本記事について
本記事では、Cisco システムズ社のファイアウォール製品である Firepower について、OS バージョンアップを行う方法について記載します。
なお、Firepower にはファイアウォール機能の使用を目的とした ASA OS と、UTM機能の使用を目的とした FTD OS がありますが、ここでは ASA OS がインストールされた Firepower を対象とします。
さらに、ASA OS には GUI 管理ツールである ASDM が含まれていますが、ASDM のバージョンアップ方法についても記載します。
対象環境
本記事の内容は、以下の機器にて動作確認した結果に基づいて作成しています。
- FPR-1010
- ASA Version 9.18.3
Firepower ASA OS 起動の仕組み
バージョンアップ方法の前に、Firepower ASA OS 起動の仕組みについて説明します。
Firepower では以下のルールで起動 ASA OS が選択されます。
- コンフィグで
boot system設定があれば、その設定で指定された ASA OS ファイルで起動する - コンフィグで
boot system設定が無い場合は、内部にインストールされている ASA OS で起動する
Cisco の一般的なルータの起動 OS 選択と似ている部分もありますが、Firepower では「内部に ASA OS がインストールされている」という点に注意が必要です。boot systemが設定されていない場合や、boot systemが設定されていても指定の ASA OS がフラッシュ内に存在しない場合は内部にインストールされているASA OS で起動します。
boot system設定の仕様についても注意が必要です。これについては後で説明します。
Firepower の ASA OS ファイルのダウンロード
ASA OS ファイルのダウンロードは Cisco の Software Download ページから行います。
※権限のある Cisco アカウントが必要です
「Downloads Home > Security > Firewalls > Next-Generation Firewalls (NGFW)」と選択していき、対象の型番を選択します。以下画像では例として Firepower 1000 シリーズの Firepower 1010 を選択しています。
ソフトウェア選択画面で「Adaptive Security Appliance (ASA) Software」をクリックします。
ソフトウェアダウンロードページが表示されるため、任意のバージョンのソフトウェアをダウンロードします。
ASA OS のバージョンアップ手順
前提
ここでは Firepower への ASA OS ファイルの転送は FTP を利用することとします。よって、Firepower が FTP サーバとネットワーク接続可能であり、FTP サーバに ASA OS ファイルが格納されていることを前提とします。
フラッシュの空き容量の確認
OS ファイルを Firepower のフラッシュに格納するため、フラッシュの空き容量を確認します。
dir コマンドで確認できます。
ciscoasa# dir
Directory of disk0:/
805391773 drwx 4096 04:18:48 Dec 26 2023 log
269117533 -rw- 116406136 04:20:38 Sep 13 2023 asdm.bin
805391223 drw- 26 19:13:20 Dec 24 2023 coredumpinfo
269117547 drwx 6 19:12:49 Dec 24 2023 packet-tracer
269117548 -rw- 39 20:59:51 Mar 19 2024 snortpacketinfo.conf
269117549 drwx 22 19:12:49 Dec 24 2023 smart-log
2 drwx 4096 19:09:05 Dec 24 2023 cores
269117554 -rw- 4788 20:59:52 Mar 19 2024 asa-cmd-server.log
269117555 -rw- 0 19:11:52 Dec 24 2023 coredumpfsysimage.bin
2 drwx 4096 19:09:05 Dec 24 2023 coredumpfsys
268439884 drwx 6 19:11:51 Dec 24 2023 fxos
805376593 -rw- 1529 01:42:36 Dec 26 2023 cspCfg.xml
5 file(s) total size: 116412492 bytes
16106127360 bytes total (15756853248 bytes free/97% free)出力一番下の xxxx bytes free のところで空き容量を確認します。上記出力例では十分な空き容量があることを確認できます。
フラッシュへの OS ファイルの格納
ここでは FTP サーバから Firepower のフラッシュに OS ファイルをコピーします。
コピーコマンドは以下の通りです。
copy ftp://<user名>@<FTPサーバアドレス>/<OSファイル名> disk0:
ciscoasa# copy ftp://user01@192.168.45.111/cisco-asa-fp1k.9.18.3.56.SPA disk0:
Address or name of remote host [192.168.45.111]?
Source username [user01]?
Source password []? ******
Source filename [cisco-asa-fp1k.9.18.3.56.SPA]?
Destination filename [cisco-asa-fp1k.9.18.3.56.SPA]?
Accessing ftp://user01:<password>@192.168.45.111/cisco-asa-fp1k.9.18.3.56.SPA...
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Verifying file disk0:/cisco-asa-fp1k.9.18.3.56.SPA...
Writing file disk0:/cisco-asa-fp1k.9.18.3.56.SPA...
458652672 bytes copied in 72.960 secs (6370176 bytes/sec)コピーが完了したらdirでフラッシュを確認し、OS ファイルが存在することを確認します。
ciscoasa# dir
Directory of disk0:/
184831 drwx 4096 22:20:01 Mar 19 2024 log
537420302 -rw- 116406136 05:01:45 Aug 09 2023 asdm.bin
269148896 drwx 6 19:12:49 Dec 24 2023 packet-tracer
537420315 -rw- 39 22:15:57 Mar 19 2024 snortpacketinfo.conf
537420316 drwx 22 19:12:49 Dec 24 2023 smart-log
537420319 -rw- 5383 22:15:59 Mar 19 2024 asa-cmd-server.log
537540896 -rw- 0 19:11:52 Dec 24 2023 coredumpfsysimage.bin
2 drwx 4096 19:09:05 Dec 24 2023 coredumpfsys
2 drwx 4096 19:09:05 Dec 24 2023 cores
189471 drw- 26 19:13:20 Dec 24 2023 coredumpinfo
268439884 drwx 6 19:11:51 Dec 24 2023 fxos
805370093 -rw- 1529 22:15:33 Mar 19 2024 cspCfg.xml
537420161 -rwx 458652672 22:29:07 Mar 19 2024 cisco-asa-fp1k.9.18.3.56.SPA
6 file(s) total size: 575065759 bytes
16106127360 bytes total (15298531328 bytes free/94% free)上の17行目に OS ファイルが存在することを確認できます。
【要注意】起動 OS (boot system) の設定
まず show run boot system を実行し既存の設定が無いことを確認します。
ciscoasa# show run boot system
ciscoasa#もし boot system 設定が存在していたらその設定を削除します。
ciscoasa# show run boot system
boot system disk0:/cisco-asa-fp1k.9.16.4.SPA
ciscoasa# conf t
ciscoasa(config)# no boot system disk0:/cisco-asa-fp1k.9.16.4.SPA
Operation complete. Running version matched the startup version.次にグローバルコンフィグモードにて以下コマンドで起動 OS を設定します。
boot system disk0:/<OSファイル名>
ただしここで必ずこの設定の意味について理解してから設定を行ってください。
上の方で Firepower ではシステム内部に ASA OS がインストールされていると説明しました。
boot system設定を行うと、単に起動時に使用される OS ファイルが設定されるだけでなく、この設定コマンドを実行した瞬間にシステム内部へのインストール(OS ファイルの検証をした上で解凍してシステム内部のブートロケーションへ配置)が実行されます。
以下の設定実施時のログを見てください。
ciscoasa(config)# boot system disk0:/cisco-asa-fp1k.9.18.3.56.SPA
The system is currently installed with security software package 9.18.3.55, which has:
- The platform version: 2.12.0.519
- The CSP (asa) version: 9.18.3.55
Preparing new image for install...
!!!!!!!!!!!!!!!!!!!!!!!!!
Image download complete (Successful unpack the image).
Installation of version 9.18.3.56 will do the following:
- upgrade to the new platform version 2.12.0.519
- upgrade to the CSP ASA version 9.18.3.56
After installation is complete, ensure to do write memory and reload to save this config and apply the new image.
Finalizing image install process...
Install_status: ready....
Install_status: validating-images.................
Install_status: upgrading-system...
Install_status: update-software-pack-completedソフトウェアのインストールが実施されていることが分かるかと思います。これが何を意味するかというと、再起動後はboot systemで指定したバージョンで起動するということです。
設定後にキャンセルしたい場合はno boot system ~コマンドで設定を削除します。すると設定を削除した時点でシステム内部にインストールされた OS ファイルはアンインストールされます。
ciscoasa(config)# no boot system disk0:/cisco-asa-fp1k.9.18.3.56.SPA
Operation complete. Running version matched the startup version.ただし、boot system設定後、機器再起動した後ではboot system設定を削除したとしてもバージョンアップのキャンセルはできない点に注意してください。(システム内部にインストールされた OS は完全に新バージョンに書き換わってしまっているため。)
設定後の確認、設定保存、再起動
boot systemを設定したら、show bootvarコマンドを実行しCurrent BOOT variableがboot systemで指定した OS ファイルになっていることを確認します。
ciscoasa# show bootvar
BOOT variable = disk0:/cisco-asa-fp1k.9.18.3.55.SPA
Current BOOT variable = disk0:/cisco-asa-fp1k.9.18.3.56.SPA
CONFIG_FILE variable =
Current CONFIG_FILE variable =確認できたらwrite memoryで設定を保存します。
ciscoasa# write memory
Building configuration...
Cryptochecksum: 0ccea5a9 6ee13ceb 80780af9 903736b1
12381 bytes copied in 0.450 secs
[OK]設定保存ができたらreloadで再起動をします。
ciscoasa# reload
Proceed with reload? [confirm]再起動後のバージョン確認
再起動が完了したらshow versionで起動バージョンを確認します。
ciscoasa# show version
Cisco Adaptive Security Appliance Software Version 9.18(3)56
SSP Operating System Version 2.12(0.519)
Device Manager Version 7.19(1)90
#以下略新バージョンの ASA OS Version 9.18(3)56 で起動していることが分かります。
(オプション) OS ファイルの削除と boot system 設定の削除
新バージョンの OS ファイルがインストールされた後は、フラッシュ内の OS ファイルとboot system設定は削除しても問題ありません。
delete disk0:/<OSファイル名>
ciscoasa# delete disk0:/cisco-asa-fp1k.9.18.3.56.SPA
Delete filename [cisco-asa-fp1k.9.18.3.56.SPA]?
Delete disk0:/cisco-asa-fp1k.9.18.3.56.SPA? [confirm]no boot system disk0:/<OSファイル名>
ciscoasa(config)# no boot system disk0:/cisco-asa-fp1k.9.18.3.56.SPA
Operation complete. Running version matched the startup version.ASDM のバージョン変更方法
ASA OS と ASDM の互換性
ASA OS と ASDM には互換性という概念があり、ASA OS のバージョンによって使用できる ASDM のバージョンが決まっています。以下のページで互換性のあるバージョンを確認できます。
ASDM のファイルとバージョン確認方法
Firepower のフラッシュ内に ASDM ファイルが存在します。
ciscoasa# dir
Directory of disk0:/
147440 drwx 4096 22:20:01 Mar 19 2024 log
537413974 -rw- 116406136 04:20:38 Sep 13 2023 asdm.bin上記のasdm.binがデフォルトの ASDM のファイルです。ただ、ファイル名からはバージョンを確認することはできません。ASDM のバージョン確認はshow versionでできます。
ciscoasa# show version
Cisco Adaptive Security Appliance Software Version 9.18(3)56
SSP Operating System Version 2.12(0.519)
Device Manager Version 7.19(1)90
#以下略上のDevice Manager Version 7.19(1)90の部分が ASDM のバージョンです。
ASA OS にはデフォルトで互換性のある ASDM が含まれている
ASA OS のバージョンアップを行った場合は ASDM についても互換性のあるバージョンに変更しなければならないと考えると思いますが、ASA OS ファイルにはデフォルトで互換性のある ASDM が含まれており、ASA OS のバージョンアップを実施すると ASDM のバージョンは自動で互換性のあるバージョンに更新されます。(フラッシュ内の asdm.bin が新しいバージョンに更新される。)
よって、手動で ASDM のバージョンを変更するケースというのは特定バージョンのバグを回避したいときなどに限られるかと思います。
ASDM ファイルのダウンロード
ASDM ファイルは Software Download の Secure Firewall ASDM の [Adaptive Security Appliance (ASA) Device Manager] ページでダウンロードできます。
※権限のある Cisco アカウントが必要です
ASDM ファイルをフラッシュに格納する
ここでは FTP サーバから Firepower のフラッシュに ASDM ファイルをコピーします。
コピーコマンドは以下の通りです。
copy ftp://<user名>@<FTPサーバアドレス>/<ASDMファイル名> disk0:
ciscoasa# copy ftp://user01@192.168.45.111/asdm-7202.bin disk0:
Address or name of remote host [192.168.45.111]?
Source username [user01]?
Source password []? ******
Source filename [asdm-7202.bin]?
Destination filename [asdm-7202.bin]?
Accessing ftp://user01:<password>@192.168.45.111/asdm-7202.bin...
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Verifying file disk0:/asdm-7202.bin...
Writing file disk0:/asdm-7202.bin...
115488736 bytes copied in 27.540 secs (4277360 bytes/sec)コピーが完了したらフラッシュを確認し、ASDM ファイルが存在することを確認します。
ciscoasa# dir
Directory of disk0:/
147440 drwx 4096 22:20:01 Mar 19 2024 log
537413974 -rw- 116406136 04:20:38 Sep 13 2023 asdm.bin
805394835 drw- 26 19:13:20 Dec 24 2023 coredumpinfo
145244 drwx 6 19:12:49 Dec 24 2023 packet-tracer
2 drwx 4096 19:09:05 Dec 24 2023 cores
537413992 -rw- 39 22:47:02 Mar 19 2024 snortpacketinfo.conf
269148876 drwx 22 19:12:49 Dec 24 2023 smart-log
537413993 -rw- 5978 22:47:03 Mar 19 2024 asa-cmd-server.log
537413994 -rw- 0 19:11:52 Dec 24 2023 coredumpfsysimage.bin
2 drwx 4096 19:09:05 Dec 24 2023 coredumpfsys
268439884 drwx 6 19:11:51 Dec 24 2023 fxos
805370094 -rw- 1529 22:46:38 Mar 19 2024 cspCfg.xml
537413989 -rwx 115488736 23:03:42 Mar 19 2024 asdm-7202.bin
6 file(s) total size: 231902418 bytes
16106127360 bytes total (15641481216 bytes free/97% free)上の17行目の「asdm-7202.bin」がコピーされたファイルです。
使用する ASDM イメージの設定
グローバルコンフィグモードで以下コマンドで ASDM イメージの設定を行います。
asdm image disk0:/<ASDM ファイル名>
ciscoasa(config)# asdm image disk0:/asdm-7202.bin
ciscoasa(config)#ASDM のバージョン変更については設定変更後に再起動は必要なく、設定後即時反映されます。
設定変更後バージョン確認します。
ciscoasa(config)# show version
Cisco Adaptive Security Appliance Software Version 9.18(3)56
SSP Operating System Version 2.12(0.519)
Device Manager Version 7.20(2)
#以下略Device Manager Version 7.20(2) と変わっていることを確認できます。
確認できたら write memory で設定を保存します。
ciscoasa# write memory
Building configuration...
Cryptochecksum: 0ccea5a9 6ee13ceb 80780af9 903736b1
12381 bytes copied in 0.450 secs
[OK]以上で ASDM のバージョン変更は完了です。
ASDM をデフォルトバージョンに戻したい場合
asdm image設定を削除すれば ASDM をデフォルトバージョンに戻すことができます。
ciscoasa(config)# no asdm image disk0:/asdm-7202.bin
ciscoasa(config)#以上です。
コメント