【注意】FortiGate RAM 2GB以下の小型モデルで ver.7.4.4からProxy機能廃止、ver.7.6.0からSSL-VPN機能廃止 被害者が散見しています> Membership

Cisco Firepower(ASA) OS,ASDM バージョンアップマニュアル

目次

本記事について

本記事では、Cisco システムズ社のファイアウォール製品である Firepower について、OS バージョンアップを行う方法について記載します。

なお、Firepower にはファイアウォール機能の使用を目的とした ASA OS と、UTM機能の使用を目的とした FTD OS がありますが、ここでは ASA OS がインストールされた Firepower を対象とします。

さらに、ASA OS には GUI 管理ツールである ASDM が含まれていますが、ASDM のバージョンアップ方法についても記載します。

対象環境

本記事の内容は、以下の機器にて動作確認した結果に基づいて作成しています。

  • FPR-1010
    • ASA Version 9.18.3

Firepower ASA OS 起動の仕組み

バージョンアップ方法の前に、Firepower ASA OS 起動の仕組みについて説明します。

Firepower では以下のルールで起動 ASA OS が選択されます。

Firepower の起動 ASA OS 選択ルール
  1. コンフィグでboot system設定があれば、その設定で指定された ASA OS ファイルで起動する
  2. コンフィグでboot system設定が無い場合は、内部にインストールされている ASA OS で起動する

Cisco の一般的なルータの起動 OS 選択と似ている部分もありますが、Firepower では「内部に ASA OS がインストールされている」という点に注意が必要です。boot systemが設定されていない場合や、boot systemが設定されていても指定の ASA OS がフラッシュ内に存在しない場合は内部にインストールされているASA OS で起動します。

boot system設定の仕様についても注意が必要です。これについては後で説明します。

Firepower の ASA OS ファイルのダウンロード

ASA OS ファイルのダウンロードは Cisco の Software Download ページから行います。
※権限のある Cisco アカウントが必要です

Downloads Home > Security > Firewalls > Next-Generation Firewalls (NGFW)」と選択していき、対象の型番を選択します。以下画像では例として Firepower 1000 シリーズの Firepower 1010 を選択しています。

ソフトウェア選択画面で「Adaptive Security Appliance (ASA) Software」をクリックします。

ソフトウェアダウンロードページが表示されるため、任意のバージョンのソフトウェアをダウンロードします。

左側のメニューに表示されているマークは、現時点での Cisco 推奨のバージョンであることを示しています。

ASA OS のバージョンアップ手順

前提

ここでは Firepower への ASA OS ファイルの転送は FTP を利用することとします。よって、Firepower が FTP サーバとネットワーク接続可能であり、FTP サーバに ASA OS ファイルが格納されていることを前提とします。

FTP サーバを手軽に用意する手段として 3CDaemon がインフラ業界のデファクトスタンダードとなっています。

FTP ではなく TFTP でも可能ですが、FTP の方が転送速度が速いので FTP をお勧めします。

フラッシュの空き容量の確認

OS ファイルを Firepower のフラッシュに格納するため、フラッシュの空き容量を確認します。

dir コマンドで確認できます。

ciscoasa# dir

Directory of disk0:/

805391773  drwx  4096         04:18:48 Dec 26 2023  log
269117533  -rw-  116406136    04:20:38 Sep 13 2023  asdm.bin
805391223  drw-  26           19:13:20 Dec 24 2023  coredumpinfo
269117547  drwx  6            19:12:49 Dec 24 2023  packet-tracer
269117548  -rw-  39           20:59:51 Mar 19 2024  snortpacketinfo.conf
269117549  drwx  22           19:12:49 Dec 24 2023  smart-log
2      drwx  4096         19:09:05 Dec 24 2023  cores
269117554  -rw-  4788         20:59:52 Mar 19 2024  asa-cmd-server.log
269117555  -rw-  0            19:11:52 Dec 24 2023  coredumpfsysimage.bin
2      drwx  4096         19:09:05 Dec 24 2023  coredumpfsys
268439884  drwx  6            19:11:51 Dec 24 2023  fxos
805376593  -rw-  1529         01:42:36 Dec 26 2023  cspCfg.xml

5 file(s) total size: 116412492 bytes
16106127360 bytes total (15756853248 bytes free/97% free)

出力一番下の xxxx bytes free のところで空き容量を確認します。上記出力例では十分な空き容量があることを確認できます。

フラッシュへの OS ファイルの格納

ここでは FTP サーバから Firepower のフラッシュに OS ファイルをコピーします。

コピーコマンドは以下の通りです。

FTPサーバからOSファイルをコピー
  • copy ftp://<user名>@<FTPサーバアドレス>/<OSファイル名> disk0:
ciscoasa# copy ftp://user01@192.168.45.111/cisco-asa-fp1k.9.18.3.56.SPA disk0:

Address or name of remote host [192.168.45.111]?

Source username [user01]?

Source password []? ******

Source filename [cisco-asa-fp1k.9.18.3.56.SPA]?

Destination filename [cisco-asa-fp1k.9.18.3.56.SPA]?

Accessing ftp://user01:<password>@192.168.45.111/cisco-asa-fp1k.9.18.3.56.SPA...
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Verifying file disk0:/cisco-asa-fp1k.9.18.3.56.SPA...

Writing file disk0:/cisco-asa-fp1k.9.18.3.56.SPA...

458652672 bytes copied in 72.960 secs (6370176 bytes/sec)

コピーが完了したらdirでフラッシュを確認し、OS ファイルが存在することを確認します。

ciscoasa# dir

Directory of disk0:/

184831  drwx  4096         22:20:01 Mar 19 2024  log
537420302  -rw-  116406136    05:01:45 Aug 09 2023  asdm.bin
269148896  drwx  6            19:12:49 Dec 24 2023  packet-tracer
537420315  -rw-  39           22:15:57 Mar 19 2024  snortpacketinfo.conf
537420316  drwx  22           19:12:49 Dec 24 2023  smart-log
537420319  -rw-  5383         22:15:59 Mar 19 2024  asa-cmd-server.log
537540896  -rw-  0            19:11:52 Dec 24 2023  coredumpfsysimage.bin
2      drwx  4096         19:09:05 Dec 24 2023  coredumpfsys
2      drwx  4096         19:09:05 Dec 24 2023  cores
189471  drw-  26           19:13:20 Dec 24 2023  coredumpinfo
268439884  drwx  6            19:11:51 Dec 24 2023  fxos
805370093  -rw-  1529         22:15:33 Mar 19 2024  cspCfg.xml
537420161  -rwx  458652672    22:29:07 Mar 19 2024  cisco-asa-fp1k.9.18.3.56.SPA

6 file(s) total size: 575065759 bytes
16106127360 bytes total (15298531328 bytes free/94% free)

上の17行目に OS ファイルが存在することを確認できます。

【要注意】起動 OS (boot system) の設定

まず show run boot system を実行し既存の設定が無いことを確認します。

ciscoasa# show run boot system
ciscoasa#

もし boot system 設定が存在していたらその設定を削除します。

ciscoasa# show run boot system
boot system disk0:/cisco-asa-fp1k.9.16.4.SPA
ciscoasa# conf t
ciscoasa(config)# no boot system disk0:/cisco-asa-fp1k.9.16.4.SPA
Operation complete. Running version matched the startup version.

次にグローバルコンフィグモードにて以下コマンドで起動 OS を設定します。

起動 ASA OS の設定
  • boot system disk0:/<OSファイル名>

ただしここで必ずこの設定の意味について理解してから設定を行ってください。

上の方で Firepower ではシステム内部に ASA OS がインストールされていると説明しました。

boot system設定を行うと、単に起動時に使用される OS ファイルが設定されるだけでなく、この設定コマンドを実行した瞬間にシステム内部へのインストール(OS ファイルの検証をした上で解凍してシステム内部のブートロケーションへ配置)が実行されます。

以下の設定実施時のログを見てください。

ciscoasa(config)# boot system disk0:/cisco-asa-fp1k.9.18.3.56.SPA

The system is currently installed with security software package 9.18.3.55, which has:
   - The platform version:  2.12.0.519
   - The CSP (asa) version: 9.18.3.55
Preparing new image for install...
!!!!!!!!!!!!!!!!!!!!!!!!!
Image download complete (Successful unpack the image).
Installation of version 9.18.3.56 will do the following:
   - upgrade to the new platform version 2.12.0.519
   - upgrade to the CSP ASA version 9.18.3.56
After installation is complete, ensure to do write memory and reload to save this config and apply the new image.
Finalizing image install process...

Install_status: ready....
Install_status: validating-images.................
Install_status: upgrading-system...
Install_status: update-software-pack-completed

ソフトウェアのインストールが実施されていることが分かるかと思います。これが何を意味するかというと、再起動後はboot systemで指定したバージョンで起動するということです。

write memory による設定保存をしていないから、再起動すれば設定が元に戻りバージョンは変わらないだろう」という考えは間違いです。設定保存をしていなくても再起動した場合は新バージョンで起動してしまいます。

設定後にキャンセルしたい場合はno boot system ~コマンドで設定を削除します。すると設定を削除した時点でシステム内部にインストールされた OS ファイルはアンインストールされます。

ciscoasa(config)# no boot system disk0:/cisco-asa-fp1k.9.18.3.56.SPA
Operation complete. Running version matched the startup version.

ただし、boot system設定後、機器再起動した後ではboot system設定を削除したとしてもバージョンアップのキャンセルはできない点に注意してください。(システム内部にインストールされた OS は完全に新バージョンに書き換わってしまっているため。)

設定後の確認、設定保存、再起動

boot systemを設定したら、show bootvarコマンドを実行しCurrent BOOT variableboot systemで指定した OS ファイルになっていることを確認します。

ciscoasa# show bootvar

BOOT variable = disk0:/cisco-asa-fp1k.9.18.3.55.SPA
Current BOOT variable = disk0:/cisco-asa-fp1k.9.18.3.56.SPA
CONFIG_FILE variable =
Current CONFIG_FILE variable =

確認できたらwrite memoryで設定を保存します。

ciscoasa# write memory
Building configuration...
Cryptochecksum: 0ccea5a9 6ee13ceb 80780af9 903736b1

12381 bytes copied in 0.450 secs
[OK]

設定保存ができたらreloadで再起動をします。

ciscoasa# reload
Proceed with reload? [confirm]

再起動後のバージョン確認

再起動が完了したらshow versionで起動バージョンを確認します。

ciscoasa# show version

Cisco Adaptive Security Appliance Software Version 9.18(3)56
SSP Operating System Version 2.12(0.519)
Device Manager Version 7.19(1)90

#以下略

新バージョンの ASA OS Version 9.18(3)56 で起動していることが分かります。

(オプション) OS ファイルの削除と boot system 設定の削除

新バージョンの OS ファイルがインストールされた後は、フラッシュ内の OS ファイルとboot system設定は削除しても問題ありません。

OS ファイルの削除
  • delete disk0:/<OSファイル名>
ciscoasa# delete disk0:/cisco-asa-fp1k.9.18.3.56.SPA

Delete filename [cisco-asa-fp1k.9.18.3.56.SPA]?

Delete disk0:/cisco-asa-fp1k.9.18.3.56.SPA? [confirm]
boot system 設定の削除
  • no boot system disk0:/<OSファイル名>
ciscoasa(config)# no boot system disk0:/cisco-asa-fp1k.9.18.3.56.SPA
Operation complete. Running version matched the startup version.

boot system設定を削除せずにフラッシュ内の OS ファイル削除だけを行った場合、再起動時にはboot systemで指定したファイルが見つからないというエラーメッセージが表示されます。ただ問題なくインストールされているバージョンで起動します。

ASDM のバージョン変更方法

ASA OS と ASDM の互換性

ASA OS と ASDM には互換性という概念があり、ASA OS のバージョンによって使用できる ASDM のバージョンが決まっています。以下のページで互換性のあるバージョンを確認できます。

ASDM のファイルとバージョン確認方法

Firepower のフラッシュ内に ASDM ファイルが存在します。

ciscoasa# dir

Directory of disk0:/

147440  drwx  4096         22:20:01 Mar 19 2024  log
537413974  -rw-  116406136    04:20:38 Sep 13 2023  asdm.bin

上記のasdm.binがデフォルトの ASDM のファイルです。ただ、ファイル名からはバージョンを確認することはできません。ASDM のバージョン確認はshow versionでできます。

ciscoasa# show version

Cisco Adaptive Security Appliance Software Version 9.18(3)56
SSP Operating System Version 2.12(0.519)
Device Manager Version 7.19(1)90

#以下略

上のDevice Manager Version 7.19(1)90の部分が ASDM のバージョンです。

ASA OS にはデフォルトで互換性のある ASDM が含まれている

ASA OS のバージョンアップを行った場合は ASDM についても互換性のあるバージョンに変更しなければならないと考えると思いますが、ASA OS ファイルにはデフォルトで互換性のある ASDM が含まれており、ASA OS のバージョンアップを実施すると ASDM のバージョンは自動で互換性のあるバージョンに更新されます。(フラッシュ内の asdm.bin が新しいバージョンに更新される。)

よって、手動で ASDM のバージョンを変更するケースというのは特定バージョンのバグを回避したいときなどに限られるかと思います。

ASDM ファイルのダウンロード

ASDM ファイルは Software Download の Secure Firewall ASDM の [Adaptive Security Appliance (ASA) Device Manager] ページでダウンロードできます。
※権限のある Cisco アカウントが必要です

ASDM ファイルをフラッシュに格納する

ここでは FTP サーバから Firepower のフラッシュに ASDM ファイルをコピーします。

コピーコマンドは以下の通りです。

FTPサーバからASDMファイルをコピー
  • copy ftp://<user名>@<FTPサーバアドレス>/<ASDMファイル名> disk0:
ciscoasa# copy ftp://user01@192.168.45.111/asdm-7202.bin disk0:

Address or name of remote host [192.168.45.111]?

Source username [user01]?

Source password []? ******

Source filename [asdm-7202.bin]?

Destination filename [asdm-7202.bin]?

Accessing ftp://user01:<password>@192.168.45.111/asdm-7202.bin...
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Verifying file disk0:/asdm-7202.bin...

Writing file disk0:/asdm-7202.bin...

115488736 bytes copied in 27.540 secs (4277360 bytes/sec)

コピーが完了したらフラッシュを確認し、ASDM ファイルが存在することを確認します。

ciscoasa# dir

Directory of disk0:/

147440  drwx  4096         22:20:01 Mar 19 2024  log
537413974  -rw-  116406136    04:20:38 Sep 13 2023  asdm.bin
805394835  drw-  26           19:13:20 Dec 24 2023  coredumpinfo
145244  drwx  6            19:12:49 Dec 24 2023  packet-tracer
2      drwx  4096         19:09:05 Dec 24 2023  cores
537413992  -rw-  39           22:47:02 Mar 19 2024  snortpacketinfo.conf
269148876  drwx  22           19:12:49 Dec 24 2023  smart-log
537413993  -rw-  5978         22:47:03 Mar 19 2024  asa-cmd-server.log
537413994  -rw-  0            19:11:52 Dec 24 2023  coredumpfsysimage.bin
2      drwx  4096         19:09:05 Dec 24 2023  coredumpfsys
268439884  drwx  6            19:11:51 Dec 24 2023  fxos
805370094  -rw-  1529         22:46:38 Mar 19 2024  cspCfg.xml
537413989  -rwx  115488736    23:03:42 Mar 19 2024  asdm-7202.bin

6 file(s) total size: 231902418 bytes
16106127360 bytes total (15641481216 bytes free/97% free)

上の17行目の「asdm-7202.bin」がコピーされたファイルです。

使用する ASDM イメージの設定

グローバルコンフィグモードで以下コマンドで ASDM イメージの設定を行います。

ASDMイメージの設定
  • asdm image disk0:/<ASDM ファイル名>
ciscoasa(config)# asdm image disk0:/asdm-7202.bin
ciscoasa(config)#

ASDM のバージョン変更については設定変更後に再起動は必要なく、設定後即時反映されます。

設定変更後バージョン確認します。

ciscoasa(config)# show version

Cisco Adaptive Security Appliance Software Version 9.18(3)56
SSP Operating System Version 2.12(0.519)
Device Manager Version 7.20(2)

#以下略

Device Manager Version 7.20(2) と変わっていることを確認できます。

確認できたら write memory で設定を保存します。

ciscoasa# write memory
Building configuration...
Cryptochecksum: 0ccea5a9 6ee13ceb 80780af9 903736b1

12381 bytes copied in 0.450 secs
[OK]

以上で ASDM のバージョン変更は完了です。

ASDM をデフォルトバージョンに戻したい場合

asdm image設定を削除すれば ASDM をデフォルトバージョンに戻すことができます。

ciscoasa(config)# no asdm image disk0:/asdm-7202.bin
ciscoasa(config)#

以上です。

あわせて読みたい
Cisco Firepower(ASA) スマートライセンス認証マニュアル (Online) 本記事について 本記事では、Cisco システムズ社のファイアウォール製品である Firepower について、オンライン方式でスマートライセンス認証を行う方法について記載し...
あわせて読みたい
Cisco Firepower(ASA) 構築者向け初期設定マニュアル 本記事について 本記事では、Cisco システムズ社のファイアウォール製品である Firepower について、どのような案件でも設定するであろう一般的な設定項目についての設...
あわせて読みたい
【極秘】Cisco Firepower 設計構築マニュアル 基礎知識 https://shadowgarden.org/cisco-firepower-init/ スマートライセンス https://shadowgarden.org/cisco-firepower-license-online/ バージョンアップ https://...
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

コメント

コメントする

目次