Instale un módulo SFR en un módulo de hardware ASA 5585-X

Introducción

El módulo ASA FirePOWER, también conocido como ASA SFR, proporciona servicios de firewall de última generación, incluidos el IPS de última generación (NGIPS), la visibilidad y el control de aplicaciones (AVC), el filtrado de URL y la protección frente a malware avanzado (AMP). Puede utilizar el módulo en modo de contexto único o múltiple, y en modo ruteado o transparente. Este documento describe los requisitos previos y los procesos de instalación de un módulo FirePOWER (SFR) en el módulo de hardware ASA 5585-X. También proporciona los pasos para registrar un módulo SFR con FireSIGHT Management Center.

Nota: Los servicios FirePOWER (SFR) residen en un módulo de hardware del ASA 5585-X, mientras que los servicios FirePOWER de los dispositivos ASA serie 5512-X a 5555-X se instalan en un módulo de software, lo que provoca diferencias en los procesos de instalación.

Prerequisites

Requirements

Las instrucciones de este documento requieren acceso al modo EXEC privilegiado. Para acceder al modo EXEC privilegiado, ingrese el comando enable. Si no se ha establecido una contraseña, simplemente pulse Intro.

ciscoasa> enable
Password:
ciscoasa#

Para instalar FirePOWER Services en un ASA, se necesitan los siguientes componentes:

• Versión 9.2.2 o posterior del software ASA
• Plataforma ASA 5585-X
• Servidor TFTP al que se puede acceder mediante la interfaz de administración del módulo FirePOWER
• FireSIGHT Management Center con versión 5.3.1 o superior

Nota: La información de este documento se crea a partir de los dispositivos en un entorno de laboratorio específico. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Configuración

Antes de comenzar

Dado que un SSM ASA siempre ocupa una de las dos ranuras del chasis ASA 5585-X, si tiene un módulo de hardware distinto del SSP de servicios FirePOWER (SFR) como el SSP-CX (sensible al contexto) o AIP-SSM (seguridad avanzada de inspección y prevención), el otro módulo debe desinstalarse para dejar espacio al SSP-SFR. Antes de remover un módulo de hardware, ejecute el siguiente comando para apagar un módulo:

ciscoasa# hw-module module 1 shutdown

Cableado y gestión

• No puede acceder al puerto serial del módulo SFR a través de la consola ASA en el ASA 5585-X.
• Una vez que se aprovisiona el módulo SFR, puede iniciar sesión en el servidor blade mediante el comando "session 1".
• Para recrear completamente la imagen del módulo SFR en un ASA 5585-X, debe utilizar la interfaz Ethernet de administración y una sesión de consola en el puerto de administración serial, que se encuentran en el módulo SFR y están separados de la interfaz de administración y la consola de ASA.

Consejo: Para encontrar el estado de un módulo en el ASA, ejecute el comando "show module 1 details" que recupera la IP de administración del módulo SFR y el Centro de Defensa asociado.

Instalación del módulo FirePOWER (SFR) en ASA

1. Descargue la imagen de arranque inicial del módulo ASA FirePOWER SFR desde Cisco.com a un servidor TFTP al que se puede acceder desde la interfaz de administración de ASA FirePOWER. El nombre de la imagen es como "asasfr-boot-5.3.1-152.img"

2. Descargue el software del sistema ASA FirePOWER de Cisco.com a un servidor HTTP, HTTPS o FTP al que se pueda acceder desde la interfaz de administración de ASA FirePOWER.

3. Reiniciar el módulo SFR

Opción 1: Si no tiene la contraseña del módulo SFR, puede ejecutar el siguiente comando desde el ASA para reiniciar el módulo.

ciscoasa# hw-module module 1 reload 
Reload module 1? [confirm]
Reload issued for module 1

Opción 2: Si tiene la contraseña del módulo SFR, puede reiniciar el sensor directamente desde su línea de comandos.

Sourcefire3D login: admin
Password:

Sourcefire Linux OS v5.3.1 (build 43)
Sourcefire ASA5585-SSP-10 v5.3.1 (build 152)

> system reboot

4. Interrumpa el proceso de arranque del módulo SFR usando ESCAPE o la secuencia de interrupción de su software de sesión de terminal para colocar el módulo en ROMMON.

The system is restarting...
CISCO SYSTEMS
Embedded BIOS Version 2.0(14)1 15:16:31 01/25/14


     
     

Cisco Systems ROMMON Version (2.0(14)1) #0: Sat Jan 25 16:44:38 CST 2014

Platform ASA 5585-X FirePOWER SSP-10, 8GE

Use BREAK or ESC to interrupt boot.
Use SPACE to begin boot immediately.
Boot in 8 seconds.

Boot interrupted.

Management0/0
Link is UP
MAC Address: xxxx.xxxx.xxxx

Use ? for help.

rommon #0>

5. Configure la interfaz de administración del módulo SFR con una dirección IP e indique la ubicación del servidor TFTP y la trayectoria TFTP a la imagen de bootstrap. Ingrese los siguientes comandos para establecer una dirección IP en la interfaz y recuperar la imagen TFTP:

• set
• DIRECCIÓN = Su_dirección_IP
• GATEWAY = Your_Gateway
• SERVER = Your_TFTP_Server
• IMAGE = Your_TFTP_Filepath
• sincrónico
• tftp

! Ejemplo de información de dirección IP utilizada. Actualice su entorno.

rommon #1> ADDRESS=198.51.100.3
rommon #2> GATEWAY=198.51.100.1
rommon #3> SERVER=198.51.100.100
rommon #4> IMAGE=/tftpboot/asasfr-boot-5.3.1-152.img
rommon #5> sync

Updating NVRAM Parameters...

rommon #6> tftp
ROMMON Variable Settings:
  ADDRESS=198.51.100.3
  SERVER=198.51.100.100
  GATEWAY=198.51.100.1
  PORT=Management0/0
  VLAN=untagged
  IMAGE=/tftpboot/asasfr-boot-5.3.1-152.img
  CONFIG=
  LINKTIMEOUT=20
  PKTTIMEOUT=4
  RETRY=20

tftp /tftpboot/asasfr-boot-5.3.1-152.img@198.51.100.100 via 198.51.100.1
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
<truncated output>

Received 41235627 bytes

Launching TFTP Image...

Execute image at 0x14000

6. Inicie sesión en la imagen de inicio inicial. Inicie sesión como admin y con la contraseña Admin123

Cisco ASA SFR Boot Image 5.3.1

asasfr login: admin
Password:

            Cisco ASA SFR Boot 5.3.1 (152)
                  Type ? for list of commands

 
7. Utilice la imagen de inicio inicial para configurar una dirección IP en la interfaz de administración del módulo. Ingrese el comando setup para ingresar al asistente. Se le solicita la siguiente información:

• Hostname: Hasta 65 caracteres alfanuméricos, sin espacios. Se permiten los guiones.
• Dirección de red: Puede establecer direcciones IPv4 o IPv6 estáticas, o utilizar la configuración automática sin estado DHCP (para IPv4) o IPv6.
• Información DNS: Debe identificar al menos un servidor DNS y también puede establecer el nombre de dominio y el dominio de búsqueda.
• Información NTP: Puede habilitar NTP y configurar los servidores NTP para establecer la hora del sistema.

! Información de ejemplo utilizada. Actualice su entorno.

asasfr-boot>setup

                         Welcome to SFR Setup
                          [hit Ctrl-C to abort]
                        Default values are inside []

Enter a hostname [asasfr]: sfr-module-5585
Do you want to configure IPv4 address on management interface?(y/n) [Y]: Y
Do you want to enable DHCP for IPv4 address on management interface?(y/n) [N]: N
Enter an IPv4 address [192.168.8.8]: 198.51.100.3
Enter the netmask [255.255.255.0]: 255.255.255.0
Enter the gateway [192.168.8.1]: 198.51.100.1
Do you want to configure static IPv6 address on management interface?(y/n) [N]: N
Stateless autoconfiguration will be enabled for IPv6 addresses.
Enter the primary DNS server IP address: 198.51.100.15
Do you want to configure Secondary DNS Server? (y/n) [n]: N
Do you want to configure Local Domain Name? (y/n) [n]: N
Do you want to configure Search domains? (y/n) [n]: N
Do you want to enable the NTP service? [Y]: N

Please review the final configuration:
Hostname:               sfr-module-5585
Management Interface Configuration

IPv4 Configuration:     static
        IP Address:     198.51.100.3
        Netmask:        255.255.255.0
        Gateway:        198.51.100.1

IPv6 Configuration:     Stateless autoconfiguration

DNS Configuration:
        DNS Server:     198.51.100.15

Apply the changes?(y,n) [Y]: Y
Configuration saved successfully!
Applying...
Restarting network services...
Restarting NTP service...
Done.

 
8. Utilice la imagen de inicio para extraer e instalar la imagen del software del sistema mediante el comando system install. Incluya la opción noconfirm si no desea responder a los mensajes de confirmación. Reemplace la palabra clave url por la ubicación del archivo .pkg.

asasfr-boot> system install [noconfirm] url

Por ejemplo,

> system install http://Server_IP_Address/asasfr-sys-5.3.1-152.pkg

Verifying     
Downloading     
Extracting     

Package Detail
Description:                    Cisco ASA-SFR 5.3.1-152 System Install
Requires reboot:                Yes

Do you want to continue with upgrade? [y]: Y
Warning: Please do not interrupt the process or turn off the system.
Doing so might leave system in unusable state.

Upgrading     
Starting upgrade process ...
Populating new system image ...

Nota: Cuando la instalación se complete en 20 a 30 minutos, se le solicitará que presione Enter key para reiniciar. Espere 10 minutos o más para que se inicie la instalación del componente de la aplicación y para que se inicien los servicios de ASA FirePOWER. La salida show module 1 details debe mostrar todos los procesos como Up.

Estado del módulo durante la instalación

ciscoasa# show module 1 details

Getting details from the Service Module, please wait...
Unable to read details from module 1

Card Type:          ASA 5585-X FirePOWER SSP-10, 8GE
Model:              ASA5585-SSP-SFR10
Hardware version:   1.0
Serial Number:      JAD18400028
Firmware version:   2.0(14)1
Software version:   5.3.1-152
MAC Address Range:  58f3.9ca0.1190 to 58f3.9ca0.119b
App. name:          ASA FirePOWER
App. Status:        Not Applicable
App. Status Desc:   Not Applicable
App. version:       5.3.1-152
Data Plane Status:  Not Applicable
Console session:    Not ready
Status:             Unresponsive

Estado del módulo tras la instalación correcta

ciscoasa# show module 1 details
 
Getting details from the Service Module, please wait...

Card Type:          ASA 5585-X FirePOWER SSP-10, 8GE
Model:              ASA5585-SSP-SFR10
Hardware version:   1.0
Serial Number:      JAD18400028
Firmware version:   2.0(14)1
Software version:   5.3.1-152
MAC Address Range:  58f3.9ca0.1190 to 58f3.9ca0.119b
App. name:          ASA FirePOWER
App. Status:        Up
App. Status Desc:   Normal Operation
App. version:       5.3.1-152
Data Plane Status:  Up
Console session:    Ready
Status:             Up
DC addr:            No DC Configured                                            
Mgmt IP addr:       192.168.45.45                                               
Mgmt Network mask:  255.255.255.0                                               
Mgmt Gateway:       0.0.0.0                                                     
Mgmt web ports:     443                                                         
Mgmt TLS enabled:   true

Configuración

Configuración del software FirePOWER

1. Puede conectarse al módulo FirePOWER ASA 5585-X a través de uno de los siguientes puertos externos:

• Puerto de consola ASA FirePOWER
• Interfaz ASA FirePOWER Management 1/0 con SSH

Nota: No puede acceder a la CLI del módulo de hardware de ASA FirePOWER sobre la placa de interconexiones ASA mediante el comando session sfr.

2. Después de acceder al módulo FirePOWER a través de la consola, inicie sesión con el nombre de usuario admin y la contraseña Sourcefire.

Sourcefire3D login: admin
Password: 

Last login: Fri Jan 30 14:00:51 UTC 2015 on ttyS0

Copyright 2001-2013, Sourcefire, Inc. All rights reserved. Sourcefire is a registered
 trademark of Sourcefire, Inc. All other trademarks are property of their respective
 owners.

Sourcefire Linux OS v5.3.1 (build 43)
Sourcefire ASA5585-SSP-10 v5.3.1 (build 152)

Last login: Wed Feb 18 14:22:19 on ttyS0

System initialization in progress.  Please stand by.  
You must configure the network to continue.
You must configure at least one of IPv4 or IPv6.
Do you want to configure IPv4? (y/n) [y]: y
Do you want to configure IPv6? (y/n) [n]: n
Configure IPv4 via DHCP or manually? (dhcp/manual) [manual]: dhcp
If your networking information has changed, you will need to reconnect.
[1640209.830367] ADDRCONF(NETDEV_UP): eth0: link is not ready
[1640212.873978] e1000e: eth0 NIC Link is Up 1000 Mbps Full Duplex, Flow Control: None
[1640212.966250] ADDRCONF(NETDEV_CHANGE): eth0: link becomes ready
For HTTP Proxy configuration, run 'configure network http-proxy'

This sensor must be managed by a Defense Center.  A unique alphanumeric registration
 key is always required.  In most cases, to register a sensor to a Defense Center,
 you must provide the hostname or the IP address along with the registration key.
 'configure manager add [hostname | ip address ] [registration key ]'

However, if the sensor and the Defense Center are separated by a NAT device, you
 must enter a unique NAT ID, along with the unique registration key. 'configure
 manager add DONTRESOLVE [registration key ] [ NAT ID ]'

Later, using the web interface on the Defense Center, you must use the same
 registration key and, if necessary, the same NAT ID when you add this
 sensor to the Defense Center.

> 

Configuración de FireSIGHT Management Center

Para administrar un módulo FirePOWER ASA y una política de seguridad, debe registrarlo en un FireSIGHT Management Center. No puede hacer lo siguiente con FireSIGHT Management Center:

• No se pueden configurar las interfaces ASA FirePOWER.
• No se pueden apagar, reiniciar ni administrar de otro modo los procesos de ASA FirePOWER.
• No se pueden crear copias de seguridad desde dispositivos ASA FirePOWER ni restaurarlas.
• No se pueden escribir las reglas de control de acceso para que coincidan con el tráfico usando las condiciones de etiqueta VLAN.

Redirigir el tráfico al módulo SFR

Redirige el tráfico al módulo ASA FirePOWER mediante la creación de una política de servicio que identifique el tráfico específico. Para redirigir el tráfico a un módulo FirePOWER, siga estos pasos:

Paso 1: Seleccionar tráfico

Primero, seleccione el tráfico usando el comando access-list. En el siguiente ejemplo, estamos redirigiendo todo el tráfico desde todas las interfaces. También podría hacerlo para tráfico específico.

ciscoasa(config)# access-list sfr_redirect extended permit ip any any

Paso 2: Coincidir con el tráfico

El siguiente ejemplo muestra cómo crear un mapa de clase y hacer coincidir el tráfico en una lista de acceso:

ciscoasa(config)# class-map sfr
ciscoasa(config-cmap)# match access-list sfr_redirect

Paso 3: Especificar acción

Puede configurar el dispositivo en una implementación pasiva ("solo monitor") o en línea. No puede configurar tanto el modo de sólo supervisión como el modo de línea normal al mismo tiempo en el ASA. Solo se permite un tipo de directiva de seguridad.

Modo en línea

En una implementación en línea, después de descartar el tráfico no deseado y de realizar cualquier otra acción aplicada por la política, el tráfico se devuelve al ASA para su posterior procesamiento y transmisión final. El siguiente ejemplo muestra cómo crear un policy-map y configurar el módulo FirePOWER en modo en línea:

ciscoasa(config)# policy-map global_policy
ciscoasa(config-pmap)# class sfr
ciscoasa(config-pmap-c)# sfr fail-open

Modo pasivo

En una implementación pasiva,

• Se envía una copia del tráfico al dispositivo, pero no se devuelve al ASA.
• El modo pasivo le permite ver lo que el dispositivo habría hecho con el tráfico, y le permite evaluar el contenido del tráfico sin afectar a la red.

Si desea configurar el módulo FirePOWER en modo pasivo, utilice la palabra clave monitor-only como se muestra a continuación. Si no incluye la palabra clave, el tráfico se envía en modo en línea.

ciscoasa(config-pmap-c)# sfr fail-open monitor-only

Paso 4: Especificar ubicación

El último paso es aplicar la política. Puede aplicar una política globalmente o en una interfaz. Puede invalidar la política global en una interfaz aplicando una política de servicio a esa interfaz. 

La palabra clave global aplica el policy map a todas las interfaces, y interface aplica la política a una interfaz. Sólo se permite una política global. En el siguiente ejemplo, la política se aplica globalmente:

ciscoasa(config)# service-policy global_policy global

Precaución: El policy map global_policy es una política predeterminada. Si utiliza esta política y desea eliminarla en su dispositivo para solucionar problemas, asegúrese de comprender sus implicaciones.

Documento relacionado

• Registro de un dispositivo con FireSIGHT Management Center
• Implementación de FireSIGHT Management Center en VMware ESXi
• Situaciones de configuración de administración IPS en un módulo IPS 5500-X