¿Qué factores impulsan una actualización de Cisco IOS?


19

En orden de preferencia / prioridad, ¿qué factores considera al impulsar una actualización (o degradación) con Cisco IOS? Si no existen factores convincentes, ¿cuánto tiempo permitiría que una versión particular de IOS permanezca en funcionamiento? He visto algunos interruptores con tiempos de actividad> 5 años.

Y al actualizar, ¿cómo se identifica la versión específica de IOS como el objetivo de actualización?

Respuestas:


27

En orden de preferencia / prioridad, nuestra empresa tiende a actualizarse en función de estos factores:

  • Vulnerabilidades, vulnerabilidades, vulnerabilidades!
  • Loco
  • Alcanzar nuevas funciones que no están disponibles actualmente: las nuevas tarjetas / módulos tienen una versión de IOS "admitida por primera vez" que podría ser superior a la que está ejecutando
  • Migrar lejos de trenes de liberación retirados
  • Versiones coincidentes en hardware implementado más recientemente y similar

Un dispositivo que es muy crítico para la infraestructura puede no ser tan agresivamente actualizado como uno que es menos crítico. Se considera la función del dispositivo, la redundancia que lo rodea y el impacto de la actualización en sí por el tiempo de inactividad incurrido o por la posibilidad de tener cambios en el comportamiento de las funciones de configuración o diferentes valores predeterminados al pasar entre versiones principales. Esta es la pregunta de necesidad que también toca los costos blandos, como el tiempo y los recursos para lograr las actualizaciones medidas en función del peso otorgado a cada uno de los factores, como las vulnerabilidades.

Asegúrese de suscribirse a múltiples sitios de anuncios de vulnerabilidad, como Cisco PSIRT (Equipo de respuesta a incidentes de seguridad del producto) y el Certificado de EE. UU. (Equipo de preparación para emergencias informáticas).

Una rebaja podría estar en orden si:

  • La organización tiene una política para ejecutar solo versiones probadas / de control de calidad y el nuevo equipo llegó con un lanzamiento más reciente.
  • Org tiene una política contra ejecutar cualquier cosa que no sea GD.

  • Use el intérprete de salida de Cisco de "show version" para buscar problemas obvios / vulnerabilidades / errores.
  • Busque las versiones de GD (implementación general) y evite DF (diferido).
  • Use ED (implementación temprana) solo cuando contenga funciones imprescindibles que no están disponibles en otros lugares.
  • Evite LD (Implementación limitada) cuando sea posible y use GD en su lugar.

Ciertamente hay argumentos para ir a una versión ED o LD, pero el deseo, por supuesto, es llegar a la versión más estable que cumpla con los requisitos. Utilice el navegador de funciones de Cisco para ayudar a identificar conjuntos de funciones potencialmente diferentes (suponiendo que tenga licencia para usarlos).


3
Ampliando sobre "Alcanzar nuevas funciones", destacaría el hecho de que las nuevas tarjetas / módulos tienen una versión de IOS "admitida por primera vez" que podría ser superior a la que está ejecutando.
Mike Marotta

2
Agregaría que depende de cuán crítico sea el equipo y si es redundante o no. Por ejemplo, si es su conmutador central, y por alguna razón, solo tiene uno, entonces NO querrá actualizar, a menos que TENGA que hacerlo, y tal vez no a la versión más reciente, sino a la versión más ESTABLE.
Pseudocyber

2
Hubiera dicho: 1. Vulnerabilidades 2. Vulnerabilidades 3. Vulnerabilidades 4. Errores
Paul Gear

Excelentes puntos por todos. Doblado de nuevo en respuesta.
generalnetworkerror

8

Te perdiste, necesidad

Un interruptor en un armario de escobas viejo y polvoriento probablemente no necesite su IOS actualizado al último IOS para soluciones de seguridad y nuevas características, si solo tiene una impresora de inyección de tinta de 10 años.

También debe comentar cuándo no actualizar , ya que puede ser una pérdida de tiempo, recursos humanos y causar tiempo de inactividad al saltar entre versiones principales que pueden hacer que las funciones ya no funcionen o que la sintaxis de configuración haya cambiado, y así sucesivamente.


Puntos incorporados en la respuesta.
generalnetworkerror

Existen dispositivos de red para conectar cosas, ignorando la seguridad solo porque un dispositivo está "aislado" ha quemado a muchas compañías. Con una política de cambio bien administrada, la actualización es un costo pequeño, y la consistencia obtenida solo puede pagar fácilmente el costo.
LapTop006

1
@ LapTop006 Ese fue un ejemplo poco convencional, sin embargo, mi punto fue que no siempre debes actualizar "porque puedes", o si realmente no tienes una buena razón para hacerlo.
jwbensley 01 de

1

Todos muy buenos comentarios. También he visto resultados de estandarización de red y pruebas de IOS que pueden ayudar a impulsar la actualización de iOS.

Estoy de acuerdo en que las vulnerabilidades son altas en la lista, pero también depende del tipo de red y del tipo de tráfico.

Por ejemplo, una institución financiera estaría más preocupada por la seguridad y las vulnerabilidades que otro tipo de red que podría estar más preocupada por los errores una vez que son golpeados con uno, lo que impulsa el cambio.

Además de esto, también es mejor deshabilitar los servicios no necesarios en la red o en los dispositivos.

Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.