O módulo ASA FirePOWER, também conhecido como ASA SFR, fornece serviços de firewall de próxima geração, incluindo IPS de próxima geração (NGIPS), Application Visibility and Control (AVC), filtragem de URL e Advanced Malware Protection (AMP). Você pode usar o módulo no modo de contexto único ou múltiplo e no modo roteado ou transparente. Este documento descreve os pré-requisitos e os processos de instalação de um módulo FirePOWER (SFR) no módulo de hardware ASA 5585-X. Ele também fornece as etapas para registrar um módulo SFR no FireSIGHT Management Center.
As instruções neste documento exigem acesso ao modo EXEC privilegiado. Para acessar o modo EXEC privilegiado, insira o comando enable. Se não tiver sido definida uma senha, basta pressionar Enter.
ciscoasa> enable
Password:
ciscoasa#
Para instalar o FirePOWER Services em um ASA, os seguintes componentes são necessários:
Dado que um ASA SSM sempre ocupa um dos dois slots no chassi do ASA 5585-X, se você tiver um módulo de hardware diferente do FirePOWER (SFR) Services SSP, como o SSP-CX (Context Aware) ou AIP-SSM (Advanced Inspection and Prevention Security), o outro módulo deve ser desinstalado para criar espaço para o SSP-SFR. Antes de remover um módulo de hardware, execute o seguinte comando para desligar um módulo:
ciscoasa# hw-module module 1 shutdown
1. Faça o download da imagem inicial de bootstrap do módulo ASA FirePOWER SFR do Cisco.com para um servidor TFTP acessível a partir da interface de gerenciamento do ASA FirePOWER. O nome da imagem se parece com "asasfr-boot-5.3.1-152.img"
2. Baixe o software do sistema ASA FirePOWER do Cisco.com para um servidor HTTP, HTTPS ou FTP acessível da interface de gerenciamento do ASA FirePOWER.
3. Reinicie o módulo SFR
Opção 1: Se você não tiver a senha para o módulo SFR, poderá emitir o seguinte comando do ASA para reiniciar o módulo.
ciscoasa# hw-module module 1 reload
Reload module 1? [confirm]
Reload issued for module 1
Opção 2: Se você tiver a senha para o módulo SFR, poderá reinicializar o sensor diretamente da linha de comando.
Sourcefire3D login: admin
Password:
Sourcefire Linux OS v5.3.1 (build 43)
Sourcefire ASA5585-SSP-10 v5.3.1 (build 152)
> system reboot
4. Interrompa o processo de inicialização do módulo SFR usando ESCAPE ou a sequência de interrupção do software da sessão de terminal para colocar o módulo no ROMMON.
The system is restarting...
CISCO SYSTEMS
Embedded BIOS Version 2.0(14)1 15:16:31 01/25/14
Cisco Systems ROMMON Version (2.0(14)1) #0: Sat Jan 25 16:44:38 CST 2014
Platform ASA 5585-X FirePOWER SSP-10, 8GE
Use BREAK or ESC to interrupt boot.
Use SPACE to begin boot immediately.
Boot in 8 seconds.
Boot interrupted.
Management0/0
Link is UP
MAC Address: xxxx.xxxx.xxxx
Use ? for help.
rommon #0>
5. Configure a interface de gerenciamento do módulo SFR com um endereço IP e indique a localização do servidor TFTP e do caminho TFTP para a imagem de bootstrap. Insira os seguintes comandos para definir um endereço IP na interface e recuperar a imagem TFTP:
! Exemplo de informações de endereço IP usadas. Atualize para o seu ambiente.
rommon #1> ADDRESS=198.51.100.3
rommon #2> GATEWAY=198.51.100.1
rommon #3> SERVER=198.51.100.100
rommon #4> IMAGE=/tftpboot/asasfr-boot-5.3.1-152.img
rommon #5> sync
Updating NVRAM Parameters...
rommon #6> tftp
ROMMON Variable Settings:
ADDRESS=198.51.100.3
SERVER=198.51.100.100
GATEWAY=198.51.100.1
PORT=Management0/0
VLAN=untagged
IMAGE=/tftpboot/asasfr-boot-5.3.1-152.img
CONFIG=
LINKTIMEOUT=20
PKTTIMEOUT=4
RETRY=20
tftp /tftpboot/asasfr-boot-5.3.1-152.img@198.51.100.100 via 198.51.100.1
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
<truncated output>
Received 41235627 bytes
Launching TFTP Image...
Execute image at 0x14000
6. Faça login na imagem de inicialização inicial. Faça login como admin e com a senha Admin123
Cisco ASA SFR Boot Image 5.3.1
asasfr login: admin
Password:
Cisco ASA SFR Boot 5.3.1 (152)
Type ? for list of commands
7. Use a imagem de inicialização inicial para configurar um endereço IP na interface de gerenciamento do módulo. Digite o comando setup para entrar no assistente. Você será solicitado a fornecer as seguintes informações:
! Informações de exemplo usadas. Atualize para o seu ambiente.
asasfr-boot>setup
Welcome to SFR Setup
[hit Ctrl-C to abort]
Default values are inside []
Enter a hostname [asasfr]: sfr-module-5585
Do you want to configure IPv4 address on management interface?(y/n) [Y]: Y
Do you want to enable DHCP for IPv4 address on management interface?(y/n) [N]: N
Enter an IPv4 address [192.168.8.8]: 198.51.100.3
Enter the netmask [255.255.255.0]: 255.255.255.0
Enter the gateway [192.168.8.1]: 198.51.100.1
Do you want to configure static IPv6 address on management interface?(y/n) [N]: N
Stateless autoconfiguration will be enabled for IPv6 addresses.
Enter the primary DNS server IP address: 198.51.100.15
Do you want to configure Secondary DNS Server? (y/n) [n]: N
Do you want to configure Local Domain Name? (y/n) [n]: N
Do you want to configure Search domains? (y/n) [n]: N
Do you want to enable the NTP service? [Y]: N
Please review the final configuration:
Hostname: sfr-module-5585
Management Interface Configuration
IPv4 Configuration: static
IP Address: 198.51.100.3
Netmask: 255.255.255.0
Gateway: 198.51.100.1
IPv6 Configuration: Stateless autoconfiguration
DNS Configuration:
DNS Server: 198.51.100.15
Apply the changes?(y,n) [Y]: Y
Configuration saved successfully!
Applying...
Restarting network services...
Restarting NTP service...
Done.
8. Use a imagem de inicialização para puxar e instalar a imagem do software do sistema usando o comando system install. Inclua opção não confirmar se você não quiser responder a mensagens de confirmação. Substitua a palavra-chave url pelo local do arquivo .pkg.
asasfr-boot> system install [noconfirm] url
Por exemplo,
> system install http://Server_IP_Address/asasfr-sys-5.3.1-152.pkg
Verifying
Downloading
Extracting
Package Detail
Description: Cisco ASA-SFR 5.3.1-152 System Install
Requires reboot: Yes
Do you want to continue with upgrade? [y]: Y
Warning: Please do not interrupt the process or turn off the system.
Doing so might leave system in unusable state.
Upgrading
Starting upgrade process ...
Populating new system image ...
Status do módulo durante a instalação
ciscoasa# show module 1 details
Getting details from the Service Module, please wait...
Unable to read details from module 1
Card Type: ASA 5585-X FirePOWER SSP-10, 8GE
Model: ASA5585-SSP-SFR10
Hardware version: 1.0
Serial Number: JAD18400028
Firmware version: 2.0(14)1
Software version: 5.3.1-152
MAC Address Range: 58f3.9ca0.1190 to 58f3.9ca0.119b
App. name: ASA FirePOWER
App. Status: Not Applicable
App. Status Desc: Not Applicable
App. version: 5.3.1-152
Data Plane Status: Not Applicable
Console session: Not ready
Status: Unresponsive
Status do módulo após a instalação bem-sucedida
ciscoasa# show module 1 details
Getting details from the Service Module, please wait...
Card Type: ASA 5585-X FirePOWER SSP-10, 8GE
Model: ASA5585-SSP-SFR10
Hardware version: 1.0
Serial Number: JAD18400028
Firmware version: 2.0(14)1
Software version: 5.3.1-152
MAC Address Range: 58f3.9ca0.1190 to 58f3.9ca0.119b
App. name: ASA FirePOWER
App. Status: Up
App. Status Desc: Normal Operation
App. version: 5.3.1-152
Data Plane Status: Up
Console session: Ready
Status: Up
DC addr: No DC Configured
Mgmt IP addr: 192.168.45.45
Mgmt Network mask: 255.255.255.0
Mgmt Gateway: 0.0.0.0
Mgmt web ports: 443
Mgmt TLS enabled: true
1. Você pode se conectar ao módulo ASA 5585-X FirePOWER através de uma das seguintes portas externas:
2. Depois de acessar o módulo FirePOWER pelo console, faça login com o nome de usuário admin e a senha Sourcefire.
Sourcefire3D login: admin
Password:
Last login: Fri Jan 30 14:00:51 UTC 2015 on ttyS0
Copyright 2001-2013, Sourcefire, Inc. All rights reserved. Sourcefire is a registered
trademark of Sourcefire, Inc. All other trademarks are property of their respective
owners.
Sourcefire Linux OS v5.3.1 (build 43)
Sourcefire ASA5585-SSP-10 v5.3.1 (build 152)
Last login: Wed Feb 18 14:22:19 on ttyS0
System initialization in progress. Please stand by.
You must configure the network to continue.
You must configure at least one of IPv4 or IPv6.
Do you want to configure IPv4? (y/n) [y]: y
Do you want to configure IPv6? (y/n) [n]: n
Configure IPv4 via DHCP or manually? (dhcp/manual) [manual]: dhcp
If your networking information has changed, you will need to reconnect.
[1640209.830367] ADDRCONF(NETDEV_UP): eth0: link is not ready
[1640212.873978] e1000e: eth0 NIC Link is Up 1000 Mbps Full Duplex, Flow Control: None
[1640212.966250] ADDRCONF(NETDEV_CHANGE): eth0: link becomes ready
For HTTP Proxy configuration, run 'configure network http-proxy'
This sensor must be managed by a Defense Center. A unique alphanumeric registration
key is always required. In most cases, to register a sensor to a Defense Center,
you must provide the hostname or the IP address along with the registration key.
'configure manager add [hostname | ip address ] [registration key ]'
However, if the sensor and the Defense Center are separated by a NAT device, you
must enter a unique NAT ID, along with the unique registration key. 'configure
manager add DONTRESOLVE [registration key ] [ NAT ID ]'
Later, using the web interface on the Defense Center, you must use the same
registration key and, if necessary, the same NAT ID when you add this
sensor to the Defense Center.
>
Para gerenciar um módulo ASA FirePOWER e uma política de segurança, você deve registrá-lo com um FireSIGHT Management Center. Não é possível fazer o seguinte com um FireSIGHT Management Center:
Você redireciona o tráfego para o módulo ASA FirePOWER criando uma política de serviço que identifica o tráfego específico. Para redirecionar o tráfego para um módulo FirePOWER, siga as etapas abaixo:
Primeiro, selecione o tráfego usando o comando access-list. No exemplo a seguir, estamos redirecionando todo o tráfego de todas as interfaces. Você pode fazer isso para tráfego específico também.
ciscoasa(config)# access-list sfr_redirect extended permit ip any any
O exemplo a seguir mostra como criar um mapa de classe e corresponder ao tráfego em uma lista de acesso:
ciscoasa(config)# class-map sfr
ciscoasa(config-cmap)# match access-list sfr_redirect
Você pode configurar seu dispositivo em uma implantação passiva ("somente monitor") ou em linha. Você não pode configurar o modo somente monitor e o modo em linha normal ao mesmo tempo no ASA. Somente um tipo de política de segurança é permitido.
Em uma implantação em linha, depois de descartar tráfego indesejado e tomar outras ações aplicadas pela política, o tráfego é devolvido ao ASA para processamento adicional e transmissão final. O exemplo a seguir mostra como criar um mapa de políticas e configurar o módulo FirePOWER no modo em linha:
ciscoasa(config)# policy-map global_policy
ciscoasa(config-pmap)# class sfr
ciscoasa(config-pmap-c)# sfr fail-open
Em uma implantação passiva,
Se quiser configurar o módulo FirePOWER no modo passivo, use a palavra-chave monitor-only como abaixo. Se você não incluir a palavra-chave, o tráfego será enviado no modo em linha.
ciscoasa(config-pmap-c)# sfr fail-open monitor-only
A última etapa é aplicar a política. Você pode aplicar uma política globalmente ou em uma interface. Você pode substituir a política global em uma interface aplicando uma política de serviço a essa interface.
A palavra-chave global aplica o mapa de políticas a todas as interfaces e a interface aplica a política a uma interface. Apenas uma política global é permitida. No exemplo a seguir, a política é aplicada globalmente:
ciscoasa(config)# service-policy global_policy global
Revisão | Data de publicação | Comentários |
---|---|---|
1.0 |
18-Feb-2015 |
Versão inicial |