Installieren eines SFR-Moduls auf einem ASA 5585-X-Hardwaremodul

Einleitung

Das ASA FirePOWER-Modul, auch bekannt als ASA SFR, bietet Firewall-Services der nächsten Generation wie Next-Generation IPS (NGIPS), Application Visibility and Control (AVC), URL-Filterung und Advanced Malware Protection (AMP). Sie können das Modul im Einzel- oder Mehrfachkontextmodus sowie im gerouteten oder transparenten Modus verwenden. In diesem Dokument werden die Voraussetzungen und der Installationsprozess für ein FirePOWER-Modul (SFR) auf einem ASA 5585-X-Hardwaremodul beschrieben. Außerdem werden die Schritte zum Registrieren eines SFR-Moduls bei FireSIGHT Management Center beschrieben.

Hinweis: Die FirePOWER-Services (SFR) befinden sich auf einem Hardwaremodul der ASA 5585-X, wohingegen die FirePOWER-Services auf den Appliances der Serien ASA 5512-X bis 5555-X auf einem Softwaremodul installiert sind. Dies führt zu Unterschieden bei den Installationsprozessen.

Voraussetzungen

Anforderungen

Die Anweisungen in diesem Dokument erfordern den Zugriff auf den privilegierten EXEC-Modus. Um auf den privilegierten EXEC-Modus zuzugreifen, geben Sie den Befehl enable ein. Wenn kein Kennwort festgelegt wurde, drücken Sie einfach die Eingabetaste.

ciscoasa> enable
Password:
ciscoasa#

Zur Installation von FirePOWER Services auf einer ASA sind die folgenden Komponenten erforderlich:

• ASA Softwareversion 9.2.2 oder höher
• ASA 5585-X-Plattform
• Ein TFTP-Server, der über die Verwaltungsschnittstelle des FirePOWER-Moduls erreichbar ist.
• FireSIGHT Management Center mit Version 5.3.1 oder höher

Hinweis: Die Informationen in diesem Dokument werden von den Geräten in einer bestimmten Laborumgebung erstellt. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.

Konfiguration

Vorbereitungen

Wenn ein ASA SSM immer einen der beiden Steckplätze im ASA 5585-X Chassis belegt und Sie ein anderes Hardwaremodul als das FirePOWER (SFR) Services SSP wie SSP-CX (Context-Aware) oder AIP-SSM (Advanced Inspection and Prevention Security) haben, muss das andere Modul deinstalliert werden, um Platz für SSP-SFR zu schaffen. Führen Sie vor dem Entfernen eines Hardwaremoduls den folgenden Befehl aus, um ein Modul herunterzufahren:

ciscoasa# hw-module module 1 shutdown

Verkabelung und Verwaltung

• Sie können nicht über die Konsole der ASA auf der ASA 5585-X auf den seriellen Port des SFR-Moduls zugreifen.
• Nach der Bereitstellung des SFR-Moduls können Sie mit dem Befehl "session 1" eine Sitzung mit dem Blade herstellen.
• Um ein vollständiges Image des SFR-Moduls auf einer ASA 5585-X zu erstellen, müssen Sie die Ethernet-Management-Schnittstelle und eine Konsolensitzung auf dem seriellen Management-Port verwenden, die sich auf dem SFR-Modul befinden und von der Management-Schnittstelle und Konsole der ASA getrennt sind.

Tipp: Um den Status eines Moduls auf der ASA zu ermitteln, führen Sie den Befehl "show module 1 details" aus, der die Verwaltungs-IP des SFR-Moduls und das zugehörige Defense Center abruft.

Installation des FirePOWER-Moduls (SFR) auf der ASA

1. Laden Sie das erste Bootstrap-Image für das ASA FirePOWER SFR-Modul von Cisco.com auf einen TFTP-Server herunter, auf den über die ASA FirePOWER-Management-Schnittstelle zugegriffen werden kann. Der Abbildname sieht wie "asfr-boot-5.3.1-152.img" aus.

2. Laden Sie die ASA FirePOWER-Systemsoftware von Cisco.com auf einen HTTP-, HTTPS- oder FTP-Server herunter, auf den Sie über die ASA FirePOWER-Management-Schnittstelle zugreifen können.

3. SFR-Modul neu starten

Option 1: Wenn Sie nicht über das Kennwort für das SFR-Modul verfügen, können Sie den folgenden Befehl von der ASA ausgeben, um das Modul neu zu starten.

ciscoasa# hw-module module 1 reload 
Reload module 1? [confirm]
Reload issued for module 1

Option 2: Wenn Sie das Kennwort für das SFR-Modul besitzen, können Sie den Sensor direkt über die Befehlszeile neu starten.

Sourcefire3D login: admin
Password:

Sourcefire Linux OS v5.3.1 (build 43)
Sourcefire ASA5585-SSP-10 v5.3.1 (build 152)

> system reboot

4. Unterbrechen Sie den Bootvorgang des SFR-Moduls mithilfe von ESCAPE oder der Unterbrechungssequenz Ihrer Terminalsitzungssoftware, um das Modul in ROMMON zu platzieren.

The system is restarting...
CISCO SYSTEMS
Embedded BIOS Version 2.0(14)1 15:16:31 01/25/14


     
     

Cisco Systems ROMMON Version (2.0(14)1) #0: Sat Jan 25 16:44:38 CST 2014

Platform ASA 5585-X FirePOWER SSP-10, 8GE

Use BREAK or ESC to interrupt boot.
Use SPACE to begin boot immediately.
Boot in 8 seconds.

Boot interrupted.

Management0/0
Link is UP
MAC Address: xxxx.xxxx.xxxx

Use ? for help.

rommon #0>

5. Konfigurieren Sie die SFR-Modulverwaltungsschnittstelle mit einer IP-Adresse, und geben Sie den Speicherort des TFTP-Servers und des TFTP-Pfads zum Bootstrap-Image an. Geben Sie die folgenden Befehle ein, um eine IP-Adresse für die Schnittstelle festzulegen und das TFTP-Image abzurufen:

• setzen
• ADDRESS = Ihre_IP_Adresse
• GATEWAY = Ihr_Gateway
• SERVER = Ihr_TFTP_Server
• IMAGE = Ihr_TFTP_Dateipfad
• Synchronisierung
• tftp

! Beispiele für verwendete IP-Adressinformationen. Aktualisieren Sie für Ihre Umgebung.

rommon #1> ADDRESS=198.51.100.3
rommon #2> GATEWAY=198.51.100.1
rommon #3> SERVER=198.51.100.100
rommon #4> IMAGE=/tftpboot/asasfr-boot-5.3.1-152.img
rommon #5> sync

Updating NVRAM Parameters...

rommon #6> tftp
ROMMON Variable Settings:
  ADDRESS=198.51.100.3
  SERVER=198.51.100.100
  GATEWAY=198.51.100.1
  PORT=Management0/0
  VLAN=untagged
  IMAGE=/tftpboot/asasfr-boot-5.3.1-152.img
  CONFIG=
  LINKTIMEOUT=20
  PKTTIMEOUT=4
  RETRY=20

tftp /tftpboot/asasfr-boot-5.3.1-152.img@198.51.100.100 via 198.51.100.1
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
<truncated output>

Received 41235627 bytes

Launching TFTP Image...

Execute image at 0x14000

6. Melden Sie sich beim ersten Boot-Image an. Melden Sie sich als admin und mit dem Kennwort Admin123 an.

Cisco ASA SFR Boot Image 5.3.1

asasfr login: admin
Password:

            Cisco ASA SFR Boot 5.3.1 (152)
                  Type ? for list of commands

 
7. Verwenden Sie das erste Boot-Image, um eine IP-Adresse auf der Verwaltungsschnittstelle des Moduls zu konfigurieren. Geben Sie den Befehl setup ein, um den Assistenten aufzurufen. Sie werden zur Eingabe der folgenden Informationen aufgefordert:

• Hostname: Bis zu 65 alphanumerische Zeichen, keine Leerzeichen. Bindestriche sind zulässig.
• Netzwerkadresse: Sie können statische IPv4- oder IPv6-Adressen festlegen oder die automatische DHCP- (für IPv4) oder IPv6-Stateless-Konfiguration verwenden.
• DNS-Informationen: Sie müssen mindestens einen DNS-Server identifizieren und können auch den Domänennamen und die Suchdomäne festlegen.
• NTP-Informationen: Sie können das NTP aktivieren und die NTP-Server konfigurieren, um die Systemzeit festzulegen.

! Verwendete Beispielinformationen. Aktualisieren Sie für Ihre Umgebung.

asasfr-boot>setup

                         Welcome to SFR Setup
                          [hit Ctrl-C to abort]
                        Default values are inside []

Enter a hostname [asasfr]: sfr-module-5585
Do you want to configure IPv4 address on management interface?(y/n) [Y]: Y
Do you want to enable DHCP for IPv4 address on management interface?(y/n) [N]: N
Enter an IPv4 address [192.168.8.8]: 198.51.100.3
Enter the netmask [255.255.255.0]: 255.255.255.0
Enter the gateway [192.168.8.1]: 198.51.100.1
Do you want to configure static IPv6 address on management interface?(y/n) [N]: N
Stateless autoconfiguration will be enabled for IPv6 addresses.
Enter the primary DNS server IP address: 198.51.100.15
Do you want to configure Secondary DNS Server? (y/n) [n]: N
Do you want to configure Local Domain Name? (y/n) [n]: N
Do you want to configure Search domains? (y/n) [n]: N
Do you want to enable the NTP service? [Y]: N

Please review the final configuration:
Hostname:               sfr-module-5585
Management Interface Configuration

IPv4 Configuration:     static
        IP Address:     198.51.100.3
        Netmask:        255.255.255.0
        Gateway:        198.51.100.1

IPv6 Configuration:     Stateless autoconfiguration

DNS Configuration:
        DNS Server:     198.51.100.15

Apply the changes?(y,n) [Y]: Y
Configuration saved successfully!
Applying...
Restarting network services...
Restarting NTP service...
Done.

 
8. Verwenden Sie das Boot-Image, um das Systemsoftware-Image mit dem Befehl system install zu laden und zu installieren. Fügen Sie die Option noconfirm hinzu, wenn Sie nicht auf Bestätigungsnachrichten antworten möchten. Ersetzen Sie das url-Schlüsselwort durch den Speicherort der .pkg-Datei.

asasfr-boot> system install [noconfirm] url

Beispiele,

> system install http://Server_IP_Address/asasfr-sys-5.3.1-152.pkg

Verifying     
Downloading     
Extracting     

Package Detail
Description:                    Cisco ASA-SFR 5.3.1-152 System Install
Requires reboot:                Yes

Do you want to continue with upgrade? [y]: Y
Warning: Please do not interrupt the process or turn off the system.
Doing so might leave system in unusable state.

Upgrading     
Starting upgrade process ...
Populating new system image ...

Hinweis: Wenn die Installation in 20 bis 30 Minuten abgeschlossen ist, werden Sie aufgefordert, die Eingabetaste zu drücken, um einen Neustart durchzuführen. Die Installation der Anwendungskomponenten und das Starten der ASA FirePOWER-Services dauert mindestens 10 Minuten. Die Ausgabe von show module 1 details sollte alle Prozesse als Up anzeigen.

Modulstatus während der Installation

ciscoasa# show module 1 details

Getting details from the Service Module, please wait...
Unable to read details from module 1

Card Type:          ASA 5585-X FirePOWER SSP-10, 8GE
Model:              ASA5585-SSP-SFR10
Hardware version:   1.0
Serial Number:      JAD18400028
Firmware version:   2.0(14)1
Software version:   5.3.1-152
MAC Address Range:  58f3.9ca0.1190 to 58f3.9ca0.119b
App. name:          ASA FirePOWER
App. Status:        Not Applicable
App. Status Desc:   Not Applicable
App. version:       5.3.1-152
Data Plane Status:  Not Applicable
Console session:    Not ready
Status:             Unresponsive

Modulstatus nach erfolgreicher Installation

ciscoasa# show module 1 details
 
Getting details from the Service Module, please wait...

Card Type:          ASA 5585-X FirePOWER SSP-10, 8GE
Model:              ASA5585-SSP-SFR10
Hardware version:   1.0
Serial Number:      JAD18400028
Firmware version:   2.0(14)1
Software version:   5.3.1-152
MAC Address Range:  58f3.9ca0.1190 to 58f3.9ca0.119b
App. name:          ASA FirePOWER
App. Status:        Up
App. Status Desc:   Normal Operation
App. version:       5.3.1-152
Data Plane Status:  Up
Console session:    Ready
Status:             Up
DC addr:            No DC Configured                                            
Mgmt IP addr:       192.168.45.45                                               
Mgmt Network mask:  255.255.255.0                                               
Mgmt Gateway:       0.0.0.0                                                     
Mgmt web ports:     443                                                         
Mgmt TLS enabled:   true

Konfiguration

Konfigurieren der FirePOWER-Software

1. Sie können eine Verbindung zum ASA 5585-X FirePOWER-Modul über einen der folgenden externen Ports herstellen:

• ASA FirePOWER-Konsolen-Port
• ASA FirePOWER Management 1/0-Schnittstelle mit SSH

Hinweis: Sie können mit dem Befehl session sfr nicht über die ASA-Backplane auf die Kommandozeile des ASA FirePOWER-Hardwaremoduls zugreifen.

2. Melden Sie sich nach dem Zugriff auf das FirePOWER-Modul über die Konsole mit dem Benutzernamen admin und dem Kennwort Sourcefire an.

Sourcefire3D login: admin
Password: 

Last login: Fri Jan 30 14:00:51 UTC 2015 on ttyS0

Copyright 2001-2013, Sourcefire, Inc. All rights reserved. Sourcefire is a registered
 trademark of Sourcefire, Inc. All other trademarks are property of their respective
 owners.

Sourcefire Linux OS v5.3.1 (build 43)
Sourcefire ASA5585-SSP-10 v5.3.1 (build 152)

Last login: Wed Feb 18 14:22:19 on ttyS0

System initialization in progress.  Please stand by.  
You must configure the network to continue.
You must configure at least one of IPv4 or IPv6.
Do you want to configure IPv4? (y/n) [y]: y
Do you want to configure IPv6? (y/n) [n]: n
Configure IPv4 via DHCP or manually? (dhcp/manual) [manual]: dhcp
If your networking information has changed, you will need to reconnect.
[1640209.830367] ADDRCONF(NETDEV_UP): eth0: link is not ready
[1640212.873978] e1000e: eth0 NIC Link is Up 1000 Mbps Full Duplex, Flow Control: None
[1640212.966250] ADDRCONF(NETDEV_CHANGE): eth0: link becomes ready
For HTTP Proxy configuration, run 'configure network http-proxy'

This sensor must be managed by a Defense Center.  A unique alphanumeric registration
 key is always required.  In most cases, to register a sensor to a Defense Center,
 you must provide the hostname or the IP address along with the registration key.
 'configure manager add [hostname | ip address ] [registration key ]'

However, if the sensor and the Defense Center are separated by a NAT device, you
 must enter a unique NAT ID, along with the unique registration key. 'configure
 manager add DONTRESOLVE [registration key ] [ NAT ID ]'

Later, using the web interface on the Defense Center, you must use the same
 registration key and, if necessary, the same NAT ID when you add this
 sensor to the Defense Center.

> 

Konfigurieren von FireSIGHT Management Center

Um ein ASA FirePOWER-Modul und Sicherheitsrichtlinien zu verwalten, müssen Sie es bei einem FireSIGHT Management Center registrieren. Folgendes ist mit einem FireSIGHT Management Center nicht möglich:

• ASA FirePOWER-Schnittstellen können nicht konfiguriert werden.
• ASA FirePOWER-Prozesse können nicht heruntergefahren, neu gestartet oder anderweitig verwaltet werden.
• Es können keine Backups von ASA FirePOWER-Geräten erstellt oder Backups auf ASA FirePOWER-Geräten wiederhergestellt werden.
• Es können keine Zugriffskontrollregeln geschrieben werden, um den Datenverkehr mithilfe von VLAN-Tag-Bedingungen abzugleichen.

Umleiten von Datenverkehr an SFR-Modul

Sie leiten den Datenverkehr an das ASA FirePOWER-Modul um, indem Sie eine Service-Richtlinie zur Identifizierung des spezifischen Datenverkehrs erstellen. Führen Sie die folgenden Schritte aus, um den Datenverkehr an ein FirePOWER-Modul umzuleiten:

Schritt 1: Datenverkehr auswählen

Wählen Sie zuerst den Datenverkehr mithilfe des Befehls access-list aus. Im folgenden Beispiel leiten wir den gesamten Datenverkehr von allen Schnittstellen um. Sie können dies auch für bestimmten Datenverkehr tun.

ciscoasa(config)# access-list sfr_redirect extended permit ip any any

Schritt 2: Zuordnung des Datenverkehrs

Das folgende Beispiel zeigt, wie eine Klassenzuordnung erstellt und der Datenverkehr in einer Zugriffsliste zugeordnet wird:

ciscoasa(config)# class-map sfr
ciscoasa(config-cmap)# match access-list sfr_redirect

Schritt 3: Aktion angeben

Sie können Ihr Gerät entweder in einer passiven ("Monitor-only") oder Inline-Bereitstellung konfigurieren. Sie können auf der ASA nicht gleichzeitig den Nur-Monitor-Modus und den normalen Inline-Modus konfigurieren. Es ist nur ein Typ von Sicherheitsrichtlinie zulässig.

Inline-Modus

In einer Inline-Bereitstellung wird der Datenverkehr nach dem Verwerfen unerwünschten Datenverkehrs und Durchführen anderer, von der Richtlinie angewendeter Aktionen zur weiteren Verarbeitung und Übertragung an die ASA zurückgeleitet. Das folgende Beispiel zeigt, wie Sie eine Richtlinienzuordnung erstellen und das FirePOWER-Modul im Inline-Modus konfigurieren:

ciscoasa(config)# policy-map global_policy
ciscoasa(config-pmap)# class sfr
ciscoasa(config-pmap-c)# sfr fail-open

Passiver Modus

In einer passiven Bereitstellung

• Eine Kopie des Datenverkehrs wird an das Gerät gesendet, aber nicht an die ASA zurückgegeben.
• Im passiven Modus können Sie sehen, was das Gerät mit dem Datenverkehr gemacht hätte, und können den Inhalt des Datenverkehrs auswerten, ohne das Netzwerk zu beeinträchtigen.

Wenn Sie das FirePOWER-Modul im passiven Modus konfigurieren möchten, verwenden Sie das Schlüsselwort monitor-only (nur überwachen) wie unten beschrieben. Wenn Sie das Schlüsselwort nicht angeben, wird der Datenverkehr im Inline-Modus gesendet.

ciscoasa(config-pmap-c)# sfr fail-open monitor-only

Schritt 4: Speicherort angeben

Der letzte Schritt besteht in der Anwendung der Richtlinie. Sie können eine Richtlinie global oder auf einer Schnittstelle anwenden. Sie können die globale Richtlinie für eine Schnittstelle überschreiben, indem Sie eine Dienstrichtlinie auf diese Schnittstelle anwenden. 

Das globale Schlüsselwort wendet die Richtlinienzuordnung auf alle Schnittstellen an, und interface wendet die Richtlinie auf eine Schnittstelle an. Es ist nur eine globale Richtlinie zulässig. Im folgenden Beispiel wird die Richtlinie global angewendet:

ciscoasa(config)# service-policy global_policy global

Achtung: Die Richtlinienzuordnung global_policy ist eine Standardrichtlinie. Wenn Sie diese Richtlinie verwenden und diese Richtlinie auf Ihrem Gerät zu Fehlerbehebungszwecken entfernen möchten, stellen Sie sicher, dass Sie die Auswirkungen verstehen.

Zugehöriges Dokument

• Registrieren eines Geräts bei einem FireSIGHT Management Center
• Bereitstellung von FireSIGHT Management Center auf VMware ESXi
• IPS-Management-Konfigurationsszenarien für ein 5500-X IPS-Modul