Segurança : Cisco ASA 5500-X with FirePOWER Services

A instalação de serviços da potência de fogo (SFR) no módulo de hardware ASA 5585-X

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback

Introdução

O módulo da potência de fogo ASA, igualmente conhecido como ASA SFR, fornece os serviços de firewall da próxima geração, incluindo a próxima geração IPS (NGIPS), a visibilidade do aplicativo e o controle (AVC), a Filtragem URL, e a proteção avançada do malware (ampère). Você pode usar o módulo em único ou no modo de contexto múltiplo, e em roteado ou no modo transparente. Este documento descreve as condições prévias e os processos de instalação de um módulo da potência de fogo (SFR) no módulo de hardware ASA 5585-X. Igualmente fornece as etapas para registrar um módulo SFR com centro de gerenciamento de FireSIGHT.

Nota: Os serviços da potência de fogo (SFR) residem em um módulo de hardware no ASA 5585-X, visto que, os serviços da potência de fogo no ASA 5512-X através dos dispositivos do 5555-X Series são instalados em um módulo de software, diferenças resultantes nos processos de instalação.

Contribuído por Nazmul Rajib e por Ben Ritter, engenheiros de TAC da Cisco.

Pré-requisitos

Requisitos

As instruções neste documento exigem o acesso ao modo de exec privilegiado. A fim alcançar o modo de exec privilegiado, inscreva o comando enable. Se uma senha não foi ajustada, apenas a batida entra.

ciscoasa> enable
Password:
ciscoasa#

A fim instalar serviços da potência de fogo em um ASA, os seguintes componentes são necessários:

  • Versão de software 9.2.2 ASA ou maior
  • Plataforma ASA 5585-X
  • Um servidor TFTP alcançável pela interface de gerenciamento do módulo da potência de fogo
  • Centro de gerenciamento de FireSIGHT com versão 5.3.1 ou mais recente

Nota: A informação neste documento é criada dos dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Configuração

Antes de Começar

Dado um ASA SS ocupa sempre um dos dois entalhes no chassi ASA 5585-X, se você tem um módulo de hardware a não ser os serviços SSP da potência de fogo (SFR) tal como o SSP-CX (contexto ciente) ou AIP-SSM (inspeção e Segurança avançadas da prevenção), o outro módulo deve ser desinstalado para fazer o espaço para o SSP-SFR. Antes que você remova um módulo de hardware, execute o comando seguinte à parada programada um módulo:

ciscoasa# hw-module module 1 shutdown

Expedição de cabogramas e Gerenciamento

  • Você não pode alcançar a porta serial do módulo SFR através do console do ASA no ASA 5585-X.
  • Uma vez que o módulo SFR é fornecida, você pode sessão na lâmina usando da “o comando sessão 1".
  • Completamente nova imagem o módulo SFR em um ASA 5585-X, você deve usar a interface Ethernet de gerenciamento e uma sessão de console na porta de gerenciamento de série, que estão no módulo SFR e separam da interface de gerenciamento do ASA e consolam.

Dica: A fim encontrar o estado de um módulo no ASA, execute do “os detalhes módulo show 1” comandam qual recupera o IP de gerenciamento do módulo SFR e o centro associado da defesa.

Instale o módulo da potência de fogo (SFR) no ASA

1. Transfira a imagem construída à mão da inicial do módulo da potência de fogo SFR ASA do cisco.com a um servidor TFTP acessível da interface de gerenciamento da potência de fogo ASA. O nome da imagem olha como a “asasfr-bota-5.3.1-152.img"

2. Transfira o software do sistema da potência de fogo ASA do cisco.com a um HTTP, a um HTTPS, ou a um servidor FTP acessível da interface de gerenciamento da potência de fogo ASA.


3. Reinicie o módulo SFR

Opção 1: Se você não tem a senha ao módulo SFR, você pode emitir o comando seguinte do ASA reiniciar o módulo.

ciscoasa# hw-module module 1 reload 
Reload module 1? [confirm]
Reload issued for module 1


Opção 2: Se você tem a senha ao módulo SFR, você pode recarregar o sensor diretamente de sua linha de comando.

Sourcefire3D login: admin
Password:

Sourcefire Linux OS v5.3.1 (build 43)
Sourcefire ASA5585-SSP-10 v5.3.1 (build 152)

> system reboot


4. Interrompa o processo de boot do módulo SFR usando o ESCAPE ou a sequência de break de seu software da sessão terminal para colocar o módulo no ROMMON.

The system is restarting...
CISCO SYSTEMS
Embedded BIOS Version 2.0(14)1 15:16:31 01/25/14

<truncated output>

Cisco Systems ROMMON Version (2.0(14)1) #0: Sat Jan 25 16:44:38 CST 2014

Platform ASA 5585-X FirePOWER SSP-10, 8GE

Use BREAK or ESC to interrupt boot.
Use SPACE to begin boot immediately.
Boot in 8 seconds.

Boot interrupted.

Management0/0
Link is UP
MAC Address: xxxx.xxxx.xxxx

Use ? for help.

rommon #0>

5. Configurar a interface de gerenciamento do módulo SFR com um endereço IP de Um ou Mais Servidores Cisco ICM NT e indique o lugar do servidor TFTP e do trajeto TFTP à imagem construída à mão. Inscreva os comandos seguintes ajustar um endereço IP de Um ou Mais Servidores Cisco ICM NT na relação e recuperar a imagem de TFTP:

  • configurado
  • ADDRESS= Your_IP_Address
  • GATEWAY = Your_Gateway
  • SERVER= Your_TFTP_Server
  • IMAGEM = Your_TFTP_Filepath
  • sincronização
  • tftp


! Informação do endereço IP de Um ou Mais Servidores Cisco ICM NT do exemplo usada. Atualização para seu ambiente.

rommon #1> ADDRESS=198.51.100.3
rommon #2> GATEWAY=198.51.100.1
rommon #3> SERVER=198.51.100.100
rommon #4> IMAGE=/tftpboot/asasfr-boot-5.3.1-152.img
rommon #5> sync

Updating NVRAM Parameters...

rommon #6> tftp
ROMMON Variable Settings:
ADDRESS=198.51.100.3
SERVER=198.51.100.100
GATEWAY=198.51.100.1
PORT=Management0/0
VLAN=untagged
IMAGE=/tftpboot/asasfr-boot-5.3.1-152.img
CONFIG=
LINKTIMEOUT=20
PKTTIMEOUT=4
RETRY=20

tftp /tftpboot/asasfr-boot-5.3.1-152.img@198.51.100.100 via 198.51.100.1
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
<truncated output>

Received 41235627 bytes

Launching TFTP Image...

Execute image at 0x14000


6. Início de uma sessão à imagem da inicialização inicial. Início de uma sessão como o admin e com a senha Admin123

Cisco ASA SFR Boot Image 5.3.1

asasfr login: admin
Password:

Cisco ASA SFR Boot 5.3.1 (152)
Type ? for list of commands

 
7. Use a imagem da inicialização inicial para configurar um endereço IP de Um ou Mais Servidores Cisco ICM NT na interface de gerenciamento do módulo. Inscreva o comando setup inscrever o assistente. Você é alertado para a informação seguinte:

  • Hostname: Até 65 caráteres alfanuméricos, nenhuns espaços. Os hífens são permitidos.
  • Endereço de rede: Você pode ajustar endereços estáticos do IPv4 ou do IPv6, ou use o DHCP (para o IPv4) ou o autoconfiguration apátrida do IPv6.
  • Informação de DNS: Você deve identificar pelo menos um servidor DNS, e você pode igualmente ajustar o Domain Name e procurar o domínio.
  • Informação de NTP: Você pode permitir o NTP e configurar os servidores de NTP, para ajustar o tempo de sistema.

! Informação do exemplo usada. Atualização para seu ambiente.

asasfr-boot>setup

Welcome to SFR Setup
[hit Ctrl-C to abort]
Default values are inside []

Enter a hostname [asasfr]: sfr-module-5585
Do you want to configure IPv4 address on management interface?(y/n) [Y]: Y
Do you want to enable DHCP for IPv4 address on management interface?(y/n) [N]: N
Enter an IPv4 address [192.168.8.8]: 198.51.100.3
Enter the netmask [255.255.255.0]: 255.255.255.0
Enter the gateway [192.168.8.1]: 198.51.100.1
Do you want to configure static IPv6 address on management interface?(y/n) [N]: N
Stateless autoconfiguration will be enabled for IPv6 addresses.
Enter the primary DNS server IP address: 198.51.100.15
Do you want to configure Secondary DNS Server? (y/n) [n]: N
Do you want to configure Local Domain Name? (y/n) [n]: N
Do you want to configure Search domains? (y/n) [n]: N
Do you want to enable the NTP service? [Y]: N

Please review the final configuration:
Hostname: sfr-module-5585
Management Interface Configuration

IPv4 Configuration: static
IP Address: 198.51.100.3
Netmask: 255.255.255.0
Gateway: 198.51.100.1

IPv6 Configuration: Stateless autoconfiguration

DNS Configuration:
DNS Server: 198.51.100.15

Apply the changes?(y,n) [Y]: Y
Configuration saved successfully!
Applying...
Restarting network services...
Restarting NTP service...
Done.

 
8. Use a imagem de boot para puxar e instalar a imagem de software de sistema usando o comando install do sistema. Inclua a opção do noconfirm se você não quer responder aos mensagens de confirmação. Substitua a palavra-chave URL com o lugar do arquivo .package.

asasfr-boot> system install [noconfirm] url

Por exemplo,

> system install http://Server_IP_Address/asasfr-sys-5.3.1-152.pkg

Verifying
Downloading
Extracting

Package Detail
Description: Cisco ASA-SFR 5.3.1-152 System Install
Requires reboot: Yes

Do you want to continue with upgrade? [y]: Y
Warning: Please do not interrupt the process or turn off the system.
Doing so might leave system in unusable state.

Upgrading
Starting upgrade process ...
Populating new system image ...

Nota: Quando a instalação está completa em 20 a 30 minutos, você estará alertado bater a tecla ENTER para recarregar. Permita que o 10 ou mais minutos para a instalação do componente do aplicativo e para que os serviços da potência de fogo ASA comecem. A saída dos detalhes do módulo show 1 deve mostrar todos os processos como acima.

O status de módulo durante instala

ciscoasa# show module 1 details

Getting details from the Service Module, please wait...
Unable to read details from module 1

Card Type: ASA 5585-X FirePOWER SSP-10, 8GE
Model: ASA5585-SSP-SFR10
Hardware version: 1.0
Serial Number: JAD18400028
Firmware version: 2.0(14)1
Software version: 5.3.1-152
MAC Address Range: 58f3.9ca0.1190 to 58f3.9ca0.119b
App. name: ASA FirePOWER
App. Status: Not Applicable
App. Status Desc: Not Applicable
App. version: 5.3.1-152
Data Plane Status: Not Applicable
Console session: Not ready
Status: Unresponsive

O status de módulo após bem sucedido instala

ciscoasa# show module 1 details

Getting details from the Service Module, please wait...

Card Type: ASA 5585-X FirePOWER SSP-10, 8GE
Model: ASA5585-SSP-SFR10
Hardware version: 1.0
Serial Number: JAD18400028
Firmware version: 2.0(14)1
Software version: 5.3.1-152
MAC Address Range: 58f3.9ca0.1190 to 58f3.9ca0.119b
App. name: ASA FirePOWER
App. Status: Up
App. Status Desc: Normal Operation
App. version: 5.3.1-152
Data Plane Status: Up
Console session: Ready
Status: Up
DC addr: No DC Configured
Mgmt IP addr: 192.168.45.45
Mgmt Network mask: 255.255.255.0
Mgmt Gateway: 0.0.0.0
Mgmt web ports: 443
Mgmt TLS enabled: true

Configuração

Configurar o software da potência de fogo


1.You pode conectar ao módulo da potência de fogo ASA 5585-X através de uma das seguintes portas externas:

  • Porta de Console da potência de fogo ASA
  • Relação do Gerenciamento 1/0 da potência de fogo ASA usando o SSH

Nota: Você não pode alcançar o módulo de hardware CLI da potência de fogo ASA sobre o backplane ASA usando o comando do sfr da sessão.


2. Depois que você alcança o módulo da potência de fogo através do console, entre com o admin de nome de usuário e a senha Sourcefire.

Sourcefire3D login: admin
Password:

Last login: Fri Jan 30 14:00:51 UTC 2015 on ttyS0

Copyright 2001-2013, Sourcefire, Inc. All rights reserved. Sourcefire is a registered
trademark of Sourcefire, Inc. All other trademarks are property of their respective
owners.

Sourcefire Linux OS v5.3.1 (build 43)
Sourcefire ASA5585-SSP-10 v5.3.1 (build 152)

Last login: Wed Feb 18 14:22:19 on ttyS0

System initialization in progress.  Please stand by.  
You must configure the network to continue.
You must configure at least one of IPv4 or IPv6.
Do you want to configure IPv4? (y/n) [y]: y
Do you want to configure IPv6? (y/n) [n]: n
Configure IPv4 via DHCP or manually? (dhcp/manual) [manual]: dhcp
If your networking information has changed, you will need to reconnect.
[1640209.830367] ADDRCONF(NETDEV_UP): eth0: link is not ready
[1640212.873978] e1000e: eth0 NIC Link is Up 1000 Mbps Full Duplex, Flow Control: None
[1640212.966250] ADDRCONF(NETDEV_CHANGE): eth0: link becomes ready
For HTTP Proxy configuration, run 'configure network http-proxy'

This sensor must be managed by a Defense Center.  A unique alphanumeric registration
key is always required.  In most cases, to register a sensor to a Defense Center,
you must provide the hostname or the IP address along with the registration key.
'configure manager add [hostname | ip address ] [registration key ]'

However, if the sensor and the Defense Center are separated by a NAT device, you
must enter a unique NAT ID, along with the unique registration key. 'configure
manager add DONTRESOLVE [registration key ] [ NAT ID ]'

Later, using the web interface on the Defense Center, you must use the same
registration key and, if necessary, the same NAT ID when you add this
sensor to the Defense Center.

>

Configurar o centro de gerenciamento de FireSIGHT

A fim controlar um módulo e uma política de segurança da potência de fogo ASA, você deve registrar-la com um centro de gerenciamento de FireSIGHT. Você não pode fazer o seguinte com um centro de gerenciamento de FireSIGHT:

  • Não pode configurar relações da potência de fogo ASA.
  • Não pode fechar, reiniciar, ou de outra maneira controlar processos da potência de fogo ASA.
  • Não pode criar backup de ou restaurar backup aos dispositivos da potência de fogo ASA.
  • Não pode escrever regras do controle de acesso para combinar o tráfego usando condições da etiqueta VLAN.

Reoriente o tráfego ao módulo SFR

Você reorienta o tráfego ao módulo da potência de fogo ASA criando uma política de serviços que identifique o tráfego específico. A fim reorientar o tráfego a um módulo da potência de fogo, siga as etapas abaixo:

Passo 1: Selecione o tráfego

Primeiramente, tráfego seleto usando o comando access-list. No exemplo seguinte, nós estamos reorientando todo o tráfego de todas as relações. Você poderia fazê-lo para o tráfego específico também.

ciscoasa(config)# access-list sfr_redirect extended permit ip any any

Passo 2: Tráfego do fósforo

As mostras do exemplo seguinte como criar um mapa de classe e combinar o tráfego em uma lista de acessos:

ciscoasa(config)# class-map sfr
ciscoasa(config-cmap)# match access-list sfr_redirect

Passo 3: Especifique a ação

Você pode configurar seu dispositivo em um desenvolvimento passivo (“monitor-somente”) ou inline. Você não pode configurar o modo de monitor-somente e o modo inline normal ao mesmo tempo no ASA. Somente um tipo de política de segurança é permitido.

Modo Inline

Em um desenvolvimento inline, após ter deixado cair tráfego indesejado e ter tomado alguma outra ação aplicada pela política, o tráfego é retornado ao ASA para o processamento adicional e a transmissão final. O exemplo seguinte mostra como criar um mapa de política e configurar o módulo da potência de fogo no modo inline:

ciscoasa(config)# policy-map global_policy
ciscoasa(config-pmap)# class sfr
ciscoasa(config-pmap-c)# sfr fail-open

Modo passivo

Em um desenvolvimento passivo,

  • Uma cópia do tráfego é enviada ao dispositivo, mas não é retornada ao ASA.
  • O modo passivo deixa-o considerar o que o dispositivo faria para traficar, e deixa-o avaliar o índice do tráfego, sem impactar a rede.

Se você quer configurar o módulo da potência de fogo no modo passivo, use a palavra-chave do monitor-somente como abaixo. Se você não inclui a palavra-chave, o tráfego está enviado no modo inline.

ciscoasa(config-pmap-c)# sfr fail-open monitor-only

Passo 4: Especifique o lugar

A última etapa é aplicar a política. Você pode aplicar uma política globalmente ou em uma relação. Você pode cancelar a política global em uma relação aplicando uma política de serviços a essa relação. 

A palavra-chave global aplica o mapa de política a todas as relações, e a relação aplica a política a uma relação. Somente uma política global é permitida. No exemplo seguinte, a política é aplicada globalmente:

ciscoasa(config)# service-policy global_policy global

Cuidado: O global_policy do mapa de política é uma política padrão. Se você usa esta política e a quer remover esta política em seu dispositivo para o propósito de Troubleshooting, certifique-se de você compreender sua implicação.

Documento relacionado



Document ID: 118824