Sécurité : Cisco ASA 5500-X with FirePOWER Services

Installation des services de la puissance de feu (SFR) sur le module de matériel ASA 5585-X

15 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires

Introduction

Le module de puissance de feu ASA, également connu sous le nom d'ASA SFR, fournit les services de la deuxième génération de Pare-feu, y compris IPS de la deuxième génération (NGIPS), visibilité d'application et contrôle (AVC), Filtrage URL, et protection de malware à l'avance (AMPÈRE). Vous pouvez utiliser le module dans simple ou le mode de contexte multiple, et en mode conduit ou transparent. Ce document décrit les conditions préalables et les processus d'installation d'un module de la puissance de feu (SFR) sur le module de matériel ASA 5585-X. Il fournit également les étapes pour enregistrer un module SFR avec le centre de Gestion de FireSIGHT.

Remarque: Les services de la puissance de feu (SFR) résident sur un module de matériel dans l'ASA 5585-X, tandis que, les services de puissance de feu sur l'ASA 5512-X par des appliances de gamme 5555-X sont installés sur un module logiciel, des différences en résultant dans les processus d'installation.

Contribué par Nazmul Rajib et Ben Ritter, ingénieurs TAC Cisco.

Conditions préalables

Conditions requises

Les instructions sur ce document exigent l'accès au mode d'exécution privilégié. Afin d'accéder au mode d'exécution privilégié, sélectionnez la commande d'enable. Si un mot de passe n'était pas placé, juste le hit entrent.

ciscoasa> enable
Password:
ciscoasa#

Afin d'installer des services de puissance de feu sur une ASA, les composants suivants sont nécessaires :

  • Version de logiciel 9.2.2 ASA ou plus grand
  • Plate-forme ASA 5585-X
  • Un serveur TFTP accessible par l'interface de gestion du module de puissance de feu
  • Centre de Gestion de FireSIGHT avec la version 5.3.1 ou ultérieures

Remarque: Les informations dans ce document sont créées des périphériques dans un environnement de travaux pratiques spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Configuration

Avant de commencer

Donné un SSM ASA occupe toujours un des deux emplacements dans le châssis ASA 5585-X, si vous avez un module de matériel autre que les services SSP de la puissance de feu (SFR) tel que le SSP-CX (contexte averti) ou l'AIP SSM (inspection et Sécurité avancées de prévention), l'autre module doit être désinstallé pour faire l'espace pour le SSP-SFR. Avant que vous retiriez un module de matériel, exécutez la commande suivante à l'arrêt un module :

ciscoasa# hw-module module 1 shutdown

Câblage et Gestion

  • Vous ne pouvez pas accéder au port série du module SFR par l'intermédiaire de la console de l'ASA sur l'ASA 5585-X.
  • Une fois que le module SFR provisioned, vous pouvez session dans la lame utilisant la « commande de la session 1".
  • Afin de réimager complètement le module SFR sur une ASA 5585-X, vous devez utiliser l'interface Ethernet de Gestion et une session de console sur le port de gestion séquentiel, qui sont sur le module SFR et séparé de l'interface de gestion et de la console de l'ASA.

Conseil : Afin de trouver le statut d'un module sur l'ASA, exécutez les « détails du show module 1 » commandent ce qui récupère l'IP de la Gestion du module SFR et le centre associé de la défense.

Installez le module de la puissance de feu (SFR) sur l'ASA

1. Téléchargez l'image Bootstrap d'initiale de module de la puissance de feu SFR ASA de Cisco.com à un serveur TFTP accessible de l'interface de gestion de puissance de feu ASA. Le nom d'image ressemble au « asasfr-démarrage-5.3.1-152.img"

2. Téléchargez le logiciel système de puissance de feu ASA de Cisco.com à un HTTP, à un HTTPS, ou à un ftp server accessible de l'interface de gestion de puissance de feu ASA.


3. Redémarrez le module SFR

Option 1 : Si vous n'avez pas le mot de passe au module SFR, vous pouvez émettre la commande suivante de l'ASA de redémarrer le module.

ciscoasa# hw-module module 1 reload 
Reload module 1? [confirm]
Reload issued for module 1


Option 2 : Si vous avez le mot de passe au module SFR, vous pouvez redémarrer le capteur directement de sa ligne de commande.

Sourcefire3D login: admin
Password:

Sourcefire Linux OS v5.3.1 (build 43)
Sourcefire ASA5585-SSP-10 v5.3.1 (build 152)

> system reboot


4. Interrompez le processus de démarrage du module SFR utilisant l'ÉVASION ou de la séquence d'interruption de votre logiciel de session de travail pour placer le module dans ROMMON.

The system is restarting...
CISCO SYSTEMS
Embedded BIOS Version 2.0(14)1 15:16:31 01/25/14

<truncated output>

Cisco Systems ROMMON Version (2.0(14)1) #0: Sat Jan 25 16:44:38 CST 2014

Platform ASA 5585-X FirePOWER SSP-10, 8GE

Use BREAK or ESC to interrupt boot.
Use SPACE to begin boot immediately.
Boot in 8 seconds.

Boot interrupted.

Management0/0
Link is UP
MAC Address: xxxx.xxxx.xxxx

Use ? for help.

rommon #0>

5. Configurez l'interface de gestion de module SFR avec une adresse IP et indiquez l'emplacement du serveur TFTP et du chemin TFTP à l'image Bootstrap. Sélectionnez les commandes suivantes de placer une adresse IP sur l'interface et de récupérer l'image TFTP :

  • placez
  • ADRESSE = Your_IP_Address
  • PASSERELLE = Your_Gateway
  • SERVEUR = Your_TFTP_Server
  • IMAGE = Your_TFTP_Filepath
  • sync
  • tftp


! Les informations d'adresse IP d'exemple utilisées. Mise à jour pour votre environnement.

rommon #1> ADDRESS=198.51.100.3
rommon #2> GATEWAY=198.51.100.1
rommon #3> SERVER=198.51.100.100
rommon #4> IMAGE=/tftpboot/asasfr-boot-5.3.1-152.img
rommon #5> sync

Updating NVRAM Parameters...

rommon #6> tftp
ROMMON Variable Settings:
ADDRESS=198.51.100.3
SERVER=198.51.100.100
GATEWAY=198.51.100.1
PORT=Management0/0
VLAN=untagged
IMAGE=/tftpboot/asasfr-boot-5.3.1-152.img
CONFIG=
LINKTIMEOUT=20
PKTTIMEOUT=4
RETRY=20

tftp /tftpboot/asasfr-boot-5.3.1-152.img@198.51.100.100 via 198.51.100.1
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
<truncated output>

Received 41235627 bytes

Launching TFTP Image...

Execute image at 0x14000


6. Procédure de connexion à l'image de démarrage initiale. Procédure de connexion comme admin et avec le mot de passe Admin123

Cisco ASA SFR Boot Image 5.3.1

asasfr login: admin
Password:

Cisco ASA SFR Boot 5.3.1 (152)
Type ? for list of commands

 
7. Employez l'image de démarrage initiale pour configurer une adresse IP sur l'interface de gestion du module. Sélectionnez la commande setup de présenter l'assistant. Vous êtes incité pour les informations suivantes :

  • Adresse Internet : Jusqu'à 65 caractères alphanumériques, aucun espaces. On permet des traits d'union.
  • Adresse réseau : Vous pouvez placer des adresses statiques d'ipv4 ou d'IPv6, ou utilisez le DHCP (pour l'ipv4) ou la configuration automatique sans état d'IPv6.
  • L'information DNS : Vous devez identifier au moins un serveur DNS, et vous pouvez également placer le nom de domaine et rechercher le domaine.
  • Les informations de NTP : Vous pouvez activer le NTP et configurer les serveurs de NTP, pour placer l'heure système.

! Les informations d'exemple utilisées. Mise à jour pour votre environnement.

asasfr-boot>setup

Welcome to SFR Setup
[hit Ctrl-C to abort]
Default values are inside []

Enter a hostname [asasfr]: sfr-module-5585
Do you want to configure IPv4 address on management interface?(y/n) [Y]: Y
Do you want to enable DHCP for IPv4 address on management interface?(y/n) [N]: N
Enter an IPv4 address [192.168.8.8]: 198.51.100.3
Enter the netmask [255.255.255.0]: 255.255.255.0
Enter the gateway [192.168.8.1]: 198.51.100.1
Do you want to configure static IPv6 address on management interface?(y/n) [N]: N
Stateless autoconfiguration will be enabled for IPv6 addresses.
Enter the primary DNS server IP address: 198.51.100.15
Do you want to configure Secondary DNS Server? (y/n) [n]: N
Do you want to configure Local Domain Name? (y/n) [n]: N
Do you want to configure Search domains? (y/n) [n]: N
Do you want to enable the NTP service? [Y]: N

Please review the final configuration:
Hostname: sfr-module-5585
Management Interface Configuration

IPv4 Configuration: static
IP Address: 198.51.100.3
Netmask: 255.255.255.0
Gateway: 198.51.100.1

IPv6 Configuration: Stateless autoconfiguration

DNS Configuration:
DNS Server: 198.51.100.15

Apply the changes?(y,n) [Y]: Y
Configuration saved successfully!
Applying...
Restarting network services...
Restarting NTP service...
Done.

 
8. Employez l'image de démarrage pour récupérer et installer l'image du logiciel système utilisant le système installez la commande. Incluez l'option de noconfirm si vous ne voulez pas répondre aux messages de confirmation. Remplacez le mot clé URL par l'emplacement du fichier .package.

asasfr-boot> system install [noconfirm] url

Exemple :

> system install http://Server_IP_Address/asasfr-sys-5.3.1-152.pkg

Verifying
Downloading
Extracting

Package Detail
Description: Cisco ASA-SFR 5.3.1-152 System Install
Requires reboot: Yes

Do you want to continue with upgrade? [y]: Y
Warning: Please do not interrupt the process or turn off the system.
Doing so might leave system in unusable state.

Upgrading
Starting upgrade process ...
Populating new system image ...

Remarque: Quand l'installation est complète en 20 à 30 minutes, vous serez incité à enfoncer la touche Enter pour redémarrer. Accordez 10 minutes ou plus pour l'installation composante d'application et pour les services de puissance de feu ASA pour commencer. La sortie de détails du show module 1 devrait afficher tous les processus en tant que.

L'état de module pendant installent

ciscoasa# show module 1 details

Getting details from the Service Module, please wait...
Unable to read details from module 1

Card Type: ASA 5585-X FirePOWER SSP-10, 8GE
Model: ASA5585-SSP-SFR10
Hardware version: 1.0
Serial Number: JAD18400028
Firmware version: 2.0(14)1
Software version: 5.3.1-152
MAC Address Range: 58f3.9ca0.1190 to 58f3.9ca0.119b
App. name: ASA FirePOWER
App. Status: Not Applicable
App. Status Desc: Not Applicable
App. version: 5.3.1-152
Data Plane Status: Not Applicable
Console session: Not ready
Status: Unresponsive

L'état de module après réussi installent

ciscoasa# show module 1 details

Getting details from the Service Module, please wait...

Card Type: ASA 5585-X FirePOWER SSP-10, 8GE
Model: ASA5585-SSP-SFR10
Hardware version: 1.0
Serial Number: JAD18400028
Firmware version: 2.0(14)1
Software version: 5.3.1-152
MAC Address Range: 58f3.9ca0.1190 to 58f3.9ca0.119b
App. name: ASA FirePOWER
App. Status: Up
App. Status Desc: Normal Operation
App. version: 5.3.1-152
Data Plane Status: Up
Console session: Ready
Status: Up
DC addr: No DC Configured
Mgmt IP addr: 192.168.45.45
Mgmt Network mask: 255.255.255.0
Mgmt Gateway: 0.0.0.0
Mgmt web ports: 443
Mgmt TLS enabled: true

Configuration

Configurez le logiciel de puissance de feu


1.You peut se connecter au module de puissance de feu ASA 5585-X par l'intermédiaire d'un des ports externes suivants :

  • Port de console de puissance de feu ASA
  • Interface de la Gestion 1/0 de puissance de feu ASA utilisant le SSH

Remarque: Vous ne pouvez pas accéder au module de matériel de puissance de feu ASA CLI au-dessus du fond de panier ASA utilisant la commande de sfr de session.


2. Après que vous accédiez au module de puissance de feu par l'intermédiaire de la console, ouvrez une session avec l'admin et le mot de passe Sourcefire de nom d'utilisateur.

Sourcefire3D login: admin
Password:

Last login: Fri Jan 30 14:00:51 UTC 2015 on ttyS0

Copyright 2001-2013, Sourcefire, Inc. All rights reserved. Sourcefire is a registered
trademark of Sourcefire, Inc. All other trademarks are property of their respective
owners.

Sourcefire Linux OS v5.3.1 (build 43)
Sourcefire ASA5585-SSP-10 v5.3.1 (build 152)

Last login: Wed Feb 18 14:22:19 on ttyS0

System initialization in progress.  Please stand by.  
You must configure the network to continue.
You must configure at least one of IPv4 or IPv6.
Do you want to configure IPv4? (y/n) [y]: y
Do you want to configure IPv6? (y/n) [n]: n
Configure IPv4 via DHCP or manually? (dhcp/manual) [manual]: dhcp
If your networking information has changed, you will need to reconnect.
[1640209.830367] ADDRCONF(NETDEV_UP): eth0: link is not ready
[1640212.873978] e1000e: eth0 NIC Link is Up 1000 Mbps Full Duplex, Flow Control: None
[1640212.966250] ADDRCONF(NETDEV_CHANGE): eth0: link becomes ready
For HTTP Proxy configuration, run 'configure network http-proxy'

This sensor must be managed by a Defense Center.  A unique alphanumeric registration
key is always required.  In most cases, to register a sensor to a Defense Center,
you must provide the hostname or the IP address along with the registration key.
'configure manager add [hostname | ip address ] [registration key ]'

However, if the sensor and the Defense Center are separated by a NAT device, you
must enter a unique NAT ID, along with the unique registration key. 'configure
manager add DONTRESOLVE [registration key ] [ NAT ID ]'

Later, using the web interface on the Defense Center, you must use the same
registration key and, if necessary, the same NAT ID when you add this
sensor to the Defense Center.

>

Configurez le centre de Gestion de FireSIGHT

Afin de gérer un module et une stratégie de sécurité de puissance de feu ASA, vous devez l'enregistrer avec un centre de Gestion de FireSIGHT. Vous ne pouvez pas faire le suivant avec un centre de Gestion de FireSIGHT :

  • Ne peut pas configurer des interfaces de puissance de feu ASA.
  • Ne peut pas arrêter, redémarrer, ou autrement gérer des processus de puissance de feu ASA.
  • Ne peut pas créer des sauvegardes de ou restaurer des sauvegardes sur des périphériques de puissance de feu ASA.
  • Ne peut pas écrire des règles de contrôle d'accès d'apparier le trafic utilisant des états de balise VLAN.

Réorientez le trafic au module SFR

Vous réorientez le trafic au module de puissance de feu ASA en créant une stratégie de service qui identifie le trafic spécifique. Afin de réorienter le trafic à un module de puissance de feu, suivez les étapes ci-dessous :

Étape 1 : Sélectionnez le trafic

D'abord, sélectionnez le trafic utilisant la commande access-list. Dans l'exemple suivant, nous réorientons tout le trafic de toutes les interfaces. Vous pourriez le faire pour le trafic spécifique aussi bien.

ciscoasa(config)# access-list sfr_redirect extended permit ip any any

Étape 2 : Le trafic de correspondance

L'exemple suivant affiche comment créer un class-map et apparier le trafic sur une liste d'accès :

ciscoasa(config)# class-map sfr
ciscoasa(config-cmap)# match access-list sfr_redirect

Étape 3 : Spécifiez l'action

Vous pouvez configurer votre périphérique dans un déploiement passif (« réservé au moniteur ») ou intégré. Vous ne pouvez pas configurer le mode réservé au moniteur et le mode intégré normal en même temps sur l'ASA. On permet seulement un type de stratégie de sécurité.

Mode intégré

Dans un déploiement intégré, après la baisse du trafic peu désiré et la prise de toutes les autres mesures appliquées par stratégie, le trafic est retourné à l'ASA pour une transformation plus ultérieure et une transmission finale. L'exemple suivant affiche comment créer un policy-map et configurer le module de puissance de feu dans le mode intégré :

ciscoasa(config)# policy-map global_policy
ciscoasa(config-pmap)# class sfr
ciscoasa(config-pmap-c)# sfr fail-open

Mode passif

Dans un déploiement passif,

  • Une copie du trafic est envoyée au périphérique, mais elle n'est pas retournée à l'ASA.
  • Le mode passif vous permet de voir ce que le périphérique aurait fait pour trafiquer, et vous permet d'évaluer le contenu du trafic, sans affecter le réseau.

Si vous voulez configurer le module de puissance de feu en mode passif, utilisez le mot clé réservé au moniteur en tant que ci-dessous. Si vous n'incluez pas le mot clé, le trafic est introduit le mode intégré.

ciscoasa(config-pmap-c)# sfr fail-open monitor-only

Étape 4 : Spécifiez l'emplacement

La dernière étape est d'appliquer la stratégie. Vous pouvez appliquer une stratégie globalement ou sur une interface. Vous pouvez ignorer la stratégie globale sur une interface en s'appliquant une stratégie de service à cette interface. 

Le mot clé global applique la carte de stratégie à toutes les interfaces, et l'interface s'applique la stratégie à une interface. On permet seulement une stratégie globale. Dans l'exemple suivant, la stratégie est appliquée globalement :

ciscoasa(config)# service-policy global_policy global

Attention : Le global_policy de carte de stratégie est une stratégie par défaut. Si vous utilisez cette stratégie et voulez enlever cette stratégie sur votre périphérique pour dépanner le but, veillez-vous pour comprendre son implication.

Document connexe


Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Document ID: 118824