Installer et configurer d’un module de services FirePOWER sur une plateforme ASA

Introduction

Ce document décrit comment installer et configurer un module Cisco FirePOWER (SFR) sur un Cisco ASA et enregistrer le module SFR avec Cisco FireSIGHT.

Conditions préalables

Exigences

Cisco recommande que votre système satisfasse à ces exigences avant d'essayer les procédures décrites dans ce document :

• Vérifiez que vous disposez d'au moins 3 Go d'espace libre sur le lecteur flash (disk0), en plus de la taille du logiciel de démarrage.
• Vérifiez que vous avez accès au mode d’exécution privilégié. Pour accéder au mode d’exécution privilégié, entrez la enable commande dans l’interface de ligne de commande. Si aucun mot de passe n'a été défini, appuyez sur Enter:
  

  ciscoasa> enable
  Password:
  ciscoasa# 

Composants utilisés

Afin d'installer les services FirePOWER sur un Cisco ASA, ces composants sont requis :

• Logiciel Cisco ASA version 9.2.2 ou ultérieure
• Plates-formes Cisco ASA 5512-X à 5555-X
• Logiciel FirePOWER version 5.3.1 ou ultérieure

Remarque : si vous souhaitez installer les services FirePOWER (SFR) sur un module matériel ASA 5585-X, reportez-vous à la section Installation d'un module SFR sur un module matériel ASA 5585-X.

Les composants suivants sont requis sur Cisco FireSIGHT Management Center :

• Logiciel FirePOWER version 5.3.1 ou ultérieure
• FireSIGHT Management Center FS2000, FS4000 ou appliance virtuelle

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

Informations générales

Le module Cisco ASA FirePOWER (également appelé ASA SFR) fournit des services de pare-feu de nouvelle génération, tels que :

• Système de prévention des intrusions de nouvelle génération (NGIPS)
• Visibilité et contrôle des applications (AVC)
• Filtrer les URL
• Advanced Malware Protection (AMP)

Remarque : vous pouvez utiliser le module ASA SFR en mode de contexte unique ou multiple, et en mode routé ou transparent.

Avant de commencer

Tenez compte de ces informations importantes avant d'essayer les procédures décrites dans ce document :

• Si vous disposez d'une stratégie de service active qui redirige le trafic vers un module IPS/CX (Intrusion Prevention System)/Context Aware (que vous avez remplacé par ASA SFR), vous devez la supprimer avant de configurer la stratégie de service ASA SFR.
• Vous devez arrêter tous les autres modules logiciels qui s'exécutent actuellement. Un périphérique peut exécuter un seul module logiciel à la fois. Vous devez effectuer cette opération à partir de l'interface de ligne de commande ASA. Par exemple, ces commandes arrêtent et désinstallent le module logiciel IPS, puis rechargent l'ASA :
  

  ciscoasa# sw-module module ips shutdown
  ciscoasa# sw-module module ips uninstall
  ciscoasa# reload

• Les commandes utilisées pour supprimer le module CX sont les mêmes, à ceci près que le mot-cxscclé est utilisé à la place de ips:

  ciscoasa# sw-module module cxsc shutdown
  ciscoasa# sw-module module cxsc uninstall
  ciscoasa# reload

• Lorsque vous réinstallez un module, utilisez les mêmes commandes shutdown et uninstall que celles utilisées pour supprimer une ancienne image SFR. Voici un exemple :
  

  ciscoasa# sw-module module sfr uninstall

• Si le module ASA SFR est utilisé en mode de contexte multiple, exécutez les procédures décrites dans ce document dans l'espace d'exécution du système.

Conseil : pour déterminer l'état d'un module sur l'ASA, entrez la show module commande.

Install 

Cette section décrit comment installer le module SFR sur l'ASA et comment configurer l'image de démarrage ASA SFR.

Installation du module SFR sur l'ASA

Complétez ces étapes afin d'installer le module SFR sur l'ASA :

1. Téléchargez le logiciel système ASA SFR à partir du site Cisco.com sur un serveur HTTP, HTTPS ou FTP accessible depuis l'interface de gestion ASA SFR.
2. Téléchargez l'image de démarrage sur le périphérique. Vous pouvez utiliser Cisco Adaptive Security Device Manager (ASDM) ou l'interface de ligne de commande ASA afin de télécharger l'image de démarrage sur le périphérique.

   Remarque : ne transférez pas le logiciel système ; il sera téléchargé ultérieurement sur le disque SSD (Solid State Drive).

   Complétez ces étapes afin de télécharger l'image de démarrage via l'ASDM :
   1. Téléchargez l'image de démarrage sur votre station de travail ou placez-la sur un serveur FTP, TFTP, HTTP, HTTPS, SMB (Server Message Block) ou SCP (Secure Copy).
   2. SélectionnezTools > File Management dans l'ASDM.
   3. Choisissez la commande File Transfer appropriée, soit Between Local PC and Flash ou Between Remote Server and Flash.
   4. Transférez le logiciel de démarrage sur le lecteur flash (disk0) sur l'ASA.

   Complétez ces étapes afin de télécharger l'image de démarrage via l'interface de ligne de commande ASA :

   1. Téléchargez l'image de démarrage sur un serveur FTP, TFTP, HTTP ou HTTPS.
   2. Entrez la copy commande dans l'interface de ligne de commande afin de télécharger l'image de démarrage sur le lecteur flash.

      Voici un exemple qui utilise le protocole HTTP (remplacez le par votre adresse IP de serveur ou votre nom d'hôte). Pour le serveur FTP, l'URL ressemble à ceci :ftp://username:password@server-ip/asasfr-5500x-boot-5.3.1-152.img .

      ciscoasa# copy http:// 
               /asasfr-5500x-boot-5.3.1-152.img
       disk0:/asasfr-5500x-boot-5.3.1-152.img

3. Entrez cette commande afin de configurer l'emplacement de l'image de démarrage ASA SFR dans le lecteur flash ASA :
   

   ciscoasa# sw-module module sfr recover configure image disk0:/file_path

   
   

   Voici un exemple :

   ciscoasa# sw-module module sfr recover configure image disk0:
    /asasfr-5500x-boot-5.3.1-152.img

4. Entrez cette commande afin de charger l'image de démarrage ASA SFR :
   

   ciscoasa# sw-module module sfr recover boot

   
   

   Pendant ce temps, si vous activez debug module-boot sur l'ASA, ces débogages sont imprimés :

   Mod-sfr 788> *** EVENT: Creating the Disk Image...
   Mod-sfr 789> *** TIME: 05:50:26 UTC Jul 1 2014
   Mod-sfr 790> ***
   Mod-sfr 791> ***
   Mod-sfr 792> *** EVENT: The module is being recovered.
   Mod-sfr 793> *** TIME: 05:50:26 UTC Jul 1 2014
   Mod-sfr 794> ***
   ...
   Mod-sfr 795> ***
   Mod-sfr 796> *** EVENT: Disk Image created successfully.
   Mod-sfr 797> *** TIME: 05:53:06 UTC Jul 1 2014
   Mod-sfr 798> ***
   Mod-sfr 799> ***
   Mod-sfr 800> *** EVENT: Start Parameters: Image: /mnt/disk0/vm/vm_3.img,
    ISO: -cdrom /mnt/disk0
   Mod-sfr 801> /asasfr-5500x-boot-5.3.1-152.img, Num CPUs: 6, RAM: 7659MB,
    Mgmt MAC: A4:4C:11:29:
   Mod-sfr 802> CC:FB, CP MAC: 00:00:00:04:00:01, HDD: -drive file=/dev/md0,
    cache=none,if=virtio,
   Mod-sfr 803> Dev
   Mod-sfr 804> ***
   Mod-sfr 805> *** EVENT: Start Parameters Continued: RegEx Shared Mem:
    32MB, Cmd Op: r, Shared M
   Mod-sfr 806> em Key: 8061, Shared Mem Size: 64, Log Pipe: /dev/ttyS0_vm3,
    Sock: /dev/ttyS1_vm3,
   Mod-sfr 807>  Mem-Path: -mem-path /hugepages
   Mod-sfr 808> *** TIME: 05:53:06 UTC Jul 1 2014
   Mod-sfr 809> ***
   Mod-sfr 810> IVSHMEM: optarg is key=8061,64,unix:/tmp/nahanni, name is,
    key is 8061, size is 6
   ...
   Mod-sfr 239> Starting Advanced Configuration and Power Interface daemon:
    acpid.
   Mod-sfr 240> acpid: starting up with proc fs
   Mod-sfr 241> acpid: opendir(/etc/acpi/events): No such file or directory
   Mod-sfr 242> starting Busybox inetd: inetd... done.
   Mod-sfr 243> Starting ntpd: done
   Mod-sfr 244> Starting syslogd/klogd: done
   Mod-sfr 245>
   Cisco ASA SFR Boot Image 5.3.1

5. Attendez environ 5 à 15 minutes que le module ASA SFR démarre, puis ouvrez une session en mode console sur l'image de démarrage ASA SFR opérationnelle.

Configuration de l'image de démarrage ASA SFR

Complétez ces étapes afin de configurer l'image de démarrage ASA SFR nouvellement installée :

1. Appuyez sur Enter après avoir ouvert une session afin d'accéder à l'invite de connexion.

   Remarque : le nom d'utilisateur par défaut est admin. Le mot de passe diffère en fonction de la version logicielle :Adm!n123 pour 7.0.1 (nouveau périphérique à partir de l'usine uniquement), Admin123 pour 6.0 et versions ultérieures, Sourcefire pour les versions antérieures à 6.0.

   Voici un exemple :

   ciscoasa# session sfr console
   Opening console session with module sfr.
   Connected to module sfr. Escape character sequence is 'CTRL-^X'.
   
   Cisco ASA SFR Boot Image 5.3.1
   asasfr login: admin
   Password: Admin123

   Conseil : si le démarrage du module ASA SFR n'est pas terminé, la commande session échoue et un message apparaît pour indiquer que le système ne peut pas se connecter via TTYS1. Dans ce cas, attendez que le démarrage du module soit terminé et réessayez.

2. Entrez la commande setup afin de configurer le système afin que vous puissiez installer le package logiciel du système :
   

   asasfr-boot> setup
                            Welcome to SFR Setup
                             [hit Ctrl-C to abort]
                           Default values are inside []

   
   

   Vous êtes ensuite invité à saisir ces informations :

   • Host name - Le nom d'hôte peut contenir jusqu'à 65 caractères alphanumériques, sans espaces. L'utilisation de tirets est autorisée.
   • Network address - L'adresse réseau peut être statique IPv4 ou IPv6. Vous pouvez également utiliser DHCP pour la configuration automatique sans état IPv4 ou IPv6.
   • DNS information - Vous devez identifier au moins un serveur DNS (Domain Name System) et vous pouvez également définir le nom de domaine et le domaine de recherche.
   • NTP information - Vous pouvez activer le protocole NTP (Network Time Protocol) et configurer les serveurs NTP afin de définir l'heure système.
3. Entrez la system install commande afin d'installer l'image du logiciel système :
   

   asasfr-boot >system install [noconfirm] url

   Incluez cette noconfirm option si vous ne souhaitez pas répondre aux messages de confirmation. Remplacez le mot-urlclé par l'emplacement du .pkg fichier. Vous pouvez également utiliser un serveur FTP, HTTP ou HTTPS. Voici un exemple :

   
   

   asasfr-boot >system install http:// 
          /asasfr-sys-5.3.1-152.pkg
   Verifying
   Downloading
   Extracting
   
   
   Package Detail
           Description: Cisco ASA-FirePOWER 5.3.1-152 System Install
           Requires reboot: Yes
   
   Do you want to continue with upgrade? [y]: y
   Warning: Please do not interrupt the process or turn off the system. Doing so
    might leave system in unusable state.
   
   
   Upgrading
   Starting upgrade process ...
   Populating new system image
   
   Reboot is required to complete the upgrade. Press 'Enter' to reboot the system.
   (press Enter)
   
   Broadcast message from root (ttyS1) (Mon Jun 23 09:28:38 2014):
   The system is going down for reboot NOW!
   Console session with module sfr terminated.

Pour le serveur FTP, l'URL ressemble à ceci :ftp://username:password@server-ip/asasfr-sys-5.3.1-152.pkg.

Remarque Le SFR est à l'état "Recover" pendant le processus d'installation. L'installation du module SFR peut prendre jusqu'à une heure environ.   Une fois l'installation terminée, le système redémarre. Attendez dix minutes ou plus pour l'installation du composant d'application et le démarrage des services ASA SFR. Le résultat de la show module sfr commande indique que tous les processus sont Upconfigurés.

Configurer

Cette section décrit comment configurer le logiciel FirePOWER et FireSIGHT Management Center, et comment rediriger le trafic vers le module SFR.

Configuration du logiciel FirePOWER

Complétez ces étapes afin de configurer le logiciel FirePOWER :

1. Ouvrez une session sur le module ASA SFR.
   

   Remarque : une autre invite de connexion s'affiche maintenant, car la connexion s'effectue sur un module entièrement fonctionnel.

   Voici un exemple :

   
   

   ciscoasa# session sfr
   Opening command session with module sfr.
   Connected to module sfr. Escape character sequence is 'CTRL-^X'.
   Sourcefire ASA5555 v5.3.1 (build 152)
   Sourcefire3D login:

2. Connectez-vous avec le nom d'utilisateur admin et le mot de passe diffèrent selon la version du logiciel :Adm!n123 pour 7.0.1 (nouveau périphérique d'usine uniquement), Admin123 pour 6.0 et versions ultérieures,Sourcefire pour les versions antérieures à 6.0.
3. Complétez la configuration du système comme vous y êtes invité, dans l'ordre suivant :
   1. Lisez et acceptez le Contrat de licence de l'utilisateur final (CLUF).
   2. Modifiez le mot de passe admin.
   3. Configurez l'adresse de gestion et les paramètres DNS, comme vous y êtes invité.

      Remarque : vous pouvez configurer les adresses de gestion IPv4 et IPv6.

   Voici un exemple :

   
   

   System initialization in progress. Please stand by. You must change the password
    for 'admin' to continue. Enter new password: <new password>
   Confirm new password: <repeat password>
   You must configure the network to continue.
   You must configure at least one of IPv4 or IPv6.
   Do you want to configure IPv4? (y/n) [y]: y
   Do you want to configure IPv6? (y/n) [n]:
   Configure IPv4 via DHCP or manually? (dhcp/manual) [manual]:
   Enter an IPv4 address for the management interface [192.168.45.45]:198.51.100.3
   Enter an IPv4 netmask for the management interface [255.255.255.0]: 255.255.255.0
   Enter the IPv4 default gateway for the management interface []: 198.51.100.1
   Enter a fully qualified hostname for this system [Sourcefire3D]: asasfr.example.com
   Enter a comma-separated list of DNS servers or 'none' []:
    198.51.100.15, 198.51.100.14
   Enter a comma-separated list of search domains or 'none' [example.net]: example.com
   If your networking information has changed, you will need to reconnect.
   For HTTP Proxy configuration, run 'configure network http-proxy'

4. Attendez que le système se reconfigure.

Configuration de FireSIGHT Management Center

Pour gérer un module ASA SFR et une stratégie de sécurité, vous devez l'enregistrer auprès d'un FireSIGHT Management Center. Référez-vous à Enregistrer un périphérique avec FireSIGHT Management Center pour plus d'informations. Vous ne pouvez pas effectuer ces actions avec FireSIGHT Management Center :

• Configurer les interfaces du module ASA SFR
• Arrêtez, redémarrez ou gérez d'une autre manière les processus du module ASA SFR
• Créer des sauvegardes à partir des périphériques du module ASA SFR ou restaurer des sauvegardes sur ces périphériques
• Écrire des règles de contrôle d'accès afin de faire correspondre le trafic avec l'utilisation de conditions d'étiquette VLAN

Rediriger le trafic vers le module SFR

Afin de rediriger le trafic vers le module ASA SFR, vous devez créer une stratégie de service qui identifie le trafic spécifique. Complétez ces étapes afin de rediriger le trafic vers un module ASA SFR :

1. Sélectionnez le trafic qui doit être identifié avec la access-list commande. Dans cet exemple, tout le trafic provenant de toutes les interfaces est redirigé. Vous pouvez également le faire pour un trafic spécifique.
   

   ciscoasa(config)# access-list sfr_redirect extended permit ip any any

2. Créez un class-map afin de faire correspondre le trafic sur une liste d'accès :
   

   ciscoasa(config)# class-map sfr
   ciscoasa(config-cmap)# match access-list sfr_redirect

3. Spécifiez le mode de déploiement. Vous pouvez configurer votre périphérique en mode de déploiement passif (surveillance uniquement) ou en mode en ligne (normal).
   

   Remarque : vous ne pouvez pas configurer simultanément un mode passif et un mode en ligne sur l'ASA. Un seul type de stratégie de sécurité est autorisé.

   • Dans un déploiement en ligne, le module SFR inspecte le trafic en fonction de la politique de contrôle d'accès et fournit le verdict à l'ASA pour prendre les mesures appropriées (Autoriser, Refuser, etc.) sur le flux de trafic. Cet exemple montre comment créer un policy-map et configurer le module ASA SFR en mode inline. 
   • Vérifiez que le module actuel global_policy est configuré avec une autre configuration(show run policy-map global_policy, show run service-policy)de module, puis réinitialisez/supprimez d'abord la politique globale pour une autre configuration de module, puis reconfigurez le global_policy.
     
     

     ciscoasa(config)# policy-map global_policy
     ciscoasa(config-pmap)# class sfr
     ciscoasa(config-pmap-c)# sfr fail-open
     

   • Dans un déploiement passif, une copie du trafic est envoyée au module de service SFR, mais elle n'est pas retournée à l'ASA. Le mode passif vous permet d'afficher les actions que le module SFR aurait effectuées en ce qui concerne le trafic. Il vous permet également d'évaluer le contenu du trafic, sans impact sur le réseau.
     
     Si vous souhaitez configurer le module SFR en mode passif, utilisez le mot-monitor-onlyclé (comme indiqué dans l'exemple suivant). Si vous n'incluez pas le mot clé, le trafic est envoyé en mode en ligne.
     

     ciscoasa(config-pmap-c)# sfr fail-open monitor-only

   Avertissement : le monitor-only mode ne permet pas au module de service SFR de refuser ou de bloquer le trafic malveillant.

   Attention : il peut être possible de configurer un ASA en mode surveillance seule à l'aide de la traffic-forward sfr monitor-only commande de niveau interface ; cependant, cette configuration est uniquement destinée à la fonctionnalité de démonstration et ne doit pas être utilisée sur un ASA de production. Les problèmes détectés dans cette démonstration ne sont pas pris en charge par le centre d'assistance technique Cisco (TAC). Si vous souhaitez déployer le service ASA SFR en mode passif, configurez-le avec l'utilisation d'une carte-politique.

4. Spécifiez un emplacement et appliquez la stratégie. Vous pouvez appliquer une stratégie de manière globale ou sur une interface. Afin de remplacer la stratégie globale sur une interface, vous pouvez appliquer une stratégie de service à cette interface.
   
   Le global mot clé applique la carte de stratégie à toutes les interfaces, et le mot interface clé applique la stratégie à une interface. Une seule stratégie globale est autorisée. Dans cet exemple, la stratégie est appliquée globalement :
   

   ciscoasa(config)# service-policy global_policy global

   
   

   Attention : le mappage de stratégie global_policy est une stratégie par défaut. Si vous utilisez cette stratégie et que vous souhaitez la supprimer de votre périphérique pour le dépanner, assurez-vous que vous comprenez son implication.

Vérifier

Aucune procédure de vérification n'est disponible pour cette configuration.

Dépannage

• Vous pouvez exécuter cette commande (debug module-boot) pour activer le débogage au début de l'installation de l'image de démarrage SFR. 
• Si ASA est resté bloqué en mode Récupération et que la console ne s'est pas affichée, vous essayez cette commande (sw-module module sfr recover stop).
• Si le module SFR n'a pas pu sortir de l'état de récupération, alors vous pouvez essayer de recharger l'ASA (reload quick). (Si le trafic passe par, alors il peut causer des perturbations du réseau). Si Still SFR est bloqué dans l'état de récupération, vous pouvez arrêter l'ASA et la unplug the SSD carte et démarrer l'ASA. Vérifiez l'état du module et celui-ci doit être à l'état INIT. Arrêtez à nouveau l'ASA, insert the SSD la carte et démarrez l'ASA. Vous pouvez lancer la réimage du module ASA SFR.

Informations connexes

• Cisco Secure IPS - Fonctionnalités de Cisco NGIPS
• Enregistrement d'un périphérique avec FireSIGHT Management Center

• Guide de démarrage rapide du module Cisco ASA FirePOWER

• Déploiement de FireSIGHT Management Center sur VMware ESXi
• Assistance et documentation techniques - Cisco Systems