Instalar um módulo SFR em um módulo de hardware ASA 5585-X

Introdução

O módulo ASA FirePOWER, também conhecido como ASA SFR, fornece serviços de firewall de próxima geração, incluindo NGIPS (Next-Generation IPS), AVC (Application Visibility and Control), filtragem de URLs e AMP (Advance Malware Protection). Você pode usar o módulo no modo de contexto único ou múltiplo e no modo roteado ou transparente. Este documento descreve os pré-requisitos e os processos de instalação de um módulo FirePOWER (SFR) no módulo de hardware ASA 5585-X. Ele também fornece as etapas para registrar um módulo SFR com o FireSIGHT Management Center.

Observação: os FirePOWER Services (SFR) residem em um módulo de hardware no ASA 5585-X, enquanto os FirePOWER Services nos dispositivos ASA 5512-X a 5555-X Series são instalados em um módulo de software, resultando em diferenças nos processos de instalação.

Pré-requisitos

Requisitos

As instruções neste documento exigem acesso ao modo EXEC privilegiado. Para acessar o modo EXEC privilegiado, insira o comando enable. Se uma senha não tiver sido definida, basta pressionar Enter.

ciscoasa> enable
Password:
ciscoasa#

Para instalar o FirePOWER Services em um ASA, os seguintes componentes são necessários:

• Software ASA versão 9.2.2 ou posterior
• Plataforma ASA 5585-X
• Um servidor TFTP acessível pela interface de gerenciamento do módulo FirePOWER
• FireSIGHT Management Center com versão 5.3.1 ou posterior

Observação: as informações neste documento são criadas a partir dos dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Configuração

Antes de Começar

Considerando que o ASA SSM sempre ocupa um dos dois slots no chassi do ASA 5585-X, se você tiver um módulo de hardware diferente do SSP dos Serviços FirePOWER (SFR), como o SSP-CX (Context Aware) ou o AIP-SSM (Advanced Inspection and Prevention Security), o outro módulo deverá ser desinstalado para liberar espaço para o SSP-SFR. Antes de remover um módulo de hardware, execute o seguinte comando para desligar um módulo:

ciscoasa# hw-module module 1 shutdown

Cabeamento e gerenciamento

• Você não pode acessar a porta serial do módulo SFR pelo console do ASA no ASA 5585-X.
• Depois que o módulo SFR for provisionado, você poderá realizar a sessão no blade usando o comando "session 1".
• Para recriar completamente o módulo SFR em um ASA 5585-X, você deve usar a interface Ethernet de gerenciamento e uma sessão de console na porta de gerenciamento serial, que estão no módulo SFR e separadas da interface de gerenciamento e do console do ASA.

Dica: para encontrar o status de um módulo no ASA, execute o comando "show module 1 details", que recupera o IP de gerenciamento do módulo SFR e o Defense Center associado.

Instalar o módulo FirePOWER (SFR) no ASA

1. Faça download da imagem de inicialização inicial do módulo ASA FirePOWER SFR de Cisco.com para um servidor TFTP acessível a partir da interface de gerenciamento do ASA FirePOWER. O nome da imagem se parece com "asasfr-boot-5.3.1-152.img"

2. Baixe o software de sistema ASA FirePOWER de Cisco.com para um servidor HTTP, HTTPS ou FTP acessível pela interface de gerenciamento do ASA FirePOWER.

3. Reinicie o módulo SFR

Opção 1: Se você não tiver a senha para o módulo SFR, poderá emitir o seguinte comando a partir do ASA para reiniciar o módulo.

ciscoasa# hw-module module 1 reload 
Reload module 1? [confirm]
Reload issued for module 1

Opção 2: Se você tiver a senha para o módulo SFR, poderá reinicializar o sensor diretamente de sua linha de comando.

Sourcefire3D login: admin
Password:

Sourcefire Linux OS v5.3.1 (build 43)
Sourcefire ASA5585-SSP-10 v5.3.1 (build 152)

> system reboot

4. Interrompa o processo de inicialização do módulo SFR usando ESCAPE ou a sequência de interrupção do software da sessão do terminal para colocar o módulo no ROMMON.

The system is restarting...
CISCO SYSTEMS
Embedded BIOS Version 2.0(14)1 15:16:31 01/25/14


     
     

Cisco Systems ROMMON Version (2.0(14)1) #0: Sat Jan 25 16:44:38 CST 2014

Platform ASA 5585-X FirePOWER SSP-10, 8GE

Use BREAK or ESC to interrupt boot.
Use SPACE to begin boot immediately.
Boot in 8 seconds.

Boot interrupted.

Management0/0
Link is UP
MAC Address: xxxx.xxxx.xxxx

Use ? for help.

rommon #0>

5. Configure a interface de gerenciamento do módulo SFR com um Endereço IP e indique o local do Servidor TFTP e o caminho TFTP para a imagem de bootstrap. Digite os seguintes comandos para definir um endereço IP na interface e recuperar a imagem TFTP:

• configurado
• ADDRESS = Your_IP_Address
• GATEWAY = Seu_Gateway
• SERVER = Your_TFTP_Server
• IMAGE = caminho_do_arquivo_TFTP
• sync
• tftp

! Exemplo de informações de endereço IP usado. Atualização para o seu ambiente.

rommon #1> ADDRESS=198.51.100.3
rommon #2> GATEWAY=198.51.100.1
rommon #3> SERVER=198.51.100.100
rommon #4> IMAGE=/tftpboot/asasfr-boot-5.3.1-152.img
rommon #5> sync

Updating NVRAM Parameters...

rommon #6> tftp
ROMMON Variable Settings:
  ADDRESS=198.51.100.3
  SERVER=198.51.100.100
  GATEWAY=198.51.100.1
  PORT=Management0/0
  VLAN=untagged
  IMAGE=/tftpboot/asasfr-boot-5.3.1-152.img
  CONFIG=
  LINKTIMEOUT=20
  PKTTIMEOUT=4
  RETRY=20

tftp /tftpboot/asasfr-boot-5.3.1-152.img@198.51.100.100 via 198.51.100.1
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
<truncated output>

Received 41235627 bytes

Launching TFTP Image...

Execute image at 0x14000

6. Faça login na imagem de inicialização inicial. Faça login como admin e com a senha Admin123

Cisco ASA SFR Boot Image 5.3.1

asasfr login: admin
Password:

            Cisco ASA SFR Boot 5.3.1 (152)
                  Type ? for list of commands

 
7. Use a imagem de inicialização inicial para configurar um endereço IP na interface de gerenciamento do módulo. Digite o comando setup para entrar no assistente. Você será solicitado a fornecer as seguintes informações:

• Nome do host: até 65 caracteres alfanuméricos, sem espaços. Hifens são permitidos.
• Endereço de rede: você pode definir endereços estáticos IPv4 ou IPv6, ou usar DHCP (para IPv4) ou configuração automática sem monitoração de estado IPv6.
• Informações de DNS: você deve identificar pelo menos um servidor DNS e também pode definir o nome de domínio e o domínio de pesquisa.
• Informações de NTP: Você pode habilitar o NTP e configurar os servidores NTP para definir a hora do sistema.

! Informações de exemplo usadas. Atualização para o seu ambiente.

asasfr-boot>setup

                         Welcome to SFR Setup
                          [hit Ctrl-C to abort]
                        Default values are inside []

Enter a hostname [asasfr]: sfr-module-5585
Do you want to configure IPv4 address on management interface?(y/n) [Y]: Y
Do you want to enable DHCP for IPv4 address on management interface?(y/n) [N]: N
Enter an IPv4 address [192.168.8.8]: 198.51.100.3
Enter the netmask [255.255.255.0]: 255.255.255.0
Enter the gateway [192.168.8.1]: 198.51.100.1
Do you want to configure static IPv6 address on management interface?(y/n) [N]: N
Stateless autoconfiguration will be enabled for IPv6 addresses.
Enter the primary DNS server IP address: 198.51.100.15
Do you want to configure Secondary DNS Server? (y/n) [n]: N
Do you want to configure Local Domain Name? (y/n) [n]: N
Do you want to configure Search domains? (y/n) [n]: N
Do you want to enable the NTP service? [Y]: N

Please review the final configuration:
Hostname:               sfr-module-5585
Management Interface Configuration

IPv4 Configuration:     static
        IP Address:     198.51.100.3
        Netmask:        255.255.255.0
        Gateway:        198.51.100.1

IPv6 Configuration:     Stateless autoconfiguration

DNS Configuration:
        DNS Server:     198.51.100.15

Apply the changes?(y,n) [Y]: Y
Configuration saved successfully!
Applying...
Restarting network services...
Restarting NTP service...
Done.

 
8. Use a imagem de inicialização para extrair e instalar a imagem do Software do Sistema usando o comando system install. Inclua a opção noconfirm se não quiser responder a mensagens de confirmação. Substitua a palavra-chave url pelo local do arquivo .pkg.

asasfr-boot> system install [noconfirm] url

Por exemplo,

> system install http://Server_IP_Address/asasfr-sys-5.3.1-152.pkg

Verifying     
Downloading     
Extracting     

Package Detail
Description:                    Cisco ASA-SFR 5.3.1-152 System Install
Requires reboot:                Yes

Do you want to continue with upgrade? [y]: Y
Warning: Please do not interrupt the process or turn off the system.
Doing so might leave system in unusable state.

Upgrading     
Starting upgrade process ...
Populating new system image ...

Observação: quando a instalação for concluída em 20 a 30 minutos, você será solicitado a pressionar Enter para reinicializar. Aguarde 10 minutos ou mais para a instalação do componente do aplicativo e para o início dos serviços do ASA FirePOWER. A saída show module 1 details deve mostrar todos os processos como Up.

Status do módulo durante a instalação

ciscoasa# show module 1 details

Getting details from the Service Module, please wait...
Unable to read details from module 1

Card Type:          ASA 5585-X FirePOWER SSP-10, 8GE
Model:              ASA5585-SSP-SFR10
Hardware version:   1.0
Serial Number:      JAD18400028
Firmware version:   2.0(14)1
Software version:   5.3.1-152
MAC Address Range:  58f3.9ca0.1190 to 58f3.9ca0.119b
App. name:          ASA FirePOWER
App. Status:        Not Applicable
App. Status Desc:   Not Applicable
App. version:       5.3.1-152
Data Plane Status:  Not Applicable
Console session:    Not ready
Status:             Unresponsive

Status do módulo após instalação bem-sucedida

ciscoasa# show module 1 details
 
Getting details from the Service Module, please wait...

Card Type:          ASA 5585-X FirePOWER SSP-10, 8GE
Model:              ASA5585-SSP-SFR10
Hardware version:   1.0
Serial Number:      JAD18400028
Firmware version:   2.0(14)1
Software version:   5.3.1-152
MAC Address Range:  58f3.9ca0.1190 to 58f3.9ca0.119b
App. name:          ASA FirePOWER
App. Status:        Up
App. Status Desc:   Normal Operation
App. version:       5.3.1-152
Data Plane Status:  Up
Console session:    Ready
Status:             Up
DC addr:            No DC Configured                                            
Mgmt IP addr:       192.168.45.45                                               
Mgmt Network mask:  255.255.255.0                                               
Mgmt Gateway:       0.0.0.0                                                     
Mgmt web ports:     443                                                         
Mgmt TLS enabled:   true

Configuração

Configurar o software FirePOWER

1. Você pode se conectar ao módulo ASA 5585-X FirePOWER por meio de uma das seguintes portas externas:

• Porta de console ASA FirePOWER
• Interface ASA FirePOWER Management 1/0 usando SSH

Observação: não é possível acessar a CLI do módulo de hardware do ASA FirePOWER no painel traseiro do ASA usando o comando session sfr.

2. Depois de acessar o módulo FirePOWER pelo console, faça login com o nome de usuário admin e a senha Sourcefire.

Sourcefire3D login: admin
Password: 

Last login: Fri Jan 30 14:00:51 UTC 2015 on ttyS0

Copyright 2001-2013, Sourcefire, Inc. All rights reserved. Sourcefire is a registered
 trademark of Sourcefire, Inc. All other trademarks are property of their respective
 owners.

Sourcefire Linux OS v5.3.1 (build 43)
Sourcefire ASA5585-SSP-10 v5.3.1 (build 152)

Last login: Wed Feb 18 14:22:19 on ttyS0

System initialization in progress.  Please stand by.  
You must configure the network to continue.
You must configure at least one of IPv4 or IPv6.
Do you want to configure IPv4? (y/n) [y]: y
Do you want to configure IPv6? (y/n) [n]: n
Configure IPv4 via DHCP or manually? (dhcp/manual) [manual]: dhcp
If your networking information has changed, you will need to reconnect.
[1640209.830367] ADDRCONF(NETDEV_UP): eth0: link is not ready
[1640212.873978] e1000e: eth0 NIC Link is Up 1000 Mbps Full Duplex, Flow Control: None
[1640212.966250] ADDRCONF(NETDEV_CHANGE): eth0: link becomes ready
For HTTP Proxy configuration, run 'configure network http-proxy'

This sensor must be managed by a Defense Center.  A unique alphanumeric registration
 key is always required.  In most cases, to register a sensor to a Defense Center,
 you must provide the hostname or the IP address along with the registration key.
 'configure manager add [hostname | ip address ] [registration key ]'

However, if the sensor and the Defense Center are separated by a NAT device, you
 must enter a unique NAT ID, along with the unique registration key. 'configure
 manager add DONTRESOLVE [registration key ] [ NAT ID ]'

Later, using the web interface on the Defense Center, you must use the same
 registration key and, if necessary, the same NAT ID when you add this
 sensor to the Defense Center.

> 

Configurar o FireSIGHT Management Center

Para gerenciar um módulo e uma política de segurança do ASA FirePOWER, você deve registrá-lo em um FireSIGHT Management Center. Com um FireSIGHT Management Center, não é possível fazer o seguinte:

• Não é possível configurar interfaces ASA FirePOWER.
• Não é possível desligar, reiniciar ou gerenciar de outra forma os processos do ASA FirePOWER.
• Não é possível criar ou restaurar backups em dispositivos ASA FirePOWER.
• Não é possível gravar regras de controle de acesso para corresponder ao tráfego usando condições de marca de VLAN.

Redirecionar tráfego para o módulo SFR

Você redireciona o tráfego para o módulo ASA FirePOWER criando uma política de serviço que identifica o tráfego específico. Para redirecionar o tráfego para um módulo FirePOWER, siga as etapas abaixo:

Etapa 1: Selecione o tráfego

Primeiro, selecione o tráfego usando o comando access-list. No exemplo a seguir, estamos redirecionando todo o tráfego de todas as interfaces. Você pode fazer isso para tráfego específico também.

ciscoasa(config)# access-list sfr_redirect extended permit ip any any

Etapa 2: Combine o tráfego

O exemplo a seguir mostra como criar um mapa de classes e corresponder o tráfego em uma lista de acesso:

ciscoasa(config)# class-map sfr
ciscoasa(config-cmap)# match access-list sfr_redirect

Etapa 3: Especificar Ação

Você pode configurar seu dispositivo em uma implantação passiva ("somente monitor") ou em linha. Você não pode configurar o modo somente monitor e o modo embutido normal ao mesmo tempo no ASA. Apenas um tipo de política de segurança é permitido.

Modo em linha

Em uma implantação em linha, depois de descartar o tráfego indesejado e executar qualquer outra ação aplicada pela política, o tráfego é devolvido ao ASA para processamento posterior e transmissão final. O exemplo a seguir mostra como criar um mapa de políticas e configurar o módulo FirePOWER no modo em linha:

ciscoasa(config)# policy-map global_policy
ciscoasa(config-pmap)# class sfr
ciscoasa(config-pmap-c)# sfr fail-open

Modo passivo

Em uma implantação passiva,

• Uma cópia do tráfego é enviada ao dispositivo, mas não é retornada ao ASA.
• O modo passivo permite que você veja o que o dispositivo teria feito ao tráfego e permite que você avalie o conteúdo do tráfego, sem impactar a rede.

Se você quiser configurar o módulo FirePOWER no modo passivo, use a palavra-chave monitor-only como abaixo. Se você não incluir a palavra-chave, o tráfego será enviado no modo em linha.

ciscoasa(config-pmap-c)# sfr fail-open monitor-only

Etapa 4: Especificar Local

A última etapa é aplicar a política. Você pode aplicar uma política globalmente ou em uma interface. Você pode substituir a política global em uma interface aplicando uma política de serviço a essa interface. 

A palavra-chave global aplica o mapa de política a todas as interfaces e interface aplica a política a uma interface. Somente uma política global é permitida. No exemplo a seguir, a política é aplicada globalmente:

ciscoasa(config)# service-policy global_policy global

Cuidado: o mapa de política global_policy é uma política padrão. Se você usar essa política e quiser removê-la do dispositivo para fins de solução de problemas, certifique-se de entender a implicação.

Documento relacionado

• Registrar um dispositivo com um FireSIGHT Management Center
• Implantação do FireSIGHT Management Center no VMware ESXi
• Cenários de configuração de gerenciamento de IPS em um módulo IPS 5500-X