El módulo ASA FirePOWER, también conocido como ASA SFR, proporciona servicios de firewall de última generación, incluidos el IPS de última generación (NGIPS), la visibilidad y el control de aplicaciones (AVC), el filtrado de URL y la protección frente a malware avanzado (AMP). Puede utilizar el módulo en modo de contexto único o múltiple, y en modo ruteado o transparente. Este documento describe los requisitos previos y los procesos de instalación de un módulo FirePOWER (SFR) en el módulo de hardware ASA 5585-X. También proporciona los pasos para registrar un módulo SFR con FireSIGHT Management Center.
Las instrucciones de este documento requieren acceso al modo EXEC privilegiado. Para acceder al modo EXEC privilegiado, ingrese el comando enable. Si no se ha establecido una contraseña, simplemente pulse Intro.
ciscoasa> enable
Password:
ciscoasa#
Para instalar FirePOWER Services en un ASA, se necesitan los siguientes componentes:
Dado que un SSM ASA siempre ocupa una de las dos ranuras del chasis ASA 5585-X, si tiene un módulo de hardware distinto del SSP de servicios FirePOWER (SFR) como el SSP-CX (sensible al contexto) o AIP-SSM (seguridad avanzada de inspección y prevención), el otro módulo debe desinstalarse para dejar espacio al SSP-SFR. Antes de remover un módulo de hardware, ejecute el siguiente comando para apagar un módulo:
ciscoasa# hw-module module 1 shutdown
1. Descargue la imagen de arranque inicial del módulo ASA FirePOWER SFR desde Cisco.com a un servidor TFTP al que se puede acceder desde la interfaz de administración de ASA FirePOWER. El nombre de la imagen es como "asasfr-boot-5.3.1-152.img"
2. Descargue el software del sistema ASA FirePOWER de Cisco.com a un servidor HTTP, HTTPS o FTP al que se pueda acceder desde la interfaz de administración de ASA FirePOWER.
3. Reiniciar el módulo SFR
Opción 1: Si no tiene la contraseña del módulo SFR, puede ejecutar el siguiente comando desde el ASA para reiniciar el módulo.
ciscoasa# hw-module module 1 reload
Reload module 1? [confirm]
Reload issued for module 1
Opción 2: Si tiene la contraseña del módulo SFR, puede reiniciar el sensor directamente desde su línea de comandos.
Sourcefire3D login: admin
Password:
Sourcefire Linux OS v5.3.1 (build 43)
Sourcefire ASA5585-SSP-10 v5.3.1 (build 152)
> system reboot
4. Interrumpa el proceso de arranque del módulo SFR usando ESCAPE o la secuencia de interrupción de su software de sesión de terminal para colocar el módulo en ROMMON.
The system is restarting...
CISCO SYSTEMS
Embedded BIOS Version 2.0(14)1 15:16:31 01/25/14
Cisco Systems ROMMON Version (2.0(14)1) #0: Sat Jan 25 16:44:38 CST 2014
Platform ASA 5585-X FirePOWER SSP-10, 8GE
Use BREAK or ESC to interrupt boot.
Use SPACE to begin boot immediately.
Boot in 8 seconds.
Boot interrupted.
Management0/0
Link is UP
MAC Address: xxxx.xxxx.xxxx
Use ? for help.
rommon #0>
5. Configure la interfaz de administración del módulo SFR con una dirección IP e indique la ubicación del servidor TFTP y la trayectoria TFTP a la imagen de bootstrap. Ingrese los siguientes comandos para establecer una dirección IP en la interfaz y recuperar la imagen TFTP:
! Ejemplo de información de dirección IP utilizada. Actualice su entorno.
rommon #1> ADDRESS=198.51.100.3
rommon #2> GATEWAY=198.51.100.1
rommon #3> SERVER=198.51.100.100
rommon #4> IMAGE=/tftpboot/asasfr-boot-5.3.1-152.img
rommon #5> sync
Updating NVRAM Parameters...
rommon #6> tftp
ROMMON Variable Settings:
ADDRESS=198.51.100.3
SERVER=198.51.100.100
GATEWAY=198.51.100.1
PORT=Management0/0
VLAN=untagged
IMAGE=/tftpboot/asasfr-boot-5.3.1-152.img
CONFIG=
LINKTIMEOUT=20
PKTTIMEOUT=4
RETRY=20
tftp /tftpboot/asasfr-boot-5.3.1-152.img@198.51.100.100 via 198.51.100.1
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
<truncated output>
Received 41235627 bytes
Launching TFTP Image...
Execute image at 0x14000
6. Inicie sesión en la imagen de inicio inicial. Inicie sesión como admin y con la contraseña Admin123
Cisco ASA SFR Boot Image 5.3.1
asasfr login: admin
Password:
Cisco ASA SFR Boot 5.3.1 (152)
Type ? for list of commands
7. Utilice la imagen de inicio inicial para configurar una dirección IP en la interfaz de administración del módulo. Ingrese el comando setup para ingresar al asistente. Se le solicita la siguiente información:
! Información de ejemplo utilizada. Actualice su entorno.
asasfr-boot>setup
Welcome to SFR Setup
[hit Ctrl-C to abort]
Default values are inside []
Enter a hostname [asasfr]: sfr-module-5585
Do you want to configure IPv4 address on management interface?(y/n) [Y]: Y
Do you want to enable DHCP for IPv4 address on management interface?(y/n) [N]: N
Enter an IPv4 address [192.168.8.8]: 198.51.100.3
Enter the netmask [255.255.255.0]: 255.255.255.0
Enter the gateway [192.168.8.1]: 198.51.100.1
Do you want to configure static IPv6 address on management interface?(y/n) [N]: N
Stateless autoconfiguration will be enabled for IPv6 addresses.
Enter the primary DNS server IP address: 198.51.100.15
Do you want to configure Secondary DNS Server? (y/n) [n]: N
Do you want to configure Local Domain Name? (y/n) [n]: N
Do you want to configure Search domains? (y/n) [n]: N
Do you want to enable the NTP service? [Y]: N
Please review the final configuration:
Hostname: sfr-module-5585
Management Interface Configuration
IPv4 Configuration: static
IP Address: 198.51.100.3
Netmask: 255.255.255.0
Gateway: 198.51.100.1
IPv6 Configuration: Stateless autoconfiguration
DNS Configuration:
DNS Server: 198.51.100.15
Apply the changes?(y,n) [Y]: Y
Configuration saved successfully!
Applying...
Restarting network services...
Restarting NTP service...
Done.
8. Utilice la imagen de inicio para extraer e instalar la imagen del software del sistema mediante el comando system install. Incluya la opción noconfirm si no desea responder a los mensajes de confirmación. Reemplace la palabra clave url por la ubicación del archivo .pkg.
asasfr-boot> system install [noconfirm] url
Por ejemplo,
> system install http://Server_IP_Address/asasfr-sys-5.3.1-152.pkg
Verifying
Downloading
Extracting
Package Detail
Description: Cisco ASA-SFR 5.3.1-152 System Install
Requires reboot: Yes
Do you want to continue with upgrade? [y]: Y
Warning: Please do not interrupt the process or turn off the system.
Doing so might leave system in unusable state.
Upgrading
Starting upgrade process ...
Populating new system image ...
Estado del módulo durante la instalación
ciscoasa# show module 1 details
Getting details from the Service Module, please wait...
Unable to read details from module 1
Card Type: ASA 5585-X FirePOWER SSP-10, 8GE
Model: ASA5585-SSP-SFR10
Hardware version: 1.0
Serial Number: JAD18400028
Firmware version: 2.0(14)1
Software version: 5.3.1-152
MAC Address Range: 58f3.9ca0.1190 to 58f3.9ca0.119b
App. name: ASA FirePOWER
App. Status: Not Applicable
App. Status Desc: Not Applicable
App. version: 5.3.1-152
Data Plane Status: Not Applicable
Console session: Not ready
Status: Unresponsive
Estado del módulo tras la instalación correcta
ciscoasa# show module 1 details
Getting details from the Service Module, please wait...
Card Type: ASA 5585-X FirePOWER SSP-10, 8GE
Model: ASA5585-SSP-SFR10
Hardware version: 1.0
Serial Number: JAD18400028
Firmware version: 2.0(14)1
Software version: 5.3.1-152
MAC Address Range: 58f3.9ca0.1190 to 58f3.9ca0.119b
App. name: ASA FirePOWER
App. Status: Up
App. Status Desc: Normal Operation
App. version: 5.3.1-152
Data Plane Status: Up
Console session: Ready
Status: Up
DC addr: No DC Configured
Mgmt IP addr: 192.168.45.45
Mgmt Network mask: 255.255.255.0
Mgmt Gateway: 0.0.0.0
Mgmt web ports: 443
Mgmt TLS enabled: true
1. Puede conectarse al módulo FirePOWER ASA 5585-X a través de uno de los siguientes puertos externos:
2. Después de acceder al módulo FirePOWER a través de la consola, inicie sesión con el nombre de usuario admin y la contraseña Sourcefire.
Sourcefire3D login: admin
Password:
Last login: Fri Jan 30 14:00:51 UTC 2015 on ttyS0
Copyright 2001-2013, Sourcefire, Inc. All rights reserved. Sourcefire is a registered
trademark of Sourcefire, Inc. All other trademarks are property of their respective
owners.
Sourcefire Linux OS v5.3.1 (build 43)
Sourcefire ASA5585-SSP-10 v5.3.1 (build 152)
Last login: Wed Feb 18 14:22:19 on ttyS0
System initialization in progress. Please stand by.
You must configure the network to continue.
You must configure at least one of IPv4 or IPv6.
Do you want to configure IPv4? (y/n) [y]: y
Do you want to configure IPv6? (y/n) [n]: n
Configure IPv4 via DHCP or manually? (dhcp/manual) [manual]: dhcp
If your networking information has changed, you will need to reconnect.
[1640209.830367] ADDRCONF(NETDEV_UP): eth0: link is not ready
[1640212.873978] e1000e: eth0 NIC Link is Up 1000 Mbps Full Duplex, Flow Control: None
[1640212.966250] ADDRCONF(NETDEV_CHANGE): eth0: link becomes ready
For HTTP Proxy configuration, run 'configure network http-proxy'
This sensor must be managed by a Defense Center. A unique alphanumeric registration
key is always required. In most cases, to register a sensor to a Defense Center,
you must provide the hostname or the IP address along with the registration key.
'configure manager add [hostname | ip address ] [registration key ]'
However, if the sensor and the Defense Center are separated by a NAT device, you
must enter a unique NAT ID, along with the unique registration key. 'configure
manager add DONTRESOLVE [registration key ] [ NAT ID ]'
Later, using the web interface on the Defense Center, you must use the same
registration key and, if necessary, the same NAT ID when you add this
sensor to the Defense Center.
>
Para administrar un módulo FirePOWER ASA y una política de seguridad, debe registrarlo en un FireSIGHT Management Center. No puede hacer lo siguiente con FireSIGHT Management Center:
Redirige el tráfico al módulo ASA FirePOWER mediante la creación de una política de servicio que identifique el tráfico específico. Para redirigir el tráfico a un módulo FirePOWER, siga estos pasos:
Primero, seleccione el tráfico usando el comando access-list. En el siguiente ejemplo, estamos redirigiendo todo el tráfico desde todas las interfaces. También podría hacerlo para tráfico específico.
ciscoasa(config)# access-list sfr_redirect extended permit ip any any
El siguiente ejemplo muestra cómo crear un mapa de clase y hacer coincidir el tráfico en una lista de acceso:
ciscoasa(config)# class-map sfr
ciscoasa(config-cmap)# match access-list sfr_redirect
Puede configurar el dispositivo en una implementación pasiva ("solo monitor") o en línea. No puede configurar tanto el modo de sólo supervisión como el modo de línea normal al mismo tiempo en el ASA. Solo se permite un tipo de directiva de seguridad.
En una implementación en línea, después de descartar el tráfico no deseado y de realizar cualquier otra acción aplicada por la política, el tráfico se devuelve al ASA para su posterior procesamiento y transmisión final. El siguiente ejemplo muestra cómo crear un policy-map y configurar el módulo FirePOWER en modo en línea:
ciscoasa(config)# policy-map global_policy
ciscoasa(config-pmap)# class sfr
ciscoasa(config-pmap-c)# sfr fail-open
En una implementación pasiva,
Si desea configurar el módulo FirePOWER en modo pasivo, utilice la palabra clave monitor-only como se muestra a continuación. Si no incluye la palabra clave, el tráfico se envía en modo en línea.
ciscoasa(config-pmap-c)# sfr fail-open monitor-only
El último paso es aplicar la política. Puede aplicar una política globalmente o en una interfaz. Puede invalidar la política global en una interfaz aplicando una política de servicio a esa interfaz.
La palabra clave global aplica el policy map a todas las interfaces, y interface aplica la política a una interfaz. Sólo se permite una política global. En el siguiente ejemplo, la política se aplica globalmente:
ciscoasa(config)# service-policy global_policy global
Revisión | Fecha de publicación | Comentarios |
---|---|---|
1.0 |
18-Feb-2015 |
Versión inicial |