramétrage et redémarrage de l’ASA avec mise en service de la version sélectionnée.
On clique sur le bouton Next pour continuer.
Le téléchargement prend plus ou moins de temps selon la connexion internet utilisée…. patience !
Une fois le téléchargement et l’installation terminée, on clique sur le bouton Next.
La fenêtre de statut s’affiche, elle indique l’état de l’ASA durant la mise à jour de ce dernier :
Pour actualiser le contenu de la fenêtre, on clique sur le bouton Refresh.
Une fois l’opération terminée, on quitte l’ASDM pour cause de redémarrage du pare-feu :
On clique sur le bouton Exit ADSM.
A cet instant, l’ASA redémarre…
Pour vérifier la disponibilité de l’ASA, on ping l’ip de ce dernier :
Lorsque celui-ci est à nouveau disponible, on se reconnecte via l’ASDM.
Pour connaître la version actuellement utilisé de l’ASA et de l’ASDM, on regarde dans la section Device Information :
Si l’on souhaite vérifier que toutes les mises à jour disponibles pour l’ASA et l’ASDM ont été appliquées, on retourne dans le menu Tools / Check for ASA/ASDM Updates :
Ce message indique qu’il n’y a plus de mise à jour disponible et que notre ASA est à jour (up to date).
Mise à jour manuelle
Si l’on souhaite réaliser la mise à jour à la main sans passer par l’outil disponible, on se dirige vers le menu Tools puis Upgrade Software from Local Computer :
La fenêtre ci-dessous apparaît :
On doit sélectionner 3 options :
- Type d’image que l’on souhaite envoyer sur l’ASA (Image to Upload). Et que l’on aura préalablement télécharger sur le site de Cisco.
- Le fichier stocké localement sur l’ordinateur que l’on souhaite utiliser pour la mise à jour (Local File Path).
- L’emplacement où sera stocker sur l’ASA le fichier (Flash File System Path).
Ceci fait, on clique sur le bouton Upload Image pour procéder à la mise à jour.
Comme pour la mise à jour via l’outil, l’ASA sera paramétré puis redémarré avant d’être opérationnel avec la nouvelle version.
Certains points me paraissent necessaire à préciser:
1/ Cette méthode est à utiliser uniquement dans le cas ou l’ASDM est installé sur l’ASA ce qui est loin d’être le cas partout.
2/ Lien pour savoir la version prérequise pour passer à la dernière version
–> http://www.cisco.com/c/en/us/td/docs/security/asa/asa94/upgrade/upgrade94.html
De plus les plus vieux ASA ne pourront pas forcement bénéficier de la nouvelle version.
–> http://www.cisco.com/c/en/us/td/docs/security/asa/compatibility/asamatrx.html
3/ Le système de règles de NAT change complètement à partir de la 8.3, la MAJ fait les changement automatiquement mais remplace par des noms génériques et ne garde pas les noms prédéfinis si vous en aviez.
Sinon bon article ! 🙂