Installazione e configurazione di un modulo servizi FirePOWER su una piattaforma ASA

Introduzione

Questo documento descrive come installare e configurare un modulo Cisco FirePOWER (SFR) su un'appliance Cisco ASA e registrare il modulo SFR con Cisco FireSIGHT.

Prerequisiti

Requisiti

Cisco consiglia al sistema di soddisfare i seguenti requisiti prima di provare le procedure descritte in questo documento:

• Accertarsi di disporre di almeno 3 GB di spazio libero sull'unità flash (disco0), oltre alle dimensioni del software di avvio.
• Accertarsi di disporre dell'accesso in modalità di esecuzione privilegiata. Per accedere alla modalità di esecuzione privilegiata, immettere il enable comando nella CLI. Se non è stata impostata una password, premere Enter:
  

  ciscoasa> enable
  Password:
  ciscoasa# 

Componenti usati

Per installare i servizi FirePOWER su un'appliance Cisco ASA, sono necessari i seguenti componenti:

• Software Cisco ASA versione 9.2.2 o successive
• Piattaforme Cisco ASA da 5512-X a 5555-X
• Software FirePOWER versione 5.3.1 o successive

Nota: se si desidera installare i servizi FirePOWER (SFR) su un modulo hardware ASA 5585-X, consultare il documento sull'installazione di un modulo SFR su un modulo hardware ASA 5585-X.

Questi componenti sono richiesti sul Cisco FireSIGHT Management Center:

• Software FirePOWER versione 5.3.1 o successive
• Appliance virtuale o FireSIGHT Management Center FS2000, FS4000

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Premesse

Il modulo Cisco ASA FirePOWER (noto anche come ASA SFR) fornisce servizi firewall di nuova generazione, quali:

• Next-Generation Intrusion Prevention System (NGIPS)
• Visibilità e controllo delle applicazioni (AVC)
• Filtra URL
• Advanced Malware Protection (AMP)

Nota: è possibile utilizzare il modulo ASA SFR in modalità contesto singolo o multiplo e in modalità instradato o trasparente.

Operazioni preliminari

Prendere in considerazione queste informazioni importanti prima di provare le procedure descritte in questo documento:

• Se sono presenti criteri del servizio attivi che reindirizzano il traffico a un modulo IPS (Intrusion Prevention System)/CX (Context Aware) sostituito con ASA SFR, è necessario rimuoverli prima di configurare i criteri del servizio ASA SFR.
• È necessario arrestare tutti gli altri moduli software attualmente in esecuzione. Un dispositivo può eseguire un singolo modulo software alla volta. Questa operazione deve essere eseguita dalla CLI dell'ASA. Ad esempio, questi comandi arrestano e disinstallano il modulo software IPS, quindi ricaricano l'appliance ASA:
  

  ciscoasa# sw-module module ips shutdown
  ciscoasa# sw-module module ips uninstall
  ciscoasa# reload

• I comandi utilizzati per rimuovere il modulo CX sono gli stessi, con la differenza che viene utilizzata la cxsc parola chiave anziché ips:

  ciscoasa# sw-module module cxsc shutdown
  ciscoasa# sw-module module cxsc uninstall
  ciscoasa# reload

• Quando si ricrea un'immagine di un modulo, utilizzare gli stessi shutdown comandi e uninstall utilizzati per rimuovere un'immagine SFR precedente. Di seguito è riportato un esempio:
  

  ciscoasa# sw-module module sfr uninstall

• Se il modulo ASA SFR viene utilizzato in modalità contesto multiplo, eseguire le procedure descritte in questo documento all'interno dello spazio di esecuzione del sistema.

Suggerimento: per determinare lo stato di un modulo sull'appliance ASA, immettere il show module comando.

Install 

Questa sezione descrive come installare il modulo SFR sull'appliance ASA e come configurare l'immagine di avvio di ASA SFR.

Installare il modulo SFR sull'appliance ASA

Per installare il modulo SFR sull'appliance ASA, completare i seguenti passaggi:

1. Scaricare il software di sistema ASA SFR da Cisco.com su un server HTTP, HTTPS o FTP accessibile dall'interfaccia di gestione ASA SFR.
2. Scaricare l'immagine di avvio nel dispositivo. Per scaricare l'immagine di avvio sul dispositivo, è possibile usare Cisco Adaptive Security Device Manager (ASDM) o la CLI dell'ASA.

   Nota: non trasferire il software di sistema, in quanto viene scaricato in seguito sull'unità a stato solido (SSD).

   Per scaricare l'immagine di avvio tramite ASDM, completare la procedura seguente:
   1. Scaricare l'immagine di avvio nella workstation o inserirla in un server FTP, TFTP, HTTP, HTTPS, Server Message Block (SMB) o Secure Copy (SCP).
   2. ScegliereTools > File Management in ASDM.
   3. Scegliere il comando di trasferimento file appropriato, tra computer locale e flash o tra server remoto e flash.
   4. Trasferire il software di avvio sull'unità flash (disco0) dell'appliance ASA.

   Per scaricare l'immagine di avvio dalla CLI dell'ASA, completare la procedura seguente:

   1. Scaricare l'immagine di avvio su un server FTP, TFTP, HTTP o HTTPS.
   2. Immettere il copy comando nella CLI per scaricare l'immagine di avvio sull'unità flash.

      Di seguito è riportato un esempio che utilizza il protocollo HTTP (sostituire il con l'indirizzo IP o il nome host del server). Per il server FTP, l'URL è simile al seguente:ftp://username:password@server-ip/asasfr-5500x-boot-5.3.1-152.img .

      ciscoasa# copy http:// 
               /asasfr-5500x-boot-5.3.1-152.img
       disk0:/asasfr-5500x-boot-5.3.1-152.img

3. Immettere questo comando per configurare la posizione dell'immagine di avvio ASA SFR nell'unità flash ASA:
   

   ciscoasa# sw-module module sfr recover configure image disk0:/file_path

   
   

   Di seguito è riportato un esempio:

   ciscoasa# sw-module module sfr recover configure image disk0:
    /asasfr-5500x-boot-5.3.1-152.img

4. Per caricare l'immagine di avvio dell'ASA SFR, immettere questo comando:
   

   ciscoasa# sw-module module sfr recover boot

   
   

   Durante questo periodo, se si abilita debug module-boot l'appliance ASA, vengono stampati i seguenti debug:

   Mod-sfr 788> *** EVENT: Creating the Disk Image...
   Mod-sfr 789> *** TIME: 05:50:26 UTC Jul 1 2014
   Mod-sfr 790> ***
   Mod-sfr 791> ***
   Mod-sfr 792> *** EVENT: The module is being recovered.
   Mod-sfr 793> *** TIME: 05:50:26 UTC Jul 1 2014
   Mod-sfr 794> ***
   ...
   Mod-sfr 795> ***
   Mod-sfr 796> *** EVENT: Disk Image created successfully.
   Mod-sfr 797> *** TIME: 05:53:06 UTC Jul 1 2014
   Mod-sfr 798> ***
   Mod-sfr 799> ***
   Mod-sfr 800> *** EVENT: Start Parameters: Image: /mnt/disk0/vm/vm_3.img,
    ISO: -cdrom /mnt/disk0
   Mod-sfr 801> /asasfr-5500x-boot-5.3.1-152.img, Num CPUs: 6, RAM: 7659MB,
    Mgmt MAC: A4:4C:11:29:
   Mod-sfr 802> CC:FB, CP MAC: 00:00:00:04:00:01, HDD: -drive file=/dev/md0,
    cache=none,if=virtio,
   Mod-sfr 803> Dev
   Mod-sfr 804> ***
   Mod-sfr 805> *** EVENT: Start Parameters Continued: RegEx Shared Mem:
    32MB, Cmd Op: r, Shared M
   Mod-sfr 806> em Key: 8061, Shared Mem Size: 64, Log Pipe: /dev/ttyS0_vm3,
    Sock: /dev/ttyS1_vm3,
   Mod-sfr 807>  Mem-Path: -mem-path /hugepages
   Mod-sfr 808> *** TIME: 05:53:06 UTC Jul 1 2014
   Mod-sfr 809> ***
   Mod-sfr 810> IVSHMEM: optarg is key=8061,64,unix:/tmp/nahanni, name is,
    key is 8061, size is 6
   ...
   Mod-sfr 239> Starting Advanced Configuration and Power Interface daemon:
    acpid.
   Mod-sfr 240> acpid: starting up with proc fs
   Mod-sfr 241> acpid: opendir(/etc/acpi/events): No such file or directory
   Mod-sfr 242> starting Busybox inetd: inetd... done.
   Mod-sfr 243> Starting ntpd: done
   Mod-sfr 244> Starting syslogd/klogd: done
   Mod-sfr 245>
   Cisco ASA SFR Boot Image 5.3.1

5. Attendere circa 5-15 minuti l'avvio del modulo ASA SFR e aprire una sessione console per l'immagine di avvio operativa di ASA SFR.

Configurazione dell'immagine di avvio di ASA SFR

Completare questa procedura per configurare l'immagine di avvio di ASA SFR appena installata:

1. Premere Enter dopo aver aperto una sessione per raggiungere il prompt di accesso.

   Nota: il nome utente predefinito è admin. La password varia in base alla versione del software:Adm!n123 per 7.0.1 (nuovo dispositivo solo in fabbrica), Admin123 per 6.0 e versioni successive, Sourcefire per le versioni precedenti alla 6.0.

   Di seguito è riportato un esempio:

   ciscoasa# session sfr console
   Opening console session with module sfr.
   Connected to module sfr. Escape character sequence is 'CTRL-^X'.
   
   Cisco ASA SFR Boot Image 5.3.1
   asasfr login: admin
   Password: Admin123

   Suggerimento: se l'avvio del modulo ASA SFR non è stato completato, il comando session non ha esito positivo e viene visualizzato un messaggio che indica che il sistema non è in grado di connettersi tramite TTYS1. In tal caso, attendere il completamento dell'avvio del modulo e riprovare.

2. Immettere il setup comando per configurare il sistema in modo da poter installare il pacchetto software del sistema:
   

   asasfr-boot> setup
                            Welcome to SFR Setup
                             [hit Ctrl-C to abort]
                           Default values are inside []

   
   

   Vengono quindi richieste le seguenti informazioni:

   • Host name - Il nome host può contenere fino a 65 caratteri alfanumerici, senza spazi. È consentito l'uso di trattini.
   • Network address - L'indirizzo di rete può essere un indirizzo IPv4 statico o IPv6. È inoltre possibile utilizzare DHCP per la configurazione automatica IPv4 o IPv6 senza stato.
   • DNS information - È necessario identificare almeno un server DNS (Domain Name System) ed è inoltre possibile impostare il nome di dominio e il dominio di ricerca.
   • NTP information - È possibile abilitare il protocollo NTP (Network Time Protocol) e configurare i server NTP per impostare l'ora del sistema.
3. Immettere il system install comando per installare l'immagine software del sistema:
   

   asasfr-boot >system install [noconfirm] url

   Includere l'noconfirmopzione se non si desidera rispondere ai messaggi di conferma. Sostituire la parola url chiave con la posizione del .pkg file. Anche in questo caso, è possibile utilizzare un server FTP, HTTP o HTTPS. Di seguito è riportato un esempio:

   
   

   asasfr-boot >system install http:// 
          /asasfr-sys-5.3.1-152.pkg
   Verifying
   Downloading
   Extracting
   
   
   Package Detail
           Description: Cisco ASA-FirePOWER 5.3.1-152 System Install
           Requires reboot: Yes
   
   Do you want to continue with upgrade? [y]: y
   Warning: Please do not interrupt the process or turn off the system. Doing so
    might leave system in unusable state.
   
   
   Upgrading
   Starting upgrade process ...
   Populating new system image
   
   Reboot is required to complete the upgrade. Press 'Enter' to reboot the system.
   (press Enter)
   
   Broadcast message from root (ttyS1) (Mon Jun 23 09:28:38 2014):
   The system is going down for reboot NOW!
   Console session with module sfr terminated.

Per il server FTP, l'URL è simile al seguente:ftp://username:password@server-ip/asasfr-sys-5.3.1-152.pkg.

Nota Durante il processo di installazione, lo stato dell'SFR è "Recover". L'installazione del modulo SFR può richiedere all'incirca un'ora.   Al termine dell'installazione, il sistema si riavvia. Attendere dieci o più minuti per l'installazione del componente applicativo e l'avvio dei servizi ASA SFR. L'output del show module sfr comando indica che tutti i processi sono Upattivi.

Configurazione

Questa sezione descrive come configurare il software FirePOWER e il centro di gestione FireSIGHT e come reindirizzare il traffico al modulo SFR.

Configurazione del software FirePOWER

Completare questi passaggi per configurare il software FirePOWER:

1. Aprire una sessione sul modulo ASA SFR.
   

   Nota: viene visualizzato un prompt di accesso diverso perché l'accesso viene eseguito su un modulo completamente funzionante.

   Di seguito è riportato un esempio:

   
   

   ciscoasa# session sfr
   Opening command session with module sfr.
   Connected to module sfr. Escape character sequence is 'CTRL-^X'.
   Sourcefire ASA5555 v5.3.1 (build 152)
   Sourcefire3D login:

2. Accedere con il nome utente admin e la password diversi a seconda della versione del software:Adm!n123 per 7.0.1 (nuovo dispositivo solo in fabbrica), Admin123 per 6.0 e versioni successive,Sourcefire per le versioni precedenti alla 6.0.
3. Completare la configurazione del sistema come richiesto, nell'ordine seguente:
   1. Leggere e accettare il Contratto di Licenza con l'utente finale (EULA).
   2. Cambiare la password amministratore.
   3. Configurare l'indirizzo di gestione e le impostazioni DNS, come richiesto.

      Nota: è possibile configurare indirizzi di gestione IPv4 e IPv6.

   Di seguito è riportato un esempio:

   
   

   System initialization in progress. Please stand by. You must change the password
    for 'admin' to continue. Enter new password: <new password>
   Confirm new password: <repeat password>
   You must configure the network to continue.
   You must configure at least one of IPv4 or IPv6.
   Do you want to configure IPv4? (y/n) [y]: y
   Do you want to configure IPv6? (y/n) [n]:
   Configure IPv4 via DHCP or manually? (dhcp/manual) [manual]:
   Enter an IPv4 address for the management interface [192.168.45.45]:198.51.100.3
   Enter an IPv4 netmask for the management interface [255.255.255.0]: 255.255.255.0
   Enter the IPv4 default gateway for the management interface []: 198.51.100.1
   Enter a fully qualified hostname for this system [Sourcefire3D]: asasfr.example.com
   Enter a comma-separated list of DNS servers or 'none' []:
    198.51.100.15, 198.51.100.14
   Enter a comma-separated list of search domains or 'none' [example.net]: example.com
   If your networking information has changed, you will need to reconnect.
   For HTTP Proxy configuration, run 'configure network http-proxy'

4. Attendere che il sistema si riconfiguri.

Configurazione di FireSIGHT Management Center

Per gestire un modulo ASA SFR e la policy di sicurezza, è necessario registrarlo su un centro di gestione FireSIGHT. Per ulteriori informazioni, fare riferimento a Registrazione di un dispositivo con un centro di gestione FireSIGHT. Non è possibile eseguire queste operazioni con un centro di gestione FireSIGHT:

• Configurare le interfacce del modulo ASA SFR
• Arrestare, riavviare o gestire in altro modo i processi del modulo ASA SFR
• Creazione o ripristino di backup dai dispositivi del modulo ASA SFR
• Scrittura delle regole di controllo di accesso per far corrispondere il traffico con l'uso delle condizioni dei tag VLAN

Reindirizza il traffico al modulo SFR

Per reindirizzare il traffico al modulo ASA SFR, è necessario creare una policy del servizio che identifichi il traffico specifico. Per reindirizzare il traffico su un modulo ASA SFR, completare la procedura seguente:

1. Selezionare il traffico da identificare con il access-list comando. Nell'esempio, tutto il traffico proveniente da tutte le interfacce viene reindirizzato. Questa operazione può essere effettuata anche per un traffico specifico.
   

   ciscoasa(config)# access-list sfr_redirect extended permit ip any any

2. Creare una mappa delle classi per far corrispondere il traffico in un elenco degli accessi:
   

   ciscoasa(config)# class-map sfr
   ciscoasa(config-cmap)# match access-list sfr_redirect

3. Specificare la modalità di distribuzione. È possibile configurare il dispositivo in modalità passiva (solo monitor) o inline (normale).
   

   Nota: non è possibile configurare contemporaneamente la modalità passiva e la modalità inline sull'appliance ASA. È consentito un solo tipo di criterio di protezione.

   • In una implementazione in linea, il modulo SFR controlla il traffico in base ai criteri di controllo dell'accesso e fornisce all'ASA il verdetto di intraprendere l'azione appropriata (consenti, nega e così via) sul flusso del traffico. Nell'esempio viene mostrato come creare una mappa dei criteri e configurare il modulo ASA SFR in modalità inline. 
   • Verificare che la configurazione corrente global_policy sia configurata con un'altra configurazione(show run policy-map global_policy, show run service-policy)di modulo, quindi reimpostare/rimuovere prima global_policy per un'altra configurazione di modulo e riconfigurare la global_policyconfigurazione.
     
     

     ciscoasa(config)# policy-map global_policy
     ciscoasa(config-pmap)# class sfr
     ciscoasa(config-pmap-c)# sfr fail-open
     

   • In un'implementazione passiva, una copia del traffico viene inviata al modulo del servizio SFR, ma non viene restituita all'appliance ASA. La modalità passiva consente di visualizzare le azioni che il modulo SFR avrebbe completato relativamente al traffico. Consente inoltre di valutare il contenuto del traffico, senza alcun impatto sulla rete.
     
     Se si desidera configurare il modulo SFR in modalità passiva, utilizzare la parola chiave monitor-only (come mostrato nell'esempio successivo). Se non si include la parola chiave, il traffico viene inviato in modalità inline.
     

     ciscoasa(config-pmap-c)# sfr fail-open monitor-only

   Avviso: la monitor-only modalità non consente al modulo del servizio SFR di negare o bloccare il traffico dannoso.

   Attenzione: è possibile configurare un'ASA in modalità solo monitor con il comando interface-level traffic-forward sfr monitor-only ; tuttavia, questa configurazione è solo a scopo dimostrativo e non deve essere utilizzata su un'ASA di produzione. I problemi rilevati in questa funzionalità dimostrativa non sono supportati dal Cisco Technical Assistance Center (TAC). Se si desidera distribuire il servizio ASA SFR in modalità passiva, configurarlo con l'uso di una mappa dei criteri.

4. Specificare un percorso e applicare il criterio. È possibile applicare un criterio a livello globale o su un'interfaccia. Per eseguire l'override del criterio globale in un'interfaccia, è possibile applicare un criterio del servizio a tale interfaccia.
   
   La parola chiave global applica la mappa dei criteri a tutte le interfacce e la interface parola chiave applica il criterio a un'interfaccia. È consentito un solo criterio globale. In questo esempio, il criterio viene applicato globalmente:
   

   ciscoasa(config)# service-policy global_policy global

   
   

   Attenzione: la mappa dei criteri global_policy è un criterio predefinito. Se si utilizza questo criterio e si desidera rimuoverlo dal dispositivo per la risoluzione dei problemi, verificare di averne compreso le implicazioni.

Verifica

Attualmente non è disponibile una procedura di verifica per questa configurazione.

Risoluzione dei problemi

• È possibile eseguire questo comando (debug module-boot) per abilitare il debug all'inizio dell'installazione dell'immagine di avvio SFR. 
• Se l'appliance ASA è bloccata in modalità di ripristino e la console non si accende, provare a eseguire questo comando (sw-module module sfr recover stop).
• Se il modulo SFR non è riuscito a uscire dallo stato di ripristino, è possibile provare a ricaricare l'ASA (reload quick)(se il traffico passa, può causare problemi alla rete). Se l'opzione Still SFR è bloccata nello stato di ripristino, è possibile arrestare l'ASA e usare la unplug the SSD scheda e avviare l'ASA. Verificare lo stato del modulo e che sia INIT. Spegnere l'ASA, insert the SSD la scheda e avviare l'ASA. È possibile avviare la ricreazione dell'immagine del modulo ASA SFR.

Informazioni correlate

• Cisco Secure IPS - Funzionalità Cisco NGIPS
• Registrazione di un dispositivo con un centro di gestione FireSIGHT

• Guida introduttiva al modulo Cisco ASA FirePOWER

• Installazione di FireSIGHT Management Center su VMware ESXi
• Documentazione e supporto tecnico – Cisco Systems